HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Dezember 2023
24. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Same same but different: SkyECC oder wie europäische Strafverfolgungsbehörden eine Milliarde Nachrichten über 21 Monate lang abgefangen haben
Von Rechtsanwalt Christian Lödden, LL.M., Krefeld, und Rechtsanwalt Dr. Johannes Makepeace, München[*]
A. Vorbemerkung
Auch wenn die verschiedenen Kryptohandy-Anbieter wie EncroChat, SkyECC, ANOM oder Exclu auf den ersten Blick vergleichbar sind, gilt das lediglich für die Funktion und Technik der Anwendungen an sich. Die zugrundeliegenden strafrechtlichen Ermittlungsmaßnahmen, die zur Erhebung der Beweise in den jeweiligen Verfahren geführt haben, waren bei allen Anbietern grundlegend verschieden.
Die rechtliche Einordnung bei der Prüfung der Verwertbarkeit der Beweise kann nur auf Grundlage der jeweiligen Maßnahmen, Beschlüsse und Beweistransfers erfolgen, sodass die Aufklärung hinsichtlich des tatsächlichen Sachverhaltes der Beweiserhebung zwingend geboten ist. Da der Aufklärungswille vieler Instanzgerichte insbesondere in Bezug auf im Ausland koordinierte Beweiserhebungen erfahrungsgemäß schwach bis gar nicht ausgeprägt ist, ist es an der Verteidigung, in entsprechenden Fällen den zugrunde liegenden Sachverhalt vorzutragen und eine entsprechende rechtliche Einordnung vorzunehmen.
In dem vorliegenden Beitrag soll es um die Anwendung SkyECC, die Umstände der Beweiserhebung sowie mögliche Verteidigungsansätze in Verfahren gehen, die von den Strafverfolgungsbehörden mit SkyECC-Beweisen geführt werden. Um das Ergebnis vorwegzunehmen: Eigentlich ist kaum etwas über SkyECC und die durchgeführten Ermittlungsmaßnahmen der belgischen, niederländischen und französischen Ermittlungsbehörden in Deutschland bekannt. Und das ist Problem und Grund dieses Beitrags zugleich. Denn vor deutschen Gerichten werden derzeit die ersten Verfahren verhandelt und die ersten Urteile gesprochen, die ganz entscheidend mit SkyECC zusammenhängen.
Dass diese Verfahren ein großes "Deal-Potenzial" haben, liegt vor allem daran, dass die Frage nach der Verwertbarkeit der aus den SkyECC-Daten gewonnenen Erkenntnisse – um es auf den Punkt zu bringen – völlig ungeklärt ist. Sowohl der Beschluss des BGH vom 27.04.2023 (Az.: 5 StR 421/22)[1] als auch das noch laufende Verfahren vor dem EuGH (Az.: C-670/22) befassen sich ausschließlich mit der Frage der Verwertbarkeit von EncroChat-Daten, die, wie wir mit diesem Beitrag zeigen möchten, sich erheblich von der Frage der Verwertbarkeit von SkyECC-Daten unterscheidet, da die zugrundeliegende Beweiserhebung sowohl technisch als auch rechtlich ganz anders erfolgte.[2]
Umso mehr Wert hat logischerweise ein Geständnis. Denn weitere Beweise sind in den meisten SkyECC-Verfahren, wie es schon bei den meisten EncroChat-Verfahren der Fall war, nicht vorhanden.[3] Natürlich mag allein diese Ausgangslage eine Verteidigungschance bieten. Nach einem absprachebedingten Formalgeständnis und einem großzügig "milden" Urteil, das alle Verfahrensbeteiligte akzeptieren, ist die Beantwortung der Verwertungsfrage rechtspraktisch gesehen weitgehend obsolet.[4] Doch eines Geständnisses bedarf es nicht, wenn die SkyECC-Daten unverwertbar wären. Denn dann läge überhaupt kein (verwertbares) belastendes Beweismaterial vor. Die Folge:
Freispruch – und den versuchen Staatsanwaltschaften und Gerichte um jeden Preis zu verhindern.
B. Was ist SkyECC?
SkyECC war ein end-to-end-verschlüsselter Kommunikationsdienst des kanadischen Unternehmens SkyGlobal. Der Kommunikationsdienst versprach seinen Nutzern sich auszutauschen, ohne dass die Nachrichten außerhalb des jeweiligen Chats von einem Dritten gelesen werden können. SkyECC ist damit, zumindest was diesen Punkt betrifft, vergleichbar mit EncroChat oder herkömmlicheren Ende-zu-Ende-verschlüsselten Messegerdiensten wie WhatsApp, Signal oder Threema, die allesamt verschlüsselte Kommunikationswege anbieten oder angeboten haben.
SkyECC war ursprünglich für die BlackBerry-Plattform entwickelt worden, konnte aber zwischenzeitlich abonnementbasiert auch von Nutzern verwendet werden, die Mobiltelefone der Hersteller Apple, Android, Google und Nokia besaßen. Die Besonderheit bei SkyECC ist, dass die Nutzer die Mobiltelefone direkt von SkyGlobal oder deren Vertriebspartner erwarben und die Mobiltelefone bereits mit der vorinstallierten SkyECC-Software bestückt waren, die die Nutzung der geräteeigenen Kameras, Mikrofone oder GPS-Antennen teils unmöglich machte. Eine Eigeninstallation der SkyECC-Software auf einem eigenen Telefon war nach unserer Kenntnis nicht möglich.
Neben dem Mobiltelefon mit der vorinstallierten SkyECC-App wurde den Kunden jeweils eine individuelle sechsstellige Nutzungskennung (ECC-ID) zugeteilt, bestehend aus Buchstaben und Zahlen, die nicht geändert werden konnte. Jedoch konnten sich die Nutzer eigene Nutzernamen geben und diese nachträglich ändern. Um mit anderen SkyECC-Nutzern zu kommunizieren, mussten beide Nutzer die jeweilige ECC-ID als Kontakt speichern.[5]
Die höchste Verschlüsselungsstufe bot SkyECC bei bilateraler Kommunikation, also bei der Kommunikation ausschließlich zweier Nutzer untereinander. Das ist auch der Grund, weshalb in den SkyECC-Verfahren die relevanten Chats zum Teil nur einseitig vorliegen. Weniger sicher waren hingegen Gruppenchats. Hier konnte die hohe Verschlüsselungsqualität nicht gewährleistet werden. Daher wirken die bisher vorliegenden Gruppenchats vom Inhalt vollständiger als entsprechende Eins-zu-Eins-Chats der Nutzer.
C. Was bisher geschah
Das Bedenklichste bei SkyECC ist, dass nach wie vor ungeklärt ist, wie genau es erstens dazu kam, dass die abgefangenen verschlüsselten Daten in Zusammenarbeit der französischen, niederländischen und belgischen Behörden letztendlich entschlüsselt werden konnten, und zweitens, wie die entschlüsselten Daten und Chats in der Folge Einzug fanden in die deutschen Ermittlungsakten. Fakt ist, dass es den Franzosen wohl Mitte Dezember 2020 erstmals gelang, die abgefangenen verschlüsselten Daten lesbar zu machen, sodass entsprechende Verfahren ab 2021 eingeleitet werden konnten, die weitgehend ausschließlich auf den Chatinhalten fußen. Die Akten, die uns in unseren jeweiligen Verfahren zur Verfügung standen, zeichnen zur Chronologie der staatlichen SkyECC-Datengewinnung folgendes, leider unvollständiges und rechtsstaatlich bedenkliches Bild:
I. Es begann in Antwerpen
Bereits 2016 begannen die niederländischen und belgischen Behörden im Zusammenhang mit SkyECC zu ermitteln. Hintergrund dieser ersten Ermittlungen war, dass im Zusammenhang mit einem Betäubungsmittelfund im Hafen von Antwerpen wohl zufällig verschlüsselte Telefone beschlagnahmt worden waren, auf denen die SkyECC-App installiert war. Ein durch die Antwerpener Polizei durchgeführter Aktenabgleich ergab, dass auch in anderen Verfahren, in denen wegen organisierter Kriminalität ermittelt wurde, bei Verdächtigen Mobiltelefone mit der SkyECC-Applikation aufgefunden wurden.
Nachdem verdeckte belgische Ermittler im Rahmen des sodann eingeleiteten Ermittlungsverfahrens gegen SkyGlobal ein verschlüsseltes Telefon erworben hatten, auf dem SkyECC vorinstalliert war, konnten die belgischen Behörden feststellen, dass es sich bei dem Server, auf dem die Kommunikation von SkyECC gehostet wurde, sowie bei dem entsprechenden Sicherungsserver um Server des Typs Blackberry (Business Entreprise Server) BES handelte. Der Serverstandort des Hosting-Anbieters "OVH" lag in Roubaix, Frankreich.
Zur gleichen Zeit verfolgten auch niederländische Ermittler die Spur von SkyECC-Nachrichten und konnten OVH in Frankreich als Serverstandort lokalisieren. Im Herbst 2018 beantragten die niederländischen Behörden bei einem Ermittlungsrichter in Amsterdam, dass sie von OVH eine digitale Kopie des Servers verlangen dürfen. Dabei sollte diese Serverbeschlagnahme dazu dienen, die technischen Möglichkeiten zum Abhören und Entschlüsseln der Kommunikation zu einem späteren Zeitpunkt zu untersuchen. Der Ermittlungsrichter wies das Anliegen der Staatsanwaltschaft mit dem Hinweis ab, dass die strafprozessuale Maßnahme unverhältnismäßig sei, da es keinen Anhaltspunkt gäbe, dass die Nutzer ausschließlich der organisierten Kriminalität zuzurechnen seien, es keinen konkreten Verdacht gegen einen einzelnen Nutzer gäbe und das bloße Verwenden von verschlüsselter Kommunikation diesen Verdacht auch nicht begründen könne. Den niederländischen Ermittlern wurde lediglich erlaubt,
Daten der Server lediglich zu Forschungszwecken und eben nicht Strafverfolgung zu nutzen.
In der Folge wurden zwei separate Europäische Ermittlungsanordnungen (EEA) aus Belgien und den Niederlanden Ende 2018 jeweils an die Staatsanwaltschaft Lille versandt. Ziel der EEAs war, mithilfe der Franzosen die technische Struktur der in Frankreich gehosteten SkyECC-Server zu analysieren. Somit begann Ende 2018 "offiziell" die Zusammenarbeit der niederländischen, belgischen und französischen Ermittlungsbehörden. Deutsche Behörden, geschweige denn deutsche Gerichte, waren zu diesem Zeitpunkt soweit ersichtlich nicht involviert.
Hingegen war auch Europol offenkundig an den Ermittlungen beteiligt. So sollen sich "auf Initiative" von Europol die Vertreter der drei Ermittlungsbehörden am 27.03.2019 in Den Haag getroffen haben. Der genaue Beitrag von Europol ist jedoch nach wie vor unbekannt. Uns liegen jedoch Informationen vor, nach denen die SkyECC-Ermittlungen maßgeblich durch die Operational Task Force (OTF) "Limit" bei Europol koordiniert worden sind. Und laut Pressemitteilung vom 10.03.2021 soll Europol die Operation zumindest taktisch, technisch und finanziell unterstützt haben.[6]
Darüber hinaus haben bei Europol tätige Ermittler bis zum heutigen Tag mindestens 870 sogenannte "intelligence reports" verfasst und als Spurensätze an die Behörden der Mitgliedsländer übersandt verbunden mit der Bitte, daraus resultierende Ermittlungsergebnisse wiederum an Europol zurückzuspielen. In diesen "intelligence reports" werden umfangreich Chats und Nachrichten ausgewertet, analysiert und vermeintliche Nutzer identifiziert. Damit werden auch deutschen Ermittlern fertige Ermittlungshypothesen präsentiert, die anschließend lediglich "abgearbeitet" werden. Auf welcher Rechtsgrundlage diese Auswertung und Analyse bei Europol erfolgen, ist unklar und damit Gegenstand von Beschwerdeverfahren vor dem EuGH nach Artikel 263 AEUV.[7]
Parallel zu der im Dezember 2018 beginnenden Zusammenarbeit zwischen den Niederlanden, Belgien und Frankreich trug offenbar ein weiterer Umstand dazu bei, dass die Ermittlungsbehörden Kenntnisse über die Funktionsweise von SkyECC und den Inhalt der Chats gewinnen konnten. Im März 2019 sollen den Niederländern (plötzlich) aus einem früheren niederländischen Verfahren entschlüsselte Nachrichten vorgelegen haben, darunter 9.000 Nachrichten in französischer Sprache, die von den Nutzern der SkyECC-Terminals versendet und empfangen worden waren. Der genaue Hintergrund zu diesem Verfahren, insbesondere zu der Identifizierung und Entschlüsselung der 9.000 Nachrichten mit vermeintlichem SkyECC-Bezug, ist uns nicht bekannt.
Jedenfalls leitete die Oberstaatsanwaltschaft Lille im Februar 2019 ein eigenes Ermittlungsverfahren gegen SkyECC ein und beantragte erstmals am 14.06.2019, "für eine Dauer von einem Monat" das Abfangen, die Aufzeichnung und die Transkription der Kommunikation zwischen den beiden französischen Servern untereinander sowie der ein- und ausgehenden Kommunikation des Hauptservers richterlich zu gestatten. Mit Verfügung vom selben Tag wurde das "Mitlesen" der Server – zumindest aus französischer Sicht – richterlich gestattet.
II. Phase 1: Abfangen des Server-Traffics
Die richterlich angeordneten geheimen Überwachungsmaßnahmen wurden Ende Juni 2019 an den beiden Servern bei OVH ohne Kenntnis von SkyGlobal, des Hosting-Anbieters oder der Nutzer eingerichtet. In der Folge konnte ein erheblicher Daten-Traffic abgegriffen werden. Eine Entschlüsselung der abgefangenen Nachrichten und entsprechenden Metadaten war anfangs allerdings nicht möglich. Daher wurde die Überwachungsmaßnahme – und damit das Abfangen des gesamten ein- und ausgehenden Server-Traffics – zunächst um einen weiteren Monat, dann um weitere vier Monate und schließlich bis Ende Dezember 2020 verlängert. Uns liegen keine Informationen vor, dass in diesem Zeitraum die Betroffenenrechte auch nur ansatzweise berücksichtigt worden sind.
Die niederländischen Strafverfolgungsbehörden erhielten erstmals im Juli 2019 Zugang zu den abgefangenen, aber noch verschlüsselten Daten. Das wurde nachträglich in einer zweiten niederländisch-französischen EEA offiziell formalisiert.
Am 01.11.2019 bildeten niederländische, belgische und französische Strafverfolgungsbehörden formell ein "Joint Investigation Team" (JIT). Die entsprechende Vereinbarung wurde am 13.12.2019 ratifiziert. Das Ziel des JIT war zweifach: Beweise über die kriminellen Aktivitäten von SkyGlobal und seinen Nutzern zu sammeln sowie technisches Know-how und Ressourcen auszutauschen. Die unterzeichnenden Strafverfolgungsbehörden stimmten der gemeinsamen Nutzung der abgefangenen Daten zu, um die Verantwortlichen zu identifizieren, einen Einblick in die IT-Infrastruktur hinter SkyECC zu gewinnen und um Informationen zu erhalten zur Unterstützung laufender oder neuer Ermittlungsverfahren in Bezug auf andere Straftäter oder kriminelle Vereinigungen. Die JIT-Vereinbarung wurde ursprünglich für eine Laufzeit von einem Jahr abgeschlossen, wurde jedoch später bis zum 13.12.2021 verlängert.
Die technische Umsetzung des Abfangens des Server-Traffics ist uns bislang nicht vollumfänglich bekannt. Es kann nur vermutet werden, dass im Auftrag des JIT eine Technik entwickelt wurde, um den Random-Access-Memory-Arbeitsspeicher (RAM) der SkyECC-Server heimlich zu spiegeln, ohne die Abschaltung der Server zu veranlassen. Jedenfalls begannen die Franzosen in Zusammenarbeit mit den Belgiern und Niederländern Ende Juni 2019, den gesamten Daten-Traffic von SkyECC unbemerkt abzufangen. Während dieses "Totalzugriffs" blieben die
Kommunikationsdaten verschlüsselt. Dennoch sammelten die Ermittlungsbehörden über eineinhalb Jahre lang jegliche Daten, ohne den Inhalt dieser zu kennen.[8]
III. Phase 2: Dekodierung der Daten
Erst über eineinhalb Jahre später, Mitte Dezember 2020, gelang es scheinbar, die jeweiligen Schlüssel der einzelnen Geräte zu erlangen und die Daten zu entschlüsseln. Wie und mit welchem Tool die Dekodierung genau gelang, ist soweit ersichtlich nicht offengelegt. Anders als bei EncroChat, wo das Tool ausschließlich von den Franzosen konzipiert und eingesetzt worden sein soll, ist aber ausweislich veröffentlichter niederländischer Gerichtsentscheidungen davon auszugehen, dass die Entwicklung einer sogenannten "Man-in-the-Middle"-Technik insbesondere durch die niederländischen Behörden die Entschlüsselung der Nachrichten ermöglichte.
Soweit bekannt, wurden dabei im Dezember 2020 alle aktiven SkyECC-Geräte heimlich angepingt und dahingehend manipuliert, dass sie an die Behörden die jeweiligen Schlüssel sendeten. Das würde auch erklären, warum im Dezember 2020 zwei Beschlüsse in Frankreich beantragt worden sind: Ein Beschluss zum Abfangen der Daten und ein weiterer, um einen Hacking-Eingriff und die anschließende Entschlüsselung zu legitimieren.[9]
IV. Phase 3: Live-Phase
Nach der erfolgreichen Dekodierung der Daten begann im Februar 2021 die letzte Phase, und zwar die der "Live-Schalte". Dabei wurden wohl über mehrere Wochen etwa 70.000 Mobiltelefone live überwacht und Nachrichten mitgelesen und -gehört.
Laut deutscher Aktenlage war zu keinem Zeitpunkt ein deutsches Gericht mit diesem Totalzugriff befasst. Nach zeugenschaftlichen Aussagen von Ermittlern des BKA habe man erst durch die Presse von der europaweiten Aktion unter Führung und Koordination von Europol erfahren.
V. Zusammenfassung
Dass dieser Informationsstand nicht ausreicht, um die Vorgehensweise der handelnden ausländischen Behörden angemessen zu überprüfen, zum einen im Hinblick auf die rechtliche Reichweite der genehmigten Maßnahmen, zum anderen auf die Verlässlichkeit und Vollständigkeit der erhobenen Daten, dürfte auf der Hand liegen.[10] Zudem ist nicht ersichtlich, wie viele Nutzer von der staatlichen, geheimen Datenspeicherung betroffen waren, geschweige denn wie groß die Gesamtdatenmenge war.
So ist in der genannten Pressemitteilung von Europol von 170.000 betroffenen Nutzern beziehungsweise Mobiltelefonen und in der Pressemitteilung der belgischen Ermittlungsbehörden von über einer Milliarde abgefangenen Nachrichten die Rede.[11] Bei EncroChat sollen es weltweit "nur" um die 60.000 Nutzer gewesen sein.[12] Die Finalität dieser Zahlen unterstellt, liegen ferner keine Informationen vor, wie vielen Nutzern auch tatsächlich inkriminierende Chats zuzurechnen waren.
Ebenso ist bislang völlig unklar, inwieweit deutsche Behörden zum Zeitpunkt der Maßnahmen über diese informiert waren. Es ist schlicht unvorstellbar, dass eine über zweijährige Maßnahme von verschiedenen europäischen Strafverfolgungsbehörden unter aktiver Beteiligung von Eurojust und Europol mit diesen Ausmaßen durchgeführt wird, die unter anderem eine fünfstellige Anzahl von Mobilfunkgeräten betraf, die in Deutschland in Benutzung waren, die deutschen Behörden hiervon aber erst aus der Presse erfahren haben sollen. Insbesondere wenn man den Zeitraum der Operation betrachtet. Zur gleichen Zeit fanden nämlich parallel und ebenfalls unter der Koordinierung von Europol die Maßnahmen gegen EncroChat und ANOM statt, bei denen – was inzwischen von deutschen Behörden eingeräumt wird – Deutschland nicht nur informiert, sondern sogar aktives Mitglied der entsprechenden Operational Task Forces (OTF) war – und das bereits während der laufenden Maßnahmen. Was allerdings bekannt ist, dass bereits am 13.03.2020 durch das BKA ein eigenes Ermittlungsverfahren nicht nur gegen alle deutschen EncroChat-Nutzer, sondern auch gegen alle in Deutschland ansässigen SkyECC-Nutzer eingeleitet worden ist.
D. Wie die Daten nach Deutschland kamen
Während des gesamten Datengewinnungsprozesses waren angeblich nach bisheriger Aktenlage und Zeugenaussagen von BKA-Ermittlern weder deutsche Behörden noch deutsche Gerichte beteiligt. Anders als in Frankreich, Belgien oder den Niederlanden wurde in Deutschland zu keinem Zeitpunkt auch nur ansatzweise geprüft, ob das Vorgehen der ausländischen Ermittlungsbehörden rechtmäßig war.
Bekannt ist, dass eine ehemalige BKA-Beamtin als Verbindungsbeamtin bei Europol tätig war und die auf telefonischen Zuruf deutschen Polizeibehörden bei Nennung von einzelnen Sky-IDs diese jeweiligen dazugehörigen Kommunikationsinhalte über den polizeilichen Informationsaustausch zur Verfügung stellte. Weiter ist bekannt, dass
Europol auch proaktiv deutsche Behörden direkt über mögliche strafrechtlich relevante Sachverhalte aus SkyECC-Daten informiert hat. Sofern sich aus den dann übermittelten Daten der Verdacht von Straftaten ergeben haben, wurden durch die jeweiligen dezentralen Staatsanwaltschaften separate EEA für die einzelnen Sky-IDs über Eurojust an Frankreich zur Genehmigung der gerichtlichen Verwendung sowie offiziellen Übersendung der Daten beantragt. Hierbei ist man von dem Modus operandi bei EncroChat abgewichen, wo zwei zentrale und globale EEAs an Frankreich für alle Kennungen gestellt worden sind.
Interessant sind hierbei die jeweiligen Antworten aus Frankreich, die darauf hinweisen, dass die nunmehr übersandten Daten von denen abweichen, die zuvor über Europol zur Verfügung gestellt worden sind. Worin die Diskrepanz besteht, bleibt hingegen offen. Frankreich hat nunmehr angekündigt, dass bis Ende des Jahres 2023 allen betroffenen Ländern komplette Pakete mit sämtlichen Daten aller in dem jeweiligen Land aktiven Geräte zur Verfügung gestellt werden sollen.
E. Das Problem mit den Rohdaten
Bei einem Totalzugriff mit 170.000 Betroffenen und schätzungsweise einer Milliarde abgefangenen Nachrichten verwundert nicht, dass die gewonnene Datenmenge erheblich ist. Das führte offenbar dazu, dass – ein Schelm, wer Böses dabei denkt – die Datenmenge im Rahmen der Ermittlungen ausgedünnt wurden und so nur ein aufbereiteter und unvollständiger Datenbestand Eingang in die jeweiligen Ermittlungsakten fand, in die die Verteidigung Einsicht nehmen durften.[13] So fanden sich zum Teil in den – teils noch in Papierform vorliegenden – Ermittlungsakten nur Ausdrucke von zu PDF-Dateien konvertierten Excel-Tabellen, die im Rahmen der polizeilichen Ermittlungen erstellt und "visuell aufbereitet" worden sind. Das sind aber nicht die Rohdaten, die durch die französischen, niederländischen und belgischen Strafverfolgungsbehörden erlangt und letztlich dem BKA zur eigenen Verfügung bereitgestellt wurden. Bei Rohdaten handelt es um Daten, "die unmittelbar aus den erzeugenden Quellen stammen".[14] Und bei einer Konvertierung kann es sich begrifflich schon nicht um die ursprünglichen Dateiformate handeln.
Darüber hinaus variiert offensichtlich auch der Datensatz, je nachdem ob er vor Europol oder direkt aus Frankreich stammt. So ist in jedem Fall zu hinterfragen, auf welcher Datengrundlage Auswerte- und Identifizierungsvermerke und weitere Ermittlungsmaßnahmen erfolgt sind. Jedenfalls sind sämtliche Datensätze, die wir bislang in Ermittlungsakten einsehen konnten, keine Rohdaten im eigentlichen Sinne, sondern mindestens aufbereitete, wenn nicht sogar bearbeitete und veränderte Datensätze.
Enthält die Ermittlungsakte nur diese frisierten Daten, ist unbedingt ein entsprechender Akteneinsichtsantrag zu stellen. Denn die Rohdaten enthalten neben Tabellen mit Meta-Informationen zu den Chattabellen und den Chattexten selbst unter Umständen auch (entlastende) Fotos, Videos und Audioaufnahmen.[15] Als Argumentationsgrundlage bietet sich die ganz aktuelle Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) an, die den Anspruch der Verteidigung auf Einsichtnahme in Rohdaten stärkt und herausstellt.[16]
Die Frage, ob bei der Datenerhebung auch Standort- oder Funkzellendaten von den Strafverfolgungsbehörden gespeichert worden sind, lässt sich zum jetzigen Zeitpunkt nicht abschließend beantworten. In den Ermittlungsakten, die wir einsehen konnten, wurden keine Standort- oder Funkzellendaten mitgeliefert. Gleichwohl finden sich in den Akten Hinweise darauf, dass "Geodaten" des niederländischen Providers im Februar 2022 an Europol übergeben worden sein sollen. Da gerade durch Lokalisierungsdaten aber oftmals der Alibibeweis geführt werden kann, hat die Verteidigung in den geeigneten Fällen auf die Beibringung dieser offensichtlich zumindest bei Europol vorliegenden "Geodaten" hinzuwirken.
F. Zur Verwendung und Verwertbarkeit
Wenngleich – oder gerade weil – die technischen Einzelheiten noch unbekannt sind, ist davon auszugehen, dass das Vorgehen der nicht-deutschen Ermittlungsbehörden einen umfassenden Zugriff auf die Server, den Kommunikations-Traffic und schließlich die Endgeräte selbst ermöglichte. Das beinhaltet auch die technische Veränderung auf den Endgeräten, da diese nur so – wie oben dargestellt – dazu gebracht werden konnten, den Behörden den jeweiligen Schlüssel zu übermitteln. Neben der gesamten laufenden Kommunikation umfasste dieser Totalzugriff auch gespeicherte Nachrichten sowie Verkehrsdaten, gespeicherte Notizen, Bilder, Sprachnachrichten, Funkmaststandorte und sonstige Inhalte. Eine Beschränkung auf nur laufende Kommunikation oder auf Nachrichten, die erst nach dem Anordnungszeitpunkt gespeichert wurden, bestand offenbar nicht.
Da es sich bei den betroffenen Geräten um informationstechnische Systeme handelt, ist der Zugriff auf die Server und Endgeräte als Eingriff in das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nach Art. 2 Abs. 1 GG, Art. 1 Abs. 1 GG zu werten.[17] Ebenso ist wohl ein Eingriff gegen das Fernmeldegeheimnis nach Art. 10 GG anzunehmen. Art. 10 GG bezweckt nämlich den Schutz der Vertraulichkeit der Kommunikation vor hoheitlichen Zugriffen. Das "Kommunikationsgrundrecht" umfasst dabei auch die Tatsache, ob und wann zwischen bestimmten Anschlüssen Kommunikation stattgefunden hat.[18]
Diese Eingriffe waren von außerordentlicher Intensität in Breite und Tiefe, und heimliche Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wiegen bereits bei einmaligen Zugriffen schwer.[19] Zudem handelt es sich hier um eine Maßnahme von bislang unbekanntem Ausmaß. Mit ihr wurde der gesamte Datenverkehr der Server abgegriffen, umgeleitet und weltweit alle damit verbundenen, etwa 170.000 Endgeräte über einen Zeitraum von insgesamt 21 Monaten (Juni 2019 bis März 2021) überwacht. Das erfolgte ohne individuelle Betrachtung der einzelnen Anschlüsse als klassische Massenerhebung. Mangels Kenntnis war es den Betroffenen zudem nicht möglich, Rechtsschutz zu suchen. Die von ihnen getroffenen Datenschutzvorkehrungen, auf die sie vertrauten, wurden vielmehr gezielt von staatlicher Seite umgangen.
Die von den französischen Behörden durchgeführten Maßnahmen nach Ersuchen der belgischen und niederländischen Behörden zeichnen sich damit durch ihre gewaltige Streubreite und die verdachtsunabhängige Einbeziehung einer Vielzahl von Personen aus. Die Maßnahmen waren der systematischen Suche nach vermeintlichen Zufallsfunden gewidmet, um anfängliche allgemeine Ermittlungshypothesen nachträglich zu legitimieren. Eine solche nachrichtendienstliche Maßnahme findet in der deutschen Strafprozessordnung aber keine Rechtsgrundlage. Eine vergleichbar schwerwiegende Maßnahme wäre nach deutschem (und europäischem) Recht unter verfassungsrechtlichen Gesichtspunkten auch nicht zulässig.
Dieses Ergebnis ist nicht mit der Frage zu verwechseln, ob die Durchführung der französischen Maßnahme etwa an § 100b StPO gemessen rechtmäßig gewesen wäre. Im Hinblick auf § 100e Abs. 6 Nr. 1 StPO als mögliche Rechtsgrundlage für die Verwendung der Ergebnisse aus einem ausländischen Ermittlungsverfahren[20] ist entscheidend, ob es sich bei der Maßnahme überhaupt um eine Online-Durchsuchung oder deren Entsprechung handelt. Zentrales Wesensmerkmal der Online-Durchsuchung ist jedoch ihre einzelfallbezogene Zielgerichtetheit. Eine massenhafte und ungezielte Anwendung gegen hunderttausende Personen ist damit weder tatsächlich noch rechtlich vorgesehen. Das BVerfG setzt in seinen bisherigen Entscheidungen daher voraus, dass eine Online-Durchsuchung eine Maßnahme ist, die gezielt gegen bestimmte Personen eingesetzt und auf diese beschränkt wird.[21]
Da das nicht der Fall ist, kann die zweckändernde Verwendung der Erkenntnisse im Fall von SkyECC nicht auf § 100e Abs. 6 Nr. 1 StPO gestützt werden, selbst wenn man eine generelle Anwendbarkeit von § 100e StPO für Beweise aus ausländischen Ermittlungsverfahren bejahen möchte. In § 100e Abs. 6 Nr. 1 StPO ist nur die Verwendung von Daten aus Maßnahmen im Sinne der §§ 100b, 100c StPO normiert. Eine solche Maßnahme liegt aber jedenfalls bei SkyECC nicht vor.
Vor diesem Hintergrund verbietet sich auch ein "Rückgriff" auf die Auffangermächtigungsgrundlage des § 261 StPO. Denn § 261 StPO ist weder dazu geeignet noch dazu bestimmt, den in der Datenverwendung und -verwertung liegenden grundrechtlichen Eingriff zu legitimieren. Vielmehr tritt durch die spezielleren §§ 100b ff. StPO insofern eine Sperrwirkung ein. Mit anderen Worten: Lässt sich der quasinachrichtendienstliche Totalzugriff hinsichtlich der SkyECC-Daten bereits nicht als Online-Durchsuchung einordnen, da er über die rechtlichen Grenzen derselben weit hinausgeht, kann dieses Ergebnis gesetzessystematisch nicht umgangen werden durch ein Ausweichen auf den voraussetzungsärmeren § 261 StPO.[22]
Auch der rechtshilferechtliche Grundsatz der gegenseitigen Anerkennung (Art. 82 Abs. 1 AEUV) kann und darf nicht als Feigenblatt eines offensichtlich in Deutschland verfassungs- und europarechtswidrigen Vorgehens der französischen, niederländischen und belgischen Behörden – unter tatkräftiger Orchestrierung von Europol – missbraucht werden, um sich vor einer juristisch sauberen Bewertung durch deutsche Gerichte zu drücken.[23] Wenn eine Beweiserhebung offensichtlich unter Missachtung sämtlicher in Europa geltender Grundsätze erfolgte – und anders kann diese Massendatenerhebung von 170.000 Mobilfunkgeräten über fast zwei Jahre ohne einen konkreten Tatverdacht gegen einzelne Nutzer nicht bezeichnet werden –, muss das auch so benannt werden. Ob das dann auch zu einem Beweisverwertungsverbot im Einzelfall führt, bleibt der dann im Anschluss folgenden Einzelfallentscheidung vorbehalten.
G. Verletzung der Rechtsgrundsätze zur Vorratsdatenspeicherung
Die Maßnahmen der französischen, niederländischen und belgischen Behörden gingen in ihrer Eingriffsintensität und Streubreite nicht nur weit über das hinaus, was nach der deutschen und europäischen Rechtsordnung zulässig wäre. Die verdachtsunabhängige, ungezielte und breit gestreute heimliche Massenüberwachung, die erst auf die Generierung von Verdachtsmomenten gegen die einzelnen Nutzer und damit die systematische Suche nach Zufallsfunden gerichtet war, steht auch nicht im Einklang mit der ständigen Rechtsprechung des Europäischen Gerichtshofs zur Vorratsdatenspeicherung.[24]
Zwar hält der EuGH die Vorratsdatenspeicherung zu Zwecken der Strafverfolgung schwerer Kriminalität für prinzipiell mit Art. 7, 8, 11 GRC vereinbar, wobei der EuGH sich in den zu entscheidenden Fällen bislang lediglich mit der Speicherung von Verkehrs- und Standortdaten beschäftigen musste. Der EuGH verlangt im Rahmen der Verhältnismäßigkeit aber geeignete Garantien für die Datensicherheit und gegen missbräuchliche Datenverwendung. Außerdem postuliert der EuGH Einschränkungen hinsichtlich der erfassten Nutzer und Daten. Schließlich ist
der Zugang zu den Vorratsdaten auf das notwendige Minimum zu beschränken. Im Umkehrschluss sieht der EuGH somit eine anlasslose und nicht begrenzte Vorratsdatenspeicherung von "lediglich" Verkehrsdaten als nicht mit Art. 7, 8, 11 GRC und Art. 15 der "Vorratsdatenrichtlinie" 2002/58/EG vereinbar an.
Besonders deutlich wird die Europarechtswidrigkeit der Maßnahmen bei Beantwortung der Frage, ob die durchgeführte Massenüberwachung "anlasslos" und "begrenzt" war. Ein konkreter Verdacht, dass SkyECC überwiegend zur Begehung von Straftaten genutzt werde, bestand zum Zeitpunkt der Überwachungsmaßnahmen nicht. Das bloße Nutzen von verschlüsselter Kommunikation begründet für sich genommen keinen konkreten Tatverdacht einer Straftat.[25] Auch wurde die Maßnahme nicht auf bestimmte Nutzer begrenzt, gegen die ein konkreter Verdacht bestanden haben mag. Vielmehr wurden unterschiedslos von allen Nutzern sämtliche Kommunikations-, Verbindungs- und Verkehrsdaten erhoben.
Zudem ergeben sich keine Anhaltspunkte dafür, dass die Leitregeln des EuGH im Rahmen des Totalzugriffs durch die französischen Behörden beachtet worden sind. Im Gegenteil zeigt das vollumfassende Abfangen des Daten-Traffics, dass jedenfalls im Fall von SkyECC die EuGH-Rechtsprechung, die an Datensparsamkeit und Datensicherheit appelliert und diese als Grundsätze postuliert, geradezu missachtet wurde. Entsprechendes gilt für die zweite Phase des Zugriffs, das "Live-Mitlesen" der entschlüsselten Kommunikation. Hier haben die europäischen Strafverfolgungsbehörden nach dem Motto gehandelt: Wenn der EuGH uns die Vorratsspeicherung von Verkehrsdaten nicht erlaubt, dann nehmen wir uns durch die vermeintliche strafprozessuale Hintertür die gesamten Kommunikationsdaten.
Somit ist zu hinterfragen, ob jedenfalls die konkrete Art und Weise der Erhebung der SkyECC-Daten – auch diesbezüglich abzugrenzen von EncroChat – mit dem Unionrecht vereinbar ist. Bei einem Verstoß gegen das Unionsrecht wäre zudem eine Verwertung auch nach französischem oder belgischem Recht nicht zulässig. In der Gesamtschau ist daher von einem Verwertungsverbot für die erlangten SkyECC-Daten insgesamt auszugehen, ungeachtet der beabsichtigten "Einführungsmethode" der Daten. Insbesondere der erheblichere europarechtliche Einschlag bei SkyECC zeigt, dass eine Parallele zu EncroChat nur bedingt gezogen werden kann. Somit stellt sich auch in diesem Verfahren die Vorlagefrage im Sinne des Art. 267 AEUV neu.
H. Blick ins Ausland
Ungeachtet der erheblichen unionsrechtlichen Komponente und dem nicht zu verkennenden Auslandsbezug wird die Frage nach der Verwertbarkeit der SkyECC-Daten nach nationalem Recht zu beurteilen sein. Dennoch lohnt ein Blick über den innerdeutschen Tellerrand hinaus ins Europäische Ausland. Dabei ist zunächst zu beobachten, dass sich Gerichte anderer EU-Mitgliedsstaaten durchaus unvoreingenommener und detaillierter mit den Unterschieden zwischen SkyECC und anderen Kryptohandy-Anbietern befassen und somit eine Aufklärung nicht generell boykottieren.
So entschied das Obersten Kassationsgerichts Italiens (Corte Di Cassazione) bereits mit Beschluss vom 15.07.2022, dass die Italienischen Strafverfolger offenlegen müssten, wie sie selbst an die SkyECC-Daten gelangt sind (Az.: 32915-2022). Demnach seien die SkyECC-Daten nicht als Beweis zuzulassen, solange ein Gericht – und folglich die Verteidigung – nicht die Art und Weise der Erlangung und Erhebung der Daten vollumfassend prüfen könne. Dafür seien insbesondere die Unterlagen über die Datenerhebung selbst zu den Akten zu nehmen. Mit zwei weiteren Beschlüssen vom 26.10.2023 (Az.: 44154-2023; 44155-2023) entschied das Oberste Kassationsgericht, dass zudem eine im europäischen Ausland erfolgte Beweisgewinnung vollumfänglich durch das inländische Instanzgericht rechtlich bewertet werden dürfe und sogar müsse.
Auch das Bezirksgericht Ljubljana hat in einer umfangreichen und rechtlich überzeugenden Entscheidung vom 02.12.2022 ein Beweisverwertungsverbot für SkyECC-Daten angenommen (Az.: III K 24497/2021). Bemerkenswert ist, dass die Kammer die Argumente des italienischen Kassationsgerichts und des LG Berlin in dem EuGH-Vorlagebeschluss vom 19.10.2022 sowie die Rechtsprechung des EGMR aufgegriffen und weiterentwickelt hat (vgl. Rz. 78 f. der Entscheidung). Das wesentliche Argument des Gerichts ist, dass die fragliche Maßnahme – die Erhebung von täglich etwa drei Millionen Nachrichten von über 170.000 Nutzern weltweit über einen Zeitraum von eineinhalb Jahren – eine in hohem Maße ungezielte Sammlung und Verarbeitung personenbezogener Daten aus dem Privatleben eines breiten Spektrums von Personen ermöglicht und die Art und Weise der Durchführung selbst, soweit sie überhaupt bekannt ist, eher einer Massenüberwachung ähnelt als einer gezielten Überwachung im Einzelfall.
I. Fazit
Ungeachtet der konkreten Anzahl der Betroffenen stellt sich bei SkyECC – auch mangels Vergleichbarkeit mit EncroChat – die Erhebungs- und Verwertungsfrage der Daten neu. Das liegt vor allem an der Chronologie, die wir anhand der uns vorliegenden Informationen zu skizzieren versucht haben. Doch selbst anhand der weiterhin unvollständigen Informationsgrundlage zu SkyECC muss von einer erheblicheren europäischen und unionsrechtlichen Komponente ausgegangen werden als bei der Datenerhebung bei EncroChat, die darüber hinaus "nur" drei Monate dauerte.[26]
Man mag die SkyECC-Datenerhebung als europäischen Ermittlungserfolg werten, wie es scheinbar die deutschen Gerichte bislang unkritisch tun. Ebenso lässt sich
das Vorgehen jedoch als einen der größten staatlich initiierten geheimen Datenzugriffe aller Zeiten auffassen, bei dem letztlich der Gesamt-Server-Traffic über eineinhalb Jahre lang "vorsorglich" abgefangen und gespeichert wurde in der Hoffnung, die Daten irgendwann einmal entschlüsseln zu können, um die Hypothesen der Ermittlungsbehörden nachträglich zu legitimieren.
Ziel der Verteidigung ist, eine solche Vorverurteilung zu unterbinden sowie der vor deutschen Gerichten herrschenden Ignoranz und Trägheit, sich mit den Problemen und Unterschieden im Zusammenhang mit SkyECC und anderen Kryptohandy-Anbietern auseinanderzusetzen, entgegenzuwirken. Bei den in Rede stehenden und geforderten Strafen ist es das gute Recht eines jeden Angeklagten, dass sich sowohl Staatsanwaltschaft als auch Gericht die Mühe machen, sich mit den rechtlichen und tatsächlichen Grundlagen und Herausforderungen der anscheinend so eindeutigen Beweise zu befassen.
Am Ende schließt sich der Kreis, und nach den aufgezeigten Unterschieden zwischen den verschiedenen Operationen zu Kryptohandys gibt es eine große Gemeinsamkeit: Die rechtliche Beurteilung und Einordnung der erfolgten Strafverfolgungsmaßnahmen sowie des Beweistransfers darf nicht von vermeintlichen oder tatsächlichen Ermittlungserfolgen überlagert oder kaschiert werden, sondern muss rechtlich sauber im Einzelfall nach deutschem und europäischem Recht geprüft werden.
[*] Der Verfasser Christian Lödden, LL.M., ist Strafverteidiger in Krefeld, der Verfasser Dr. Johannes Makepeace Strafverteidiger in München.
[1] NStZ-RR 2023, 255 (ebd.); siehe zu EncroChat bereits BGHSt. 67, 29 = StV 2022, 353 m. Anm. Brodowski = NJW 2022, 1539 m. Anm. Cornelius ; siehe aber der Vorlagebeschluss des LG Berlin zu EncroChat, Beschl. v. 19.10.2022 – (525 KLs) 279 Js 30/22 (8/22) = StV-Spezial 2022, 132 = MMR 2023, 453.
[2] A. A. wohl OLG Celle, Beschl. v. 15.11.2021 – 2 HEs 24-30/21 = BeckRS 2021, 48082 Rn. 24 f. (jedoch ohne hinreichende Begründung).
[3] Zur Unzulässigkeit der durch die Instanzgerichte "ersatzweise" angeordneten Vernehmung des polizeilichen Ermittlungsführers Eschelbach FS Eisenberg, 2019, S. 409 (416–424); Schmidt NZWiSt 2014, 121–126; der Vernehmung sollte daher frühzeitig widersprochen werden.
[4] Rechtstheoretisch greift dieser einfache Schluss aber zu kurz; denn ein absprachebedingtes Geständnis ist im Rahmen der (wenn auch durch den Deal abgekürzten) Beweisaufnahme zwingend zu validieren, und zwar durch verwertbare strengbeweisliche Beweismittel; vgl. hierzu Eschelbach, BeckOK-StPO, 49. Ed. 2023, § 257c Rn. 25.
[5] Die Verschlüsselung basierte auf einer Elliptic-Curve-Cryptography (ECC), wobei auf die technische Struktur derselben hier nicht weiter eingegangen werden soll; bekannt ist aber, dass die von der SkyECC-Software empfangenen und auf dem Telefon angezeigten Chats, Sprachnachrichten und Bilder grundsätzlich etwa 30 Sekunden nach dem Öffnen derselben automatisch gelöscht wurden. War das Telefon für das Netzwerk nicht erreichbar, so wurden die Nachrichten nur 48 Stunden gespeichert und anschließend automatisch gelöscht. Auch gab es keine Möglichkeit, ein einmal vergessenes Passwort wiederherzustellen, ohne alle Chats und gespeicherten Dateien zu verlieren.
[6] https://www.europol.europa.eu/media-press/newsroom/news/new-major-interventions-to-block-encrypted-communications-of-criminal-networks; abgerufen am 07.11.2023.
[7] Uns sind die ersten Beschwerden bezüglich der Rolle von Eurojust und Europol im Rahmen der SkyECC-Ermittlungen bekannt, die zurzeit von niederländischen Rechtsanwälten vorbereitet werden.
[8] Die Strafverfolgungsbehörden sprechen hierbei von einem "Harvest now, decrypt later"-Ansatz.
[9] Die Genehmigung wurde von einem Ausschuss erteilt, der gemäß Artikel R.226-2 des französischen Strafgesetzbuches (Code Pénal) eingesetzt wurde, um das Recht auf Privatsphäre und Vertraulichkeit der Postkorrespondenz zu prüfen.
[10] Kritisch – zu EncroChat – daher Graf, BeckOK-StPO, 49. Ed. 2023, § 100a Rn. 99b, da es deutschen Beschuldigten in aller Regel nicht möglich sein wird, unmittelbar gegen die Eingriffe der französischen Behörden vorzugehen und deren Rechtmäßigkeit im Einzelfall überprüfen zu lassen.
[11] https://www.politie.be/5998/nl/nieuws/enorme-hoeveelheid-ontcijferde-berichten-geeft-unieke-inkijk-in-de-werking-van-criminele ; siehe auch https://www.vrt.be/vrtnws/nl/2021/03/09/huiszoekingen-200-1500-agenten/ (jeweils abgerufen am 07.11.2023).
[12] Gebhard/Michalke NJW 2022, 655 (ebd.).
[13] Kritisch – wieder betreffend EncroChat – bereits Kipker/Bruns MMR 2022, 363 (364–367).
[14] Sarre/Pruß, Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 2 Rn. 40.
[15] Zum geringen Beweiswert unvollständiger Datensätze Kipker/Bruns MMR 2022, 363 (367).
[16] Vgl. EGMR Yalçınkaya v. Türkiye (15669/20).
[17] So für EncroChat Derin/Singelnstein NStZ 2021, 449 (450 f.); Ruppert NZWiSt 2022, 221 (222 f.).
[18] Vgl. BVerfGE 107, 299.
[19] Vgl. hierzu nur BVerfGE 120, 274 (322); Hauck, Löwe-Rosenberg, StPO, 27. Aufl. 2019, § 100b Rn. 35.
[20] Jeweils bereits bei EncroChat ablehnend Derin/Singelnstein NStZ 2021, 449 (451–453); Roth GSZ 2021, 238 (244).
[21] BVerfGE 120, 274 (329); 141, 220 (272).
[22] Hierzu auch Ruppert NZWiSt 2022, 221 (224 f.).
[23] Vgl. erneut Derin/Singelnstein NStZ 2021, 449 (453).
[24] Vgl. zuletzt EuGH NJW 2022, 3135; NJW 2021, 531; siehe auch Rückert, MüKo-StPO, 2. Aufl. 2023, § 100g Rn. 14 mit Nachweisen.
[25] Vgl. EGMR, Yalçınkaya v. Türkiye, Nr. 15669/20; Akgün v. Türkiye, Nr. 19699/18.
[26] Sommer StV-Spezial 2021, 67 (ebd.).