EMail-Post­fä­cher bei einem ame­ri­ka­ni­schen Anbie­ter – und das deut­sche Bun­des­kri­mi­nal­amt

Im Unter­schied zu den im Herr­schafts­be­reich des Kom­mu­ni­ka­ti­ons­teil­neh­mers gespei­cher­ten Inhal­ten und Umstän­den einer Kom­mu­ni­ka­ti­on unter­fällt der zugangs­ge­si­cher­te Kom­mu­ni­ka­ti­ons­in­halt in einem E‑Mail-Post­fach, auf das der Nut­zer nur über eine Inter­net­ver­bin­dung zugrei­fen kann, dem Schutz des Fern­mel­de­ge­heim­nis­ses (Art. 10 Abs. 1 GG).

EMail-Post­fä­cher bei einem ame­ri­ka­ni­schen Anbie­ter – und das deut­sche Bun­des­kri­mi­nal­amt

Das Fern­mel­de­ge­heim­nis knüpft an das Kom­mu­ni­ka­ti­ons­me­di­um an und will jenen Gefah­ren für die Ver­trau­lich­keit begeg­nen, die sich gera­de aus der Ver­wen­dung die­ses Medi­ums erge­ben, das einem staat­li­chen Zugriff leich­ter aus­ge­setzt ist als die direk­te Kom­mu­ni­ka­ti­on unter Anwe­sen­den. Eine der­ar­ti­ge Gefah­ren­la­ge besteht auf­grund der beson­de­ren Schutz­be­dürf­tig­keit des Nut­zers auch für die Fäl­le der auf einem Mail­ser­ver des Pro­vi­ders (zwi­schen- oder end-)gespeicherten E‑Mails, weil der Kom­mu­ni­ka­ti­ons­teil­neh­mer kei­ne Mög­lich­keit hat, die Wei­ter­ga­be der E‑Mails durch den Pro­vi­der zu ver­hin­dern.

Da Art. 10 Abs. 1 GG die Ver­trau­lich­keit der Kom­mu­ni­ka­ti­on schützt, ist die Kennt­nis­nah­me, Auf­zeich­nung und Ver­wer­tung kom­mu­ni­ka­ti­ver Daten ohne Ein­wil­li­gung des Betrof­fe­nen, aber auch schon die Anord­nung des Zugriffs ein Ein­griff in die grund­recht­lich geschütz­te Posi­ti­on des Post­fach­in­ha­bers 1.

Der Ein­griff ist aller­dings gerecht­fer­tigt, wenn er gemäß Art. 10 Abs. 2 Satz 1 GG durch eine den ver­fas­sungs­recht­li­chen Anfor­de­run­gen genü­gen­de Ermäch­ti­gungs­grund­la­ge gedeckt ist. Die­se ist unter ande­rem am Grund­satz der Ver­hält­nis­mä­ßig­keit zu mes­sen.

Dabei ver­langt die Ver­hält­nis­mä­ßig­keit im enge­ren Sin­ne, dass die Ein­bu­ßen grund­recht­lich geschütz­ter Frei­hei­ten nicht in einem unan­ge­mes­se­nen Ver­hält­nis zu den Gemein­wohl­zwe­cken ste­hen, denen die Grund­rechts­be­ein­träch­ti­gung dient.

Neben der Bedeu­tung der geschütz­ten Rechts­gü­ter sind dabei maß­ge­bend ins­be­son­de­re die Gestal­tung der Ein­schrei­te­schwel­len, die Zahl der Betrof­fe­nen und die Inten­si­tät der Beein­träch­ti­gung. Hin­sicht­lich des letz­ten Gesichts­punkts ist zu beach­ten, dass sich die Schwe­re eines Ein­griffs erhöht, wenn er heim­lich durch­ge­führt wird. Von Bedeu­tung ist fer­ner, ob nur eine ein­ma­li­ge und punk­tu­el­le Daten­er­he­bung statt­fin­det.

Im Bereich der Straf­ver­fol­gung etwa sind daher bei heim­li­chen Ein­grif­fen in das Fern­mel­de­ge­heim­nis beson­ders hohe Anfor­de­run­gen an die Bedeu­tung der zu ver­fol­gen­den Straf­tat und den für den Zugriff erfor­der­li­chen Grad des Tat­ver­dachts zu stel­len 2.

Das beson­de­re Gewicht des grund­recht­li­chen Schut­zes gegen ver­deck­te Ein­grif­fe in die Kom­mu­ni­ka­ti­ons­frei­heit beruht dar­auf, dass sie spe­zi­fi­sche Risi­ken für die Rech­te der Betrof­fe­nen ber­gen. Die­se kön­nen sich frü­hes­tens dann mit recht­li­chen Mit­teln weh­ren, wenn der Zugriff bereits voll­zo­gen ist, und dies auch nur dann, wenn sie über die Maß­nah­me infor­miert wer­den oder auf ande­re Wei­se von ihr Kennt­nis erlan­gen 3.

Der effek­ti­ve Schutz des mate­ri­el­len Grund­rechts aus Art. 10 Abs. 1 GG bedarf daher auch einer den sach­li­chen Erfor­der­nis­sen ent­spre­chen­den Aus­ge­stal­tung des Ver­fah­rens. Hier­bei ist ins­be­son­de­re die Unter­rich­tung des Betrof­fe­nen über den Zugriff auf sei­nen E‑Mail-Bestand von maß­geb­li­cher Bedeu­tung 4.

Straf­pro­zes­su­al ermög­li­chen nach die­sen Maß­stä­ben die §§ 94 ff. StPO die Sicher­stel­lung und Beschlag­nah­me ent­spre­chen­der E‑Mails 5. Danach bedarf es nur dann einer rich­ter­li­chen Ent­schei­dung über die Beschlag­nah­me (§ 98 StPO), wenn Daten über den Post­fach­in­halt nicht frei­wil­lig her­aus­ge­ge­ben wer­den. Ob dies der Fall ist, rich­tet sich nicht allein nach dem Wil­len des Pro­vi­ders, son­dern auch nach dem­je­ni­gen des durch Art. 10 Abs. 1 GG geschütz­ten Post­fach­in­ha­bers 6.

In zeit­li­cher Hin­sicht ver­fas­sungs­recht­lich erfor­der­lich ist zum Schutz des Post­fach­in­ha­bers, in des­sen Grund­rech­te durch den Zugriff auf den E‑Mail-Bestand ein­ge­grif­fen wird, dass er spä­tes­tens vor Durch­füh­rung der Maß­nah­men hier­über unter­rich­tet wird, damit er bei der Sich­tung sei­nes E‑Mail-Bestan­des sei­ne Rech­te wahr­neh­men kann 7.

Ein­fach­recht­lich wird dies durch § 35 StPO umge­setzt. Eine Zurück­stel­lung der Benach­rich­ti­gung ist gesetz­lich nicht vor­ge­se­hen und führt zur Rechts­feh­ler­haf­tig­keit der Sicher­stel­lung bzw. der Beschlag­nah­me 8.

Ein dem­ge­gen­über ver­deck­tes Vor­ge­hen der Straf­ver­fol­gungs­be­hör­de wird im straf­recht­li­chen Schrift­tum zwar nicht für grund­sätz­lich aus­ge­schlos­sen erach­tet. Ange­sichts der ver­fas­sungs­recht­li­chen Rah­men­be­din­gun­gen soll dies straf­pro­zes­su­al jedoch nur unter den Vor­aus­set­zun­gen von § 100a StPO bzw. § 99 StPO zuläs­sig sein 9.

Im Hin­blick auf den Schutz­ge­halt des Fern­mel­de­ge­heim­nis­ses ist fer­ner zu beach­ten, dass Art. 10 Abs. 1 GG nicht nur die Kom­mu­ni­ka­ti­ons­in­hal­te schützt, son­dern auch die Infor­ma­tio­nen über Ort, Zeit sowie Art und Wei­se der Kom­mu­ni­ka­ti­on. Der Grund­rechts­schutz erstreckt sich daher auch auf die Ver­kehrs­da­ten der Tele­kom­mu­ni­ka­ti­on, die Auf­schluss über die an der Kom­mu­ni­ka­ti­on betei­lig­ten Per­so­nen und die Umstän­de der Kom­mu­ni­ka­ti­on geben 10.

Unter Berück­sich­ti­gung die­ser ver­fas­sungs­recht­li­chen Vor­ga­ben und Fol­ge­run­gen für das ein­fa­che Recht galt in dem hier vom Ermitt­lungs­rich­ter des Bun­des­ge­richts­hofs ent­schie­de­nen Fall hier für die Erhe­bung der bei der Micro­soft Cor­po­ra­ti­on gespei­cher­ten Inhalts- und Ver­kehrs­da­ten nach dem Bun­des­kri­mi­nal­amt­ge­setz:

Die Erhe­bung der Ver­kehrs- und Inhalts­da­ten zu den E‑Mail-Adres­sen i. und cl. de im Wege des "Emer­gen­cy requests" ent­behr­te einer recht­li­chen Grund­la­ge. § 20b BKAG aF eröff­ne­te als Grund­norm für die Erhe­bung per­so­nen­be­zo­ge­ner Daten kei­ne ent­spre­chen­de Befug­nis. Die Rege­lung ist sub­si­di­är, soweit die Befug­nis zur Daten­er­he­bung spe­zi­ell in den Bestim­mun­gen des Unter­ab­schnitts 3a des zwei­ten Abschnitts des Bun­des­kri­mi­nal­amt­ge­set­zes gere­gelt ist 11. Sol­che Vor­schrif­ten fin­den sich hin­sicht­lich der Inhalts­da­ten der Tele­kom­mu­ni­ka­ti­on in § 20l BKAG und hin­sicht­lich der Ver­kehrs­da­ten in § 20m BKAG. Nach neu­er – im hier rele­van­ten Zeit­punkt indes noch nicht in Kraft getre­te­ner – Rechts­la­ge folgt die Unan­wend­bar­keit von § 20b BKAG auch aus des­sen drit­ten Absatz, der die fach­ge­setz­li­che Rechts­grund­la­ge für die Bestands­da­ten­aus­kunft schafft 12 und im Umkehr­schluss die Ver­kehrs- und Inhalts­da­ten­er­he­bung nach der Grund­norm gera­de aus­schließt.

Es lagen auch weder die ver­fah­rens­recht­li­chen Vor­aus­set­zun­gen für eine heim­li­che Über­wa­chung der Tele­kom­mu­ni­ka­ti­on (§ 20l BKAG) noch für die Erhe­bung der Ver­kehrs­da­ten (§ 20m BKAG) vor. Zwar ist nicht nur die Über­wa­chung einer lau­fen­den Tele­kom­mu­ni­ka­ti­on, son­dern auch die (gegen­über dem Post­fach­nut­zer) heim­li­che Erhe­bung von auf dem Mail­ser­ver des Pro­vi­ders bereits gespei­cher­ten Inhalts­da­ten unter den Bedin­gun­gen des § 20l BKAG grund­sätz­lich mög­lich. Vor­aus­set­zung ist nach bei­den Rege­lun­gen indes, dass die Maß­nah­me zuvor rich­ter­lich ange­ord­net wor­den ist oder im Fal­le bestehen­der Gefahr im Ver­zug die gericht­li­che Ent­schei­dung unver­züg­lich nach­ge­holt wird (§ 20l Abs. 3 Satz 1 und 2, § 20m Abs. 3 Satz 1 BKAG). Hier­an fehl­te es.

Die Ein­hal­tung des Rich­ter­vor­be­halts war auch nicht des­we­gen ent­behr­lich, weil die Micro­soft Cor­po­ra­ti­on die Daten auf Grund­la­ge des USame­ri­ka­ni­schen Rechts dem Bun­des­kri­mi­nal­amt frei­wil­lig über­las­sen hat­te. Der Rich­ter­vor­be­halt der §§ 20l, 20m BKAG besteht nicht in ers­ter Linie im Inter­es­se des Tele­kom­mu­ni­ka­ti­ons­an­bie­ters. Viel­mehr trägt er ins­be­son­de­re den mit der staat­li­chen Maß­nah­me ein­her­ge­hen­den Beein­träch­ti­gun­gen der Tele­kom­mu­ni­ka­ti­ons­nut­zer Rech­nung. Ohne deren Zustim­mung durf­te das Bun­des­kri­mi­nal­amt die Micro­soft Cor­po­ra­ti­on daher nicht zu einer Über­las­sung der Daten ver­an­las­sen und hier­durch die Vor­aus­set­zun­gen der §§ 20l, 20m BKAG bzw. die­je­ni­gen eines Vor­ge­hens im Wege der Rechts­hil­fe umge­hen 13. Uner­heb­lich ist in die­sem Zusam­men­hang, ob der räum­li­che Gel­tungs­be­reich des Art. 10 Abs. 1 GG nur bei hin­rei­chen­dem ter­ri­to­ria­len Bezug zur Bun­des­re­pu­blik Deutsch­land ein­greift 14. Unge­ach­tet des­sen, dass für einen ent­spre­chen­den räum­li­chen Bezug auch hin­sicht­lich des in Marok­ko leben­den L. , dem Nut­zer des Accounts i. com, spre­chen wür­de, dass das Bun­des­kri­mi­nal­amt die Daten­er­he­bung aus dem Inland her­aus ver­an­lass­te und die über­mit­tel­ten Daten hier aus­wer­te­te 15, lässt sich eine der­ar­ti­ge Beschrän­kung auf Daten, die aus einer Tele­kom­mu­ni­ka­ti­on mit ter­ri­to­ria­len Bezug her­rüh­ren, § 20l und § 20m BKAG nicht ent­neh­men.

Soweit der Ermitt­lungs­rich­ter des Bun­des­ge­richts­hofs auf Antrag des Gene­ral­bun­des­an­walts mit Beschluss vom 26.09.2011 16 fest­ge­stellt hat, dass die Durch­su­chung der Geschäfts­räu­me der Micro­soft Cor­po­ra­ti­on zur Sicher­stel­lung der betref­fen­den Inhalts- und Ver­kehrs­da­ten ange­ord­net wer­den wür­de, wenn sich die Geschäfts­räu­me inner­halb des Gebiets der Bun­des­re­pu­blik Deutsch­land befän­den, führ­te dies – unge­ach­tet der Fra­ge, wel­che sons­ti­gen Kon­se­quen­zen sich für eine zweck­än­dern­de Ver­wen­dung der erho­be­nen Daten hier­aus ergä­ben – nicht nach­träg­lich zur Recht­mä­ßig­keit der bereits abge­schlos­se­nen Daten­er­he­bung. Schon weil der Beschluss auf straf­pro­zes­sua­ler Grund­la­ge ergan­gen ist, bestehen Zwei­fel, ob er die gefah­ren­ab­wehr­recht­lich durch­ge­führ­ten Maß­nah­me im Sin­ne von § 20l Abs. 3 Satz 3 (i.V.m. § 20m Abs. 3 Satz 1) BKAG nach­träg­lich bestä­ti­gen konn­te. Selbst wenn eine sol­che nach­träg­li­che Bestä­ti­gung wäh­rend des Ermitt­lungs­ver­fah­rens durch den Ermitt­lungs­rich­ter des Bun­des­ge­richts­hofs für grund­sätz­lich mög­lich erach­tet wer­den soll­te, wäre der Beschluss des Ermitt­lungs­rich­ters des Bun­des­ge­richts­hof nicht geeig­net, die Recht­mä­ßig­keit der ursprüng­li­chen Daten­er­he­bung zu begrün­den. Inso­weit liegt dem Beschluss ein unzu­tref­fen­der Prü­fungs­maß­stab zugrun­de; denn die (fik­ti­ve) Anord­nung der Durch­su­chung ist maß­geb­lich auf die Erkennt­nis­se gestützt wor­den, die erst durch die Über­mitt­lung der Daten durch die Micro­soft Cor­po­ra­ti­on erlangt wor­den sind.

Das Vor­ge­hen des Bun­des­kri­mi­nal­amts war eben­so wenig durch § 20s Abs. 1 Nr. 1 BKAG gedeckt, wonach eine Sache zur Abwehr einer gegen­wär­ti­gen Gefahr sicher­ge­stellt wer­den kann. Auch wenn die sicher­ge­stell­ten E‑Mails und Ver­kehrs­da­ten unter den Sach­be­griff zu fas­sen wären 17, ist zwei­fel­haft, ob die Befug­nis zur Sicher­stel­lung die Befug­nis zur Aus­wer­tung – und damit der eigent­li­chen Erhe­bung – der Daten mit­ein­schließt. Dies bedarf indes kei­ner Ent­schei­dung, weil es sich bei der Sicher­stel­lung einer Sache nach § 20s BKAG um eine offe­ne Maß­nah­me der Gefah­ren­ab­wehr han­delt. Die Sicher­stel­lung ist ihrer Rechts­na­tur nach ein mit einem Realakt ein­her­ge­hen­der, auf Dul­dung gerich­te­ter Ver­wal­tungs­akt 18, der gemäß § 41 Abs. 1 VwVfG der Bekannt­ga­be bedarf 19. Dem ent­spricht, dass die Sicher­stel­lung nach § 20s BKAG im Kata­log des § 20w Abs. 1 BKAG nicht auf­ge­führt wird, der die gesam­ten heim­li­chen Infor­ma­ti­ons­ein­grif­fe nach dem Unter­ab­schnitt 3a des zwei­ten Abschnitts des Bun­des­kri­mi­nal­amt­ge­set­zes erfasst 20. Unab­hän­gig von der Fra­ge, ob die Befug­nis zur Sicher­stel­lung nach § 20s BKAG auch die Aus­wer­tung der von der Micro­soft Cor­po­ra­ti­on über­mit­tel­ten Daten­trä­ger umfass­te, war das dies­be­züg­li­che Vor­ge­hen des Bun­des­kri­mi­nal­amts auf Heim­lich­keit ange­legt; der Bekannt­ga­be der Sicher­stel­lung gegen­über den betrof­fe­nen Post­fach­in­ha­bern erman­gel­te es.

Bun­des­ge­richts­hof, Beschluss vom 26. Janu­ar 2017 – StB 26 und 28/​14

  1. BVerfG, Beschluss vom 16.06.2009 – 2 BvR 902/​06, BVerfGE 124, 43, 54 ff., 58[]
  2. vgl. BVerfG aaO, S. 62 ff.[]
  3. BVerfG aaO, S. 65; vgl. auch BVerfG, Urteil vom 14.07.1999 – 1 BvR 2226/​94 u.a., BVerfGE 100, 313, 361[]
  4. vgl. BVerfG aaO, S. 70 f.[]
  5. BVerfG aaO, S. 58 ff.; BGH, Beschlüs­se vom 24.11.2009 – StB 48/​09, NJW 2010, 1297, 1298; vom 04.08.2015 – 3 StR 162/​15, NStZ 2015, 704, 705[]
  6. vgl. BVerfG aaO[]
  7. BVerfG aaO, S. 71[]
  8. vgl. BGH, Beschlüs­se vom 24.11.2009 – StB 48/​09, NJW 2010, 1297, 1298; vom 04.08.2015 – 3 StR 162/​15, NStZ 2015, 704, 705[]
  9. Mey­er-Goß­ner/­Sch­mitt, StPO, 60. Aufl., § 94 Rn. 16a f., § 100a Rn. 6b f.; Beck­OK StPO/​Graf § 100a Rn. 30; KK-Bruns, StPO, 7. Aufl., § 100a Rn. 16 ff.; s. zum Zugriff auf eine tele­fo­ni­sche Mail­box auch BGH, Beschluss vom 31.07.1995 – 1 BGs 625/​95, NStZ 1997, 247, 248[]
  10. BVerfG, Beschluss vom 27.10.2006 – 1 BvR 1811/​99, NJW 2007, 3055 mwN; Maunz/​Dürig/​Durner, 78. EL, GG Art. 10 Rn. 86[]
  11. BT-Drs. 16/​9588, S.20[]
  12. vgl. auch Grau­lich in Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, § 20b BKAG Rn. 10 ff.[]
  13. s. zur Par­al­lel­pro­ble­ma­tik im Rah­men straf­pro­zes­sua­ler Ermitt­lun­gen auch Mey­er-Goß­ner/­Sch­mitt, StPO, 60. Aufl., § 100a Rn. 5; Gaede, StV 2009, 96, 102[]
  14. offen gelas­sen in BVerfG, Urteil vom 14.07.1999 – 1 BvR 2226/​94 u.a., BVerfGE 100, 313, 362 f.[]
  15. vgl. BVerfG aaO, S. 363[]
  16. BGH, Beschluss vom 26.09.20111 – 2 BGs 509/​11[]
  17. in die­sem Sin­ne BVerfG, Beschluss vom 16.06.2009 – 2 BvR 902/​06, BVerfGE 124, 43, 60 f.[]
  18. vgl. OVG Müns­ter, Urteil vom 21.01.1991 – 7 A 246/​88, NVwZ-RR 1991, 556, 557 [zu §§ 21, 22 PolG NRW aF]; Nomos-BR/­Ku­gel­mann BKAG § 20s Rn. 1[]
  19. vgl. auch Schen­ke in Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, § 47 BPolG Rn. 6[]
  20. Rut­hig in Schenke/​Graulich/​Ruthig, Sicher­heits­recht des Bun­des, § 20w BKAG Rn. 4[]