Beschlagnahme von E-MailsIn aller Heimlichkeit

Erst ganz zum Schluss ist bei geplanten Änderungen der Strafprozessordnung die heimliche Beschlagnahme im Gesetzentwurf der Bundesregierung aufgetaucht. Behörden sollen leichter auf E-Mails und Cloud-Inhalte zugreifen können. Die Betroffenen würden das nicht erfahren.

Jemand öffnet mit einem Brieföffner einen Brief
Wenn E-Mails beschlagnahmt werden, bekommen Betroffene davon erstmal nichts mit. Vereinfachte Pixabay Lizenz jackmac34

Dr. Mayeul Hiéramente ist Rechtsanwalt und Fachanwalt für Strafrecht. Er publiziert regelmäßig zu strafprozessualen Themenstellungen und befasst sich seit Jahren mit den rechtsstaatlichen Implikationen der digitalen Beweiserhebung.

Es wäre im geschäftigen Treiben in Berlin fast untergangen: Die Bundesregierung hat im Entwurf eines Gesetzes zur Fortentwicklung der Strafprozessordnung und anderer Vorschriften kurz vor Toresschluss eine Regelung aufgenommen, die den heimlichen Zugriff auf E-Mails und Cloud-Inhalte durch die Strafverfolgungsbehörden deutlich erleichtern soll.

Am heutigen Freitag befasst sich erstmalig der Bundesrat mit dem Gesetzesentwurf. Die geplante Regelung mag unscheinbar daherkommen, lautet die Überschrift schließlich nur „Zurückstellung der Benachrichtigung des Beschuldigten; Offenbarungsverbot“. Es bahnt sich mit diesem Vorschlag jedoch ein Paradigmenwechsel in der Strafprozessordnung an, der rechtspolitisch und verfassungsrechtlich bedenklich ist.

Das Strafverfahren ist im Grundsatz ein transparentes Verfahren, in dem der Beschuldigte zu hören und an dem er zu beteiligen ist. Dementsprechend hat der Gesetzgeber bislang eine klare Trennung zwischen den offen ausgestalteten „Standardmaßnahmen“ der Strafprozessordnung (StPO), insbesondere Beschlagnahme und Durchsuchung, und den besonders grundrechtssensiblen heimlichen Maßnahmen wie die Überwachung der Telekommunikation oder die Online-Durchsuchung, vorgenommen. Letztere zeichnen sich durch strenge inhaltliche Vorgaben und detaillierte Verfahrensvorschriften aus, die der Gefahr von Geheimermittlungen entgegenwirken sollen.

Durch das geplante Gesetz drohen die Grenzen zu verschwimmen und die Schutzmechanismen verwässert zu werden. Die vorgeschlagene Regelung des neuen § 95a StPO-E zielt dabei auf besonders sensible Daten ab: E-Mails und Cloud-Inhalte.

E-Mails als Eintrittskarte in die digitale Welt

Die E-Mail-Adresse ist die Eintrittskarte zur digitalen Welt. Mit ihr kommunizieren wir mit anderen Menschen, tauschen uns über Politisches, Privates und Berufliches aus und sind für alte Freunde und Familie ebenso erreichbar wie für Geschäfts- oder Sexualpartner. Per E-Mail-Adresse können wir die verschiedenen Dienstleistungsangebote im Internet nutzen: An sie werden Bestellbestätigungen und Rechnungen für Waren und Dienstleistungen gesandt, die wir aus Bequemlichkeit oder Scham im Internet bestellt haben. Wir erhalten im E-Mail-Postfach Benachrichtigungen über Neuigkeiten in sozialen Netzwerken und Newsletter von politischen Parteien oder Vereinen.

Bereits aus praktischen Gründen wechseln die Nutzerinnen und Nutzer zudem ihre E-Mail-Adressen nur selten. Sie sind oft ein langjähriger Begleiter. Als Verbraucherinnen und Verbraucher sind wir auf kommerzielle Anbieter angewiesen, die E-Mails speichern und über Jahre oder gar Jahrzehnte für die Kundschaft aufbewahren. E-Mail-Postfächer mit zehntausenden an E-Mails sind daher eine wahre Fundgrube für Behörden und eine perfekte Grundlage, um ein Persönlichkeitsprofil zu erstellen.

Die Cloud als „externes Endgerät“

Ähnlich weitreichend sind die Daten, die viele Nutzerinnen und Nutzer in der Cloud speichern. Dies sieht auch die Bundesregierung im Grundsatz so, wenn sie ihrem Gesetzesentwurf schreibt: „Diese Möglichkeit des verdeckten Zugriffs soll auf sonstige in Clouds oder sonstigen Speichermedien gespeicherte Daten (zum Beispiel Lichtbilder, Kalendereinträge, Sicherungen von Dokumenten), aber auch auf die physische Beschlagnahme – beispielsweise von Bankunterlagen oder Ähnlichem – ausgedehnt werden.“

Unklar ist allerdings, ob die Verantwortlichen die Dimension der modernen Cloud-Nutzung tatsächlich richtig erfasst haben. Aufgrund begrenzter lokaler Speicherkapazitäten und der Nutzung verschiedener, zunehmend mobiler Endgeräte werden viele der von Nutzerinnen und Nutzern generierten Daten nicht mehr (nur) lokal gespeichert. Die Speicherung in der Cloud ist zudem oft kein bewusster Vorgang mehr, sondern automatisierter Standard. Ein Zugriff auf Cloud-Daten kommt daher einer Online-Durchsuchung eines Endgeräts bedenklich nahe.

Verfassungsrechtliche Zweifel sind angebracht

Die Bundesregierung bewegt sich mit der vorgeschlagenen Regelung auf verfassungsrechtlich äußerst dünnem Eis. Ein Grundproblem der vorgeschlagenen Regelung ist struktureller Natur:

Der Gesetzesentwurf schafft keine gesonderte Rechtsgrundlage für die „heimliche Beschlagnahme“. Diese soll nach Vorstellung der Bundesregierung vielmehr nach den gewohnten Regeln (§§ 94 ff. StPO) erfolgen. Für eine Beschlagnahme ist bereits ein Anfangsverdacht ausreichend, diese Hürde ist in der Praxis äußerst schnell überwunden.

Eine Beschränkung auf bestimmte Straftaten ist nicht vorgesehen. Ein Diebstahl im Supermarkt oder das unerlaubte Entfernen vom Unfallort, auch bekannt als Fahrerflucht, reicht nach dem Gesetz für die Durchführung der Beschlagnahme aus. Die niedrige gesetzliche Hürde hat das Bundesverfassungsgericht für die „normale“ Beschlagnahme grundsätzlich akzeptiert, da bereits zum Zeitpunkt der Beschlagnahme feststeht, dass diese in der Folge dem Beschuldigten zu offenbaren ist und dieser seine Rechte im Verfahren geltend machen kann.

Genau dies soll allerdings nunmehr geändert werden. Da nach § 95a StPO die Benachrichtigung zurückgestellt werden kann, ist es beim Datenzugriff keineswegs gesichert, dass eine Bekanntgabe erfolgen wird. Die Beschlagnahme darf und soll ja gerade geheim gehalten werden. Trotzdem müssen vor der Beschlagnahme überhaupt keine erhöhten Anforderungen erfüllt sein. Detaillierte Verfahrensvorgaben sieht der Entwurf ebenfalls nicht vor. Die Polizei hat hier freie Hand.

Erhöhte Anforderungen sind nur für die Zurückstellung der nachträglichen Benachrichtigung vorgesehen. Ein Verzicht auf eine solche Benachrichtigung von der Beschlagnahme soll nur bei Delikten aus dem mittleren Kriminalitätsbereich zulässig sein und bedarf der Einbindung des Ermittlungsrichters. Zu diesem Zeitpunkt befinden sich die Daten allerdings bereits in den Büros von LKA oder Steuerfahndung und können dort bereits durchgesehen werden. Kein Beschuldigter, der sich beschwert. Kein Verteidiger, der rechtliche Argumente in den Ring werfen oder den Sachverhalt erläutern kann.

Der Entwurf erlaubt es sogar, dass eine Beschlagnahme von E-Mail-Account oder Cloud-Daten auf Grundlage eines Bagatelldelikts erfolgt und die dabei gewonnenen Beweise dann ins Feld geführt werden, die Benachrichtigung zurückzustellen. Die Polizei schafft sich auf diese Weise die Beweislage, um nachträglich die heimliche Beschlagnahme zu legitimieren; frei nach dem Motto: Erstmal mitnehmen und dann schauen wir mal.

Das Regelungskonzept hat noch einen weiteren Haken: Erfolgt nach der Beschlagnahme die erforderliche Mitteilung nicht, sieht der Gesetzesentwurf keine Konsequenzen vor. Der Entwurf sieht weder Löschungspflichten noch Verwertungsverbote vor. Von den Gerichten wird der Betroffene ebenfalls kaum Hilfe erhalten können.

Da die Anforderungen für die Beschlagnahme selbst gering sind und daher erfüllt sein werden und damit die Beschlagnahme selbst gesetzeskonform erfolgt, dürften Strafgerichte sich schwertun, ein (nicht gesetzlich geregeltes) Beweisverwertungsverbot anzunehmen. Der Vorschlag, die erhöhten Anforderungen erst in der nachgelagerten Stufe (Zurückstellung der Benachrichtigung) zu verlangen, droht Missbrauch Tür und Tor zu öffnen.

Schließlich sind Zweifel angebracht, ob die vorgeschlagene Schwelle für eine Geheimhaltung der Beschlagnahme angesichts der besonderen Sensibilität der Inhalte von E-Mail-Accounts und Clouds überhaupt ausreichend ist. Der Gesetzgeber hat beispielsweise für die Online-Durchsuchung deutlich höhere Hürden festgeschrieben. Im Zuge der Einführung der Regelungen zur Quellen-Telekommunikationsüberwachung hat sich dieser auch mit der Möglichkeit des retrograden Zugriffs auf gespeicherte Kommunikationsinhalte geäußert und das Problem klar erkannt:

Soll hingegen eine Ausleitung aller Nachrichten in zeitlich unbegrenzter Hinsicht erfolgen, würde das über die herkömmlichen Möglichkeiten der Telekommunikationsüberwachung weit hinausgehen und eine – wenngleich auf Kommunikationsinhalte eines Kommunikationsdienstes begrenzte – „kleine“ Online-Durchsuchung darstellen. Das Ausleiten von Nachrichten, die vor dem Anordnungszeitpunkt abgesendet oder empfangen wurden, findet seine Rechtsgrundlage folglich nicht in § 100a StPO, sondern in der für die Online-Durchsuchung neu geschaffenen Ermächtigungsgrundlage des § 100b StPO.

Diese Worte des Gesetzgebers sollten Anlass genug sein, die nunmehr vorgeschlagenen (niedrigen) Voraussetzungen für eine heimliche Beschlagnahme grundlegend zu überdenken.

Anmerkung zum laufenden Gesetzgebungsverfahren

Angesichts der Bedeutung der vorgeschlagenen Regelung zur heimlichen Beschlagnahme ist eine vertiefte und ergebnisoffene Auseinandersetzung dringend geboten. Das bisherige Verfahren macht hier jedoch wenig Hoffnung. So ist der hier thematisierte § 95a StPO-E erst im finalen Gesetzesentwurf der Bundesregierung aufgetaucht. Die zahlreichen Stellungnahmen aus Wissenschaft und Praxis, die zum Referentenentwurf eingeholt wurden, konnten sich daher zu dieser Regelung nicht verhalten. Auch die Ausschüsse des Bundesrats haben zu dieser Regelung nicht Stellung genommen.

Es bleibt zu hoffen, dass eine kritische Diskussion im Gesetzgebungsverfahren nachgeholt wird. Die vergangenen Monate stimmen indes auch hier nicht besonders optimistisch. Eine Vielzahl von Sicherheitsgesetzen ist in einer Geschwindigkeit durch den Bundestag gejagt worden, die eine kritische Reflexion kaum möglich gemacht haben und die selbst die gehörten Sachverständigen zu dem Hinweis veranlasst haben, auf die extrem kurzen Fristen hinzuweisen, die eine sachverständige Bewertung nahezu unmöglich machen.

Diese gesetzgeberische Hektik droht handwerkliche Fehler zu produzieren und führt zu einer Gesetzgebung in dubio pro Sicherheit. Der leichtfertige Umgang mit Grundrechten und die stete Ausweitung der Ermittlungsbefugnisse auf deutscher und europäischer Ebene wie bei den Plänen zur E-Evidence-Verordnung müssen nachdenklich machen.

12 Ergänzungen

  1. Schnüffeln in privater Post, Ermächtigungen im Abfangen von E-Mail Korrespondenz, Verfügungen, Erlasse…

    … WEHRT EUCH!

    Meine Lösung:
    Gnu/Linux
    Festplattenverschlüsselung mit LUKS
    Verschlüsselte E-Mail Nachrichten (das Einrichten mit „seahorse“ und 4096-bit Verschlüsselung ist auch für technikaffine Menschen binnen einer halben Stunde möglich).
    Viel Spaß beim entschlüsseln der folgenden Nachricht:

    —–BEGIN PGP MESSAGE—–

    hQIMA50EwHQbHx+gAQ/8CxLOZ5Mr7wlC5wBmaepBpClFPlDNrPhRdv/l6Wqof0sy
    CDYmUAZFh1oKZkEJ76/QKFHPMfi9Dz7WMiV7vKs1+itNT1+vqAsRliBleLETfrv9
    W4gHeIv3wLKigDIlBnw5IRiBgW/1Jc08k5tBxfWinYMMpKNI5ZONQKEMVMIHmW/w
    qGv5Pza0UuvIzUJfGBXzw6iNvhOPBsNVfm4JTRzGNZb93ts3sX7YiTKA4Fc0/fgr
    PFxtcgzsGTCELB4cuzZI2p4ObXRFjxuLIZvdq32nV7Ja1XalU9Z9owZ4HYUwYp6l
    /tZxvPbsNrFA7diUMkZ7xsbT7zWh+LBPRZOm1gZG0sFy9zhC8ktiSuc/ivd2JlZm
    GuHqLVSKzeROOx/sMGDuH0i3OW2Khem4Fjp/iEdTrhYzA7EjLBUEEt3WtIzGtBYK
    8Z7IWOU40q2oo9ehjrnCTUibTmYFIKMH2vSb1NU8BAn79ynLe1UT76QQsr4ozDt/
    eUnqMLaGTUMHR6drxVSxj68ARxTaxLTAxVX2uLzKTLac5wNzal/nIiJL4zL5o5rt
    zc4P6QLmVkvxbuaSnwSM/bgk9XxwP4NiNT8DoRnPL7LSWBrEa1UZBMUQQJjitbJy
    je0lI0lPmKLqPravkwr9imHsRah61LMwplpDqkf4weAswVwRdwd4BtydYLZfxv6F
    AgwD3HuclaY6igUBD/oDPtrXSn2DH+4jlH6A3ZvR7iflOoEDlZuK3omoXKcYVRYx
    DBc14Xn3hwXSHET0HvyaXB2yWyVUs1Qg4HLxkVOXJhTL09wZPkMiLvEuePt7u5RQ
    KbVVMh45mCmgOSrnHemJzfCkZYVHbbYfDXW7nIhEWD7AtVYgRStahpct04ZC5eXR
    pNiYTlseYXEytukcpSJhLHpimgUvxcQaqqwGLX/7I/we8MB3ijIv+V6st1zBYVyw
    uDHWkaPOBeg+cV6TopLAM7z+4Gs4HpQ42kgHTm9KjtYKbma/NQcTgakmtkHpJt5D
    NJ1ePEcFx5JNMFT8DMmH8gMutwPZz4LxlzsQJvIvl9wFAPHL8EX+lTsPKt01QWLI
    Ep4ejMN3MRBCeqy5iV9qc2JFjEm46S9fh2ZLL5eC7mVjE16YrKWd3fHPEnXaYuT1
    7JDGaUpPsR8Ll9/IYHOyGtKcXermvajXcinrWOyAUGIoAe9m5UwOzdhFX6XAPR8p
    KFwVGRY+v7H3ReK/9YfRn64vgCXURCX6AbTbOGVWrMSfz9aq9gAqpVy9/8zvBRzu
    OR91Jw9Ro8yWzlWBLe5KS4dJViS+OKi0UJ70mIv/955m35R4B9rpnR2QvW4rJ1CN
    EK1K7/nkqHz6A2RWaxKiUFKrRUUmuHb+E32htaBe9EHv8O/FA3HxpB0Ds+wR/NLq
    AQevsnCYGzgHzy8Nd+71TI6/ZT76TP8AyaT32Gsb2UhwerY0GarNfHiIKUjCXMvb
    s6ThoJW6j+04OcqnJ2+MyQGGkB1D/3h4l3yitS7vDBoYUJ7vQD0sOXSucxhnNiEA
    Djkqc7sjnyocSV33g/xKaJWRrQ8v1JobxF0X2YYvt3jdcrGsS6ZsjYrYhylmUZuq
    9IOCsxYPsn49qL6FrbAEy2gmLNDnftfk/BFbobXQny6DC10xHRKyIqfE2Y2fs57N
    Ok7DM4ndAbRSrytxcDW3AebXSD6RzuSEdBlk2w1c3eFBsSLOi+nimZwRBNo4DZ0R
    5tU/XJgVp3GBgREgbd1PQJ0jiDu2jZyj2nnoJqtVGEJUrKoTVYzJB/ecqD5VrgpD
    CtVi73MWzNImAfIjFU8chR0yfGU+6a+B8qI5I98lIuDFwEvXtuLqkT+wBrrPqsEn
    /dL0qrZemKP6RDZLH6/CMjK7g+vtn47NjvdSMwmeIXjNPFhKWziTw41+cj3WH22e
    uI07lF+r24/s1lGOozsABtApEBNWOOP3rxt+DGrU6QZPAD/imPMUcuSwQPwbpR/k
    cIFpX3OHRWChbjtlSUfPNk7qDZxD323oO5SzpltfdNTRAPqItnCh2Tb6ISBC9uj+
    HC8jlepDFAHMi6n9ANIhXzntNUyxh4ss/sjjK7Bct4IOfw3f6lvSJ1IIUhMgnf9r
    NNVvm7ughVIh99WKgxt/D5ex+hdQNdj7SA4Ew4n9k8+ANweogceshdzeUKWkTcrP
    KPbB1dZ9s7Prk5aFWxN8rRN6rWRWnxoRabbtR7GJ8L0Qe6XZ+6IHGrHlmOeY+ymT
    YHIZcHeeujIMdNms/+kThz1W8PruSxgvxHWmK89mZh8BK4P+QdunuKf+z8OxnK+l
    Ek29aRz70V833BrksSF90UbJiwZix5KSXNX2RL33a569LajwdiU5QEk8mBQx9PbH
    iGyqRqK+HmsR+F9LkCh81S0e3ZrRyP4KeeMiG2p/1bjzpCnfVwH2S2zFvhJnRvBZ
    Ty7Qb1926OPfboE/Ru2vkcYZmFIAGRCbgkoLoEqcUjQqIEVaxelwwrWty07nbqT6
    SQSYuIaSVyFufSvs26jCS4SSMOloW96SLAxLJsa4viXV8usewO+z40UcRXA8ekw0
    0/frKG+6gmm+kgdc+msVNtcAV74QXE7ppJTEIJsVcjWBQ7cDVQqE2spIZsekAZPn
    bi/9sn1xxLaMTEkT4RrR8P5TDZ3kjdGB+27SCPsCoJCZjyiqsvrMetwGvBaFBzMG
    shJQhtCIu3Z8G1V7lQXk6ZV/g2sADofm2zWzea/x0XF8ztS5jJ+PHCVR+ZGk8RDU
    PT+1rLHcrgH36KxfXlcvfT3hivY/Vm+epl+JkgRpEE0v0PMUzgOel3dJntfBrGuQ
    4LNuiZAQTzp3DhilsjYTASXOP7CJTvlL8kS52zj4
    =E7mg
    —–END PGP MESSAGE—–

    1. Das Problem der Profilbildung auf Grundlage der im „external Storage“ vorhandenen Cleartext-E-Mails bleibt bestehen, da die großen Plattformen und Shops sicherlich nicht ihre nicht ganz so neue Idee mit Begeisterung aufgreifen werden.

      Vielleicht sollten wir uns eingestehen, dass die E-Mail als vertrauliche Kommunikationsform allein wegen der unvermeidbar anfallenden Metadaten per se ungeeignet ist.

    2. 4096 Bit? Die EU, einer der Angreifer, empfahl 12.288 Bit, das war vor 10 Jahren oder so. Seitdem gab es Fortschritte. Also 4096 Bit ist für staatliche Angreifer schon vor 10 Jahren kein Hindernis gewesen.

      Das Problem bei Verschlüsselung ist, dass alle und mimer mindestens der Kommunikationspartner mitmachen muss. Ich kann verschlüsseln. Aber ich mache es nicht, weil es kein anderer kann.

      Das andere Problem bei Verschlüsselung sind die Hintertüren

      – TPM ist ein Hardwaremodul, das jeder Computer zwangsweise eingebaut hat. Es schwächt die Zufallszahlen bei der Schlüsselherstellung, wodruch alle Verschlüsselung für staatliche Angreifer offen stehen

      – Intel ME bieten einen Hardware-Zugang auf das System, wo die Inhalte vor der Verschlüsselung oder nach der Entschlüsselung abgegriffen weden können

      – UEFI bietet einen Hardware-Zugang auf das System, wo die Inhalte vor der Verschlüsselung oder nach der Entschlüsselung abgegriffen weden können

      – Windows bietet einen Software-Zugang auf das System, wo die Inhalte vor der Verschlüsselung oder nach der Entschlüsselung abgegriffen weden können

      – Die Standardkonfigurationen von Verschlüsselungsprogammen sind gezielt angreifbar, GnuPG erlaubt keine ausreichend langen RSA Schlüssel und verhindert die Benutzung sicherer asymmetrischer Verfahren, sofern man nicht weiß, wie man an die Cipherlist kommt, die NICHT DOKUMENTIERT ist, so dass sie möglichst niemand bemerkt und fügt jeder geänderten Konfiguration ZWANGSWEISE AES und SHA hinzu

      – Die Standards und Protokolle sind erfolgreich durch staatliche Angreifer angegriffen worden, so dass wirksame Verschlüsselung unterbunden wird

      So einfach, dass man einfach Verschlüsselung verwendet und dann ist alles gut, ist es also leider nicht, solange die staatlichen Angreifer sie bereits infiltriert haben.

      1. „4096 Bit? Die EU, einer der Angreifer, empfahl 12.288 Bit,“
        Sind Sie sicher, dass es sich nicht um ein spezifisches Verfahren, Randfall oder Postquantumzeugs handelte?

      2. Vielen Dank für die interessanten Infos.

        Letztlich geht es mir darum, dass nach GG Art. 10 das Brief-, Post- und Fernmeldegeheimnis gewahrt bleibt und der Zugriff auf eine verschlüsselte Festplatte/SSD sicher verhindert werden kann.

        Daher meine Frage an Sie als Experte:
        Welche Verschlüssungen gelten nach aktuellem Stand der Technik in der Übermittlung von Daten als sicher (E-Mail bzw. verschlüsselte E-Mail Anhänge) und wie können Datenträger vor unbefugten Dritten sicher geschützt werden?

        Für Ihre Antwort im Voraus meinen besten Dank.

  2. Na das ließe sich doch auch wunderbar für interne Ermittlungen im Staatsapparat z.B. zum Aufdecken von Berateraffären nutzen… :D -.- wer es glaubt… nackig machen soll sich nur der dumme Wähler… Was da momentan an Gesetzen rausgehauen/ausgehöhlt werden – ich könnte kotzen. Das Schlimme: derzeit machen da praktisch alle Parteien munter mit.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.