HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
Aug./Sept. 2022
23. Jahrgang
PDF-Download
Aufsätze und Entscheidungsanmerkungen
Ein kritischer Blick auf den EncroChat-Beschluss des 5. Strafsenats des BGH
Von RA Hans Meyer-Mews, Bremen[*]
I. Einleitung
Am 2. März 2022[1] hat der 5. Strafsenat des Bundesgerichtshofs im Beschlusswege entschieden, dass die von den französischen Ermittlungsbehörden gehackte EncroChat-Kommunikation in deutschen Strafprozessen als Beweis zugelassen ist. Der BGH nimmt dabei in Abrede, dass es sich bei den abgeschöpften EncroChat-Daten um eine anlasslose Massenüberwachung und Massendatenauswertung handelt; ein Beweisverwertungsverbot wegen der Rechtsverstöße gegen rechtshilferechtliche Bestimmungen käme nur in Betracht, wenn es sich dabei um die Verletzung individualschützender Normen handeln würde, was indessen bei den im Wege der Rechtshilfe überlassenen EncroChat-Daten nicht der Fall gewesen sei.[2] Der auf 47 Seiten ausführlich, aber eben nicht umfassend begründete Verwerfungsbeschluss des 5. Strafsenats ist durchaus fragwürdig.
Der 5. Strafsenat hat über die Verwertbarkeit der gehackten EncroChat-Kommunikation und damit über neues Recht durch Beschluss entschieden. Das ist nach der Rechtsprechung des BVerfG so zumindest nicht vorgesehen. Danach kann eine Revision durch Beschluss nur verworfen werden, wenn für jeden Sachkundigen ohne längere Prüfung erkennbar ist, dass das Urteil in sachlich-rechtlicher Hinsicht keine Fehler erkennen lässt und auch die erhobenen Rügen der Revision nicht zum Erfolg verhelfen können.[3] Diese Voraussetzungen liegen regelmäßig nicht vor, wenn mit der Revision neue Rechtsfragen aufgeworfen werden, die im Schrifttum und in der Judikatur unterschiedlich beurteilt worden sind. Es stellt sich schon die Frage, welche apokryphen Gründe dafür maßgebend gewesen sein mögen, eine Grundsatzentscheidung[4] im Beschlusswege zu treffen.
Zu den deutschen und auch völkervertragsrechtlichen Verfahrensgrundrechten gehört der Rechtsschutz durch Verfahren in Freiheitsentziehungsverfahren. Danach kann gemäß Art. 104 I GG die Freiheit der Person nur aufgrund eines förmlichen Gesetzes und nur unter Beachtung der darin vorgeschriebenen Formen beschränkt werden. Auch nach Art. 5 I EMRK darf die Freiheit nur in den in Art. 5 I 2 EMRK katalogisierten Fällen und nur auf die gesetzlich vorgeschriebene Weise entzogen werden. Dieser Rechtsschutz durch Verfahren gilt nach einer Literaturmeinung nur in den Fällen, in denen die betreffende Verfahrensvorschrift zumindest auch dem Schutz des Beschuldigten dient[5]; nach anderer Ansicht ist dieses Verfahrensgrundrecht nur verletzt, wenn das Urteil auf dem Verstoß gegen verfahrensrechtliche Bestimmungen beruht.[6] Der 5. Strafsenat des Bundesgerichtshofs hat sich jedenfalls implizit der zuerst genannten Theorie angeschlossen, indem er ausführt, dass die den französischen und den deutschen Behörden anzulastenden Rechtsverstöße im Rechtshilfeverkehr keinen individualschützenden Charakter hätten, die verletzten Verfahrensvorschriften mit anderen Worten nicht dem Schutz der Beschuldigten dienten. Selbst wenn dem Bundesgerichtshof im Ausgangspunkt seiner Überlegungen zu folgen wäre, so geht doch die von ihm daraus gezogene Schlussfolgerung – wie nachfolgend aufzuzeigen sein wird – geradezu grandios fehl.
Nachfolgend sollen einige bemerkenswerte Feststellungen, die der 5. Strafsenat in seinem EncroChat-Beschluss vom 2. März 2022 getroffen hat, erörtert werden, wobei die folgenden Ausführungen keinen Anspruch auf Vollständigkeit erheben.
II. Rechtsgrundlagen
1. § 100b StPO oder §§ 161, 261 StPO?
a) §§ 161, 261 StPO
Dem Beschluss des 5. Strafsenats des BGH vom 2. März 2022 zufolge ist die "verfassungsgemäße Rechtsgrundlage für die Verwertung in der Hauptverhandlung erhobener Beweise § 261 StPO, unabhängig davon, ob diese zuvor im Inland oder auf sonstige Weise – etwa im Wege der Rechtshilfe – erlangt worden
sind"[7] Diese Überzeugung stützt der 5. Strafsenat auf BVerfGE 130, 1. Dort heißt es: "Rechtsgrundlage für die Beweisverwertung in einem strafgerichtlichen Urteil ist § 261 StPO (…)"[8] Nach § 261 StPO wird das Urteil aus dem Inbegriff der Hauptverhandlung geschöpft. Daran besteht kein Zweifel. Fraglich bleibt aber, was Inbegriff der Hauptverhandlung sein darf. Es gilt der Strengbeweis, danach wird in der Hauptverhandlung nur durch Zeugen, Sachverständige, Urkunden und durch Augenschein Beweis erhoben, wobei es für Beweiserhebungen, die mit Eingriffen in Grundrechte verbunden sind, jeweils einer speziellen gesetzlichen Eingriffsgrundlage bedarf. Verschiedene Oberlandesgerichte haben als Eingriffsgrundlage die strafprozessuale Ermächtigung zur Online-Durchsuchung gemäß § 100b StPO erwogen.[9] Der BGH lässt allerdings offen, ob § 100b StPO als gesetzliche Grundlage für die Verwertung der EncroChat-Kommunikation in Frage kommt, um dann weiter unten auszuführen, dass angesichts der Verdachtslage die Einleitung eines Ermittlungsverfahrens gegen Unbekannt wegen des Verdachts schwerer Betäubungsmittelstraftaten im Sinne eines Anfangsverdachts plausibel sei. Auf dieser Grundlage sei die GStA Frankfurt a. M. befugt gewesen, gemäß § 161 I StPO eine Europäische Ermittlungsanordnung zu erlassen, die auf eine umfassende Übermittlung sämtlicher Daten mit Bezug auf typischerweise im Rahmen organisierter Kriminalität begangene strafbare Handlungen im deutschen Staatsgebiet gerichtet war.[10] Nach § 161 I StPO ist die StA u. a. befugt, bei einem bestehenden Verdacht einer Straftat zur Erforschung des Sachverhalts, von allen Behörden Auskunft zu verlangen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.
Die aus § 161 I StPO folgende Ermittlungsbefugnis setzt nach h. M. zumindest einen Anfangsverdacht voraus.[11] Auch ein Anfangsverdacht muss schon mit konkreten Tatsachen untermauert sein[12], vage Anhaltspunkte und bloße Vermutungen genügen dagegen nicht.[13] So liegt es aber hier. In der Europäischen Ermittlungsanordnung (= EEA) der GStA Frankfurt vom 2. Juni 2020 heißt es dazu:
"Das Bundeskriminalamt wurde über Europol informiert, dass in Deutschland eine Vielzahl schwerster Straftaten (insbesondere Einfuhr und Handeltreiben mit Betäubungsmitteln in nicht geringen Mengen) unter Nutzung von Mobiltelefonen mit der Verschlüsselungssoftware ‚EncroChat‘ begangen werden. In diesem Zusammenhang ersuchen wir die französischen Justizbehörden, die unbeschränkte Verwendung der betreffenden Daten bezüglich der über EncroChat ausgetauschten Kommunikation in Strafverfahren gegen die Täter zu genehmigen."
Weiter heißt es in der EEA der GStA Frankfurt a. M. vom 2. Juni 2020:
"Es besteht der Verdacht, dass bisher nicht identifizierte Personen in Deutschland unter Nutzung kryptierter Kommunikationsmittel schwerste Straftaten planen und begehen, insbesondere Betäubungsmittel in nicht geringen Mengen nach Deutschland einführen und hiermit im Bundesgebiet Handel treiben."[14]
Ein auf konkrete Tatsachen, die auf eine oder mehrere von anderen abgrenzbaren Taten hindeuten gestützter Tatverdacht, lag danach der EEA vom 2. Juni 2020 nicht zugrunde.
Der § 161 I StPO schränkt die allgemeine Ermittlungsbefugnis zudem noch weiter ein. Das Auskunftsverlangen der StA besteht nur, soweit nicht andere gesetzliche Vorschriften die Befugnisse der StA besonders regeln. Sind Grundrechtseingriffe, wie etwa Eingriffe in Art 7, 8, 10, 11 GRCh, Art 1, 2, 6, 10, 13 GG mit dem Auskunftsverlangen der StA verbunden, so bedarf es hierfür einer besonderen normenklaren und ausreichend bestimmten gesetzlichen Grundlage. Diesem Gesetzlichkeitserfordernis ist nicht mit der Berufung auf § 161 StPO Genüge getan. Ein Auskunftsverlangen, das Erkenntnisse aus Eingriffen in informationstechnische Systeme betrifft, wäre nur zulässig, wenn eine entsprechende Maßnahme unter gleichen Bedingungen auch in einem deutschen Strafverfahren zulässig gewesen wäre. Nichts anderes ergibt sich aus der bisherigen Rechtsprechung des BGH.[15] Nichts anderes ergibt sich aus der neueren Rechtsprechung des BVerfG. Danach kommt es stets darauf an, ob die personenbezogenen Daten nach dem Grundsatz der hypothetischen Datenneuerhebung, nach verfassungsrechtlichen Maßstäben auch für den geänderten Zweck – hier zur Strafverfolgung – neu erhoben werden dürften.[16]
Das Ausspähen der gesamten EncroChat-Kommunikation wäre, wie nachfolgend zu zeigen sein wird, insbesondere zum Zweck der Strafverfolgung nach deutschem Recht unzulässig.
b) § 100b StPO
Eine unterschiedslose und massenhafte Überwachung eines Messenger-Dienstes auf deutschem Boden könnte sich nicht auf § 100b StPO, in dem die Voraussetzungen der Onlinedurchsuchung geregelt sind, stützen.
Für eine Online-Durchsuchung i. S. d. § 100b StPO wird nämlich vorausgesetzt, dass bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder
Teilnehmer eine besonders schwere Straftat begangen hat. Das erfordert ex ante einen über den Anfangsverdacht hinausgehenden qualifizierten Tatverdacht.[17] Die Maßnahme darf sich grundsätzlich nur gegen den Beschuldigten richten (§ 100b III StPO).[18] In Ausnahmefällen darf sich eine Maßnahme nach § 100b StPO auch gegen Dritte richten (§ 100b III S. 2 StPO). Gegen eine unbekannte Personenmehrheit darf sich die Maßnahme gerade nicht richten. Die Maßnahme wäre mithin nach deutschem Recht nicht zulässig. Mit dieser Frage hat sich auch der 5. Strafsenat auseinandergesetzt und dazu Folgendes ausgeführt:
"Da es nicht um die Anordnung einer eigenen Ermittlungsmaßnahme geht, die erst noch von einem Mitgliedstaat im Ausland vollstreckt werden soll, sondern nur um den Transfer bereits vorliegender Beweismittel, hängt die Zulässigkeit einer Europäischen Ermittlungsanordnung deshalb in Fällen wie dem vorliegenden nicht davon ab, ob die zugrunde liegende Ermittlungsmaßnahme nach deutschem Recht (etwa §§ 100a, 100b StPO) rechtmäßig hätte ergehen können (…)."[19]
Durch diese Ausführungen hat der 5. Strafsenat die Gesetzeslage zumindest nicht vollständig im Blick gehabt. Die GStA Frankfurt a. M. hat am 2. Juni 2020 eine in Frankreich ausgelesene und gespeicherte, aber auf deutschem Boden geführte EncroChat-Kommunikation betreffende EEA erlassen. Die Voraussetzungen hierfür sind in Art. 6 I b EEA-RL[20] , §§ 59 III, 91j IRG analog geregelt; danach muss die in dem ausgehenden Ersuchen angegebene Ermittlungsmaßnahme in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen angeordnet werden können.[21]
Diese Vorschriften hat der 5. Strafsenat, worauf zu Recht Cornelius[22] hingewiesen hat, bei seiner Entscheidung nicht berücksichtigt.[23] Die GStA Frankfurt a. M. war nicht befugt, eine EEA zu erlassen, weil eine mit dem unterschiedslosen und massenhaften Auslesen der EncroChat-Kommunikation vergleichbare Maßnahme nach deutschem Recht nicht hätte angeordnet werden dürfen.
Nach der Rechtsprechung des BVerfG macht zwar allein die fehlerhafte Auslegung eines Gesetzes die daraufhin ergangene Gerichtsentscheidung noch nicht willkürlich. Willkür liege, so das BVerfG, aber dann vor, wenn eine offensichtlich einschlägige Norm nicht berücksichtigt oder der Inhalt einer Norm in krasser Weise missdeutet wird.[24] Der 5. Strafsenat hat bei seiner Entscheidungsfindung die für ausgehende Rechtshilfeersuchen offensichtlich die einschlägigen gesetzlichen Vorschriften, nämlich Art. 6 I b EEA-RL §§ 59 III, 91j IRG, nicht berücksichtigt, ja noch nicht einmal erwähnt. Das ist gemessen an der Rechtsprechung des BVerfG zu Art. 3 GG äußerst bedenklich.
2. Maßgeblicher Zeitpunkt für die Beurteilung der Verdachtslage
Die gedankliche Schwäche in der Argumentationsführung in Bezug auf § 161 StPO und § 261 StPO hat der 5. Strafsenat des BGH in seinem Beschluss vom 2. März 2022 offenbar erkannt und dazu Folgendes ausgeführt:
"Für diese Prüfung ist auf den Erkenntnisstand im Zeitpunkt der Verwertung der Beweisergebnisse abzustellen (…). Insoweit kommt es nicht auf die Rekonstruktion der Verdachtslage im Anordnungszeitpunkt, sondern auf die Informationslage im Verwendungszeitpunkt an (…). Dem Gedanken des hypothetischen Ersatzeingriffs ist bereits dadurch Genüge getan, dass die Daten nunmehr im Strafverfahren zur Klärung eines Verdachts einer Katalogtat verwendet werden sollen (…) und sich die qualifizierte Verdachtslage aus den vorhandenen Daten ergibt."[25]
Entgegen der Ansicht des 5. Strafsenats folgt im Strafverfahren der Beweis dem Verdacht und nicht der Verdacht dem Beweis. Ermittlungshandlungen, die erst zum Verdacht führen sollen, also einem Tatverdacht vorausgehen, sind dem Strafverfahrensrecht fremd. Das hat der 5. Strafsenat leider übersehen.
Eine allgemeine verdachts- und unterschiedslose Verarbeitung personenbezogener Daten im Strafverfahren wäre nach dem Beschluss des 5. Strafsenats unbedenklich, wenn zwar bei Anordnung der Maßnahme kein konkretisierbarer oder gar qualifizierter Tatverdacht vorlag und sich die Maßnahme gerade nicht gegen eine bestimmte Person oder einen bestimmten Personenkreis richtete, sich dieser aber – nach Auswertung der so gewonnenen personenbezogenen Daten – im Zeitpunkt der Verwendung in einem Ermittlungsverfahren, welches sich gegen Beschuldigte richtet, die erst durch die verdachts- und unterschiedslose Erhebung und Speicherung personenbezogener Daten ermittelt werden konnten, ergibt.[26]
Diese vom BGH vertretene Ansicht findet in der EEA-RL zumindest dem Wortlaut der Richtlinie nach – keine Stütze. Nach Art. 5 I der EEA-RL müssen aus der EEA u. a. der Gegenstand und die Gründe der EEA, die erforderlichen verfügbaren Angaben zu der oder den betroffenen Person und eine Beschreibung der strafbaren Handlung, die Gegenstand der Ermittlungen oder des Verfahrens sind, hervorgehen. Danach setzt ein Rechtshilfeersuchen auf Grundlage der EEA-RL einen über vage Vermutungen hinausgehenden, konkrete aufklärungsbedürftige Taten betreffenden Tatverdacht voraus. Zudem werden Angaben über den oder die Tatverdächtigen verlangt. Diese Voraussetzungen hätten vor Erlass einer EEA vorliegen müssen. Ein mit einem UJs-Aktenzeichen der StA versehenes Ermittlungsverfahren gegen Unbekannt reicht für ein Rechtshilfeersuchen nach der EEA-RL dem Wortlaut nach
jedenfalls nicht aus. Es gab im Vorwege der die EncroChat-Kommunikation betreffenden EEA die vage Vermutung, dass Verstöße gegen das Waffengesetz, gegen das BtMG von unbekannten Personen, zu unbekannten Zeitpunkten, an unbekannten Orten, in unbekannten Umfang begangen worden sein könnten. Die näheren für den Erlass einer EEA vorausgesetzten Tatsachen sollten sich erst durch die im Wege der Rechtshilfe erlangten Daten der EncroChat-Kommunikation im Nachhinein ergeben. Das dürfte allein schon deswegen unzulässig sein, weil Rechtshilfe nach der EEA-RL nicht zur Aufklärung eines unbestimmten Generalverdachts, der sich gegen eine Bevölkerungsgruppe richtet, missbraucht werden darf.
Zur Rechtmäßigkeit der die Verkehrs- und Standortdaten betreffenden Vorratsdatenspeicherung hat der EuGH zuletzt ausgeführt, dass der Umstand, dass die Verkehrs- und Standortdaten rechtmäßig zum Zweck des Schutzes der nationalen Sicherheit auf Vorrat gespeichert wurden, keinen Einfluss auf die Rechtmäßigkeit ihrer Speicherung zum Zweck der Bekämpfung schwerer Kriminalität hat. Zum Zweck der Bekämpfung schwerer Kriminalität würden nationale Vorschriften, die "die allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen, die Grenzen des absolut Notwendigen überschreiten und nicht als in einer demokratischen Gesellschaft gerechtfertigt angesehen werden können. Angesichts des sensiblen Charakters der Informationen, die sich aus den Verkehrs- und Standortdaten ergeben können, ist deren Vertraulichkeit nämlich von entscheidender Bedeutung für das Recht auf Achtung des Privatlebens."[27]
Wenn aber gesetzliche Regelungen, die eine allgemeine und unterschiedslose Speicherung von Verkehrs- und Standortdaten vorsehen, gegen Art. 7 und 11 der GRCh verstoßen und damit im Rechtsraum der Europäischen Union unzulässig sind, dürfte die allgemeine und unterschiedslose – vorsorgliche – Speicherung der Kommunikationsinhalte sämtlicher Nutzer eines Kommunikationsdienstes erst recht unionsrechtswidrig sein.
Für die Telekommunikationsüberwachung im engeren Sinne hat auch der BGH entschieden, dass sich der im Anordnungsbeschluss dargestellte Verdacht auf bestimmte Tatsachen stützen muss. Der BGH verlangt insoweit zumindest eine knappe Darlegung der den Tatverdacht begründenden Tatsachen und der Beweislage.[28] Die erforderliche Verdachtslage muss selbstverständlich vor Beginn der Maßnahme bestehen, denn sie ist schon im Gerichtsbeschluss darzulegen. Nach § 100e III Nr. 2 und 4 StPO ist schon in der Beschlussformel anzugeben, aufgrund welchen Tatvorwurfs die Maßnahme angeordnet worden ist, welche Informationen durch die Maßnahme gewonnen werden sollen und welche Bedeutung diese für das Verfahren haben. Und nach § 100e IV Nr. 1 StPO sind die bestimmten Tatsachen, die den Verdacht begründen, im Rahmen der Beschlussbegründung mitzuteilen. Vage Verdachtsmomente, bloße Vermutungen und kriminalistische Erfahrungen reichen nicht aus. Vorausgesetzt wird nach der Rechtsprechung des BVerfG vielmehr ein konkreter Tatverdacht und eine hinreichend sichere Tatsachenbasis.[29] Die Ausführungen im Beschluss des 5. Strafsenats vom 2. März 2022, wonach Gegenstand der Ermittlungen aus Sicht der französischen Ermittlungsbehörden nicht ein ganz normales Geschäftsmodell, das sich lediglich einige Kriminelle zunutze gemacht haben, sondern ein von vornherein auf Unterstützung Krimineller ausgerichtetes und im Verborgenen agierendes Netzwerk sei[30], dürften für die Frage eines Verwertungsverbots der EncroChat-Kommunikationsinhalte nach deutschem Recht gemessen an der Rechtsprechung des BVerfG und des BGH (s.o.) unbehelflich sein.
Dass die Methoden der französischen und deutschen Behörden bei der Verschaffung der Erkenntnisse aus der EncroChat-Kommunikation fragwürdig sind, ergibt sich im Übrigen zwanglos daraus, dass sich der EGMR in den Menschenrechtsbeschwerdeverfahren zu den Beschwerdenummern 44715/20 und 47930/21 mit der Verarbeitung, Verwendung und Verwertung der EncroChat-Dateien befasst und den Parteien, zu denen Frankreich gehört, einen Fragenkatalog vorgelegt hat, darunter auch folgende Fragen:
" …, waren diese Eingriffe gesetzlich vorgesehen und notwendig im Sinne von Art. 8 § 2 (Weber und Saravia gegen Deutschland (dec.), Nr. 54934/00, §§ 93 ff., 29. Juni 2006, und Roman Zakharov, a.a.O., §§ 228-234)?
Muss insbesondere die Rechtmäßigkeit dieser Eingriffe nach den Kriterien beurteilt werden, die der Gerichtshof in Bezug auf Massenabhörung entwickelt hat (vgl. u. a. Big Brother Watch und andere v. Vereinigtes Königreich[GC], Nr. 58170/13 und 2 andere, §§ 332-364, 25. Mai 2021)?
Wie verhalten sich in diesem Punkt die Garantien aus der Konvention und die in diesem Bereich geltenden Vorschriften des EU-Rechts zueinander?"[31]
Wären die der Verwendung der EncroChat-Kommunikation zugrundeliegenden Fragen nicht klärungsbedürftig, der EGMR hätte sie kaum in seinen Fragenkatalog aufgenommen. Läge die Verwertbarkeit der personenbezogenen Daten aus der EncroChat-Kommunikation auf der Hand, der EGMR hätte die Menschenrechtsbeschwerde den beteiligten Parteien, zu denen Frankreich gehört, gar nicht erst zugestellt, sondern die Menschenrechtsbeschwerde als unzulässig zurückgewiesen.
3. Zeitliche Erstreckung der EEA
Mit der EEA der GStA Frankfurt vom 2. Juni 2020 wurden die französischen Justizbehörden um Folgendes ersucht:
"In diesem Zusammenhang ersuchen wir die französischen Justizbehörden, die unbeschränkte Verwendung der betreffenden Daten bezüglich der über EncroChat ausgetauschten Kommunikation in Strafverfahren gegen die Täter zu genehmigen."
Die EEA betrifft die bis zum 2. Juni 2022 ausgetauschte Kommunikation, nicht die zukünftige EncroChat-
Kommunikation. Auf zukünftige Ereignisse kann sich eine Ermittlungsmaßnahme ohnehin niemals beziehen. Das Ermittlungsverfahren bezieht sich stets auf die Aufklärung bereits begangener Straftaten.[32] Für die Verhinderung zukünftiger Straftaten sind die Polizeien im Rahmen der Gefahrenabwehr zuständig; die Eingriffsbefugnisse der Polizei zum Zweck der Gefahrenabwehr richten sich nach den Polizeigesetzen der Länder und des Bundes, nicht nach der StPO.
Aufgrund der EEA der GStA Frankfurt a. M. vom 2. Juni 2020 hat die Vizepräsidentin des Strafgerichts Lille am 13. Juni 2020 folgenden Beschluss gefasst:
"Angesichts des dem Generaldirektor der nationalen Polizei zugestellten Auftrags, genehmige ich die Übermittlung von Informationen, gegebenenfalls über Europol, aufgrund der digitalen Erfassung im Rahmen des Untersuchungsverfahrens Nr. JIRSAC/20/5 in Bezug auf die auf dem deutschen Staatsgebiet begangenen Straftaten an die Staatsanwältin … von der Generalstaatsanwaltschaft in FRANKFURT AM MAIN durch den für die Ausführung des vorliegenden Rechtshilfeersuchens und den Auftrag in Untersuchungsverfahren JIRSAC/20/5 zuständigen Generaldirektor der Nationalen Polizei. Die im Rahmen des vorliegenden Rechtshilfeersuchens übermittelten Informationen können von den deutschen Behörden im Rahmen eines jeden Ermittlungsverfahrens und im Hinblick auf ein jedwedes Gerichts-, Strafverfolgungs- oder Untersuchungsverfahren oder ein Urteil verwendet werden. Diese Daten können ab dem heutigen Datum im Rahmen der kontradiktorischen Beurteilung von Gerichtsverfahren, in denen die betroffenen Personen festgenommen wurden, verwendet werden."
Sowohl die EEA der GStA Frankfurt vom 2. Juni 2022 als auch der daraufhin ergangene Beschluss der Vizepräsidentin des Strafgerichts Lille verwenden die Zeitform des Perfekts. Als Perfekt wird die Zeitform der vollendeten Gegenwart bezeichnet. Das Perfekt wird also für die Beschreibung von vergangenen Ereignissen, die in die Gegenwart fortwirken, verwendet.
In dem die EncroChat-Kommunikation betreffenden Rechtshilfeverfahren ist von ausgetauschter Kommunikation (EEA v. 2.6.2020) und von begangenen Straftaten (Beschluss v. 13.6.2020) die Rede. Gegenstand der EEA waren somit am 2. Juni 2020 bereits begangene Straftaten. Mithin erstreckte sich die Genehmigung zur Verwendung der in Frankreich gehackten EncroChat-Kommunikation auf die bis zum 2. Juni 2020, dem Datum der EEA der GStA Frankfurt a. M. , angefallenen Daten. Für die Verwendung der nach dem 2. Juni 2020 ausgeleiteten und gespeicherten EncroChat-Kommunikation fehlt es schon an der entsprechenden EEA.
4. Beschlussfassung auf überholter Rechtsgrundlage
Die Vizepräsidentin des Strafgerichts Lille stützte, worauf zuerst Strate[33] hingewiesen hat, ihren Beschluss, durch den sie die Verwendung der EncroChat-Kommunikation durch die deutschen Strafverfolgungsbehörden genehmigte, auf das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union vom 29.05.2000 und des dazugehörigen Protokolls vom 16.10.2001, mithin auf eine durch die EEA-RL überholte Rechtsgrundlage. Daraus schließt Strate völlig zutreffend, dass dem Beschluss des Strafgerichts Lille keine Einzelfallprüfung zu entnehmen ist. Mit diesem Argument hat sich auch der Beschluss des 5. Strafsenats vom 2. März 2022, wenn auch nur kurz, auseinandergesetzt und dazu Folgendes ausgeführt:
"Dass sich die zuständige französische Richterin bei ihrer Genehmigung des Beweismitteltransfers auf der Grundlage der Europäischen Ermittlungsanordnung statt auf die EEA-RL auf das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union (EU-RhÜbk) aus dem Jahr 2000 (ABl. C 197, S. 3) und das zugehörige Protokoll berufen hat, ist unschädlich, denn daraus würde nichts Anderes folgen (kritisch Strate, HRRS 2022, 15, 17)."[34]
Der BGH beruft sich insoweit offenbar auf die Rechtsfigur des hypothetisch rechtmäßigen Ermittlungsverlaufs, also auf die gedankliche Prüfung, ob der Beschluss des Strafgerichts Lille auch auf einer validen Rechtsgrundlage in dieser Weise hätte ergehen können. Ergibt die gedankliche Prüfung, dass die Maßnahme auch auf einer gültigen Rechtsgrundlage hätte durchgeführt werden können, dann soll die Nichtberücksichtigung gesetzlicher Vorgaben unbeachtlich sein. Bei dieser Form des Gesundbetens übersieht der BGH geflissentlich, dass in Freiheitsentziehungsverfahren Art. 104 I GG und auch Art. 5 I EMRK Rechtsschutz durch Verfahren garantieren. Danach darf die Freiheit nur aufgrund eines förmlichen Gesetzes – das tunlichst noch in Kraft ist – und unter Beachtung der darin vorgeschriebenen Formen beschränkt werden (Art. 104 I GG). Anders als das Übereinkommen über die Rechtshilfe in Strafsachen zwischen den Mitgliedstaaten der Europäischen Union (EU-RhÜbk)[35] aus dem Jahr 2000 bestimmt die 2014 in Kraft getretene EEA-RL in Art. 20, dass die unionsrechtlichen Rechte zum Schutz personenbezogener Daten zu beachten sind. Die in Art. 20 EEA-RL vorgeschriebene Form hätte der Verwendungsgenehmigung durch das Strafgericht Lille entgegengestanden.
III. Verwendung der EncroChat-Daten zu Zwecken der Gefahrenabwehr
1. Reichweite des Schutzes personenbezogener Daten gemäß Art. 8 GRCh
Die EncroChat-Daten sind dem Bundeskriminalamt nach den Angaben eines Mitarbeiters des BKA vor der 33.
Strafkammer des LG Berlin[36] zunächst nur unter der Bedingung, dass sie allein zu Zwecken der Gefahrenabwehr genutzt werden, zur Verfügung gestellt worden. Dieser Verwendungsbeschränkung soll die GStA Frankfurt a. M. zugestimmt haben. Nach anderen Quellen habe das BKA selbst diese Zustimmung erklärt (§ 9 I Nr. 2, 3 BKAG). Die Daten seien sodann durch das BKA ‚abgeholt‘ und vereinbarungsgemäß allein zu Zwecken der Gefahrenabwehr ausgelesen und genutzt worden. Es habe laufend tägliche Nachlieferungen gegeben, die mit einem Tag Verzögerung dem BKA zur Verfügung standen.
An dieser Stelle sei richtigstellend darauf hingewiesen, dass das BKA, wie aus einem Schreiben des BKA an die StA in Lille vom 13. Mai 2020[37] hervorgeht, schon vor Genehmigung der EEA durch das Strafgericht Lille beabsichtigte, die EncroChat-Daten zu Zwecken der Strafverfolgung zu verwenden. Dies war deswegen heikel, weil der EncroChat-Hack unter strenger Geheimhaltung erfolgte, weswegen die unionsrechtlich gemäß Art. 31 EEA-RL gebotene Benachrichtigung des zuständigen Amtsgerichts Stuttgart durch die französischen Strafverfolgungsbehörden unterblieben ist. Das BKA beabsichtigte über die GStA Frankfurt a. M. Gerichtsbeschlüsse gegen ausgewählte EncroChat-Nutzer zu erwirken (z. B. §§ 100a, 100g, 163f StPO), wobei den Ermittlungsrichtern vorenthalten werden sollte, dass die den Verdacht begründenden Erkenntnisse durch Auswertung der EncroChat-Kommunikation gewonnen worden sind. Auch eine spätere Offenlegung gegenüber den Ermittlungsrichtern war nicht beabsichtigt. Das BKA beabsichtigte mithin, die jeweils zuständigen Ermittlungsrichter über maßgebliche Verfahrenstatsachen und Anordnungsvoraussetzungen zu täuschen. So gesehen beabsichtigte das BKA in kollusiven Zusammenwirken mit der GStA Frankfurt a. M., die an die Beachtung des Richtervorbehalts geknüpften Bedingungen bewusst zu umgehen und dabei die grundrechtlichen Sicherungen des Rechtshilfeverkehrs planmäßig und systematisch zu ignorieren. In seinem EncroChat-Beschluss hat auch der 5. Strafsenat eingeräumt, dass ein Beweisverwertungsverbot insbesondere nach schwerwiegenden, bewussten oder objektiv willkürlichen Rechtsverstößen, bei denen grundrechtliche Sicherungen planmäßig oder systematisch außer Acht gelassen worden sind, geboten ist.[38] Das allein legt die Anerkennung eines Beweisverwertungsverbots mehr als nahe. Das Schreiben des BKA an die StA Lille vom 13. Mai 2020 war dem 5. Strafsenat bei der Beschlussfassung am 2. März 2022 indes nicht bekannt.
Bei der Nutzung der von französischen Ermittlungsbehörden gehackten EncroChat-Kommunikation handelt es sich um einen Eingriff in das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zum Zweck der Gefahrenabwehr. Die Voraussetzungen, unter denen in informationstechnische Systeme zum Zweck der Gefahrenabwehr in Deutschland eingegriffen werden darf, hat das BVerfG in seinem Urteil zum BKA-Gesetz folgendermaßen festgelegt:
"Eingriffe in das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme stehen allerdings unter strengen Bedingungen (…). Insbesondere müssen die Maßnahmen davon abhängig sein, dass tatsächliche Anhaltspunkte für eine im Einzelfall drohende konkrete Gefahr für ein überragend wichtiges Rechtsgut vorliegen (…).
Einer verfassungskonform einschränkenden Auslegung bedarf allerdings § 20k I S. 2 BKAG. Die in dieser Vorschrift eröffnete Möglichkeit, auch schon im Vorfeld einer konkreten Gefahr Maßnahmen durchzuführen, wenn bestimmte Tatsachen auf eine im Einzelfall erst drohende Gefahr einer Begehung terroristischer Straftaten hinweisen, ist dahingehend auszulegen, dass Maßnahmen nur erlaubt sind, wenn die Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, und wenn erkennbar ist, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann (…)."[39]
Hierbei ist zu bedenken, dass die Befugnisse des BKA zur Terrorismusbekämpfung weiter gehen als die Befugnisse des BKA zur Bekämpfung auch schwerer Kriminalität.[40] Die vom BVerfG in seinem Urteil zum BKAG insoweit festgelegten Begrenzungen dienen dem Schutz des allgemeinen Persönlichkeitsrechts in seiner Ausprägung als Gewährleistung des Rechts auf Vertraulichkeit und Integrität informationstechnischer Systeme. Dieses Recht hat Frankreich gegenüber deutschen Bürgern verletzt. Denn nach dem vorstehend zitierten Urteil des BVerfG sind Eingriffe in ein informationstechnisches System nur zulässig, wenn "tatsächliche Anhaltspunkte für eine im Einzelfall drohende konkrete Gefahr für ein überragend wichtiges Rechtsgut vorliegen." Außerdem betraf die unterschiedslose massenhafte Ausleitung und Speicherung der EncroChat-Kommunikation gerade nicht bestimmte Personen, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann. Die vom BVerfG verlangten Voraussetzungen lagen nicht vor, als die französischen Behörden den EncroChat-Server gehackt haben, sie lagen auch nicht zum Zeitpunkt vor, in dem die GStA Frankfurt a. M. bzw. das BKA die Zustimmung zur Nutzung für Zwecke der Gefahrenabwehr erteilt hat.
2. Voraussetzungen der Verarbeitung personenbezogener Daten zum Zweck der Gefahrenabwehr
Personenbezogene Daten unterliegen in den EU-Mitgliedstaaten dem Schutz des Art. 8 GRCh, wonach jede Person das Recht auf Schutz der sie betreffenden
personenbezogenen Daten hat (Absatz 1). Diese Daten dürfen nach Art. 8 II GRCh nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Für das Strafverfahren ist der Schutz personenbezogener Daten in der EU-Datenschutz-RL 2016/680 geregelt. Nach Art. 4 I a) dieser Richtlinie sehen die Mitgliedstaaten vor, dass personenbezogene Daten auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden; mithin bedarf es für die Verarbeitung personenbezogener Daten[41] stets einer gesetzlichen Grundlage.
Bei dem vorstehend zitierten Urteil des BVerfG vom 20. April 2016 handelt es sich um eine stattgebende Senatsentscheidung mit Bindungswirkung für die Fachgerichte (§ 31 I BVerfGG). Das Urteil betrifft die Verarbeitung personenbezogener Daten zu Zwecken der Gefahrenabwehr durch das Bundeskriminalamt. Die vorstehend zitierten vom BVerfG festgelegten Voraussetzungen, unter denen Eingriffe in informationstechnische Systeme zulässig sind, haben überdies nach § 31 II BVerfGG i. V. m. § 13 Nr. 8a BVerfGG Gesetzeskraft.
Die erforderliche gesetzliche Grundlage für einen verdachtslosen bzw. auf einen Generalverdacht gestützten Eingriff in ein informationstechnisches System gibt es im deutschen Recht weder zum Zweck der Gefahrenabwehr noch zu Zwecken der Strafverfolgung.
Zur Gefahrenabwehr dürfte das BKA gemäß § 49 I BKAG "ohne Wissen der betroffenen Person mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingreifen und aus ihnen Daten erheben, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass eine Gefahr vorliegt für (1.) Leib, Leben oder Freiheit einer Person oder (2.) solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Bundes oder eines Landes oder die Grundlagen der Existenz der Menschen berührt." Nach § 49 III 1 BDSG darf sich die Maßnahme nur gegen eine Person richten, die entsprechend § 17 oder § 18 des Bundespolizeigesetzes verantwortlich ist. Außerdem dürfen nach dem klaren Wortlaut der Vorschrift lediglich Daten aus dem informationstechnischen System erhoben werden, das BKA ist mithin nicht ermächtigt, sämtliche Daten eines informationstechnischen Systems zu erheben.
Nach dieser Vorschrift hätte das BKA die von französischen Ermittlungsbehörden gehackte und auf deutschem Boden geführte EncroChat-Kommunikation nicht zu Zwecken der Gefahrenabwehr anfordern und verwenden dürfen. Hätte sich das BKA insoweit an § 49 BKAG und an das dieser Vorschrift zugrundeliegende Urteil des Ersten Senats des BVerfG vom 20. April 2016 gehalten, so hätte es keine Erkenntnisse darüber erlangt, ob durch die EncroChat-Kommunikation Erkenntnisse über Straftaten auf deutschem Boden zu erlangen sein würden. Die Voraussetzungen für eine EEA hätten somit nicht vorgelegen. Dabei kann es schlechthin nicht darauf ankommen, ob die Maßnahme vom BKA, von einer anderen deutschen Behörde oder einer Behörde eines anderen Staates durchgeführt wurde. Der die Vertraulichkeit und Integrität informationstechnischer Systeme betreffende Schutz ist nicht auf (unmittelbare) Eingriffe des BKA in dieses Recht beschränkt. Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme fällt nämlich auch in den Schutzbereich der Art. 7, 8 GRCh[42] und des Art. 8 EMRK.
Mit der vorstehend aufgeworfenen Rechtsfrage konnte sich der Beschluss des 5. Strafsenats des Bundesgerichtshofs vom 2. März 2022 nicht auseinandersetzen, weil ihm nicht bekannt war, dass die EncroChat-Kommunikation dem BKA zunächst nur zu Zwecken der Gefahrenabwehr zur Verfügung gestellt worden ist.[43]
IV. Unionsrechtliche Rechtshilfe und unionsrechtlicher Datenschutz
1. Individualschützender Charakter der Richtlinie über die Europäische Ermittlungsanordnung
Der Bundesgerichtshof hat in seinem EncroChat-Beschluss vom 2. März 2022 u. a. Folgendes ausgeführt:
"Der Senat teilt dabei die Auffassung des 1. Strafsenats des Bundesgerichtshofs, wonach ein aus der Nichteinhaltung rechtshilfespezifischer Bestimmungen abgeleitetes Verwertungsverbot lediglich dann in Betracht zu ziehen ist, wenn den entsprechenden Regeln auch ein individualschützender Charakter zukommt (…)
aa) Ein etwaiger Verstoß französischer Behörden gegen die Pflicht zur Benachrichtigung des von einer grenzüberschreitenden Telekommunikationsüberwachung betroffenen Zielstaates Deutschland aus Art. 31 EEA-RL (…) bzw. gegen die diese Vorgaben umsetzenden französischen Vorschriften (…) würde nicht zu einem Beweisverwertungsverbot führen (…)."[44]
Art. 31 EEA-RL schreibt u. a. vor, dass ein Mitgliedstaat, der Überwachungsmaßnahmen in einem anderen Mitgliedstaat der EU vornimmt, diesen davon unverzüglich zu unterrichten hat. Gegen diese rechtshilferechtliche Vorschrift hat Frankreich ganz offensichtlich verstoßen. Durch diese ungesetzliche Überwachung, in Deutschland geführter Kommunikation mittels EncroChat-Handys habe Frankreich, so der BGH, nicht gegen individualschützende Rechte verstoßen.
Nach Art. 20 EEA-RL stellen die Mitgliedstaaten bei der Durchführung der EEA-RL sicher, dass personenbezogene Daten geschützt werden und nur im Einklang mit dem Rahmenbeschluss 2008/977/JI des Rates sowie den Grundsätzen des Übereinkommens des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem dazugehörigen Zusatzprotokoll verarbeitet werden dürfen.[45] Der in Art. 20 EEA-RL in Bezug genommene EU-Rahmenbeschluss 2008/977/JI ist durch die EU-
Datenschutzrichtlinie für Polizei und Justiz vom 26. April 2016 (2016/680) aufgehoben und ersetzt worden. Art. 20 EEA-RL ist mithin so zu lesen, dass personenbezogene Daten nur im Einklang mit der EU-Datenschutzrichtlinie und den Grundsätzen des Übereinkommens des Europarates vom 28. Januar 1981 verarbeitet werden dürfen.[46] Die EU-Datenschutz-RL 2016/680 ist in den §§ 45ff. BDSG in die Strafprozessordnung inkorporiert worden.[47] Zur Anwendbarkeit der EU-Datenschutz-RL 2016/680 auf staatliche Eingriffe in das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme hat die Große Kammer des EuGH in ihrem Urteil vom 6. Oktober 2020 Folgendes ausgeführt:
"Wenn die Mitgliedstaaten unmittelbar Maßnahmen umsetzen, mit denen von der Vertraulichkeit elektronischer Kommunikationen abgewichen wird, ohne den Betreibern elektronischer Kommunikationsdienste Verarbeitungspflichten aufzuerlegen, fällt der Schutz der Daten der Betroffenen hingegen nicht unter die Richtlinie 2002/58, sondern allein unter das nationale Recht, vorbehaltlich der Anwendung der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89), so dass die fraglichen Maßnahmen insbesondere mit nationalem Recht von Verfassungsrang und den Anforderungen der EMRK im Einklang stehen müssen."[48]
Es besteht somit ein Anwendungsvorrang des Unionsrechts vor dem nationalen Recht eines Mitgliedstaates[49], weswegen sowohl die französischen als auch die deutschen Ermittlungsbehörden an die Rechtsprechung des EuGH gebunden sind. Trotz des Vorrangs der EU-Grundrechte vor dem Sekundärrecht der Union kann das Sekundärrecht maßgeblich für die Auslegung der EU-Grundrechte sein.[50] Das ist beispielsweise bei Art. 4 I Nr. 1 der EU-Datenschutz-RL 2016/680, der durch § 47 Nr. 1 BDSG in innerstaatliches Recht umgesetzt worden ist, der Fall.
Der deutsche Gesetzgeber hat die für die Strafverfolgung geltenden datenschutzrechtlichen Vorschriften in das neue Bundesdatenschutzgesetz aufgenommen, um so zu vermeiden, dass umfangreiche Änderungen in der Strafprozessordnung vorgenommen werden müssen.[51] Soweit dem § 500 II Nr. 1 StPO ein Vorrang datenschutzrechtlicher Bestimmungen in der StPO vor denen des BDSG zu entnehmen ist, ist diese Vorschrift in all jenen Fällen, in denen das datenschutzrechtliche Niveau der StPO das der EU-Datenschutz-RL 2016/680 unterschreitet, wegen des Anwendungsvorrangs unionsrechtlicher Vorschriften[52] europarechtswidrig.[53]
2. Begrenzung der Rechtshilfebefugnisse nach Art. 30 RL-EEA
Art. 8 II GRCh schreibt u. a. vor, dass personenbezogene Daten nur auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Art. 8 GRCh bindet selbstverständlich auch die Verarbeitung personenbezogener Daten, wie etwa der EncroChat-Kommunikation, im EU-Ausland.[54] Das in der Charta verankerte Datenschutzgrundrecht ist ein einklagbares Recht und eben kein bloßer Grundsatz der Charta.[55] Nach Art. 4 I a) der EU-Datenschutz-RL 2016/680[56] dürfen personenbezogene Daten nur auf rechtmäßige Weise verarbeitet werden. Die Verarbeitung personenbezogener Daten im Strafverfahren ist daher nur auf gesetzlicher Grundlage zulässig.[57] Durch die EU-Datenschutz-RL 2016/680 soll gemäß Art. 20 EEA-RL eine Mindestharmonisierung bei der Verarbeitung personenbezogener Daten im unionsweiten Rechtshilfeverkehr erreicht werden (Art. 1 III EU-Datenschutz-RL 2016/680).[58] Die EU-Datenschutz-RL 2016/680 ist daher auch im Rechtshilfeverkehr unter den Mitgliedstaaten der Union zu befolgen.
Gemäß Art. 30 EEA-RL kann zwar im Wege der Rechtshilfe die Telekommunikation in dem ersuchten Mitgliedstaat aufgrund einer EEA des ersuchenden Mitliedstaates überwacht werden; eine vergleichbare Vorschrift für den Eingriff in ein informationstechnisches System enthält, worauf zuerst Strate hingewiesen hat, die EEA-RL indes nicht.[59] Mithin dürfte es an einer validen‚ gesetzlich geregelten legitimen Grundlage für Rechtshilfe nach dem Unionsrecht durch Eingriffe in das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationsrechtlicher Systeme fehlen.
Die Überwachung der Telekommunikation steht unter einem strengen Gesetzesvorbehalt, die gesetzliche Eingriffsermächtigung muss daher besonders präzise sein. Klare und detaillierte Regeln sind hierfür unabdingbar, zumal die zur Anwendung zur Verfügung stehenden Technologien immer ausgefeilter werden.[60] Das schließt eine analoge Anwendung der Ermächtigung zur
Telekommunikationsüberwachung auf Eingriffe in informationstechnische Systeme im Rahmen der Rechtshilfe zwischen Mitgliedstaaten der EU aus.
Nach Art. 4 I c EU-Datenschutz-RL 2016/680 darf die Verarbeitung personenbezogener Daten im Übrigen nicht unverhältnismäßig sein.
3. Voreinstellungen zur Datenminimierung, Datenschutz-Folgenabschätzung
a) Datenschutzfreundliche Voreinstellungen
Die französischen Ermittlungsbehörden haben sämtliche Daten des Dienstanbieters EncroChat verarbeitet. Art. 20 I der EU-Datenschutz-RL 2016/680 bestimmt, dass der Verantwortliche unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen trifft, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Richtlinie zu genügen und die Rechte der betroffenen Personen zu schützen. Art. 20 II der EU-Datenschutz-RL 2016/680 schreibt vor, dass geeignete technische und organisatorische Maßnahmen zu treffen sind, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Das gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.[61]
Die französischen Behörden haben weder im Zeitpunkt der eigentlichen Verarbeitung angemessene technische und organisatorische Maßnahmen getroffen, die dafür ausgelegt sind, Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Richtlinie zu genügen und die Rechte der betroffenen Personen zu schützen noch haben sie geeignete technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass durch Voreinstellungen grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
b) Datenschutz-Folgenabschätzung
Art. 27 der EU-Datenschutz-RL 2016/680 regelt das Erfordernis einer Datenschutz-Folgenabschätzung bei der Anwendung neuer Technologien. Nach Art. 27, der in § 67 BDSG in innerstaatliches Recht umgesetzt worden ist, ist eine Datenschutz-Folgenabschätzung vorzunehmen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutz-Folgenabschätzung enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Richtlinie eingehalten wird.
Es ist bisher nicht bekannt, ob die französischen Behörden die unionsrechtlich gebotene Datenschutz-Folgenabschätzung vorgenommen haben. Die Gerichte sahen sich bislang offenbar auch nicht bemüßigt, diese unionsrechtliche Verwendungsvoraussetzung zu ermitteln. Immerhin ist Frankreich ebenso an die EU-Datenschutz-RL 2016/680 gebunden wie Deutschland. Und die Grundrechtsgarantie aus Art. 8 GRCh dürfte zum europäischen ordre public zählen, gegen den Frankreich gleich mehrfach verstoßen hat. Selbst nach der Rechtsprechung des BGH führen Verstöße gegen den ordre public im europäischen Rechtshilfeverkehr zu einem Verwendungsverbot.[62] Mit der vorstehend aufgeworfenen Rechtsfrage hat sich der Beschluss des 5. Strafsenats des Bundesgerichtshofs vom 2. März 2022 bedauerlicherweise nicht auseinandergesetzt.
V. Schluss
Der formal aufwendig begründete EncroChat-Beschluss des 5. Strafsenats erweist sich in vielerlei Hinsicht als unzulänglich und wirft Fragen auf.
Die Feststellung des 5. Strafsenats, wonach klärungsbedürftige Fragen der Anwendung europäischen Rechts im Sinne von Art. 267 AEUV sich nicht ergeben hätten, weil das Vorliegen von Beweisverboten nach innerstaatlichem Recht zu beurteilen sei, erweist sich gemessen an Art. 8 II GRCh i. v. m. Art. 4 I Nr. 1 EU-Datenschutz-RL 2016/680 (§ 47 Nr. 1 BDSG) i. V. m. Art. 16 II EU-Datenschutz-RL 2016/680 (§ 75 II BDSG) als zu kurz
gedacht.[63] Nach Art. 16 II EU-Datenschutz-RL 2016/680 sind gemessen an Art. 4 EU-Datenschutz-RL 2016/680 unrechtmäßig verarbeitete Daten unverzüglich zu löschen. Mithin sieht das Datenschutzrecht der Union entgegen der Ansicht des 5. Strafsenats de facto sehr wohl ein Verwendungs- und Verwertungsverbot vor. Daten, die von Gesetzes wegen zu löschen sind, stehen der Verarbeitung im Strafverfahren und auch jedweder anderen Verwendung nicht mehr zur Verfügung.
Sollten die vorstehenden Ausführungen auch nur Zweifel über die Anwendung und Auslegung des Unionsrechts hervorgerufen haben, so wären die zu klärenden Rechtsfragen dem EuGH vorzulegen.[64] Dieser und nicht der 5. Strafsenat des Bundesgerichtshofs ist gesetzlicher Richter im Sinne des Art. 101 I S. 2 GG.[65]
[*] Der Verfasser Hans Meyer-Mews arbeitet als Rechtsanwalt in Bremen.
[1] Az. 5 StR 457/21 = NJW 2022, 1539, m. Anm. Cornelius = StraFo 2022, 196; StV 2022, 351, m. Anm. Brodowski.
[2] Vgl. Beukelmann, NJW-Spezial 2022, 248.
[3] Vgl. BVerfG NJW 2002, 814, 815; v. Döllen/Meyer-Mews, StV 2005, 5.
[4] Der Beschluss ist zur Veröffentlichung in der amtlichen Entscheidungssammlung (= BGHSt) vorgesehen.
[5] Vgl. Meyer-Mews StraFo 2012, 7.
[6] Vgl. Heidebach, Grundrechtsschutz durch Verfahren bei gerichtlicher Freiheitsentziehung[Diss.], Berlin, 2014.
[7] BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 25.
[8] BVerfGE 130, 1, 29, Rn. 120 m.w.N.
[9] Vgl. HansOLG Hamburg, Beschluss vom 29. Januar 2021 – 1 Ws 2/21 Rn. 93 ff.; Schleswig-Holsteinisches OLG, Beschluss vom 29. April 2021 – 2 Ws 47/21; OLG Karlsruhe, Beschluss vom 10. November 2021 – 2 Ws 261/21
[10] BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rdn. 53, 55 unter Hinweis auf die gegenteilige Ansicht von Wahl, ZIS 2021, 452, 460; Sommer, StV Spezial 2021, 67, 69; Zimmermann, ZfIStW 2022, 173, 180
[11] Vgl. Köhler in Meyer-Goßner/Schmitt, StPO65, § 160, Rn. 5 m.w.N.
[12] Vgl. ders., a. a. O., § 152, Rn. 4 m.w.N.
[13] Vgl. ders., a. a. O., unter Hinweis auf BVerfGE 115, 166, 197; BVerfG NJW 2014, 3085.
[14] Ermittlungsverfahren der GStA Frankfurt a. M., Az. 62 UJs 50005/20.
[15] Vgl. BGHSt 58, 32, 41; BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 52.
[16] Vgl. BVerfGE 156, 11, 50, Rn. 99 unter Hinweis auf BVerfGE 125, 260, 333; BVerfGE 133, 277, 373 ff., Rn. 225 f.; BVerfGE 141, 220, 327 ff., Rn. 287 ff.; BVerfGE 154, 152, 266 f., Rn. 216.
[17] Vgl. Köhler, a. a. O., § 100b, Rn. 4.
[18] Vgl., ders., a. a. O., Rn. 8.
[19] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 53.
[20] Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (= EEA-RL)
[21] Vgl. Zimmermann, ZfiStw 2022, 173, 179 m. w. N.
[22] Vgl. Cornelius, NJW 2022, 1546.
[23] Selbst wenn der 91j IRG, wie Zimmermann ausführt, nicht unmittelbar zur Anwendung kommen sollte, so hätte sich der 5. Strafsenat doch mit den Voraussetzungen einer entsprechenden Anwendung dieser Vorschrift befassen müssen.
[24] BVerfGE 87, 273, 279 m. w. N.
[25] BGH, a. a. O., Rn. 70.
[26] Ebenso Köhler, a. a. O., § 100e, Rn.
[27] EuGH, Große Kammer, Urteil vom 5. April 2022 der Rechtssache C?140/20, Rn. 63ff.
[28] Vgl. BGH NJW 2003, 368, 369.
[29] Vgl. BVerfGE 107, 299, 321 f.; Wolter/Greco, in SK-StPO5, § 100a Rn. 43 m. w. N.
[30] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 36f.
[31] Zitiert nach Strate HRRS 2022, 15, 17.
[32] Vgl. nur §§ 100a, 100b, 102, 163f StPO.
[33] Vgl. Strate, HRRS 2022, 15, 17.
[34] BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 58.
[35] ABl. C 197, S. 3.
[36] 33. Strafkammer des LG Berlin, Az. (533 KLs) 251 Js 507/20 (17/21) – KHK Franzen (BKA) in der Hauptverhandlung am 15. März 2022.
[37] Schreiben des BKA SO25-BAO THOR vom 13. Mai 2020 an Section JIRS du Parquet de Lille Tribunal judicaire de Lille, Betreff :Operation EMMA, numero d´enquete JIRS 226/2018.
[38] Vgl. BGH, Beschluss vom 5. März 2022, a. a. O., Rn. 43.
[39] BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966, 1140/09, Rn. 212f. = BVerfGE 141, 220, 304f.
[40] Vgl. mutatis mutandis BVerfGE 156, 11ff.
[41] Legaldefinition Verarbeitung in § 46 Nr. 2 BDSG.
[42] Vgl. Jarras, GRCh4, Art. 7, Rn. 31.
[43] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 7-23.
[44] BGH, a. a. O., Rn. 38f.
[45] Siehe hierzu auch die Erwägungsgründe Nr. 40, 41. 42 der EEA-RL.
[46] Vgl. zum individualschützenden Charakter des Rechtshilferechts Meyer-Mews myops 46, S. 52 – passim.
[47] Vgl. Safferling/Rückert NJW 2021, 287, 290; Singelnstein, NStZ 2020, 639, 644; Puschke, in SK-StPO5, § 500, Rn. 1; Meyer-Mews StraFo 2019, 95, ders., StraFo 2019, 449; ders. StV 2020, 564; a.A. nur Köhler, in Meyer-Goßner/ Schmitt , StPO65, § 500, Rn. 2.
[48] EuGH (Große Kammer) Urteil vom 6. Oktober 2020, in der Rechtssache C?623/17 – Privacy International; Rn. 48 (Hervorhebungen d. d. Verf.); vgl. hierzu auch Zimmermann, ZfiStw 2022, 173, 189.
[49] Vgl. Jarras, a. a. O., Einl., Rn. 66.
[50] Vgl. ders., a. a. O., Einl., Rn. 63.
[51] Vgl. Puschke, SK-StPO5, § 500 Rn. 1.
[52] Vgl. EuGH. Urteil vom 20. Mai 2003, in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01; siehe auch BVerfGE 152, 216ff (Recht-auf-Vergessen-II).
[53] Vgl. Safferling/Rückert, NJW 2021, 287, 290.
[54] Vgl. Jarras, a. a. O., Art. 8, Rn. 3.
[55] Vgl. Jarras, a. a. O., Rn. 2.
[56] Umgesetzt in deutsches Recht in § 47 Nr. 1 BDSG.
[57] Vgl. EuGH. Urteil vom 20. Mai 2003, in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01, Rn. 76.
[58] Ebenso Schantz/Wolf, Das neue Datenschutzrecht, 2017, S. 56 (Rn. 194), 62 (Rn. 205), 74 (Rn. 238).
[59] Vgl. Strate HRRS 2022, 15ff.
[60] Vgl. EGMR, Urteil vom 24. April 1990 – 11801/85 (Kruslin vs. Frankreich), Rn. 33.
[61] Im Erwägungsgrund Nr. 53 ist zu Art. 20 Folgendes zu lesen: "Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Richtlinie erfüllt werden. Die Umsetzung dieser Maßnahmen sollte nicht ausschließlich von wirtschaftlichen Erwägungen abhängig gemacht werden. Um die Einhaltung dieser Richtlinie nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Genüge tun. Hat der Verantwortliche eine Datenschutz-Folgenabschätzung gemäß dieser Richtlinie vorgenommen, sollten die entsprechenden Ergebnisse bei der Entwicklung dieser Maßnahmen und Verfahren berücksichtigt werden. Die Maßnahmen könnten u. a. aus einer möglichst frühen Pseudonymisierung bestehen. Gerade durch die Pseudonymisierung für die Zwecke dieser Richtlinie könnte der freie Verkehr personenbezogener Daten im Raum der Freiheit, der Sicherheit und des Rechts erleichtert werden."
[62] Vgl. BGHSt 58, 32, 36f.; BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 32, 34, 73, 77.
[63] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 78.
[64] Vgl. BVerfGE 147, 364, 378f, Rn. 37.
[65] Vgl. BVerfGE, a. a. O. unter Hinweis auf BVerfGE 73, 339, 366f.; BVerfGE 82, 159, 192; BVerfGE 126, 286, 315; BVerfGE 128, 157,186f.; BVerfGE 129, 78, 105; BVerfGE 135, 155, 230, Rn. 177 und die stRspr.