Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud
Dirk Meinicke
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Abkürzungshinweise
Die hier verwendeten Abkürzungen richten sich (soweit nichts anderes angegeben ist) nach Kirchner, Abkürzungsverzeichnis der Rechtssprache, 8. Aufl. 2015.
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1755-8
© 2020 Deutscher Fachverlag GmbH, Fachmedien Recht undWirtschaft, Frankfurt am Main
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Vorwort
Die Idee zu dieser Arbeit ist im Jahre 2009 auf der 10. Herbstakademie „Inside the Cloud – Neue Herausforderungen für das Informationsrecht“ der Deutschen Stiftung für Recht und Informatik entstanden. Mein erster Dank gilt an dieser Stelle Prof Dr. Hans Kudlich, der sich frühzeitig zur Betreuung der Arbeit bereiterklärt und zugleich die Verzögerungen toleriert hat, die mit der berufsbegleitenden Fertigstellung des Vorhabens einhergegangen sind. Prof. Dr. Safferling danke ich für die zügige Erstattung des Zweitgutachtens.
Darüber hinaus geht mein Dank an Prof. Dr. Prof. h.c. Jürgen Taeger, der als Vorsitzender des Vorstandes der DSRI nicht nur die eingangs erwähnte Tagung organisiert hat, sondern auch in den folgenden Jahren so freundlich war, mich immer wieder zu Vorträgen auf der Herbstakademie einzuladen. Dies hat mit erheblich dazu beigetragen, dass ich immer wieder neben dem beruflichen Alltag Zeit für wissenschaftliche Fragestellungen gefunden habe, was letztlich die Grundlage dafür war, dass ich die nun vorliegende Arbeit fertigstellen konnte. Ich bin glücklich und dankbar, dass das Thema trotz der inzwischen vergangenen Zeit praktisch nichts an Aktualität verloren hat.
Oberhausen, Oktober 2020 | Dr. iur. Dirk Meinicke, LL.M. |
A. Einleitung
„Das Internet kennt keine Grenzen.“1 Mit dieser Feststellung illustriert die Europäische Kommission im Jahr 2018 die Notwendigkeit einer europaweit einheitlichen Regelung für den grenzüberschreitenden strafprozessualen Zugriff auf elektronische Beweismittel. Die von der Kommission vorgeschlagene Verordnung nehme „das spezifische Problem ins Visier, das durch die Volatilität elektronischer Beweismittel und die internationale Dimension entsteht“.2 An späterer Stelle gibt die Begründung des Verordnungsentwurfs einen guten zusammenfassenden Überblick über die Struktur jener Technologie, bei der das besagte spezifische Problem der Volatilität und Internationalität in besonderer Weise entsteht.
„In vielen Fällen werden Daten nicht mehr auf dem Gerät eines Nutzers gespeichert, sondern über eine Cloud-Infrastruktur grundsätzlich für den Zugang von jedem beliebigen Ort aus zur Verfügung gestellt. Diensteanbieter müssen nicht in jedem Staat niedergelassen sein oder dort Server unterhalten, sondern können vielmehr eine zentrale Verwaltung und dezentrale Systeme nutzen, um Daten zu speichern und ihre Dienste anzubieten. Sie tun dies, um den Lastausgleich zu optimieren und um schneller auf Ersuchen der Nutzer um Daten zu reagieren. Inhalt verteilende Netze (content delivery networks, CDN) werden in der Regel eingesetzt, um das Bereitstellen von Inhalten durch das Kopieren von Inhalten auf verschiedene Server in aller Welt zu beschleunigen. Damit können Unternehmen Inhalte von dem Server liefern, der dem Nutzer am nächsten ist oder der die Kommunikation durch ein schwächer frequentiertes Netzwerk leiten kann.“3
Nun ist die die Relevanz moderner Kommunikationsmittel für die Strafverfolgung insgesamt alles andere als eine neue Erkenntnis, sondern vielmehr fast schon ein Allgemeinplatz.4 Auch wurde das Phänomen Cloud-Computing schon vor einigen Jahren erstmals in den Fokus strafprozessualer Diskussionen gerückt5 und ist zuletzt auch Gegenstand einzelner Monographien6 gewesen. Dass die mit dem strafprozessualen Zugriff auf Cloud-Systeme verbundenen Fragestellungen gleichwohl weiterhin nicht befriedigend gelöst sind, hat aus Sicht des Verf. im Wesentlichen zwei Ursachen: Zum einen sind Cloud-Sachverhalte praktisch immer inter- bzw. transnational, weil die Daten im absoluten Regelfall auf Servern außerhalb des Bundesgebietes gespeichert sind, womit das nationale Recht allein keine Handhabe zur Beantwortung der aufgeworfenen Rechtsfragen bietet.7 Zum anderen zeigen sich die Schwierigkeiten beim Umgang mit Cloud-Sachverhalten als Symptom eines tiefergehenden Defizits, das darin besteht, dass der bundesdeutsche Gesetzgeber bislang wenig Mühe darauf verwendet hat, den Katalog strafprozessualer Ermittlungsbefugnisse an die Herausforderungen des digitalen Zeitalters anzupassen.8 Die erst kürzlich eingeführten Vorschriften zu Quellen-TKÜ und Online-Durchsuchung9 haben insofern zwar die richtige Zielrichtung, sind aber in einem hektischen und fragwürdigen Verfahren verabschiedet worden und weisen dementsprechend eine Reihe von Mängeln auf.
Die Diskussion über Cloud-Sachverhalte im nationalen Recht wird daher letztlich unweigerlich auf die klassischen Maßnahmen der Beschlagnahme bzw. Durchsuchung und der Telekommunikationsüberwachung (TKÜ) zurückgeworfen. Weil nun aber die Notwendigkeit des Zugriffs auf Cloud-Daten zur Gewährleistung einer effektiven Strafverfolgung angesichts der ubiquitären Verbreitung dieser Technologie unbezweifelbar ist, scheint sich eine gewisse Tendenz im Schrifttum bemerkbar zu machen, die überkommenen Eingriffsbefugnisse in einer Weise zu interpretieren, die den Zugriff auf die Cloud sicherstellt.10 Dieser Tendenz wird in der vorliegenden Arbeit mit Nachdruck entgegengetreten. Dem wird die Einsicht entgegengehalten, dass der staatliche Zugriff auf Datenbestände in informationstechnischen Systemen mit Blick auf Intensität und Reichweite des Grundrechtseingriffs eine neuartige Qualität hat. Das ist vom Ersten Senat des Bundesverfassungsgerichts in seiner Entscheidung zur (präventiven) Online-Durchsuchung – sowie anschließend in der Entscheidung zum BKAG – im Grundsatz zutreffend herausgearbeitet worden.11
Weil in informationstechnischen Systemen also permanent (oft vom Nutzer unbemerkt) unterschiedlichste Daten gespeichert und erzeugt werden, aus denen sich in der Gesamtheit nicht selten aussagekräftige Persönlichkeitsbilder, Bewegungsprofile und Verhaltensmuster ableiten lassen, ist es unabdingbar, dass die wesentlichen Voraussetzungen des strafprozessualen Zugriffs auf entsprechende Daten vom Gesetzgeber in bereichsspezifischer und klarer Weise bestimmt werden. Die Uminterpretation geltender Vorschriften ist demgegenüber kein gangbarer Weg. Damit lässt sich das Ergebnis dieser Untersuchung an dieser Stelle vorwegnehmen: Das geltende Recht sieht – da auch die kürzlich neu in die Strafprozessordnung eingefügten Vorschriften zu Quellen-TKÜ und Online-Durchsucheng einer kritischen (verfassungsrechtlichen) Prüfung nicht standhalten – derzeit keine Ermächtigungsgrundlage für den Zugriff auf Cloud-Systeme vor. Das ist unter dem im Grundsatz anerkennenswerten Bedürfnis nach effektiver Strafverfolgung unbefriedigend, wobei den gravierendsten Auswirkungen durch die Anerkennung einer Übergangsfrist begegnet werden kann.12 Im Übrigen sollte es nach Ansicht des Verf. aber auch Aufgabe einer rechtswissenschaftlichen Arbeit sein, ein entsprechendes Regelungsdefizit klar zu benennen, anstatt im vorauseilenden Gehorsam der gerichtlichen Praxis vermeintliche „Lösungen“ anzubieten und damit den Gesetzgeber von seiner Verantwortung zu entlasten.
Die Rechtsprechung – namentlich ist hier der Zweite Senat des Bundesverfassungsgerichts zu nennen – hat in der Vergangenheit die eine oder andere Chance verpasst, den Gesetzgeber an seine verfassungsrechtlich verbürgte