Das Strafrecht im Lichte des Internets (Teil 1) – Herausforderungen für das staatliche Handeln

Der vorliegende Beitrag wurde von Carsten K. Klang und Christoph K. Klang erstellt und ist der erste Teil einer zweiteiligen Aufsatzreihe, die die Grundlagen des Internetstrafrechts vermittelt und grundlegende Probleme veranschaulicht, die mit diesem Rechtsgebiet einhergehen.

1. Einführung

In den letzten Jahrzehnten vollzogen sich schwerwiegende technische Veränderungen immer schneller, die auch erheblichen Einfluss auf die gesellschaftliche Entwicklung haben. Informationen und Informationstechnologien kommen eine immer größere Bedeutung zu. Diese Entwicklung setzt sich ungebrochen fort. Davon zeugt nicht zuletzt die zunehmend dichtere Vernetzung technischer Geräte. In der Industrie wird diese Vernetzung von technischen Produkten und der Einbeziehung neuer Technologien unter dem Terminus „Industrie 4.0“ gefasst.1 Aber auch im persönlichen und im öffentlichen Bereich spielt die Vernetzung von Gegenständen, sogenannter Smart Products, unter dem Begriff „Internet der Dinge“ eine immer größere Rolle.2 Die zunehmende Vernetzung von Geräten und der damit steigende Austausch von Daten haben aber auch ihre Schattenseiten. Mit den neuen technischen Entwicklungen gehen auch neue Möglichkeiten einher, Straftaten im und mittels des Internets3 zu begehen. Kein anderer Deliktsbereich verzeichnet eine so stark steigende Kriminalitätsentwicklung.4 Der Ruf nach Reformen hin zu einem modernen Strafrecht, sowie einer Weiterentwicklung der sog. Strafverfolgung 2.0, welche souveräne Antworten auf solche Gefahren vorweisen, ist daher nicht neu.5 Mit dem akuten Voranschreiten der Vernetzung und Digitalisierung der Gesellschaft nimmt dessen Bedeutung jedoch scheinbar stetig zu. Das Internet ist aus dem privaten wie auch aus dem öffentlichen Leben nicht mehr wegzudenken. Daraus folgt allerdings auch, dass das Internetstrafrecht nicht mehr nur als Materie für Spezialisten aufgefasst werden kann.

2. Problemaufriss

Das Internet kann als Verband von Rechnernetzwerken, genauer als ein heterogenes Computernetzwerk, dass auf dem Netzwerkprotokoll TCP/IP fußt, verstanden werden.6 Das World Wide Web stellt dabei nur eine von zahlreichen möglichen Nutzungen des Internets dar. Weitere Internet-Dienste wie beispielsweise E-Mail, InternetRelayChat (IRC) oder Secure Shell (SSH) sind nicht in das World Wide Web integriert. Das Internet bietet eine ständig wachsende Anzahl von Diensten an, die sich unlängst nicht mehr auf den bloßen Nachrichtenverkehr konzentrieren. Informationsbeschaffung, Streaming-Dienste, Internetbanking bis hin zu eigenen Kryptowährungen sind nur einige Beispiele für die zunehmende Etablierung von Informationstechnologie im Alltag. Die Anzahl der Nutzer und der Endgeräte steigt kontinuierlich, gleichermaßen wie die Verbreitung von Schadsoftware, Viren, Würmern und Trojanern.7 Die Anzahl von DDoS-Angriffen nimmt gleichermaßen zu wie das Geschäftsmodell „Cybercrime-as-a-Service“, über den einem breiten Nutzerkreis ohne technische Kenntnisse die Begehung von Cybercrime-Straftaten ermöglicht wird.8 Zu dem komplexen technischen Umfang tritt erschwerend hinzu, dass das Internet besondere Herausforderungen für die herkömmlichen Regulierungsparadigmen von Recht und Staat darstellt. Denn neben der zunehmenden technischen Komplexität treten im Vergleich zum bloßen Computerstrafrecht beim Internetstrafrecht auch noch die Aspekte Globalität und Verantwortlichkeit verschiedener Dienstanbieter hinzu.9

3. Besondere Herausforderungen im Umgang mit dem Internetstrafrecht

Schon der Umgang mit der Internetkriminalität zeichnet sich im Vergleich zu anderen Deliktsbereichen durch ganz eigene Bedingungen für die Strafverfolgungsbehörden aus.

3.1. Tatziele und Angriffspunkte

In der Regel wird bei Benutzung des Internets eine erhebliche Datenspur hinterlassen, die deutlich über die bloße Individualkommunikation hinausgeht. Kommunikationsnetze, Elektrizitätsversorgung, medizinische Geräte und Kraftfahrzeuge funktionieren im vollen Umfang vielfach nur noch, wenn die entsprechende Internetverbindung besteht.10 Mit der Vernetzung der Geräte geht eine gewisse Abhängigkeit vom Internet einher. Diese Abhängigkeit und die Vernetzung selbst stellen potenzielle Angriffspunkte für Kriminelle dar. 2019 beispielsweise sahen sich in Niedersachsen Gemeinden und Landesbehörden zahlreicher Cyberangriffe ausgesetzt, von denen die Angreifer versuchten Bitcoins zu erpressen.11 Da eine Abkehr von der technologischen Entwicklung kaum zweckmäßig oder gewollt sein dürfte, müssen auch staatliche Akteure und insbesondere die Strafverfolgungsbehörden ein entsprechendes gesteigertes und aktuell gehaltenes Fachwissen aufweisen. Es besteht von staatlicher Seite jedoch eine gewisse Sensibilisierung für die Verletzlichkeit entsprechender Systeme, wie eingerichtete Institutionen zur Prävention und ihr Ausbau12, die Errichtung von Schwerpunktstaatsanwaltschaften und die Einstellung von Fachpersonal13 einerseits und die Kooperation mit privaten Unternehmen14 andererseits zeigen. Aber auch der Gesetzgeber versucht zunehmend mit Regelungen zu agieren, die den spezifischen Problemen des digitalen Datenverkehrs Rechnung tragen sollen. So brachte das Land Hessen einen Gesetzentwurf zur Einführung eines Straftatbestandes zum besseren Schutz der Vertraulichkeit und Integrität informationstechnischer Systeme in den Bundesrat ein, „Unbefugte Benutzung informationstechnischer Systeme“ (IT-Hausfriedensbruch).15 Dieser erfuhr jedoch in technischer und fachlicher Hinsicht einige Kritik, da die Gefahr gesehen wurde, dass auch alltägliches Verhalten kriminalisiert werden könnte.16

3.2. Tatwerkzeuge und Informationen zur Tatbegehung

3.2.1. Verfügbarkeit von Tatmitteln

Die zur Begehung von Internetstraftaten erforderlichen Hilfsinstrumente sind weitgehend frei verfügbar. Regelmäßig reichen ein Computer, der über einen Internetanschluss verfügt, und eine entsprechende Software für die Begehung aus. Erschwerend kommt hinzu, dass während auf der einen Seite das schnelle Internet bundesweit ausgebaut wird, auf der anderen Seite die Preise von Computern bei zunehmender Rechenleistung fallen. Die entsprechende Software für die Begehung von Straftaten ist häufig ohne Weiteres im Internet verfügbar.17 Das Internet ist inzwischen die größte freizugängliche Informationsquelle. Auch Anleitungen zur Begehung von Straftaten sind verfügbar.18 Insbesondere Suchmaschinen können zur Unterstützung der Tatvorbereitung genutzt werden. Sie ermöglichen das Auffinden von spezifischen Informationen, wie den Bau eines Sprengsatzes oder das Knacken eines Schlosses. Auch lassen sich über Dienste wie „Google-Earth“ Satellitenbilder von etwaigen Angriffszielen ohne Weiteres anfordern.

3.2.2. Rechtliche Einschränkungen und dual-use-Problematik

Die „Wertschöpfungskette“ von Cyberkriminellen reicht von der Suche nach Schwachstellen über die Entwicklung von Schadsoftware bis zu deren Vertrieb. Ein Gesetz über den allgemeinen Umgang mit gefährlichen Tatwerkzeugen, insbesondere Computerprogrammen, welches diesen Bereich umfassend reguliert, existiert nicht. Die Schaffung eines entsprechenden Tatbestandes dürfte auch schwer realisierbar sein. Die Vorschrift des § 130a StGB (Anleitung zu Straftaten) deckt einzelne Bereiche der Informationsverfügbarkeit ab. Die Vorschrift schützt den öffentlichen Frieden und stellt das Verbreiten oder der Öffentlichkeit zugänglich machen von Informationen, die zu einer allgemeinen Beunruhigung der Bevölkerung der Bundesrepublik führen könnten, unter Strafe.19 Erfasst werden etwa Anleitungen zum „perfekten“ Mord oder zu Sprengstoffanschlägen, die im Internet immer wieder zu finden sind und dort aufgrund der immensen und schwer nachvollziehenden Streuwirkung erheblich schädlicher sein können als Schriften in Papierform. Dagegen sind Anleitungen zur Umgehung von Kopierschutz oder zum Erwerb illegaler Software von § 130a StGB nicht erfasst.20 Diese Handlungen werden allerdings teilweise von § 202c StGB (Vorbereiten des Ausspähens und Abfangen von Daten) erfasst. Schadprogramme, wenn sie sich als solche zweifelsfrei klassifizieren lassen, dürfen unbestimmten Dritter nicht zur Verfügung gestellt werden.21 Die Bedeutung dieses Delikts ist im Hinblick auf die praktische Anwendung jedoch gering. Denn soweit die Software nicht eindeutig dem Zweck der Schädigung verfolgt, wird weder die Verbreitung noch die Herstellung unter Strafe gestellt.22 Die damit einhergehenden Herausforderungen werden unter dem Begriff der dual-use-Problematik diskutiert.23 Vor allem Programme mit hohem Missbrauchspotential, wie Testprogramme von Sicherheitsfirmen, Programmierungen von Systemadministratoren oder Testtools zum Überprüfen der Passwortsicherheit verdeutlichen, dass die Grenzen fließend sind. Weitergehende gesetzgeberische Einschränkungen erscheinen somit nicht zweckmäßig. Bereits die Einführung des § 202c StGB führte zur erheblicher Rechtsunsicherheit, die in mehreren Verfassungsbeschwerden mündete.24 Vor allem die Entwicklung von Software, die potentiell für die Begehung von Straftaten genutzt werden könnte, unter Strafe zu stellen, würde erheblich in die Arbeit von IT-Sicherheitsfirmen und die Ausbildung von Informatikern eingreifen.

3.2.3. Einschränkung des Zugangs zu Computern und zum Internet

Während die strafrechtliche Erfassung des Erstellens und des Zurverfügungstellens von Softwareprodukten und Informationen, die auch für kriminelle Handlungen genutzt werden könnten, sich als problematisch erweist, erscheint auf der anderen Seite die Möglichkeit Einschränkung des Zugangs zu Computern und zum Internet deutlich leichter umsetzbar. Dabei gilt es jedoch zu berücksichtigen, dass bereits der Zugang zum Internet als Ausdruck der allgemeinen Handlungsfreiheit grundgesetzlich von Art. 2 Abs. 1 GG geschützt wird.25 Eine grundlose Einschränkung des Zugangs ist daher nicht ohne Weiteres möglich. Der Druck im Rahmen der Verhältnismäßigkeit dürfte zudem stetig mit der wachsenden Allgegenwärtigkeit des Internets im Alltag steigen.

3.2.3.1. Einziehung und Bewährungsauflagen

Gleichwohl weist das Strafgesetzbuch wirksame Werkzeuge auch im Hinblick auf modernste Technologien auf. So hält sich etwa eine Einziehung gemäß § 74 StGB von Computern, Datenbanken und Servern des Angeklagten im gesetzlichen Rahmen. Auch wenn solche binnen kürzester Zeit wieder angeschafft werden können, so dass Täter, mit dem Hang zur Begehung von Internetstraftaten, schnell wieder sämtliche Tatwerkzeuge beisammen haben können. In der Literatur umstritten26 ist die bereits in der Praxis anzutreffende27 Einziehung von Kryptowährungen wie etwa Bitcoin. Bei einer zur Bewährung ausgesetzten Freiheitsstrafe darf zudem flankierend für die Dauer der Bewährungszeit auch ein Internetverbot ausgesprochen und ein entsprechender Verstoß sanktioniert werden.28 Gemäß § 56c I StGB dürfen dem Verurteilten für die Dauer der Bewährungszeit Weisungen erteilt werden, wenn er dieser Hilfe bedarf, um keine Straftaten mehr zu begehen. Problematisch ist diese Weisung auch hinsichtlich des Grundrechts des Verurteilten aus Art. 5 Abs. 1 GG, nach dem jeder das Recht hat, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Eine Einschränkung ist jedoch durch allgemeine Vorschriften möglich nach Art. 5 Abs. 2 GG. Eine solche allgemeine Vorschrift ist zwar in § 56c StGB zu sehen. Jedoch erscheint es in Hinblick auf Art. 5 Abs. 2 GG und auch aus Aspekten der Rechtssicherheit und -klarheit sinnvoll, die Weisung „Internetverbot“ in den Katalog des § 56c StGB aufzunehmen.

3.2.3.2. Nebenstrafen und präventive Maßnahmen

Bei Verurteilungen zu Geldstrafen und vollstreckbaren Freiheitsstrafen oder der Beendigung der Bewährungszeit sind vergleichbare Ansätze nicht vorhanden. Das Strafrecht lässt zwar die Möglichkeit zu, dass zu den Hauptstrafen zusätzlich Nebenstrafen treten.29 Denkbar sind hier etwa das Fahrverbot (§ 44 StGB), das Verbot der Jagdausübung (§ 41a BJagdG) oder der Verlust der Fähigkeit öffentliche Ämter auszuüben (§ 45 StGB). Ein normiertes „Internetverbot“ als Nebenstrafe existiert dagegen bisher nicht. Einem Verurteilten, dessen Bewährungszeit abgelaufen ist und der mit hoher Wahrscheinlichkeit rückfällig wird, können keine weiteren Auflagen hinsichtlich des Zugangs zu Computern oder zum Internet erteilt werden. Entsprechende präventive Regulierungen sind dem Gesetz allerdings nicht völlig unbekannt. Die nachträgliche Sicherheitsverwahrung im Sinne von § 66b StGB verfolgt vor allem den Zweck die Allgemeinheit zu schützen.30 Dementsprechend ist auch ein effektiver Schutz der Allgemeinheit vor erneuten Internetstraftaten denkbar – durch eine Beschränkung des Zugangs zum Internet. Die Regelung eines Internetverbots würde Lücken zwischen Verurteilungen mit Strafvorbehalt und den echten Bewährungsstrafen schließen. Damit wäre ein effektiver Schutz vor Straftätern vorhanden, die nach vollstreckter Freiheitsstrafe wieder entlassen werden und nicht durch Bewährungsweisungen beschränkt werden. Ein solch umfassendes Internetverbot als Maßregel der Sicherung und Besserung auszugestalten, um befristete oder gegebenenfalls sogar lebenslange Internetverbote festsetzen zu können, würde der Justiz deutlich mehr Handlungsspielraum bieten.31 Weiterhin würde solch eine Regelung eine effektive und moderne Antwort auf die Internetkriminalität darstellen.

Einschränkend müsste ein lebenslanges Internetverbot hingegen mit der Möglichkeit zur Aufhebung ausgestaltet werden. Vorbild könnten die Regelungen der §§ 69, 69a StGB (Entziehung der Fahrerlaubnis und Sperrzeiten) sein. Schließlich entspricht es auch der Schutzpflicht des Staates, die Gesellschaft vor Schäden durch zur Internetnutzung charakterlich nicht geeigneten Menschen zu beschützen. Maßregeln der Besserung und Sicherung bezwecken auch den Schutz der Allgemeinheit.32 Etwaige Gefahrenursachen können durch Maßregeln der Besserung des Straftäters und dessen Sicherung bekämpft werden. In diesem Sinne müsste die charakterliche Eignung darauf bezogen werden, dass der Täter das Internet als Werkzeug benutzt.33 Die entsprechende Maßregel müsste dem verfassungsrechtlichen Übermaßverbot des § 62 StGB genügen, da sie tiefgreifend in Grundrechte des Betroffenen eingreifen.34 Daher wäre eine zeitliche, örtliche oder sachliche Beschränkung notwendig. Ein Straftatbestand, der die Internetnutzung entgegen der Anordnung unter Strafe stellt, wäre zudem eine nützliche Ergänzung.35

3.3. Internationale Dimension: Unabhängigkeit von Tat- und Handlungsort

Die Architektur des Internets bedingt, dass dort begangene Straftaten regelmäßig einen globalen Charakter aufweisen. Delikte werden typischerweise grenzüberschreitend verwirklicht.36 Der Straftäter muss nicht an dem Ort anwesend sein, an dem die Konsequenzen seiner Straftat eintreten. Mit der entsprechenden Internetverbindung kann etwa eine Person in Deutschland über einen Server in Amerika einen Angriff auf ein indisches Krankenhaus durchführen. Das Internet kennt weder zeitliche noch räumliche Grenzen. Insbesondere kriminelle Inhalte können daher weltweit verbreitet werden. Ein deliktisches Handeln kann somit in dem Land, in dem etwa strafbare Inhalte hochgeladen werden, oder in dem Land, in dem solche runtergeladen werden, vorliegen.

3.3.1. Grenzen der Anwendbarkeit deutschen Strafrechts

Bei Straftaten die im oder mittels des Internets begangenen werden, wirft daher auch regelmäßig die Anwendbarkeit deutschen Strafrechts Probleme auf. Die Anwendbarkeit des deutschen Strafrechts begründet sich über den Territorialitätsgrundsatz gemäß § 3 StGB, der einen inländischen Tatort erfordert. Werden also beispielsweise Inhalte allein im Ausland auf einen ausländischen Server abgelegt, besteht kein inländischer Handlungsort im Sinne des deutschen Strafrechts. Folglich ist das deutsche Strafrecht nicht anwendbar. Aus dem im § 9 StGB niedergelegten Ubiquitätsgrundsatz geht hervor, dass normativ der Tätigkeitsort als auch der Erfolgsort als Tatort in Betracht kommen.37 Von einem Tatort im Sinne von § 9 Abs. 1 StGB ist somit dann auszugehen, wenn der konkrete Gefährdungserfolg eines mittels Datenübertragung begangenen Delikts in Deutschland eintritt. Problematisch sieht es aber bei abstrakten Gefährdungsdelikten aus, die einen Gefahrenerfolg nicht vorsehen.38 Bei bloßen Tätigkeitsdelikten würde es nach dem Ubiquitätsprinzip des § 9 StGB zu einer globalen Ausdehnung des deutschen Strafanspruchs und der Verfolgungspflicht des Staates kommen, die erheblich in die Hoheitsrechte anderer Staaten eingreifen würde. In der Rechtsprechung lässt sich eine entsprechende weite Auslegung des Begriffs des Erfolgsorts feststellen. So hat, nicht unumstritten39, der BGH40 einen inländischen Erfolgsort im Zugänglichmachen durch Einrichtung einer Website mit volksverhetzendem Inhalt in Australien erkannt, ohne das Vorliegen einer gezielten Übermittlung von Daten in das Inland noch ein Zugriff eines inländischen Nutzers. Danach tritt ein Erfolg im Sinne von § 9 Abs. 1 StGB bei abstrakt-konkreten Delikten dort ein, wo die Tat ihre Gefährlichkeit für das geschützte Rechtsgut entfalten kann.41 Daneben soll das deutsche Strafrecht Anwendung finden, wenn es sich um Tatbestände handelt, die nach den §§ 5, 6 StGB tatortunabhängig strafbar sind. Dies trift etwa auf die Verbreitung harter Pornographie, Gefährdung des Rechtsstaates oder Hoch- und Landesverrat zu. Ferner unterfallen solche Straftaten dem deutschen Strafrecht, die mittels Internet durch oder gegen einen Deutschen begangen werden, wenn die nach § 7 Ab. 1, 2 Nr. 1 StGB erforderliche Tatortstrafbarkeit an allen berührten Orten besteht. Damit wird deutlich, dass die Regelungen im Hinblick auf das Internetstrafrecht zu konfliktreiche Strafrechtskonkurrenzen mit anderen Ländern führen.

3.3.2. Zusammenwirken einzelner Staaten in der Strafverfolgung

Das völkerrechtliche Souveränitätsprinzip bedingt, dass Ermittlungsmaßnahmen innerhalb des Staatsgebietes eines anderen Staates der vorherigen Zustimmung der dortigen Behörden erfordern.42 Unabhängig von der Zuständigkeit der Gerichte bedarf es daher bereits im Rahmen der Ermittlungsmaßnahmen zwingend internationaler Zusammenarbeit, um auch dem globalen Charakter der Internetkriminalität gerecht werden zu können. Grundlage für die internationale Zusammenarbeit bilden zwischenstaatliche Rechtshilfeabkommen. Formalisierte Abläufe beschleunigen die Zusammenarbeit. Um den Herausforderungen zu begegnen, haben zudem bspw. die Mitgliedsstaaten des Europarats im Rahmen von Art. 25 der Cybercrime Convention sich auf Grundsätze geeinigt, die die Effektivität von Rechtshilfegesuchen erhöhen sollen.43 So wurden insbesondere Vereinbarungen über die Authentifizierung und eine schnelle Kommunikation getroffen.

Da erschwerend hinzu kommt, dass die zur Rückverfolgung von Straftätern notwendigen Daten häufig schon einige Stunden nach der Tathandlung gelöscht werden, wird zudem, um die für Ermittlungen zur Verfügung stehenden Zeitspannen zu erhöhen, darüber diskutiert auch die Reichweite der Vorratsdatenspeicherung zu erhöhen.44

4. Digitale Beweismittel im Strafverfahren

Mit dem Fortschreiten der Informationstechnologie rückt auch vermehrt die Auswertung digitaler Kommunikationsinhalte in den Fokus der Strafverfolgungsbehörden. An die digitalen Kommunikationsinhalte kann auf verschiedene Arten gelangt werden. Neben der Weitergabe durch Privatpersonen können die Behörden im Rahmen gesetzlich vorgesehener Ermittlungsmaßnahmen auch auf die entsprechenden Inhalte direkt zurückgreifen. Im strafrechtlichen Ermittlungsverfahren verfügen die staatlichen Behörden über mehrere Möglichkeiten zur Erlangung digitaler Inhalte. Die StPO hält einen breiten Maßnahmenkatalog, insbesondere in den §§ 94 ff., 110 sowie den §§ 100a ff. vor. Allgemein lässt sich hierbei eine Unterteilung in offene und verdeckte Ermittlungsmaßnahmen vornehmen. Offene Ermittlungsmaßnahmen sind solche, deren Anordnung den davon Betroffenen und den Verfahrensbeteiligten bekannt zu machen ist.45 Im Umkehrschluss dazu sind verdeckte Ermittlungsmaßnahmen diejenigen, die zunächst im Verborgenen bleiben.

4.1. Offene Ermittlungsmaßnahmen

Den §§ 94 ff. StPO lassen sich Ermächtigungsgrundlagen für sog. offene Ermittlungsmaßnahmen entnehmen. In den §§ 94 ff., 110 StPO werden die Durchsicht und die Sicherstellung potenzieller Beweismittel, insbesondere auch solche digitaler Art geregelt.

4.1.1. Durchsicht

Die Durchsicht von Papieren gemäß § 110 StPO ermöglicht, etwa anlässlich einer Durchsuchung beim Betroffenen, die inhaltliche Prüfung, ob die richterliche Beschlagnahme wegen potenzieller Beweisbedeutung zu beantragen ist.46 Zeitlich ist die Maßnahme somit einer Beschlagnahme nach den §§ 94 ff. StPO vorgelagert und obliegt der Staatsanwaltschaft und auf deren Anordnung ihren Ermittlungspersonen. Anders als der Wortlaut der gesetzlichen Überschrift – „Durchsicht von Papieren und elektronischen Speichermedien“ – suggeriert, sind sämtliche elektronischen Datenträger und Datenspeicher von dem Begriff „Papiere“ erfasst.47 Nach § 110 Abs. 3 S. 1 StPO darf die Durchsicht eines elektronischen Speichermediums bei dem von der Durchsuchungsmaßnahme Betroffenen auf hiervon räumlich getrennte Speichermedien erstreckt werden, soweit auf sie von dem Speichermedium aus zugegriffen werden kann und andernfalls der Verlust der gesuchten Daten zu besorgen ist. Damit wird der Tatsache Rechnung getragen, dass Daten immer häufiger auf externen Speichern wie etwa anderen Rechnern oder Servern abgelegt werden (Cloud-computing). Der externe Speicherplatz muss von dem durchsuchten Gerät aus zugänglich sein. Ein etwaig vorhandener Passwortschutz darf mit vorgefundenen Passwörtern überwunden werden. Werden diese nicht freiwillig herausgegeben, ist auch die technische Entschlüsselung durch § 110 Abs. 3 S. 1 StPO erfasst.48 Gemäß Satz 2 dürfen die potenziell beweiserheblichen Daten von den staatlichen Behörden entsprechend gesichert werden.

Dies gilt jedoch nur für räumlich getrennte Speichermedien im Inland. Für die Speichermedien im Ausland gelten hingegen Besonderheiten, da aufgrund des Territorialprinzips die Hoheitsbefugnisse der staatlichen Ermittlungsbehörden nur bis an die deutschen Grenzen reichen. Der Zugriff auf gespeicherte Daten auf ausländischen Servern kann daher grundsätzlich nicht durch die strafprozessualen Ermächtigungsnormen gedeckt sein. Auf offen zugängliche Daten darf gemäß Art. 32 Buchst. a der Cybercrime-Konvention und nach internationalem Gewohnheitsrecht zugegriffen werden. Sind die Daten hingegen nicht frei zugänglich, erfordert die Durchsicht und Sicherung der Daten gemäß Art. 32 Buchstabe b der Cybercrime-Konvention die Zustimmung des Verfügungsberechtigten.

Der Regelfall dürfte allerdings der sein, dass die Daten weder frei zugänglich verfügbar sind noch eine Zustimmung des Verfügungsberechtigten vorliegt. In diesen Fällen ist ein förmliches Rechtshilfeersuchen und damit einer Kooperation der Behörde des Landes, in dem sich der Server befindet - erforderlich.49

In den Fällen von transnationalem Cloud Computing, bei dem nicht feststellbar ist, in welchem Hoheitsgebiet die Speicherung erfolgt, ist der Zugriff auf das externe Speichermedium jedenfalls dann von § 110 Abs. 3 StPO abgedeckt, in denen der Zugriff über den Computer des Inhabers des Cloud-Accounts erfolgt. Die bloße Möglichkeit, dass Daten sich im Ausland befinden könnten, löst keine Rechtshilfeverpflichtung aus. Zumal kaum geklärt werden könnte, wohin diese zu richten wäre.50

4.1.2. Sicherstellung

Die Sicherstellung nach § 94 Abs. 1 StPO ermächtigt, Gegenstände, die als Beweismittel für die Untersuchung von Bedeutung sein können, in Verwahrung zu nehmen oder in anderer Weise sicherzustellen. Gemäß § 94 Abs. 2 StPO bedarf es der Beschlagnahme, wenn sich die Gegenstände im Gewahrsam einer Person befinden und diese sie nicht freiwillig herausgegeben will. Gegenstände einer Sicherstellung können zum einen bewegliche Gegenstände sein, so dass neben Computern und Smartphones auch etwaige Speichermedien (Festplatten, CDs, Ton- und Bildträger) erfasst werden. Zum anderen sind aber auch unkörperliche Gegenstände – also die digital gespeicherten Informationen selbst – von der Vorschrift erfasst.51 Von der Sicherstellung eingeschlossen ist die Möglichkeit der Sicherstellung der entsprechenden Hilfsmittel zu ihrer Sichtbarmachung.52 Damit ist die Sicherstellung digital gespeicherter Informationen, die sich auf den jeweiligen Datenträger befinden, möglich.53 Allerdings kann auf die Sicherstellung etwaiger Datenträger verzichtet werden, da auch die Sicherstellung durch digitale Übermittlung des Datensatzes an die Staatsanwaltschaft von § 94 StPO erfasst wird.54

Ferner erachtet das BVerfG die §§ 94 ff. StPO als gültige Ermächtigungsgrundlage für die Sicherung und Beschlagnahme jeglicher Kommunikationsdaten, wenn die Ermittlungsmaßnahme nicht heimlich, lediglich punktuell und nicht längerfristig, außerhalb eines laufenden Kommunikationsvorgangs und bei bestehender Einwirkungsmöglichkeit des Betroffenen auf den Datenbestand erfolgt.55 Umfasst sei somit die Sicherstellung von E-Mails, die auf dem Mailserver des Providers zwischen- oder endgespeichert sind, sowie dort gespeicherte Verkehrsdaten.56

4.1.3. Flankierende Vorschriften zu § 94 StPO

Auch die den § 94 StPO flankierenden Vorschriften werden durch die Besonderheiten der Datensicherung berührt. Neben dem Zugriff auf amtlich verwahrte Schriftstücke (§ 96 StPO), die Beschlagnahmeverbote (§ 97 StPO) und das Verfahren der Beschlagnahme (§ 98 StPO) trifft dies insbesondere auf die Herausgabepflicht eines beschlagnahmefähigen Gegenstands nach § 95 StPO zu. Bei der Herausgabepflicht von Daten stößt der Zugriff aufgrund moderner Verschlüsselungssysteme häufig auf praktische Schwierigkeiten. In Papierform oder als Datei vorhandene Zugangscodes müssen von unverdächtigen Dritten nach § 95 Abs. 1 StPO herausgegeben werden.57 Gleiches gilt m.E. nach für elektronische Signaturcodes. Im Übrigen sind Gewahrsamsinhaber aus §§ 48 Abs. 1 S. 2, § 161a Abs. 1 S. 1 StPO verpflichtet, ihnen bekannte Zugangscodes oder deren Aufbewahrungsorte anzugeben.58

4.1.4. Überwindung biometrischer Sicherungsmaßnahmen

Immer häufiger sind technische Geräte auch über biometrische Sperrmaßnahmen gesichert, die einen Scan des Fingerabdrucks oder einer Iris erfordern, um die auf dem Gerät vorhandenen Daten zu erlangen. Gemäß § 100g StPO ist es zwar möglich, auf Verkehrsdaten des jeweiligen Telekommunikationsanbieters zuzugreifen. Diese Verkehrsdaten bieten aber nur einen begrenzten Überblick über die Kommunikation und bestehen gerade nicht aus den häufig wesentlich relevanteren Inhaltsdaten, wie Chatverläufe, Fotos oder etwaige Schriftstücke. Als Befugnisnorm für die Duldung der Entsperrung eines entsprechend gesicherten Geräts kommt § 81b StPO in Betracht. Gemäß § 81b StPO dürfen, soweit es für die Zwecke der Durchführung des Strafverfahrens oder für die Zwecke des Erkennungsdienstes notwendig ist, Lichtbilder und Fingerabdrücke des Beschuldigten auch gegen seinen Willen aufgenommen und Messungen und ähnliche Maßnahmen an ihm vorgenommen werden. Das Überwinden von Sperrmaßnahmen dient zwar nicht dem Zwecke des Erkennungsdienstes, jedoch ist zu berücksichtigen, dass eine Vielzahl von Befugnissen der StPO nicht nur die in der Norm genannten Maßnahmen zulassen.

§ 81a StPO ermächtigt nicht nur zur Blutabnahme sondern auch zur sachverständigen Auswertung der Blutprobe. § 94 StPO ermächtigt nicht nur zur Sicherstellung sondern auch zur Auswertung und Verwendung, wie etwa das Auffinden etwaiger Passwörter.59

Dem gleichen Gedanken folgend lässt § 81b StPO nicht nur die Abnahme von Fingerabdrücken, sondern auch deren Verwendung zur Überwindung biometrischer Sicherheitsmaßnahmen zu.60

4.1.5. Datenauswertung

Für die Datenauswertung selbst hält die StPO keine Regelungen vor. Auf Grund der Komplexität und der ständigen technischen Weiterentwicklung existieren keine standardisierten technischen Verfahren, vielmehr richten sich die Maßnahmen an der Erforderlichkeit aus.61

4.2. Verdeckte Ermittlungsmaßnahmen

Mit den §§ 100 ff. StPO sind einheitliche Regelungen geschaffen worden für sämtliche eingriffsintensiveren verdeckten Ermittlungsmaßnahmen, die verfassungsrechtlich gebotene grundrechtssichernde Verfahrensregelungen vorsehen.62 Exemplarisch sind dies vor allem die Rasterfahndung, Postbeschlagnahme, Telekommunikationsüberwachung, akustische Überwachung innerhalb und außerhalb von Wohnungen, Verkehrsdatenerhebung, technische und langfristige Observation, Einsatz Verdeckter Ermittler, Schleppnetzfahndung und die Ausschreibung zur polizeilichen Beobachtung. Hervorzuheben sind für den Bereich des Internetstrafrechts die Online-Durchsuchung und der heimliche Einsatz staatlicher Spionage-Software (Staatstrojaner), mit denen das Auslesen von Kommunikation an der Quelle (Quellen-TKÜ) ermöglicht wird.

4.2.1. Telekommunikationsüberwachung und Quellen-TKÜ

Rechtsgrundlage für Telekommunikationsüberwachung (TKÜ) und Quellen-TKÜ ist § 100a StPO. Mit der Quellen-TKÜ werden Daten schon im Rechner des Absenders abgegriffen, bevor eine Verschlüsselung für den Transport erfolgt.63 § 100a StPO erfasst nicht nur das heimliche Abhören der Telefonleitung sondern erstreckt sich bspw. auch auf Messengerdienste oder die Überwachung des Surfverhaltens im Internet.64

4.2.1.1. Voraussetzungen

Die TKÜ und Quellen-TKÜ dürfen durchgeführt werden, wenn

  1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in § 100a Abs. 2 StPO bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat,
  2. die Tat auch im Einzelfall schwer wiegt und
  3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.

Absatz 2 enthält sodann einen umfassenden Straftatenkatalog.

Grundsätzlich darf sich nach § 100a Abs. 3 S. 1 StPO die Maßnahme nur gegen den Beschuldigten richten. Ein Eingriff in informationstechnische Systeme anderer Personen ist nur ausnahmsweise zulässig. Dies ist nur statthaft, wenn auf Grundlage bestimmter Tatsachen davon auszugehen ist, dass

  1. die andere Person für den Beschuldigten bestimmte oder von ihn herrührende Mitteilungen entgegennimmt oder weitergibt oder
  2. der Beschuldigte den Anschluss oder das informatorische System der anderen Person benutzt.

Dabei muss hervorgehoben werden, dass abhängig von der Auslegung des Begriffs der „Benutzung“, Betroffener einer solchen Maßnahme jeder sein kann, der mit dem Beschuldigten informationstechnisch verbunden ist. Faktisch handelt es sich dabei um eine sehr weitgefasste Rückausnahme vom Grundsatz des § 100a Abs. 3 S. 1 StPO.

4.2.1.2. Umfang der Befugnis

Neben dem „klassischen“ Abhören dürfen Überwachung und Aufzeichnung der Telekommunikation auch durch die technische Manipulation erfolgen. Es darf mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen werden, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen. Die gespeicherten Inhalte und Umstände der Kommunikation auf dem informationstechnischen System des Betroffenen dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.65

4.2.2. Onlinedurchsuchung

§ 100b Abs. 1 StPO ermächtigt, auch ohne Wissen des Betroffenen mit technischen Mitteln in ein von dem Betroffenen genutzten informationstechnischem System einzugreifen und Daten daraus zu erheben.

4.2.2.1. Tatbestandlichen Voraussetzungen

Die Onlinedurchsuchung darf durchgeführt werden, wenn

  1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in § 100b Abs. 2 StPO bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat,
  2. die Tat auch im Einzelfall schwer wiegt und
  3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.

Absatz 2 enthält sodann einen umfassenden Straftatenkatalog, der auch besonders schwere Fälle der Steuerhinterziehung oder die Verleitung zur missbräuchlichen Asylantragstellung umfasst.

Auch bei der Onlinedurchsuchung darf sich nach § 100b Abs. 3 S. 1 StPO die Maßnahme nur gegen den Beschuldigten selbst richten und ist nur ausnahmsweise zulässig. Nach § 100 Abs. 3 S. 2 StPO ist ein Eingriff in informationstechnische Systeme anderer Personen nur statthaft, wenn auf Grundlage bestimmter Tatsachen davon auszugehen ist, dass

  1. der Beschuldigte informationstechnische Systeme der anderen Person benutzt und
  2. der Zugriff auf das informationstechnische System des Beschuldigten alleine nicht zur Erforschung des Sachverhalts oder zur Ermittlung des Aufenthaltsorts eines Mitbeschuldigten führen wird.66

Faktisch handelt es sich auch hier um eine sehr weitgefasste Rückausnahme von Grundsatz des § 100b Abs. 3 S. 1 StPO, ähnlich wie im § 100a StPO.

4.2.2.2. Umfang der Befugnis

Umfasst werden einerseits das Eindringen in das jeweilige informationstechnische System und andererseits die Datenerhebung. Wie auch bei den offenen Ermittlungsmaßnahmen, stehen grundsätzlich alle Funktionen des informationstechnischen Systems zur Verfügung. Neben dem Rückgriff auf Festplatten, Speichermedien und Clouds dürften etwa auch die Übernahme von Mikrofonen und Kameras digitaler Sprachassistenten wie beispielsweise Alexa, Echo oder Siri erfasst sein.67 Der Umfang der Zugriffsmöglichkeiten durch die Norm wächst faktisch mit der zunehmenden Vernetzung, unabhängig davon, ob es sich nun um einen modernen Arbeitsplatz oder aber das eigene Smart Home handelt.

4.3. Staatstrojaner

Quellen-TKÜ und Onlinedurchsuchung gestatten gleichermaßen, mit dem Eingriff durch technische Mittel die Nutzung von Spionagesoftware, wie etwa Staatstrojanern. Dabei handelt es sich um Programme, die den zeitweiligen Zugang zu den Zielsystem oder deren dauerhafte Überwachung ermöglichen.68 Sofern die Durchsuchung der informationstechnischen Geräte nicht durch etwa das Betreten der Wohnung oder die Manipulation von Nutzern erfolgt, ist die Infiltration eng mit der Ausnutzung von IT-Sicherheitslücken verbunden. Der Einsatz erweist sich somit im Vorfeld aus rechtlicher Sicht als problematisch. Das Betreten der Wohnung durch einen verdeckten Ermittler zum Zweck der Installierung eines Staatstrojaners stellt einen Eingriff in Art. 13 GG dar und wird nicht als „klassische Begleitmaßnahme“ von §§ 100a, 100b StPO erfasst. Dem Täuschen des Nutzers zum Zwecke der IT-Manipulation sind ebenfalls rechtliche Grenzen gesetzt. Es muss der Grundsatz der Selbstbelastungsfreiheit aus Art. 136 Abs. 1 S. 2 StPO berücksichtigt werden. Das Beweisverwertungsverbotes bei Täuschungen, die Einfluss auf die Freiheit der Willensentschließung und der Willensbetätigung des Beschuldigten aus § 136a StPO muss berücksichtigt werden. Ferner muss der Grundsatz des fairen Verfahrens, der auch eine Instrumentalisierung des Beschuldigten als Werkzeug gegen sich selbst verbietet, eingehalten werden.

4.4. Staatliche Interessenskonflikte

Um staatliche Schadsoftware, wie Staatstrojaner, per Fernzugriff in ein informationstechnisches System zu schleusen, sind Sicherheitslücken im informationstechnischen System des Empfängers erforderlich. Damit kann grundsätzlich von einem Interesse der Strafverfolgungsbehörden ausgegangen werden, etwaige den Staat bekanntgewordene Sicherheitslücken nicht zu schließen. Das Interesse an einer unsicheren IT-Infrastruktur gefährdet jedoch die IT-Sicherheit in seiner Gesamtheit. Damit liegt eine erhebliche staatliche Interessenkollision vor. Art. 2 Abs. 1 GG umfasst auch das sog. IT-Grundecht und beinhaltet damit die staatliche Schutzpflicht von IT-Systemen zu gewährleisten.69 Ferner hat sich die Bundesrepublik Deutschland auch einfachgesetzlich im Sinne dieser Schutzpflicht dazu bekannt, die IT-Sicherheit zu fördern und zu schützen.70 Darüber hinaus hat sich die Bundesrepublik Deutschland mit dem Paris Call for Trust and Security in Cyberspace auch einer internationalen Übereinkunft angeschlossen, welche die Bekanntmachung und Schließung von IT-Sicherheitslücken unterstützt.71
Nicht zuletzt im Hinblick auf diesen Widerspruch sieht sich der Einsatz von Staatstrojaner einer erheblichen Kritik ausgesetzt, der sich von kontroversen Diskussionen im Bundestagsrechtsausschuss72 bis hin zu mehreren Verfassungsbeschwerden vor dem BVerfG73 wiederspiegelte.

5. Resümee

Der Umgang mit der Internetkriminalität stellt den Staat und vor allem seine Strafverfolgungsbehörden vor nicht unerhebliche Herausforderungen. Im Einzelnen lassen sich vor allem Optimierungsmöglichkeiten im Bereich der Auflagen und der Nebenstrafen im StGB erkennen. Hier könnte bspw. der Katalog im Bereich des Bewährungsrechts um ein „Internetverbot“ in der Bewährungszeit erweitert werden. Auch ein begrenzbarer Zugang zum Internet als Strafe für Delikte mit Internetbezug könnte erwogen werden. Dabei ist jedoch zu beachten, dass die zunehmende Vernetzung und mithin die Teilhabe des Verurteilten am täglichen Leben den Rechtfertigungsdruck einer solchen Maßnahme stetig erhöhen. Damit korreliert auf der anderen Seite ein starker staatlicher Wille, auch auf dem relativ jungen Gebiet des Internetstrafrechts durch neue weitreichende Befugnisse einerseits und andererseits durch eine erhebliche Ausweitung der Gerichtszuständigkeiten die Regulierungshoheit beizubehalten. Insbesondere neue gesetzliche Regelungen auf diesem Gebiet erfordern ein steten juristischen Pendelblick zwischen faktischer Umsetzbarkeit und rechtlich Möglichen.

Literaturverzeichnis
Zitierte Literatur: 
  • Albrecht, Michael: Die Kriminalisierung von Dual-Use-Software, Schriftenreihe des Max-Planck-Instituts für ausländisches und internationales Strafrecht. Reihe S: Strafrechtliche Forschungsberichte (MPIS), Band 144, 2014. XVII, 297 S.
  • Auer-Reinsdorff, Astrid/Conrad, Isabell: Handbuch IT- und Datenschutzrecht, 2. Auflage, 2016 München
    Zit.: Bearbeiter in Auer-Reinsdorff/Conrad, §… Rn…
  • Bäumerich, Maik, NJW 2017, S. 2717 – 2722
  • Beukelmann, Stephan, NJW-Spezial 2017, S. 440
  • Bräutigam, Peter/Klindt, Thomas, NJW 2015, S. 1137– 1142
  • Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland 2017
  • Bundeskriminalamt: Cybercrime Bundeslagebild 2018
  • Derin, Benjamin/Golla, Sebastian J., NJW 2019, 1111
  • Ernsthaler, Jürgen, NJW 2016, S. 3473- 3478
  • Fischer, Thomas: Strafgesetzbuch mit Nebengesetzen, 66. Auflage, 2019 München
  • Gericke, Marco, JA 2007, S. 839-844
  • Goger, Thomas, MMR 2016, S. 431 -434
  • Gerke, Björn/Julius, Karl-Peter/Temming, Dieter/Zöller, Mark: Strafprozessordnung (Heidelberger Kommentar), 6. Auflage 2019 Heidelberg
    Zit.: Bearbeiter in GJTZ, §… Rn
  • Heißl, Gregor, DÖV 2016, S. 588-594
  • Hilgard, Mark C.: Schriftenreihe der Stiftung der Hessischen Rechtsanwaltschaft Bd. 8
    Zit. Bearbeiter in Schriftenreihe der Stiftung der Hessischen Rechtsanwaltschaft Bd. 8, S.
  • Hilgendorf, Eric/Frank, Thomas/Vaerius, Brian: Computer- und Internetstrafrecht - Ein Grundriss, 2005 Heidelberg
  • Jarass, Hans/Pieroth, Bodo: Grundgesetz für die Bundesrepublik Deutschland, 15. Auflage, München 2018
  • Joecks, Wolfgang/ Miebach, Klaus: Münchener Kommentar zum StGB, 3. Auflage, 2016 München
    Zit. Bearbeiter in MüKo, §… Rn…
  • Knauer, Christoph/Kudlich, Hans/Schneider, Hartmut: Münchener Kommentar zur Strafprozessordnung, 1. Auflage München 2014
    Zit.: Bearbeiter in MüKoStPO, § …Rn...
  • Kudlich, Hans, JA 2009, S. 739-741
  • Krumm, Carsten, ZRP 2011, S. 152-154
  • Luch, Anika/Schulz, Sönke, MMR 2013, S. 88-93
  • Meyer-Goßner, Lutz/Schmitt, Bertram: Beck’scher Kurzkommentar Strafprozessordnung, 62. Auflage 2019 München
    Bearbeiter in: Meyer-Goßner/Schmitt, StPO, § … Rdnr…
  • Rückert, Christian, MMR2016, S. 295 – 300
  • Schönke, Adolf/Schröder, Horst: Strafgesetzbuch Kommentar, 30. Auflage, 2019 München
    Zit.: Bearbeiter in Schönke/Schröder, §… Rn…
  • Sieber, Ulrich, NJW-Beil. 2012, S. 86-90