Alle Ausgaben der HRRS, Aufsätze und Anmerkungen ab dem Jahr 2000.
HRRS
Onlinezeitschrift für Höchstrichterliche Rechtsprechung zum Strafrecht
April 2023
24. Jahrgang
PDF-Download
Von RA Hans Meyer-Mews, Bremen
Der Beitrag befasst sich mit der Frage, ob die zu den EncroChat-Daten erhobenen Standort- und Verkehrsdaten zur Identifizierung der auf deutschem Boden geführten EncroChat-Kommunikation genutzt werden durften.
Eine die ausgespähten EncroChat-Daten betreffende Verwertungsproblematik besteht nach der – bisherigen – obergerichtlichen Rechtsprechung allerdings nicht.[1] Lediglich das Landgericht Berlin[2] und jetzt wohl auch das Landgericht Frankfurt (Oder)[3] sind von dieser Rechtsprechung bisher abgewichen. Das Landgericht Leipzig[4] hat zuletzt eine abwartende Haltung eingenommen. Die herrschende Lehre verneint dagegen die Verwertbarkeit der von den französischen Ermittlungsbehörden gehackten EncroChat-Kommunikation.[5]
Im Folgenden soll untersucht werden, ob sich die zur Vorratsdatenspeicherung vom EuGH entwickelte Rechtsprechung auf die Erfassung, Speicherung und Verwendung der EncroChat-Daten in deutschen Strafverfahren übertragen lässt.[6] Dabei stützen sich die nachfolgenden Ausführungen auf den vom 5. Strafsenat des BGH in seinem Beschluss vom 2. März 2022 festgestellten Sachverhalt, soweit er für die zu erörternde Problematik bedeutsam ist.[7] Der 5. Strafsenat des Bundesgerichtshofs ist in seinem Grundsatzbeschluss vom 2. März 2022 – soweit für die nachfolgenden Ausführungen von Belang – von folgendem Sachverhalt ausgegangen:
Die Staatsanwaltschaft Lille beantragte Ende Januar 2020 die Genehmigung einer technischen Einrichtung, die dazu dient, ohne Zustimmung der Betroffenen an jedem Ort Zugang zu den Computerdaten des EncroChat-Messengerdienstes zu haben, sie zu speichern, aufzubewahren und sie zu übertragen.[8]
Am 2. Juni 2020 erließ die GStA Frankfurt a. M. in einem UJs-Verfahren[9] eine Europäische Ermittlungsanordnung
(EEA) zur Erlangung von Informationen oder Beweismitteln, die sich bereits im Besitz der französischen Vollstreckungsbehörde befinden, sowie von Informationen, die sich in den von französischen Polizei- oder Justizbehörden geführten Datenbanken bereits befinden. Die französischen Justizbehörden wurden ersucht, die unbeschränkte Verwendung der betreffenden Daten bezüglich der über EncroChat ausgetauschten Kommunikation in Strafverfahren gegen die (mutmaßlichen) Täter zu genehmigen.[10]
Am 13. Juni 2020 genehmigte das Strafgericht Lille die Übermittlung von Informationen aufgrund der digitalen Erfassung im Rahmen des Untersuchungsverfahrens zum EncroChat-Komplex in Bezug auf die auf dem deutschen Staatsgebiet begangenen Straftaten an die GStA in Frankfurt a. M. Auf Bitte der französischen Behörden übermittelte Europol der GStA Frankfurt a. M. die zwischen dem 1. April 2020 und dem 30. Juni 2020 auf den EncroChat-Rechnern gespeicherten Daten, die sich auf Geräte bezogen, die zu einer Auslösung von Mobilfunkantennen auf deutschem Boden geführt hatten.[11]
Sämtliche aus der EncroChat-Kommunikation ausgeleiteten personenbezogenen Daten waren mithin von Ende Januar 2020 bis zum 13. Juni 2020 auf einem französischen Server gespeichert.
II. Zulässigkeit der Vorratsdatenspeicherung nach deutschem Recht und nach Unionsrecht
In welchem Mitgliedstaat der EU die verschlüsselten EncroChat-Nachrichten jeweils versendet und empfangen worden sind, haben die französischen Behörden anhand der von ihnen gesicherten Standortdaten festgestellt. Nur auf diese Weise konnten die französischen Ermittlungsbehörden die von deutschem Boden aus geführte Kommunikation von der EncroChat-Kommunikation absondern, die in anderen Ländern geführt worden ist und ausschließlich die auf deutschem Boden geführte EncroChat-Kommunikation dem BKA zur Verfügung stellen.
Bei dieser Vorgehensweise dürfte es sich – wie nachfolgend darzustellen sein wird – um eine im besonderen Maße ungesetzliche Form der Vorratsdatenspeicherung handeln, durch die insbesondere auch die retrograden Standortdaten erfasst worden sind.
Nach § 100g II StPO i. V. m. §§ 175 I, 176 I Nr. 2, IV TKG waren die Anbieter von Telekommunikationsdiensten 2020 verpflichtet, Standortdaten für vier Wochen zu speichern.[12] Die auf deutschem Boden ausgespähten personenbezogenen Daten des Diensteanbieters EncroChat sind in Frankreich deutlich länger gespeichert worden.
Standortdaten sind nach § 3 Nr. 56 TKG diejenigen Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst verarbeitet werden und die den Standort des Endgeräts eines Nutzers eines öffentlich zugänglichen Telekommunikationsdienstes angeben. Standortdaten dienen der Lokalisation eines Endgeräts zu einem bestimmten Zeitpunkt.
Nach § 3 Nr. 70 TKG sind Verkehrsdaten Daten, deren Erhebung, Verarbeitung oder Nutzung bei der Erbringung eines Telekommunikationsdienstes erforderlich ist.
Unter Vorratsdatenspeicherung i. S. d. § 100g II StPO wird eine gesetzliche Regelung verstanden, die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreiber eines öffentlichen Kommunikationsnetzes verpflichtet, bestimmte personenbezogene Daten für Zwecke der Ermittlung, Feststellung und Verfolgung von Straftaten zur Verfügung zu stellen. In § 176 TKG ist geregelt, welche Daten auf Vorrat gespeichert werden müssen. Dabei geht die gesetzliche Speicherfrist deutlich über die für den Vertragszweck zulässige Dauer hinaus und ist weder vertraglich veranlasst noch bezieht sich die Speicherung auf einen bestimmten Tatverdacht. Es werden deshalb die Daten sämtlicher Vertragspartner des Anbieters anlasslos "auf Vorrat" gespeichert.
Es trifft zwar zu, dass unter Vorratsdatenspeicherung die Pflicht privater Diensteanbieter, bestimmte Telekommunikationsdaten über einen bestimmten Zeitraum zu speichern, zu verstehen ist und die Speicherung auf Vorrat im Fall des EncroChat-Hacks nicht durch das Unternehmen EncroChat erfolgte, sondern durch den französischen Staat. Das macht es aber nicht besser und vor allem nicht gesetzlicher. Im Gegenteil.
Allerdings umfasst die Speicherungspflicht des § 176 TKG die gesamten in Deutschland erhobenen und gespeicherten Verkehrs- und Standortdaten. Das ist im Fall der Ausspähung der EncroChat-Kommunikation nicht der Fall gewesen. Ähnlich wie im Fall des EncroChat-Hacks verhält es sich aber bei der Befugnis des BND zur strategischen Auslandstelekommunikationsüberwachung. Auch hier wird nur ein kleiner Teil der im Ausland von Ausländern geführten Telekommunikation zu Zwecken der Gefahrenabwehr überwacht.
Als anlasslose, im Wesentlichen nur final angeleitete und begrenzte Befugnis ist die Auslandstelekommunikationsüberwachung nach der Rechtsprechung des BVerfG eine Ausnahmebefugnis, die auf die Auslandsaufklärung durch eine Behörde, die selbst keine operativen Befugnisse hat, begrenzt bleiben muss und nur durch deren besonderes Aufgabenprofil gerechtfertigt ist. Erforderlich sind nach dem Urteil des BVerfG vom 19. Mai 2020[13] zur Auslandstelekommunikationsüberwachung insbesondere Maßgaben zur Aussonderung der Telekommunikationsdaten von Deutschen und Inländern, eine Begrenzung der zu erhebenden Daten, die Festlegung qualifizierter
Überwachungszwecke, die Strukturierung der Überwachung auf der Grundlage eigens festgelegter Maßnahmen, besondere Anforderungen an gezielt personenbezogene Überwachungsmaßnahmen, Grenzen für die bevorratende Speicherung von Verkehrsdaten, Rahmenbestimmungen zur Datenauswertung, Vorkehrungen zum Schutz von Vertraulichkeitsbeziehungen, die Gewährleistung eines Kernbereichsschutzes und Löschungspflichten.[14] Diesen Anforderungen genügt die Verarbeitung der personenbezogenen Daten aus dem EncroChat-Hack ebenfalls nicht.
Nach § 100g II StPO dürfen die nach § 176 TKG gespeicherten Verkehrsdaten erhoben werden, soweit die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre, die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht und bestimmte Tatsachen den Verdacht begründen, dass jemand eine besonders schwere Straftat begangen hat und die Tat auch im Einzelfall besonders schwer wiegt. Nach § 100g II StPO darf auf auf Vorrat gespeicherte Daten zurückgegriffen werden, um einen bestehenden Verdacht, der auf andere Weise nicht oder nur schwer aufzuklären wäre, aufzuklären. Unzulässig wäre es, sämtliche Verkehrs- und Standortdaten, die in einer Funkzelle in einem bestimmten Zeitraum gespeichert worden sind, abzurufen, um auf diese Weise zu prüfen, ob in dieser Funkzelle in diesem Zeitraum Straftaten begangen worden sind. Diese Einschränkung ist bei der Verarbeitung personenbezogener Daten (§ 46 Nr. 2 BDSG) aus der EncroChat-Kommunikation nicht zum Tragen gekommen.
Allerdings führt der 5. Strafsenat in seinem Beschluss vom 2. März 2022[15] dazu aus, es handele sich bei dem EncroChat-Hack nicht um eine ‚anlasslose Massenüberwachung und Massendatenauswertung und damit nicht um eine im Kern geheimdienstliche Maßnahme‘.[16] Die französischen Behörden seien ersichtlich davon ausgegangen, dass ein Nutzer schon allein aufgrund des mit erheblichen Kosten einhergehenden Erwerbs und der Nutzung eines auf normalem Vertriebsweg nicht erhältlichen EncroChat-Handys krimineller Aktivitäten aus dem Bereich der organisierten Kriminalität wie Drogen- und Waffenhandel oder Geldwäsche verdächtig ist.[17] So gesehen wären die Auslandstelekommunikationsüberwachung und die Vorratsdatenspeicherung ebenfalls keine anlasslose Massenüberwachung. Beide Maßnahmen sind dadurch gekennzeichnet, dass der Verdacht auf den Beweis folgt. Diese Ermittlungsfolge, bei der nicht aufgrund eines Verdachts Beweise ermittelt werden, bezeichnet das BVerfG anders als der 5. Strafsenat des BGH als anlasslos.[18]
Anlasslos ist eine Überwachungsmaßnahme nach der Rechtsprechung des BVerfG, die grundsätzlich gegenüber jeder Person erlaubt ist und allein durch bestimmte Zwecksetzungen final angeleitet ist. Objektive Eingriffsschwellen werden bei anlasslosen Überwachungsmaßnahmen danach weder in Bezug auf begrenzende Situationen noch auf die von der Überwachung betroffenen Personen vorausgesetzt.[19] Auch die Ausspähung der EncroChat-Kommunikation orientierte sich allein an dem Zweck der Aufklärung unbekannter Straftaten unbekannter Tatverdächtiger und betraf mithin unterschiedslos sämtliche Nutzer des EncroChat-Messengerdienstes.
In § 100g II StPO wird als Eingriffsvoraussetzung verlangt, dass sich die Maßnahme gegen einen bestimmten Beschuldigten richtet und dass die Maßnahme der Aufklärung einer konkreten Tat gilt.
Auf Standortdaten darf nach innerstaatlichem Recht für eine Funkzellenabfrage zudem nur unter den Voraussetzungen des § 100g II StPO zurückgegriffen werden. In der amtlichen Begründung heißt es zu § 100g II StPO:
"Die Erhebung von gespeicherten Standortdaten ist besonders sensibel, weil aus ihnen Bewegungsprofile erstellt werden können. Sie wird deshalb nur nach Absatz 2 unter den dort geregelten strengen Voraussetzungen zugelassen. In Absatz 1 wird die Erhebung von aus geschäftlichen Gründen gespeicherten Standortdaten grundsätzlich ausgeschlossen, indem die Ermittlung des Aufenthaltsortes des Beschuldigten nicht mehr zu den zulässigen Zwecken einer Verkehrsdatenerhebung nach dieser Vorschrift gehört."[20]
Der Aufklärung der über den EncroChat-Dienst geplanten und abgesprochenen Straftaten ist aber gerade die Verarbeitung retrograder Standortdaten, die von französischen Behörden erhoben worden sind, vorausgegangen.
Unter den Voraussetzungen des § 100g II S. 1 StPO dürfen die nach § 176 TKG gespeicherten retrograden Verkehrsdaten im Strafverfahren verwendet werden. Der in § 100g II S. 1 StPO in Bezug genommene § 176 TKG verpflichtete im Jahr 2020 die Anbieter eines Telekommunikationsdienstes personenbezogene Daten, insbesondere Verkehrsdaten und Standortdaten im Inland zu speichern. Nach Ablauf der Speicherungsfrist mussten sie gelöscht werden (§ 75 II, IV BDSG).[21]
Nach dem Urteil des BVerfG zur Vorratsdatenspeicherung vom 2. März 2010 sind die zur Klärung eines eine schwere Straftat betreffenden Verdachts[22] übermittelten Daten nach Maßgabe des Verhältnismäßigkeitsgrundsatzes
hinreichend selektiv und in klarer Weise zu bezeichnen.[23] Auch dies war bei der unterschiedslosen Übermittlung sämtlicher auf deutschem Boden geführten EncroChat-Kommunikation nicht der Fall.
Nach dem Urteil des BVerfG zur Vorratsdatenspeicherung darf die Speicherung der Telekommunikationsverkehrsdaten zudem nicht als Schritt hin zu einer Gesetzgebung verstanden werden, die auf eine möglichst flächendeckende vorsorgliche Speicherung aller für die Strafverfolgung oder Gefahrenprävention nützlichen Daten ziele. Eine solche Gesetzgebung sei von vornherein mit der Verfassung unvereinbar.[24] Die verfassungsrechtliche Unbedenklichkeit einer vorsorglich anlasslosen Speicherung der Telekommunikationsverkehrsdaten setze vielmehr voraus, dass sie eine Ausnahme bleibe. Sie dürfe auch nicht im Zusammenspiel mit anderen vorhandenen Dateien zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen. Maßgeblich für die Rechtfertigungsfähigkeit einer solchen Speicherung sei deshalb insbesondere, dass die Speicherung der Telekommunikationsverkehrsdaten nicht unmittelbar durch staatliche Stellen erfolge, dass sie nicht die Kommunikationsinhalte erfasse und dass auch die Speicherung der von ihren Kunden aufgerufenen Internetseiten durch kommerzielle Diensteanbieter grundsätzlich untersagt werde. Die Einführung der Telekommunikationsverkehrsdatenspeicherung könne zudem nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen. Durch eine vorsorgliche Speicherung der Telekommunikationsverkehrsdaten werde der Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union erheblich geringer.[25]
Ein qualifizierter konkreter Verdacht lag der Ausspähung des EncroChat-Dienstes nicht zugrunde. Außerdem sind die Verkehrs- und Standortdaten und – was noch schwerer wiegt – die Kommunikationsinhalte staatlicherseits erhoben und gespeichert worden, wenn auch zunächst nicht durch den deutschen Staat.
Als Zwischenergebnis ist festzuhalten, dass eine unterschiedslose Speicherung von Verkehrs- und Standortdaten durch staatliche Stellen, die auch Kommunikationsinhalte erfasst und die zusätzlich zu der Vorratsdatenspeicherung nach § 176 TKG erfolgt, nach der Rechtsprechung des BVerfG verfassungswidrig ist.
Bei der Nutzung der von französischen Ermittlungsbehörden gehackten EncroChat-Kommunikation handelt es sich um einen Eingriff in das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zum Zweck der Gefahrenabwehr. Zum Zweck der Gefahrenabwehr darf der Staat nach der Rechtsprechung des BVerfG nur dann in informationstechnische Systeme eingreifen, wenn bestimmte Tatsachen auf eine im Einzelfall erst drohende Gefahr einer Begehung terroristischer Straftaten hinweisen. Diese Eingriffsvoraussetzung "ist dahingehend auszulegen, dass Maßnahmen nur erlaubt sind, wenn die Tatsachen den Schluss auf ein wenigstens seiner Art nach konkretisiertes und zeitlich absehbares Geschehen zulassen, und wenn erkennbar ist, dass bestimmte Personen beteiligt sein werden, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann (…)."[26]
Die unterschiedslose massenhafte Ausleitung und Speicherung der EncroChat-Kommunikation betraf gerade nicht bestimmte Personen, über deren Identität zumindest so viel bekannt ist, dass die Überwachungsmaßnahme gezielt gegen sie eingesetzt und weitgehend auf sie beschränkt werden kann. Die vom BVerfG verlangten Voraussetzungen lagen nicht vor, als die französischen Behörden den EncroChat-Server gehackt haben, sie lagen auch nicht zu dem Zeitpunkt vor, in dem die GStA Frankfurt a. M. bzw. das BKA die Zustimmung zur Nutzung für Zwecke der Gefahrenabwehr erteilt hat.
Zu Zwecken der Gefahrenabwehr dürfte das BKA gemäß § 49 I BKAG "ohne Wissen der betroffenen Person mit technischen Mitteln in von der betroffenen Person genutzte informationstechnische Systeme eingreifen und aus ihnen Daten erheben, wenn bestimmte Tatsachen die Annahme rechtfertigen, dass eine Gefahr vorliegt für (1.) Leib, Leben oder Freiheit einer Person oder (2.) solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Bundes oder eines Landes oder die Grundlagen der Existenz der Menschen berührt."
Allerdings hat das BKA nicht selbst in das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme eingegriffen, sondern dies den französischen Behörden überlassen, um sodann eine entsprechende EEA zu erlassen, aufgrund derer die deutschen Behörden Zugriff auf diese Daten erhalten haben. Das war unzulässig. Im Rechtshilferecht ist es nämlich ausgeschlossen, dass eine EEA dazu führen kann, innerstaatliche Befugnis- und Verfahrensnormen zu umgehen.[27]
In dem Zeitraum von Anfang April 2020 bis zum 13. Juni 2020 standen die Daten der auf deutschem Boden geführten EncroChat-Kommunikation dem BKA nur zu präventiven Zwecken, also zur Gefahrenabwehr zur Verfügung. Ohne die Erkenntnisse aus den zu präventiven Zwecken zur Verfügung gestellten EncroChat-Daten hätte das BKA nicht wissen können, ob es diese Daten auch zu Zwecken der Strafverfolgung benötigt; ohne die zu präventiven Zwecken zur Verfügung gestellten EncroChat-Daten hätte die GStA Frankfurt a. M. keinen Anlass gehabt, ein UJs-Aktenzeichen anzulegen und ein Verfahren gegen Unbekannt einzuleiten.
Der EuGH stellt strengere Anforderungen an die unterschiedslose Speicherung von Telekommunikationsdaten als das BVerfG und orientiert sich dabei an den unionsrechtlichen Vorgaben.
Nach dem Urteil der Großen Kammer des EuGH vom 20. September 2022 über das Vorabentscheidungsersuchen des BVerwG[28] ist Art. 15 I der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG in der durch die Richtlinie 2009/136/EG vom 25. November 2009 geänderten Fassung im Licht der Art. 7, 8 und 11 sowie von Art. 52 I GRCh dahin auszulegen, dass er nationalen Rechtsvorschriften entgegensteht, die präventiv zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen.[29] Auch die Speicherung der personenbezogenen Daten aus der EncroChat-Kommunikation erfolgte ohne Bezug auf einen konkreten Verdacht oder auf einen bestimmten Verdächtigen.[30]
Für die Verarbeitung auf Vorrat, also ohne konkreten Tatverdacht und nicht auf eine bestimmte Tat bezogener gespeicherter Standort- und Verkehrsdaten im Strafverfahren fehlt es aktuell an einer gültigen Rechtsgrundlage. Eine § 176 TKG ersetzende, mit dem Unionsrecht vereinbare gesetzliche Regelung existiert nicht. Eine solche Regelung ist auch nicht ‚in Arbeit‘. Die Bundesregierung beabsichtigt vielmehr, die Vorratsdatenspeicherung durch eine gesetzliche Quick-Freeze-Regelung abzulösen. Nach dem Urteil des EuGH zur gesetzlichen Regelung der Vorratsdatenspeicherung in Deutschland ist der § 176 TKG unionsrechtswidrig und darf nicht mehr angewendet werden. Das ist aus rechtshilferechtlicher Sicht deswegen bedeutsam, weil nach Art. 6 I b), 31 III EEA-RL 2014/41/EU vom 3. April 2014 die Voraussetzungen für die Speicherung der EncroChat-Daten auch nach deutschem Recht hätten vorliegen müssen.[31]
Im Fall der gespeicherten EncroChat-Daten sind in Frankreich staatlicherseits Verkehrs-, Standortdaten und die Inhalte der EncroChat-Kommunikation gespeichert worden. Dies war mit dem Unionsrecht unvereinbar. Das wirft die Frage der Verbindlichkeit bzw. des Vorrangs des Unionsrechts vor nationalem Recht auf.
In seinem Urteil vom 21. Dezember 2021 führt der EuGH dazu aus, nach dem Grundsatz des Vorrangs des Unionsrechts könne die Einheit und Wirksamkeit des Unionsrechts nicht dadurch beeinträchtigt werden, dass sich ein Mitgliedstaat auf Bestimmungen des nationalen Rechts berufe, auch wenn sie Verfassungsrang haben. Die Wirkungen des Grundsatzes des Vorrangs des Unionsrechts seien für alle Einrichtungen eines Mitgliedstaats verbindlich, ohne dass innerstaatliche Bestimmungen, auch wenn sie Verfassungsrang haben, entgegenstehen könnten. Ein nationales Gericht, das im Rahmen seiner Zuständigkeit die Bestimmungen des Unionsrechts anzuwenden habe und eine nationale Regelung nicht im Einklang mit den Anforderungen des Unionsrechts auslegen könne, sei daher nach dem Grundsatz des Vorrangs verpflichtet, für die volle Wirksamkeit der Anforderungen des Unionsrechts in dem bei ihm anhängigen Rechtsstreit Sorge zu tragen, indem es erforderlichenfalls jede – auch spätere – nationale Regelung oder Praxis, die einer Bestimmung des Unionsrechts mit unmittelbarer Wirkung entgegensteht, unangewendet lasse, ohne die vorherige Beseitigung dieser nationalen Regelung oder Praxis auf gesetzgeberischem Weg oder durch irgendein anderes verfassungsrechtliches Verfahren zu beantragen oder abzuwarten.[32]
Urteile des EuGH binden somit auch die französischen Strafverfolgungsbehörden und die französische Justiz. Zwar gilt innerhalb des Rechtsraums der Europäischen Union die Vermutung, dass andere Mitgliedstaaten das Unionsrecht und insbesondere die Grundrechte einhalten. Diese Vermutung ist, wie auch der BGH in seinem EncroChat-Beschluss vom 2. März 2022 einräumt, widerlegbar.[33] Sie ist bezogen auf die Verarbeitung der Kommunikation des Diensteanbieters EncroChat eindeutig und zwar nicht nur aus den vorstehenden Gründen widerlegt.[34]
Soweit der 5. Strafsenat in seinem Beschluss vom 2. März 2022 ausführt, die Rechtmäßigkeit von Ermittlungshandlungen im Rechtshilfeverfahren richte sich nach dem Recht des ersuchten Staates, in diesem Fall also nach französischem Recht[35] und nicht nach dem Recht des ersuchenden Staates, in diesem Fall also nicht nach deutschem Recht, übersieht er, dass unionsrechtliche Vorgaben die französische Rechtsordnung in gleicher Weise binden.
Die französischen Behörden hatten die Vermutung, dass die EncroChat-Kommunikation ganz überwiegend zu kriminellen Zwecken genutzt wird.[36] Einen Verdacht im
Rechtssinne hatten sie nicht. Denn selbst ein Anfangsverdacht müsste sich auf konkrete Tatsachen und womöglich auch auf Tatverdächtige beziehen.[37] Die Vermutung, der zufolge auch Standort- und Verkehrsdaten erfasst werden, die zum jeweiligen Tatverdacht passen, bildete die Grundlage für die gesetzliche Regelung der Vorratsdatenspeicherung. Während aber durch die Vorratsdatenspeicherung nur die Verkehrs- und Standortdaten erfasst werden, erstreckte sich der EncroChat-Hack auch auf die Kommunikationsinhalte.
Im Gegensatz zur Vorratsdatenspeicherung erfolgte die Erhebung und Speicherung der EncroChat-Daten durch einen Mitgliedstaat der EU, nämlich durch Frankreich und nicht durch private Diensteanbieter. Die Erhebung und Speicherung der EncroChat-Daten ist indessen nicht durch deutsche Behörden bewirkt worden. Eine Speicherung dieser Daten durch den deutschen Staat wäre nach der Rechtsprechung des BVerfG unzulässig.[38] Nach dem Urteil des BVerfG zur Vorratsdatenspeicherung muss gewährleistet sein, dass eine tatsächliche Kenntnisnahme und Verwendung der gespeicherten personenbezogenen Daten in normenklarer Form in einer Weise begrenzt bleibt, die dem Gewicht der weitreichenden Datenerfassung Rechnung trägt und den Abruf sowie die tatsächliche Verwendung der Daten auf den unbedingt erforderlichen Teil der Datensammlung beschränkt.[39] Diese Bedingung ist durch den Abruf der EncroChat-Daten durch das BKA nicht erfüllt. Die Vorratsdatenspeicherung ist nach der Rechtsprechung des BVerfG darüber hinaus nur insoweit verfassungsrechtlich unbedenklich als sie nicht auch die Kommunikationsinhalte erfasst.[40] Auch insoweit liegt der Fall bei der Verwendung der EncroChat-Daten im Strafverfahren anders als bei der Vorratsdatenspeicherung. Durch die unterschiedslose Speicherung der EncroChat-Daten ist in gravierenderer Weise in das allgemeine Persönlichkeitsrecht der Betroffenen eingegriffen worden als dies bei der Vorratsdatenspeicherung nach deutschem Recht der Fall ist.
Folgt man dem EncroChat-Beschluss des Bundesgerichtshofs, so wäre der EncroChat-Hack eine Ermittlungsmaßnahme, auf die sich eine EEA beziehen kann.[41] Die Pflicht der französischen Behörden, die EncroChat-Daten deutschen Strafverfolgungsbehörden zur Verfügung zu stellen, würde sich danach aus Art. 9 I der EEA-Richtlinie[42] ergeben. Die Pflicht der deutschen Diensteanbieter, die Verkehrsdaten zu speichern ist ebenfalls gesetzlich geregelt und folgt aus § 176 TKG. Sowohl im Rechtshilferecht als auch nach der deutschen Regelung der Vorratsdatenspeicherung besteht somit die Pflicht, die gespeicherten Daten den jeweiligen Strafverfolgungsbehörden zur Verfügung zu stellen.
Ebenso wie bei der Vorratsdatenspeicherung wurden die EncroChat-Daten nicht durch den deutschen Staat gespeichert, sondern anders als bei der Vorratsdatenspeicherung durch einen fremden Staat.
Der gesetzlichen Regelung der Vorratsdatenspeicherung lag die Vermutung zugrunde, dass durch sie den Strafverfolgungsbehörden auch strafrechtsrelevante personenbezogene Daten zur Verfügung stehen würden. Dem EncroChat-Hack lag dagegen die Vermutung der französischen Behörden zugrunde, dass dadurch den Strafverfolgungsbehörden überwiegend strafrechtlich relevante personenbezogene Daten zur Verfügung gestellt würden.
Die Vorratsdatenspeicherung ist hinsichtlich ihrer rechtlichen Natur mithin durchaus mit dem EncroChat-Hack vergleichbar, wobei durch den EncroChat-Hack in noch gravierenderer Weise in das Recht auf informationelle Selbstbestimmung des betroffenen Personenkreises eingegriffen worden ist, als dies bei der Vorratsdatenspeicherung nach deutschem Recht der Fall war.
Nach dem EncroChat-Beschluss des 5. Strafsenats vom 2. März 2022[43] richtet sich die Frage, ob im Wege der Rechtshilfe erlangte Beweise verwertbar sind, ausschließlich nach dem nationalen Recht des um Rechtshilfe ersuchenden Staates, in diesem Fall also nach deutschem Recht.[44]
Bei dem derzeit anzuwendenden Rechtshilferecht handelt es sich um verbindliches Unionsrecht. Auch in diesem Fall richten sich die Rechtsfolgen eines Unionsrechtsverstoßes mangels einschlägiger unionsrechtlicher Vorschriften zwar grundsätzlich nach den Verfahrensmodalitäten des Mitgliedstaates, in dem die betreffende unionsrechtliche Vorschrift anzuwenden ist.[45] Die aus dem Unionsrecht erwachsenden, dem Schutz des Einzelnen dienenden Unionsrechte dürfen dabei aber keinem geringeren verfahrensrechtlichem Schutz unterliegen als gleichartige, aber dem innerstaatlichen Recht unterliegende Sachverhalte (Äquivalenzgrundsatz).[46] Außerdem darf die Ausübung der durch Unionsrechtsakte garantierten Rechte durch das innerstaatliche Verfahrensrecht nicht praktisch unmöglich oder übermäßig erschwert werden (Effektivitätsgrundsatz).[47] Die Einhaltung des Effektivitätsgrundsatzes erfordert es daher, dass innerstaatliche Vorschriften über die Zulässigkeit und Verwertbarkeit von Erkenntnissen und Sachbeweisen darauf abzielen, zu verhindern, dass ein Beschuldigter durch rechtswidrig erlangte Erkenntnisse oder
Sachbeweise unangemessene Nachteile erleidet.[48] Das kann und wird im Einzelfall dazu führen, dass unionsrechtswidrig erlangte Erkenntnisse und Sachbeweise nach innerstaatlichem Recht ausgeschlossen werden müssen.[49]
Außerdem enthält die in den §§ 45 BDSG in deutsches Recht umgesetzte EU-Datenschutzrichtlinie für Polizei und Justiz 2016/680 ein auf die Verarbeitung personenbezogener Daten beschränktes Beweisverbot. Danach dürfen personenbezogene Daten nur auf rechtmäßige Weise und nach Treu und Glauben verarbeitet werden.[50] Mit Verarbeitung ist nach Art. 3 Nr. 2 EU-Datenschutzrichtlinie 2016/680[51] jede Art der Verwendung im Strafverfahren gemeint. Nach Art. 16 II der EU-Datenschutzrichtlinie für Polizei und Justiz 2016/680[52] sind personenbezogene Daten, die unter Verstoß gegen Art. 4 der Richtlinie erlangt worden sind, unverzüglich zu löschen. Bei unionsrechtskonformer Verfahrensführung stehen unrechtmäßig erlangte personenbezogene Daten dem Verfahren nicht (mehr) zur Verfügung.
Nach § 161 III StPO dürfen die aufgrund einer entsprechenden Maßnahme nach anderen Gesetzen, wozu womöglich auch französische Gesetze zählen, erlangten personenbezogenen Daten ohne Einwilligung der von der Maßnahme betroffenen Personen zu Beweiszwecken im Strafverfahren nur zur Aufklärung solcher Straftaten verwendet werden, zu deren Aufklärung eine solche Maßnahme nach der Strafprozessordnung hätte angeordnet werden dürfen. Nach der Strafprozessordnung wäre eine mit dem EncroChat-Hack vergleichbare Maßnahme nicht zulässig. § 161 III StPO scheidet als Rechtsgrundlage für die Verwertung der personenbezogenen Daten aus der EncroChat-Kommunikation mithin aus.
Der 5. Strafsenat des Bundesgerichtshofs führt dazu aus, die verfassungsmäßige Rechtsgrundlage für die Verwertung in der Hauptverhandlung erhobener Beweise sei § 261 StPO.[53] Tatsächlich regelt § 261 StPO nur, dass das Urteil allein aus den im Rahmen der Beweisaufnahme in der Hauptverhandlung erhobenen Beweise geschöpft werden darf. Welche Beweise zugelassen sind, regelt § 261 StPO gerade nicht.
Der § 100b StPO scheidet, worauf der 5. Strafsenat zutreffend hingewiesen hat, als Rechtsgrundlage für die Verwendung der EncroChat-Daten im Sinne des § 161 III StPO u. a. deshalb aus, weil sich die Onlinedurchsuchung anders als die Erhebung und Speicherung der EncroChat-Daten auf Einzelfälle und auf einen konkreten Verdacht bezieht.[54] Als Rechtsgrundlage in Betracht käme mithin nur die (analoge) Anwendung des § 100g II StPO i. V. m. § 176 TKG. Nach dem Urteil des EuGH zur Vorratsdatenspeicherung ist der § 176 TKG als Bestandteil der deutschen Vorratsdatenspeicherung unionsrechtswidrig und darf nicht angewendet werden. Somit kann die die EncroChat-Daten betreffende Beweiserhebung nicht auf § 161 III StPO gestützt werden. § 479 II StPO scheidet als Rechtsgrundlage für die Verwendung der EncroChat-Daten deshalb aus, weil es sich bei dem EncroChat-Hack nicht um eine Maßnahme nach der StPO handelt. Der § 479 II StPO bezieht sich ausschließlich auf Maßnahmen nach der StPO.
Gegen dieses Ergebnis kann auch nicht das Rückwirkungsverbot ins Feld geführt werden; es kommt nämlich nicht darauf an, dass die die EncroChat-Daten betreffende EEA der GStA Frankfurt a. M. schon am 2. Juni 2020, also zeitlich vor dem Urteil des EuGH zur Vorratsdatenspeicherung vom 20. September 2022, erlassen worden ist. Zunächst ist daran zu erinnern, dass sich die Unionsrechtswidrigkeit der Vorratsdatenspeicherung bereits aus dem Urteil des EuGH vom 21. Dezember 2016 zur Vorratsdatenspeicherung ergibt.[55] Überdies würde das Rückwirkungsverbot nicht für neues Prozessrecht gelten.[56] Und erst recht gilt das Rückwirkungsverbot nicht in laufenden Verfahren und es entfaltet keine Schutzwirkung zugunsten staatlicher Strafverfolgungsorgane.
Es ist vorstehend dargelegt worden, dass der EncroChat-Hack nach deutschem Recht und wegen der Ähnlichkeit mit der Vorratsdatenspeicherung auch nach Unionsrecht unzulässig gewesen wäre. Das gilt sowohl für die Verarbeitung zur präventiven wie auch zu repressiven Zwecken. Der 5. Strafsenat übersieht in seinem Beschluss vom 2. März 2022, dem zu Folge es aus verfassungsrechtlichen Gründen nicht erforderlich ist, dass die ausländische Ermittlungsmaßnahme auch auf deutscher Rechtsgrundlage möglich gewesen wäre[57], außerdem geflissentlich, dass es auf die verfassungsrechtliche Sicht nicht ankommt[58], weil es nach Art. 6 I b), 31 III EEA-RL 2014/41/EU darauf ankommt, ob die Maßnahme nach innerstaatlichem Recht des ersuchenden Staates zulässig wäre. Im Anwendungsbereich des Unionsrechts, wie beispielsweise im europäischen Rechtshilferecht, hat das Unionsrecht Vorrang vor innerstaatlichem Recht. Mithin richtet sich die Verwertbarkeit im Wege der Rechtshilfe erlangter Beweise – wie der 5. Strafsenat zutreffend ausführt – ausschließlich nach dem nationalen Recht des um Rechtshilfe ersuchenden Staates, in diesem Fall nach deutschem Recht.[59]
Aus diesem Grund ist die Prüfung, ob der ersuchte Staat bereits vorhandene Beweismittel nach dem Maßstab seiner eigenen nationalen Verfahrensregeln rechtmäßig erlangt hat, nicht vorgesehen. Denn etwaigen Rechtsschutzdefiziten im ersuchten Staat, hier Frankreich, kann, worauf der 5. Strafsenat ebenfalls zutreffend hinweist, auf der Ebene der Beweisverwertung Rechnung getragen werden.[60] Ist die im ersuchten Staat erfolgte Beweisgewinnung nach dem Recht des ersuchenden Staates unzulässig, so zieht dies mithin ein Beweisverwertungsverbot nach sich. Auch aus diesem Grunde sind die aus der EncroChat-Kommunikation generierten personenbezogenen Daten nach deutschem Recht unverwertbar.
Der EncroChat-Hack ist mit der Vorratsdatenspeicherung vergleichbar. Da aber mit der Ausspähung der personenbezogenen Daten aus der EncroChat-Kommunikation auch die Kommunikationsinhalte erfasst worden sind, wird durch den EncroChat-Hack tiefer in das allgemeinem Persönlichkeitsrecht der Betroffenen eingegriffen, als dies bei der Vorratsdatenspeicherung der Fall ist. Gemessen an den durch die ständige Rechtsprechung des EuGH zur Vorratsdatenspeicherung entwickelten Rechtsprechung erweist sich die Verwendung der Standort- und Verkehrsdaten aus dem EncroChat-Hack im Strafverfahren als unionsrechtswidrig.
[1] Vgl. BGH, Beschluss vom 8. Februar 2022 – 6 StR 639/21= HRRS 2022 Nr. 419; BGH, Beschluss vom 2. März 2022 – 5 StR 457/21= HRRS 2022 Nr. 393; HansOLG Bremen, Beschluss vom 18. Dezember 2020 – 1 Ws 166/20, NStZ-RR 2021, 158; Schleswig-Holsteinisches OLG, Beschluss vom 29. April 2021 – 2 Ws 47/21, NStZ 2021, 693; HansOLG Hamburg, Beschluss vom 29. Januar 2021 – 1 Ws 2/21; OLG Köln, Beschluss vom 31. März 2021 – 2 Ws 118/21; OLG Rostock, Beschlüsse vom 11. Mai 2021 – 20 Ws 121/21, NJ 2021, 372; vom 23. März 2021 – 20 Ws 70/21, MMR 2021, 572; OLG Düsseldorf, Beschluss vom 21. Juli 2021 – III 2 Ws 96/21; OLG Celle, Beschluss vom 12. August 2021 – 2 Ws 250/21, StraFo 2021, 466 m. Anm. Albrecht, jurisPR-StrafR 20/2021; KG, Beschluss vom 30. August 2021 – 2 Ws 79/21 und 93/21, NStZ-RR 2021, 353; OLG Karlsruhe, Beschluss vom 10. November 2021 – 2 Ws 261/21; OLG Nürnberg, Beschluss vom 16. November 2021 – Ws 1069/21; Brandenburgisches OLG, Beschlüsse vom 26. Juli 2021 – 2 Ws 94/21 (S); vom 9. August 2021 – 2 Ws 113/21 (S); vom 16. Dezember 2021 – 2 Ws 197/21.
[2] Vgl. LG Berlin, Beschluss vom 1. Juli 2021 – (525 KLs) 254 Js 592/20 (10/21); LG Berlin, Beschluss vom 19. Oktober 2022, (525 KLs) 279 Js 30/22 (8/22) = HRRS 2022 Nr. 1047.
[3] Vgl. LG Frankfurt (Oder), Beschluss vom 27. Oktober 2022 – 24 Qs 80/22.
[4] Vgl. Verfügung des Vorsitzenden der 6. Strafkammer des LG Leipzig vom 10. November 2022, Beschluss vom 25. November 2022 jeweils zum Az.: 6 KLs 101 Js 63778/20.
[5] Vgl. u. a. Böse, JZ 2022, 1048; Brodowski, StV 2022, 364; Burhoff, StRR 2021, Heft 8, 31; Cornelius, NJW 2022, 1546; Derin/Singelnstein, NStZ 2021, 449; dies., StV 2022, 130; Erhard/Lödden, StraFo 2021, 366; Gebhard/Michalke, NJW 2022, 655; Grözinger, in Müller/Schlothauer/Knauer, Anwaltshandbuch Strafverteidigung3, § 50 Rn. 336 ff.; Labusga, NStZ 2021, 702; Lödden, StV-Spezial 2022, 169; Meyer-Mews, HRRS 2022, 289, ders., myops Heft 46, 52 ; ders., StraFo 2022, 457; Nadeborn/Albrecht, NZWiSt 2021, 420; Rückert, NStZ 2022, 446; ders., in MüKoStPO2, § 100e, Rn. 93a ff.; Sommer, StV Spezial 2021, 67; Stehr/Rakow, StRR 2021, Heft 4, 6; Strate, HRRS 2022, 15; Theune, NJ 2021, 444; ders., RAV Infobrief 6/2022, 43; Wahl, ZIS 2021, 452; Weiss, ZfiStW 2022, 427; Zimmermann, ZfiStW 2022, 173; Zühlke, StV-Spezial 2022, 169.
[6] In diesem Zusammenhang ist darauf hinzuweisen, dass die gesetzliche Regelung der Vorratsdatenspeicherung als Rechtsgrundlage für die Verwertung der EncroChat-Kommunikation zumindest in Betracht zu ziehen sein wird.
[7] Vgl. BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 7 ff.
[8] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 12; ebenso Lödden StV-Spezial 2022, a. a. O.
[9] Az. 62 UJs 50005/20.
[10] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 21.
[11] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 21 ff.
[12] Zur Zulässigkeit der Vorratsdatenspeicherung nach deutschem Verfassungsrecht vgl. grundlegend BVerfG, Urteil vom 2. März 2010 – 1 BvR 256/08, BVerfGE 125, 260 ff. = HRRS 2010 Nr. 134.
[13] Vgl. BVerfG, Urteil vom 19. Mai 2020 – 1 BvR 2835/17, BVerfGE 154, 152.
[14] Vgl. BVerfG, Urteil vom 19. Mai 2020 a. a. O., 4.LS, 5. LS.
[15] Vgl. BGH, a. a. O., Rn. 37.
[16] Unter Hinweis auf Derin/Singelnstein, StV 2022, 130, 134.
[17] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 37.
[18] Vgl. BVerfG, Urteil vom 19. Mai 2020 a. a. O., 5. LS, BVerfGE 154, a. a. O., 242.
[19] Vgl. BVerfG, a. a. O., Rn. 150.
[20] BT-Drs. 18/5088, S. 27 (Hervorhebung d. d. Verf.).
[21] Vgl. Nolte/Werkmeister , in Gola/Heckmann, BDSG, 13. Aufl., § 75, Rn. 2; Schwichtenberg, in Kühling/Buchner, DS-GVO BDSG, 3. Aufl., § 75, Rn. 4.
[22] Vgl. Urteil des Ersten Senats des BVerfG vom 2. März 2010 – 1 BvR 256, 263, 586/08, 5. LS, BVerfGE 125, 260.
[23] Vgl. BVerfG, Urteil vom 2. März 2010, a. a. O., BVerfGE 125, 260, 338.
[24] Vgl. BVerfGE 125, a. a. O., 323.
[25] Vgl. BVerfGE 125, a. a. O., 324.
[26] BVerfG, Urteil des Ersten Senats vom 20. April 2016 – 1 BvR 966, 1140/09, Rn. 212 f., BVerfGE 141, 220, 304 f.
[27] BT-Drs. 18/9757, S. 45; das Gesetz nur dient der Umsetzung der Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen (ABl. L 130 vom 1.5.2014, S. 1; L 143 vom 9.6.2015, S. 16).
[28] Vgl. EuGH, Urteil vom 20. September 2022 – C-793/19; C-794/19.
[29] Vgl. EuGH, a. a. O.
[30] Vgl. BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 70.
[31] Vgl. Böse, JZ 2022, 1048, 1051; Weiss, ZfiStW 6/2022, 427, 436.
[32] Urteil der Großen Kammer des EuGH vom 21. Dezember 2021 in den verbundenen Rechtssachen C‑357/19, C‑379/19, C‑547/19, C‑811/19 und C‑840/19, Rn. 250 ff.
[33] Vgl. BGH, Beschluss vom 2. März 2022 – 5 StR 457/21, Rn. 28, 35.
[34] Vgl. französischer Kassationshof Urteil vom 11. Oktober 2022 Nr. M 21-85.148 F-D in der auf der Homepage der Rechtsanwälte Strate und Ventzke abrufbaren Übersetzung des Urteils.
[35] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 26.
[36] Vgl. BGH, a. a. O., Rn. 36.
[37] Vgl. Meyer-Goßner/Schmitt, StPO65, § 152, Rn. 4 m. w. N.
[38] Vgl. BVerfGE 125, 260, 321, 324.
[39] Vgl. BVerfGE 125, a. a. O.
[40] BVerfGE 125, a. a. O., 324.
[41] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 48.
[42] Richtlinie 2014/41/EU des Europäischen Parlaments und des Rates vom 3. April 2014 über die Europäische Ermittlungsanordnung in Strafsachen.
[43] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 26 f., 78.
[44] Unter Hinweis auf BGH, Beschlüsse vom 21. November 2012 – 1 StR 310/12, BGHSt 58, 32 Rn. 21 m. w. N.; BGH Beschluss vom 9. April 2014 – 1 StR 39/14, NStZ 2014, 608 = HRRS 2014 Nr. 679.
[45] Vgl. EuGH, Urteil vom 2. März 2021, in der Rechtssache C-746/18, Rn. 42.
[46] Vgl. EuGH, a. a. O.
[47] Vgl. EuGH, a. a. O.
[48] Vgl. EuGH, a. a. O., Rn. 43.
[49] Vgl. EuGH, a. a. O., Rn. 44.
[50] Entspricht Art. 4 I a) der EU-Datenschutzrichtlinie für Polizei und Justiz 2016/680.
[51] Entspricht § 46 Nr. 2 BDSG (neue Fassung).
[52] Entspricht § 75 II BDSG (neue Fassung).
[53] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 25.
[54] In diesem Sinne wohl auch BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 53, 65.
[55] Vgl. Eu GH, Urteil vom 21. Dezember 2016 in den verbundenen Rechtssachen C-203/15, C-698/15, NJW 2017, 717.
[56] Vgl. BGH NJW 2009, 791, 792; a. A. Meyer-Goßner/Schmitt, StPO65, Einl., Rn. 203.
[57] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 74 f.
[58] Vgl. Vgl. Böse, JZ 2022, 1048, 1051; Weiss, ZfiStW 6/2022, 427, 436.
[59] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 26.
[60] Vgl. BGH, Beschluss vom 2. März 2022, a. a. O., Rn. 30.