Dipl.-Jur. Hauke Bruns ist wissenschaftlicher Mitarbeiter der Kanzlei Ebner Stolz am Standort Bremen. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.
Vor verschiedenen Gerichten laufen derzeit zahlreiche Verfahren gegen Beschuldigte auf der Basis von Daten aus dem Hack von Encrochat. Auch sind bereits Haftbefehle ergangen. Oft geht es in den Verfahren um Betäubungsmittelkriminalität, der frühere Anbieter verschlüsselter Kommunikationstechnik war offenbar zur Abwicklung von Drogengeschäften beliebt. Doch die Chatprotokolle mit den verräterischen Botschaften stammen nicht etwa aus Hausdurchsuchungen bei Verdächtigen, sondern von Datenbeständen aus Frankreich, nachdem französische Behörden wohl die Server des Kommunikationsanbieters infiltriert hatten.
Wie genau die französischen Ermittler an die Daten kamen, ist unbekannt, denn es handelt sich dabei um ein „Militärgeheimnis“. Klar ist aber, dass über einen erheblichen Zeitraum die Daten zehntausender Nutzer abgeschöpft wurden. Die gewonnenen Rohdaten wurden sodann in (Excel-)Tabellen überführt, „rekonstruiert“ und Europol übermittelte sie an das BKA.
Die Generalstaatsanwaltschaft in Frankfurt am Main legte daraufhin in Zusammenarbeit mit der Behörde zunächst eine sämtliche Daten umfassende Ermittlungsakte gegen Unbekannt an. Anschließend trennte sie hiervon sukzessive einzelne Ausschnitte der Kommunikation ab und übergab die Datensätze mit der Bitte um Eröffnung eines Ermittlungsverfahrens an die jeweils zuständigen Staatsanwaltschaften.
BKA, Staatsanwaltschaften und Gerichte sind blind
Schon vielfach wurde über die Zulässigkeit der Encrochat-Ermittlungen diskutiert. War das Vorgehen der französischen Behörden legal? Haben deutschen Behörden die Grenzen ihrer Ermittlungsbefugnisse umgangen? Dürfen die Beweise vor Gericht verwendet werden? Wurden die Daten bislang überhaupt manipulationssicher und nachvollziehbar verarbeitet?
BKA, Staatsanwaltschaften und Gerichte scheinen bislang keine allzu großen Zweifel an der Rechtmäßigkeit der Maßnahmen sowie an der Verwertbarkeit erlangter Datenbestände zu haben. Schließlich könne man sich ja auf den „Grundsatz gegenseitiger Anerkennung“ berufen. Das bedeutet, dass ein jeder Mitgliedstaat der Europäischen Union das Recht eines anderen Mitgliedstaates als gleichwertig anerkennt. Was in einem Mitgliedstaat rechtmäßig ist, ist es demnach auch in jedem anderen und wird nicht noch einmal anhand der eigenen Maßstäbe überprüft.
Das ist aber nicht nur kurzsichtig, sondern auch falsch. Unabhängig von der Frage, ob deutsche Ermittlungsbehörden rechtlich überhaupt die Befugnis zur massenhaften und verdeckten Erhebung von Kommunikationsdaten ohne konkreten Anlass gehabt haben („Befugnis-Shopping“), ist bereits völlig unklar, ob die Integrität und Authentizität der Encrochat-Datenbestände gewährleistet werden kann.
Keine nachvollziehbare Beweismittelkette
Das vorliegende Datenmaterial wurde zwischenzeitlich vielfach verarbeitet: Abgeschöpft, gespeichert, zusammengeführt, zigfach übermittelt, aufbereitet und systematisiert. „Unerhebliche Teile“ von Kommunikation wurden beispielsweise gelöscht. Die Dateien wurden systematisch verändert, um eine „bessere Lesbarkeit“ herzustellen. Von einer nachvollziehbaren und transparenten Beweismittelkette, der sogenannten „Chain of Custody“, kann somit nicht gesprochen werden.
Der Grundsatz der richterlichen Aufklärungspflicht verlangt aber gerade, dass der Sachverhalt umfassend und von Amts wegen aufzuklären ist – dies gilt zwangsläufig auch für digital gespeicherte Daten. Für die abgeschöpften Encrochat-Daten sind bereits seit dem Zeitpunkt ihrer ursprünglichen Erhebung Integrität und Authentizität fortlaufend gefährdet. Das muss insbesondere dann gelten, wenn wie hier keine fortlaufende Protokollierung von Datenveränderungen erfolgt ist.
Die Encrochat-Ermittlungen stellen auch insoweit einen Präzedenzfall dar, weil sie nicht mit bestehenden digitalen Ermittlungsmaßnahmen wie Telekommunikationsüberwachungen und Online-Durchsuchungen vergleichbar sind. Denn bei diesen müssen eingesetzte Mittel und vorgenommene Veränderungen überprüfbar sein.
Es geht um mehr als zu schnelles Fahren
Die Gerichte müssten deshalb die zugrundeliegenden Rohdaten sichten und im Zweifelsfall sachverständig untersuchen lassen. Nach der Rechtsprechung unter anderem des Bundesverfassungsgerichts ist diese Verpflichtung nur bei standardisierten Datenverarbeitungsvorgängen – wie beispielsweise Bußgeldverfahren nach Geschwindigkeitsverstößen – abgesenkt.
Von einem Geschwindigkeitsverstoß aber sind die Encrochat-Fälle meilenweit entfernt, es geht oftmals um schwerwiegende Strafandrohungen mit im Zweifelsfall langjährigen Haftstrafen. Hinzu kommt, dass Geschwindigkeitsmessungen nach standardisierten, zertifizierten und genormten Verfahren bereits seit Jahrzehnten eingesetzt werden und ihre Rohdatenquelle zweifelsfrei feststellbar ist. Eine solche „Gewähr für die Richtigkeit“ besitzen die Encrochat-Datenbestände zweifelsohne nicht.
Das Bundesverfassungsgericht hat in einem Beschluss aus dem Jahr 2020 ebenso festgestellt, dass sich Gerichte nicht auf die Richtigkeit von Datensätzen verlassen können, falls sich Anhaltspunkte für tatsächliche Fehler bei der Datenverarbeitung zeigen sollten. Bei den Encrochat-Daten ist sowohl ihre Quelle geheim als auch die technische Methode, mit der sie erlangt wurden. Danach haben verschiedene Einrichtungen die Daten mehrfach überarbeitet. Wie genau, ist nicht mehr nachvollziehbar.
Dadurch drängt es sich geradezu auf, dass die Daten fehlerhaft sein könnten. Diese fehlende Nachvollziehbarkeit von Datensätzen wurde bereits durch entsprechende Logikbrüche öffentlich nachgewiesen, so beispielsweise mit Blick auf die Anzahl versendeter und empfangener Nachrichten, Geodaten und Zeitstempel verschickter Nachrichten, die früher auf dem Empfängergerät ankamen, als sie verschickt wurden.
Was sich für rechtsstaatliche Verfahren ändern muss
Die Gerichte sollten sich von der Zulässigkeit der Datenverarbeitung überzeugen, wenn sie in Encrochat-Verfahren entscheiden. Das bezieht sämtliche Verarbeitungsschritte und auch die Rohdatensätze ein, die aktuell geheim gehalten werden.
Für ein faires und rechtsstaatliches Verfahren muss die Verteidigung der Beschuldigten umfassende Einsichtnahme bekommen. Auch in solche Unterlagen, die für Ermittlungszwecke entstanden sind, aber nicht zur Gerichtsakte genommen wurden.
Die Einsichtnahme wegen der „Gefährdung laufender Ermittlungen“ zu verweigern, ist dabei kein zulässiges Argument. Nur so kann das Informationsgleichgewicht zwischen Staat und Bürger hergestellt werden. Die gegenwärtigen Ermittlungen stellen somit kein solches faires und rechtsstaatliches Verfahren dar, sondern sind vielmehr von einem technokratischen Staatsverständnis geprägt.
Rechtspolitisch sollten die Maßstäbe für ein rechtsstaatliches Verfahren höher als bislang gelegt werden, wenn staatliche Stellen mit digitalen Ermittlungsinstrumenten Beweise erheben. Schon bei der Infiltration technischer Systeme oder bei anderweitig gezielter Datenerhebung zur Strafverfolgung müssen Ermittlungsbehörden dafür sorgen, dass später Verteidiger ihre Rechte in Anspruch nehmen können. Dazu gehört notwendigerweise auch, dass die komplette Beweismittelkette transparent protokolliert und einsehbar ist.
Alles andere sind Strafverfahren jenseits des Rechtsstaats.
Das Vorgehen der Ermittlungsbehörden entspricht der jahrzehntelangen Konditionierung der Bürger in den tausenden Kriminalfilem im Fernesehen. Auch doert kommt die Rechtstaatlichkeit regelmäßig zu kurz und werden unrechtmäßige Polizeimaßnahmen gezeigt. Damit wird dem Bürger suggeriert, das alles wäre rechtmäßig. So wird der unifomierte, dumme Zuschauer Darauf vorbereitet die Übergriffe der Ermittler nicht zu kritisieren oder sich gar dagegen zu wehren. Der Bürger akzeptiert quasi die ausbordenen Übergriffe von Polizei und Staatsanwaltschaft. Er schaftt sich selbst die Akzeptanz eines in kleinen Schritten aufkommenden Polizeistaates.
Ist übrigens so erstaunlich wie erschreckend, dass der OeR einen grossen Beitrag dazu leistet.
Eigentlich wäre dessen Aufgabe das genaue Gegenteil.
Ich finde es interessant, wie viele Leute sich vor einem „Polizeistaat“ fürchten, aber offensichtlich keinerlei Bedenken haben, wenn die Polizei auf Grund von geknackten Chats regelrechte Folterkammern aushebt und Mordaufträge quasi in „real-time“ verfolgen kann.
Wer wissen will, wie es sich in einer Gesellschaft lebt, in der die organisierte Kriminalität das Sagen hat, kann ja mal nach Mexiko gehen.
Keine Frage – Rechtsstaatlichkeit ist die Grundlage der Demokratie. Aber wir können uns auch nicht den Luxus leisten, die organisierte Kriminalität einfach zu ignorieren, weil unsere Gesetze nicht erlauben, sie effektiv zu bekämpfen. Dann müssen wir unsere Gesetze wohl anpassen oder zeitgemässer auslegen.
Ich gehe nicht davon aus, dass eine Anklage von Personen lediglich auf Grund von Encrochat-Daten erfolgt. Das ist nur der Anlass, zu ermitteln. Nach wie vor müssen Polizei und Staatsanwaltschaft ihre Arbeit machen.
„Rechtsstaatlichkeit ist die Grundlage der Demokratie. Aber“ Da gibt es kein Aber. Entweder Rechtsstaat oder nicht. Man kann als Rechtsstaat Gesetze im Rahmen der Verfassung aendern und damit staatliches Handeln aendern. Man kann als Rechtsstaat nicht staatliches Handeln gegen bestehende Gesetze aendern und dann ueber deren Aenderung nachdenken.
Und mit „wir brauchen wirksame Mittel“ ohne Abwaegung der Rechtsgueter landet man zwangslaeufig beim Foltergebot.
Um eines einmal klarzustellen: Das EncroChat-Netzwerk ist eine Kryptosoftware, die fast ausnahmslos von Schwerkriminellen verwendet wurde. Es geht um den Schutz der Bevölkerung vor schwersten Straftaten und nicht um einen Staat, der seine Befugnisse überschreitet.
Bislang war es selbstverständlich, dass – nach richterlichem Beschluss – Telefone abgehört werden konnten. Dies ist jetzt nicht mehr der Fall. Die Ermittlungsbehörden hatten keine Möglichkeit, die verschlüsselte Kommunikation von Straftätern abzuschöpfen. Insofern ist die Maßnahme, die übrigens von einem französischen Richter angeordnet wurde – ein Geschenk des Himmels für den Rechtsstaat.
Dass eine Veränderung/Anpassung im Rahmen der Zusammenstellung der Rohdaten vorgenommen wurde, ändert nichts an ihrer Richtigkeit. Man sollte nicht vergessen, dass die Daten stets im geschützten Bereich der Ermittlungsbehörden waren. Welchen Eindruck haben solche Leute von der Polizei!
Was glauben denn die Kritiker?: Dass Polizeibeamte mal eben 1.000.000 Nachrichten mit kriminellen Inhalten erfinden???
Wenn eine E-Mail als Beweismittel verwendet wird, wird sie ausgedruckt und niemand kann ausschließen, dass sie von der Polizei zuvor „heimlich“ verändert wurde.
Das Polizeibeamte Millionen Nachrichten ändern unterstellt vermutlich niemand, aber wenn
alle Daten mehrfach zusammengefasst gruppiert und redigiert werden (bei dieser Datenmenge)
dann sind beispielsweise copy/paste-Fehler absolut nicht auszuschließen.
Hinzu kommt, dass Richter i.d.R. vorher Staatsanwälte waren und dadurch tendenziell der Argumentation der Staatsanwaltschaft, was Beweismittelzulässigkeit angeht, näher stehen, als der, der Verteidigung.
Hinzu kommt, Beweismittelmanipulation ist nie ganz auszuschließen. Wer kann nicht die Versuchung eines Ermittlers verstehen einen Chat geringfügig „anzupassen“ um einen lange gesuchten Verdächtigen, von dem man ohnehin „weiß“, dass er schuldig ist, endlich einzubuchten?
Vor allem, wenn es sich nicht nachvollziehen lässt.
Solche Fälle sind, hoffentlich, die absolute Ausnahme, aber wenn so etwas nicht überprüft wird und jedes mal klappt, wenn es passiert, könnte es Schule machen.
Und dann leben wir in einem Land in dem Polizei und Kriminelle nur noch schwer zu unterscheiden sind.
Und es ist ja nicht so, als ob deutsche Ermittlungsbehörden nicht schon früher Fehler gemacht haben…
Ein bisschen weniger Blauäugikeit dahingehend würde ich mir wünschen.
Naja, aber es wird niemand rein anhand der Chats verurteilt. Die Chats geben nur die Hinweise auf Personen und (zukünftige) Straftaten, in denen dann weiter ermittelt wird.
Guter Artikel.
Ein oft übersehener Kritikpunkt der digitalen Überwachung: man will einerseits zwar alles als Beweise verwenden können, aber die Herkunft der Beweise soll (verständlicherweise) geheim bleiben: man möchte immerhin ungerne seine Zero-Day-Schwachstellen preisgeben. Dass der Rechtsstaat damit eine Art „schwarzmagische“ Form der „Beweise aus dem Nichts“ zulassen will ist nicht von der Hand zu weisen, weil die Verteidigung keine Möglichkeit hat dagegen anzugehen und die Richtigkeit der digitalen Beweise anscheinend einfach angenommen wird.
Die Glaubhaftigkeit solcher Beweise ist aber nicht höher als eine handschriftliche Denunziation alá „Der Peter war’s!! Ich hab’s gesehen!!!!1“, wenn die Strafverfolger mit einer digitalen Log-Datei kommen und sagen „Hier steht die IP vom Peter!“ – die Frage woher der Beweis erlangt wurde wird (und wie) ist in der digitalen Ära aber von essentieller Bedeutung für einen Rechtsstaat.
Das ist geuebte Praxis. Wenn die Polizei die Micro-SD Card mit den KiPo findet, glaubt ihnen ja auch jeder ohne weiteres, dass sie die nicht selber mitgebracht haben.
Das „Krimis“ die in den Medien laufen – und die ggf. auf Basis tatsächlich ereigneter Geschichten basieren, nicht mit der Realität zu vergleichen sind – und sich bestenfalls an diese anlehnen, dürfte jedm klar sein.
Wer einen Blick in die richtigen Bücher, sprich u.a. des StGB oder der StPO wirft, der findet dort die Rechtsgrundlagen unter denen entsprechende Beweise gesammelt, ausgewertet oder auch weitergeleitet (unter Beachtung des Datenschutzes) werden dürfen. Das gilt auch für Telekommunikationsdaten.
Und jeder einigermassen gute Rechtsbeistand – wird (hoffentlich) versuchen, die vorliegenden Beweise richtig zu deuten, und diese bei Bedarf als unzulässig oder nicht verwertbar erklären zu lassen – u.a. weil diese „Dinge“ für den Ausgang eines Verfahrens von Bedeutung sein können.
Ermittler halten sich an die Rechtsstaatlichkeit – denn wenn ihnen nur ein klitzekleiner Fehler unterläuft – könnte der nicht nur für den Ausgang des Verfahrns massgeblich sein, sondern auch für Ärger bei den Ermittlern…
Sorry aber sie leben in einer Traumwelt….. wir haben sicher eine tolle STGB u STPO aber wieviele Richter und Staatsanwälte halten sich daran? Ich persönlich hab eine Verhandlung Verfolgt wo mir persönlich sogar als Laie Aufgefallen ist wie der Richter u Staastanwalt dies Ignoriert haben.
Genauso die Kripo!! Z.b auf nachfrage bei Kripo Beamten warum er nur in eine Richtung ermittelt hat war seine Antwort …Das er dafür kein Auftrag von der Staatsanwaltschaft bekommen hat…..soviel zur Beweisaufnahme. Bester Fall Gustl Mollath oder schaut euch mal…. in den Fängen der Justiz …..an. Sehr Interessant
„Ermittler halten sich an die Rechtsstaatlichkeit – denn wenn ihnen nur ein klitzekleiner Fehler unterläuft – könnte der nicht nur für den Ausgang des Verfahrns massgeblich sein, sondern auch für Ärger bei den Ermittlern…“ Sie wissen schon, dass die Anorndung der StA nur auf Polizeiebene stattgefunden hat und kein Richter dem zugestimmt hat in Deutschland? Hier sind einige Fehler unterlaufen, weshalb es früher oder später eh gekippt wird
Es gibt ein Urteil vom Bundesgerichtshof was eindeutig besagt, dass die Maßstäbe angelegt werden müssen die auch in Deutschland angesetzt werden, bei der Gewinnung von Daten aus dem Internet. Das Urteile ist ein paar Jahre alt vielleicht finde ich es noch.
Ich gebe hier nur meine Meinung wieder, keine Rechtsansicht.
Ich bezweifle dass das in Deutschland auch so hätte abgeschöpft werden dürfen.