EMail-Postfächer bei einem amerikanischen Anbieter – und das deutsche Bundeskriminalamt

Im Unterschied zu den im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalten und Umständen einer Kommunikation unterfällt der zugangsgesicherte Kommunikationsinhalt in einem E-Mail-Postfach, auf das der Nutzer nur über eine Internetverbindung zugreifen kann, dem Schutz des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG).

EMail-Postfächer bei einem amerikanischen Anbieter – und das deutsche Bundeskriminalamt

Das Fernmeldegeheimnis knüpft an das Kommunikationsmedium an und will jenen Gefahren für die Vertraulichkeit begegnen, die sich gerade aus der Verwendung dieses Mediums ergeben, das einem staatlichen Zugriff leichter ausgesetzt ist als die direkte Kommunikation unter Anwesenden. Eine derartige Gefahrenlage besteht aufgrund der besonderen Schutzbedürftigkeit des Nutzers auch für die Fälle der auf einem Mailserver des Providers (zwischen- oder end-)gespeicherten E-Mails, weil der Kommunikationsteilnehmer keine Möglichkeit hat, die Weitergabe der E-Mails durch den Provider zu verhindern.

Da Art. 10 Abs. 1 GG die Vertraulichkeit der Kommunikation schützt, ist die Kenntnisnahme, Aufzeichnung und Verwertung kommunikativer Daten ohne Einwilligung des Betroffenen, aber auch schon die Anordnung des Zugriffs ein Eingriff in die grundrechtlich geschützte Position des Postfachinhabers1.

Der Eingriff ist allerdings gerechtfertigt, wenn er gemäß Art. 10 Abs. 2 Satz 1 GG durch eine den verfassungsrechtlichen Anforderungen genügende Ermächtigungsgrundlage gedeckt ist. Diese ist unter anderem am Grundsatz der Verhältnismäßigkeit zu messen.

Dabei verlangt die Verhältnismäßigkeit im engeren Sinne, dass die Einbußen grundrechtlich geschützter Freiheiten nicht in einem unangemessenen Verhältnis zu den Gemeinwohlzwecken stehen, denen die Grundrechtsbeeinträchtigung dient.

Neben der Bedeutung der geschützten Rechtsgüter sind dabei maßgebend insbesondere die Gestaltung der Einschreiteschwellen, die Zahl der Betroffenen und die Intensität der Beeinträchtigung. Hinsichtlich des letzten Gesichtspunkts ist zu beachten, dass sich die Schwere eines Eingriffs erhöht, wenn er heimlich durchgeführt wird. Von Bedeutung ist ferner, ob nur eine einmalige und punktuelle Datenerhebung stattfindet.

Weiterlesen:
Geld zur Finanzierung der Ausreise und des Anschlusses an den IS

Im Bereich der Strafverfolgung etwa sind daher bei heimlichen Eingriffen in das Fernmeldegeheimnis besonders hohe Anforderungen an die Bedeutung der zu verfolgenden Straftat und den für den Zugriff erforderlichen Grad des Tatverdachts zu stellen2.

Das besondere Gewicht des grundrechtlichen Schutzes gegen verdeckte Eingriffe in die Kommunikationsfreiheit beruht darauf, dass sie spezifische Risiken für die Rechte der Betroffenen bergen. Diese können sich frühestens dann mit rechtlichen Mitteln wehren, wenn der Zugriff bereits vollzogen ist, und dies auch nur dann, wenn sie über die Maßnahme informiert werden oder auf andere Weise von ihr Kenntnis erlangen3.

Der effektive Schutz des materiellen Grundrechts aus Art. 10 Abs. 1 GG bedarf daher auch einer den sachlichen Erfordernissen entsprechenden Ausgestaltung des Verfahrens. Hierbei ist insbesondere die Unterrichtung des Betroffenen über den Zugriff auf seinen E-Mail-Bestand von maßgeblicher Bedeutung4.

Strafprozessual ermöglichen nach diesen Maßstäben die §§ 94 ff. StPO die Sicherstellung und Beschlagnahme entsprechender E-Mails5. Danach bedarf es nur dann einer richterlichen Entscheidung über die Beschlagnahme (§ 98 StPO), wenn Daten über den Postfachinhalt nicht freiwillig herausgegeben werden. Ob dies der Fall ist, richtet sich nicht allein nach dem Willen des Providers, sondern auch nach demjenigen des durch Art. 10 Abs. 1 GG geschützten Postfachinhabers6.

In zeitlicher Hinsicht verfassungsrechtlich erforderlich ist zum Schutz des Postfachinhabers, in dessen Grundrechte durch den Zugriff auf den E-Mail-Bestand eingegriffen wird, dass er spätestens vor Durchführung der Maßnahmen hierüber unterrichtet wird, damit er bei der Sichtung seines E-Mail-Bestandes seine Rechte wahrnehmen kann7.

Weiterlesen:
Prüfberichte des Bundesrechnungshofs - und ihre verwaltungsgerichtliche Kontrolle

Einfachrechtlich wird dies durch § 35 StPO umgesetzt. Eine Zurückstellung der Benachrichtigung ist gesetzlich nicht vorgesehen und führt zur Rechtsfehlerhaftigkeit der Sicherstellung bzw. der Beschlagnahme8.

Ein demgegenüber verdecktes Vorgehen der Strafverfolgungsbehörde wird im strafrechtlichen Schrifttum zwar nicht für grundsätzlich ausgeschlossen erachtet. Angesichts der verfassungsrechtlichen Rahmenbedingungen soll dies strafprozessual jedoch nur unter den Voraussetzungen von § 100a StPO bzw. § 99 StPO zulässig sein9.

Im Hinblick auf den Schutzgehalt des Fernmeldegeheimnisses ist ferner zu beachten, dass Art. 10 Abs. 1 GG nicht nur die Kommunikationsinhalte schützt, sondern auch die Informationen über Ort, Zeit sowie Art und Weise der Kommunikation. Der Grundrechtsschutz erstreckt sich daher auch auf die Verkehrsdaten der Telekommunikation, die Aufschluss über die an der Kommunikation beteiligten Personen und die Umstände der Kommunikation geben10.

Unter Berücksichtigung dieser verfassungsrechtlichen Vorgaben und Folgerungen für das einfache Recht galt in dem hier vom Ermittlungsrichter des Bundesgerichtshofs entschiedenen Fall hier für die Erhebung der bei der Microsoft Corporation gespeicherten Inhalts- und Verkehrsdaten nach dem Bundeskriminalamtgesetz:

Die Erhebung der Verkehrs- und Inhaltsdaten zu den E-Mail-Adressen i. und cl. de im Wege des „Emergency requests“ entbehrte einer rechtlichen Grundlage. § 20b BKAG aF eröffnete als Grundnorm für die Erhebung personenbezogener Daten keine entsprechende Befugnis. Die Regelung ist subsidiär, soweit die Befugnis zur Datenerhebung speziell in den Bestimmungen des Unterabschnitts 3a des zweiten Abschnitts des Bundeskriminalamtgesetzes geregelt ist11. Solche Vorschriften finden sich hinsichtlich der Inhaltsdaten der Telekommunikation in § 20l BKAG und hinsichtlich der Verkehrsdaten in § 20m BKAG. Nach neuer – im hier relevanten Zeitpunkt indes noch nicht in Kraft getretener – Rechtslage folgt die Unanwendbarkeit von § 20b BKAG auch aus dessen dritten Absatz, der die fachgesetzliche Rechtsgrundlage für die Bestandsdatenauskunft schafft12 und im Umkehrschluss die Verkehrs- und Inhaltsdatenerhebung nach der Grundnorm gerade ausschließt.

Weiterlesen:
Der BTM-Kauf in Tschechien - und die mitreisende Schwester

Es lagen auch weder die verfahrensrechtlichen Voraussetzungen für eine heimliche Überwachung der Telekommunikation (§ 20l BKAG) noch für die Erhebung der Verkehrsdaten (§ 20m BKAG) vor. Zwar ist nicht nur die Überwachung einer laufenden Telekommunikation, sondern auch die (gegenüber dem Postfachnutzer) heimliche Erhebung von auf dem Mailserver des Providers bereits gespeicherten Inhaltsdaten unter den Bedingungen des § 20l BKAG grundsätzlich möglich. Voraussetzung ist nach beiden Regelungen indes, dass die Maßnahme zuvor richterlich angeordnet worden ist oder im Falle bestehender Gefahr im Verzug die gerichtliche Entscheidung unverzüglich nachgeholt wird (§ 20l Abs. 3 Satz 1 und 2, § 20m Abs. 3 Satz 1 BKAG). Hieran fehlte es.

Die Einhaltung des Richtervorbehalts war auch nicht deswegen entbehrlich, weil die Microsoft Corporation die Daten auf Grundlage des USamerikanischen Rechts dem Bundeskriminalamt freiwillig überlassen hatte. Der Richtervorbehalt der §§ 20l, 20m BKAG besteht nicht in erster Linie im Interesse des Telekommunikationsanbieters. Vielmehr trägt er insbesondere den mit der staatlichen Maßnahme einhergehenden Beeinträchtigungen der Telekommunikationsnutzer Rechnung. Ohne deren Zustimmung durfte das Bundeskriminalamt die Microsoft Corporation daher nicht zu einer Überlassung der Daten veranlassen und hierdurch die Voraussetzungen der §§ 20l, 20m BKAG bzw. diejenigen eines Vorgehens im Wege der Rechtshilfe umgehen13. Unerheblich ist in diesem Zusammenhang, ob der räumliche Geltungsbereich des Art. 10 Abs. 1 GG nur bei hinreichendem territorialen Bezug zur Bundesrepublik Deutschland eingreift14. Ungeachtet dessen, dass für einen entsprechenden räumlichen Bezug auch hinsichtlich des in Marokko lebenden L. , dem Nutzer des Accounts i. com, sprechen würde, dass das Bundeskriminalamt die Datenerhebung aus dem Inland heraus veranlasste und die übermittelten Daten hier auswertete15, lässt sich eine derartige Beschränkung auf Daten, die aus einer Telekommunikation mit territorialen Bezug herrühren, § 20l und § 20m BKAG nicht entnehmen.

Weiterlesen:
Unterbringung in der Entziehungsanstalt - und die Zweijahresfrist

Soweit der Ermittlungsrichter des Bundesgerichtshofs auf Antrag des Generalbundesanwalts mit Beschluss vom 26.09.201116 festgestellt hat, dass die Durchsuchung der Geschäftsräume der Microsoft Corporation zur Sicherstellung der betreffenden Inhalts- und Verkehrsdaten angeordnet werden würde, wenn sich die Geschäftsräume innerhalb des Gebiets der Bundesrepublik Deutschland befänden, führte dies – ungeachtet der Frage, welche sonstigen Konsequenzen sich für eine zweckändernde Verwendung der erhobenen Daten hieraus ergäben – nicht nachträglich zur Rechtmäßigkeit der bereits abgeschlossenen Datenerhebung. Schon weil der Beschluss auf strafprozessualer Grundlage ergangen ist, bestehen Zweifel, ob er die gefahrenabwehrrechtlich durchgeführten Maßnahme im Sinne von § 20l Abs. 3 Satz 3 (i.V.m. § 20m Abs. 3 Satz 1) BKAG nachträglich bestätigen konnte. Selbst wenn eine solche nachträgliche Bestätigung während des Ermittlungsverfahrens durch den Ermittlungsrichter des Bundesgerichtshofs für grundsätzlich möglich erachtet werden sollte, wäre der Beschluss des Ermittlungsrichters des Bundesgerichtshof nicht geeignet, die Rechtmäßigkeit der ursprünglichen Datenerhebung zu begründen. Insoweit liegt dem Beschluss ein unzutreffender Prüfungsmaßstab zugrunde; denn die (fiktive) Anordnung der Durchsuchung ist maßgeblich auf die Erkenntnisse gestützt worden, die erst durch die Übermittlung der Daten durch die Microsoft Corporation erlangt worden sind.

Das Vorgehen des Bundeskriminalamts war ebenso wenig durch § 20s Abs. 1 Nr. 1 BKAG gedeckt, wonach eine Sache zur Abwehr einer gegenwärtigen Gefahr sichergestellt werden kann. Auch wenn die sichergestellten E-Mails und Verkehrsdaten unter den Sachbegriff zu fassen wären17, ist zweifelhaft, ob die Befugnis zur Sicherstellung die Befugnis zur Auswertung – und damit der eigentlichen Erhebung – der Daten miteinschließt. Dies bedarf indes keiner Entscheidung, weil es sich bei der Sicherstellung einer Sache nach § 20s BKAG um eine offene Maßnahme der Gefahrenabwehr handelt. Die Sicherstellung ist ihrer Rechtsnatur nach ein mit einem Realakt einhergehender, auf Duldung gerichteter Verwaltungsakt18, der gemäß § 41 Abs. 1 VwVfG der Bekanntgabe bedarf19. Dem entspricht, dass die Sicherstellung nach § 20s BKAG im Katalog des § 20w Abs. 1 BKAG nicht aufgeführt wird, der die gesamten heimlichen Informationseingriffe nach dem Unterabschnitt 3a des zweiten Abschnitts des Bundeskriminalamtgesetzes erfasst20. Unabhängig von der Frage, ob die Befugnis zur Sicherstellung nach § 20s BKAG auch die Auswertung der von der Microsoft Corporation übermittelten Datenträger umfasste, war das diesbezügliche Vorgehen des Bundeskriminalamts auf Heimlichkeit angelegt; der Bekanntgabe der Sicherstellung gegenüber den betroffenen Postfachinhabern ermangelte es.

Weiterlesen:
Charakteristisches Nazi-Vokabular

Bundesgerichtshof, Beschluss vom 26. Januar 2017 – StB 26 und 28/14

  1. BVerfG, Beschluss vom 16.06.2009 – 2 BvR 902/06, BVerfGE 124, 43, 54 ff., 58[]
  2. vgl. BVerfG aaO, S. 62 ff.[]
  3. BVerfG aaO, S. 65; vgl. auch BVerfG, Urteil vom 14.07.1999 – 1 BvR 2226/94 u.a., BVerfGE 100, 313, 361[]
  4. vgl. BVerfG aaO, S. 70 f.[]
  5. BVerfG aaO, S. 58 ff.; BGH, Beschlüsse vom 24.11.2009 – StB 48/09, NJW 2010, 1297, 1298; vom 04.08.2015 – 3 StR 162/15, NStZ 2015, 704, 705[]
  6. vgl. BVerfG aaO[]
  7. BVerfG aaO, S. 71[]
  8. vgl. BGH, Beschlüsse vom 24.11.2009 – StB 48/09, NJW 2010, 1297, 1298; vom 04.08.2015 – 3 StR 162/15, NStZ 2015, 704, 705[]
  9. Meyer-Goßner/Schmitt, StPO, 60. Aufl., § 94 Rn. 16a f., § 100a Rn. 6b f.; BeckOK StPO/Graf § 100a Rn. 30; KK-Bruns, StPO, 7. Aufl., § 100a Rn. 16 ff.; s. zum Zugriff auf eine telefonische Mailbox auch BGH, Beschluss vom 31.07.1995 – 1 BGs 625/95, NStZ 1997, 247, 248[]
  10. BVerfG, Beschluss vom 27.10.2006 – 1 BvR 1811/99, NJW 2007, 3055 mwN; Maunz/Dürig/Durner, 78. EL, GG Art. 10 Rn. 86[]
  11. BT-Drs. 16/9588, S.20[]
  12. vgl. auch Graulich in Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, § 20b BKAG Rn. 10 ff.[]
  13. s. zur Parallelproblematik im Rahmen strafprozessualer Ermittlungen auch Meyer-Goßner/Schmitt, StPO, 60. Aufl., § 100a Rn. 5; Gaede, StV 2009, 96, 102[]
  14. offen gelassen in BVerfG, Urteil vom 14.07.1999 – 1 BvR 2226/94 u.a., BVerfGE 100, 313, 362 f.[]
  15. vgl. BVerfG aaO, S. 363[]
  16. BGH, Beschluss vom 26.09.20111 – 2 BGs 509/11[]
  17. in diesem Sinne BVerfG, Beschluss vom 16.06.2009 – 2 BvR 902/06, BVerfGE 124, 43, 60 f.[]
  18. vgl. OVG Münster, Urteil vom 21.01.1991 – 7 A 246/88, NVwZ-RR 1991, 556, 557 [zu §§ 21, 22 PolG NRW aF]; Nomos-BR/Kugelmann BKAG § 20s Rn. 1[]
  19. vgl. auch Schenke in Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, § 47 BPolG Rn. 6[]
  20. Ruthig in Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, § 20w BKAG Rn. 4[]
Weiterlesen:
Regelbeispiele, Strafzumessung - und das Doppelverwertungsgebot