Dipl.-Jur. Hauke Bruns ist wissenschaftlicher Mitarbeiter der Kanzlei Ebner Stolz am Standort Bremen. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.
Vor verschiedenen Gerichten laufen derzeit zahlreiche Verfahren gegen Beschuldigte auf der Basis von Daten aus dem Hack von Encrochat. Auch sind bereits Haftbefehle ergangen. Oft geht es in den Verfahren um Betäubungsmittelkriminalität, der frühere Anbieter verschlüsselter Kommunikationstechnik war offenbar zur Abwicklung von Drogengeschäften beliebt. Doch die Chatprotokolle mit den verräterischen Botschaften stammen nicht etwa aus Hausdurchsuchungen bei Verdächtigen, sondern von Datenbeständen aus Frankreich, nachdem französische Behörden wohl die Server des Kommunikationsanbieters infiltriert hatten.
Wie genau die französischen Ermittler an die Daten kamen, ist unbekannt, denn es handelt sich dabei um ein „Militärgeheimnis“. Klar ist aber, dass über einen erheblichen Zeitraum die Daten zehntausender Nutzer abgeschöpft wurden. Die gewonnenen Rohdaten wurden sodann in (Excel-)Tabellen überführt, „rekonstruiert“ und Europol übermittelte sie an das BKA.
Die Generalstaatsanwaltschaft in Frankfurt am Main legte daraufhin in Zusammenarbeit mit der Behörde zunächst eine sämtliche Daten umfassende Ermittlungsakte gegen Unbekannt an. Anschließend trennte sie hiervon sukzessive einzelne Ausschnitte der Kommunikation ab und übergab die Datensätze mit der Bitte um Eröffnung eines Ermittlungsverfahrens an die jeweils zuständigen Staatsanwaltschaften.
BKA, Staatsanwaltschaften und Gerichte sind blind
Schon vielfach wurde über die Zulässigkeit der Encrochat-Ermittlungen diskutiert. War das Vorgehen der französischen Behörden legal? Haben deutschen Behörden die Grenzen ihrer Ermittlungsbefugnisse umgangen? Dürfen die Beweise vor Gericht verwendet werden? Wurden die Daten bislang überhaupt manipulationssicher und nachvollziehbar verarbeitet?
BKA, Staatsanwaltschaften und Gerichte scheinen bislang keine allzu großen Zweifel an der Rechtmäßigkeit der Maßnahmen sowie an der Verwertbarkeit erlangter Datenbestände zu haben. Schließlich könne man sich ja auf den „Grundsatz gegenseitiger Anerkennung“ berufen. Das bedeutet, dass ein jeder Mitgliedstaat der Europäischen Union das Recht eines anderen Mitgliedstaates als gleichwertig anerkennt. Was in einem Mitgliedstaat rechtmäßig ist, ist es demnach auch in jedem anderen und wird nicht noch einmal anhand der eigenen Maßstäbe überprüft.
Das ist aber nicht nur kurzsichtig, sondern auch falsch. Unabhängig von der Frage, ob deutsche Ermittlungsbehörden rechtlich überhaupt die Befugnis zur massenhaften und verdeckten Erhebung von Kommunikationsdaten ohne konkreten Anlass gehabt haben („Befugnis-Shopping“), ist bereits völlig unklar, ob die Integrität und Authentizität der Encrochat-Datenbestände gewährleistet werden kann.
Keine nachvollziehbare Beweismittelkette
Das vorliegende Datenmaterial wurde zwischenzeitlich vielfach verarbeitet: Abgeschöpft, gespeichert, zusammengeführt, zigfach übermittelt, aufbereitet und systematisiert. „Unerhebliche Teile“ von Kommunikation wurden beispielsweise gelöscht. Die Dateien wurden systematisch verändert, um eine „bessere Lesbarkeit“ herzustellen. Von einer nachvollziehbaren und transparenten Beweismittelkette, der sogenannten „Chain of Custody“, kann somit nicht gesprochen werden.
Der Grundsatz der richterlichen Aufklärungspflicht verlangt aber gerade, dass der Sachverhalt umfassend und von Amts wegen aufzuklären ist – dies gilt zwangsläufig auch für digital gespeicherte Daten. Für die abgeschöpften Encrochat-Daten sind bereits seit dem Zeitpunkt ihrer ursprünglichen Erhebung Integrität und Authentizität fortlaufend gefährdet. Das muss insbesondere dann gelten, wenn wie hier keine fortlaufende Protokollierung von Datenveränderungen erfolgt ist.
Die Encrochat-Ermittlungen stellen auch insoweit einen Präzedenzfall dar, weil sie nicht mit bestehenden digitalen Ermittlungsmaßnahmen wie Telekommunikationsüberwachungen und Online-Durchsuchungen vergleichbar sind. Denn bei diesen müssen eingesetzte Mittel und vorgenommene Veränderungen überprüfbar sein.
Es geht um mehr als zu schnelles Fahren
Die Gerichte müssten deshalb die zugrundeliegenden Rohdaten sichten und im Zweifelsfall sachverständig untersuchen lassen. Nach der Rechtsprechung unter anderem des Bundesverfassungsgerichts ist diese Verpflichtung nur bei standardisierten Datenverarbeitungsvorgängen – wie beispielsweise Bußgeldverfahren nach Geschwindigkeitsverstößen – abgesenkt.
Von einem Geschwindigkeitsverstoß aber sind die Encrochat-Fälle meilenweit entfernt, es geht oftmals um schwerwiegende Strafandrohungen mit im Zweifelsfall langjährigen Haftstrafen. Hinzu kommt, dass Geschwindigkeitsmessungen nach standardisierten, zertifizierten und genormten Verfahren bereits seit Jahrzehnten eingesetzt werden und ihre Rohdatenquelle zweifelsfrei feststellbar ist. Eine solche „Gewähr für die Richtigkeit“ besitzen die Encrochat-Datenbestände zweifelsohne nicht.
Das Bundesverfassungsgericht hat in einem Beschluss aus dem Jahr 2020 ebenso festgestellt, dass sich Gerichte nicht auf die Richtigkeit von Datensätzen verlassen können, falls sich Anhaltspunkte für tatsächliche Fehler bei der Datenverarbeitung zeigen sollten. Bei den Encrochat-Daten ist sowohl ihre Quelle geheim als auch die technische Methode, mit der sie erlangt wurden. Danach haben verschiedene Einrichtungen die Daten mehrfach überarbeitet. Wie genau, ist nicht mehr nachvollziehbar.
Dadurch drängt es sich geradezu auf, dass die Daten fehlerhaft sein könnten. Diese fehlende Nachvollziehbarkeit von Datensätzen wurde bereits durch entsprechende Logikbrüche öffentlich nachgewiesen, so beispielsweise mit Blick auf die Anzahl versendeter und empfangener Nachrichten, Geodaten und Zeitstempel verschickter Nachrichten, die früher auf dem Empfängergerät ankamen, als sie verschickt wurden.
Was sich für rechtsstaatliche Verfahren ändern muss
Die Gerichte sollten sich von der Zulässigkeit der Datenverarbeitung überzeugen, wenn sie in Encrochat-Verfahren entscheiden. Das bezieht sämtliche Verarbeitungsschritte und auch die Rohdatensätze ein, die aktuell geheim gehalten werden.
Für ein faires und rechtsstaatliches Verfahren muss die Verteidigung der Beschuldigten umfassende Einsichtnahme bekommen. Auch in solche Unterlagen, die für Ermittlungszwecke entstanden sind, aber nicht zur Gerichtsakte genommen wurden.
Die Einsichtnahme wegen der „Gefährdung laufender Ermittlungen“ zu verweigern, ist dabei kein zulässiges Argument. Nur so kann das Informationsgleichgewicht zwischen Staat und Bürger hergestellt werden. Die gegenwärtigen Ermittlungen stellen somit kein solches faires und rechtsstaatliches Verfahren dar, sondern sind vielmehr von einem technokratischen Staatsverständnis geprägt.
Rechtspolitisch sollten die Maßstäbe für ein rechtsstaatliches Verfahren höher als bislang gelegt werden, wenn staatliche Stellen mit digitalen Ermittlungsinstrumenten Beweise erheben. Schon bei der Infiltration technischer Systeme oder bei anderweitig gezielter Datenerhebung zur Strafverfolgung müssen Ermittlungsbehörden dafür sorgen, dass später Verteidiger ihre Rechte in Anspruch nehmen können. Dazu gehört notwendigerweise auch, dass die komplette Beweismittelkette transparent protokolliert und einsehbar ist.
Alles andere sind Strafverfahren jenseits des Rechtsstaats.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires