State-of-the-Art: Ermittlungen in der Cloud

1 Einleitung

Mithilfe eines Geständnisses konnten im Oktober 2011 drei Mor-de des sog. „Maskenmannes“ aufgeklärt werden. Im Rahmen von Renovierungsarbeiten fand der Nachmieter der Wohnung des Tä-ters versteckt in der Dunstabzugshaube mehrere Datenspeicher, die bei der Durchsuchung durch die Ermittlungsbehörden un-entdeckt blieben.1 Datenspeicher werden stetig kleiner oder imi-tieren alltägliche Gegenstände. Umso größere Herausforderun-gen für die Strafverfolger lassen deshalb Cloud Storage-Angebote vermuten. Im Folgenden wird ein Überblick darüber geliefert, ob und wie im Rahmen von Ermittlungsverfahren auf Beweismittel in der Cloud zurückgegriffen werden kann; zudem werden damit einhergehende Schwierigkeiten diskutiert.

1 http://www.focus.de/panorama/ welt/ermittlungspanne-im-masken mann-prozess-polizei-schlampte-bei-der-beweisaufnahme_aid_ 685783.html (abgerufen am 17.1.2013).

2 Storage-as-a-Service

Mangels einer einheitlichen Definition2 wird für den Begriff des Cloud Computing häufig die Definition des National Institute of Standards and Technology (NIST) herangezogen. Danach um-schreibt „Cloud Computing“ die über ein Netzwerk auf Abruf er-folgende Bereitstellung eines mit weiteren Nutzern geteilten Pools von IT-Ressourcen. Auf diesen Pool kann jederzeit und ohne gro-ßen Verwaltungsaufwand oder Betreiberintervention zugegriffen werden. Die jeweils zur Verfügung gestellten Kapazitäten pas-sen sich schnell und flexibel dem aktuellen Bedarf des Kunden an.3 Die notwendige IT-Infrastruktur wird durch den Anbieter der Dienste (Cloud Service Provider, CSP) entweder direkt oder durch beauftragte Dritte vorgehalten. Die Rechenzentren sind in der Regel auf verschiedene Orte verteilt.4 Der Kunde bucht beim CSP einen seinen Bedürfnissen entsprechenden Dienst und kann die benötigten Ressourcen über eine Standardschnittstelle, häufig einen Internet-Browser, abrufen.5 Zu den besonderen Merkma-len des Cloud Computing zählen die Skalierbarkeit und Flexibili-tät bezogener IT-Ressourcen.6 Der Umfang, in dem diese zur Ver-fügung gestellt werden, passt sich dynamisch dem aktuellen Be-darf des abrufenden Kunden an (sog. elastic scaling)7 und wirkt unbegrenzt.8 Ressourcen können dadurch mit anderen Nutzern geteilt werden. Geschwindigkeitsvorteile sind die Folge, weil An-

2 Niemann/Paul: Bewölkt oder wolkenlos – rechtliche Herausforderungen des Cloud Computings, K&R 2009, S. 444 (445), Nägele/Jacobs: Rechtsfragen des Cloud Computing, ZUM 2010, S. 281, Repschläger/Pannicke/Zarnekow: Cloud Computing: Defini-tionen, Geschäftsmodelle und Entwicklungspotenziale, HMD 275, S. 6.

3 Mell/Grance: The NIST Definition of Cloud Computing, http://csrc.nist.gov/pu-blica tions/nistpubs/800-145/SP800-145.pdf (abgerufen am 17.1.2013).

4 Birk/Wegener: Über den Wolken: Cloud Computing im Überblick, DuD 2010, S. 641 (642).

5 Heidrich/Wegener: Sichere Datenwolken Cloud Computing und Datenschutz, MMR 2010, S. 803, Pohle/Ammann: Über den Wolken … Chancen und Risiken des Cloud Computing, CR 2009, S. 273.

6 Schulz/Rosenkranz: Cloud Computing Bedarfsorientierte Nutzung von IT-Res-sourcen, ITRB 2009, S. 232 (233).

7 Niemann/Paul: a. a. O., S. 444.8 Schuster/Reichl: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?,

CR 2010, S. 38.

Prof. Dr. Torsten Eymann

Inhaber des Lehrstuhls für Wirtschaftsinformatik der Universität Bayreuth

E-Mail: [email protected]

Dipl.-Kfm./Dipl-Rpfl. (FH) Thomas Süptitz

Wissenschaftlicher Mitarbeiter am Lehrstuhl für Wirtschaftsinformatik der Universität Bayreuth

E-Mail: [email protected]

Thomas Süptitz, Christine Utz, Torsten Eymann

State-of-the-Art: Ermittlungen in der Cloud

Sicherstellung und Beschlagnahme von Daten bei Cloud Storage-Betreibern

Cloud Storage-Angebote erfreuen sich wachsender Beliebtheit. Umso mehr sollten sie in den Fokus der Ermittlungsbehörden rücken, wenn sie potentiell relevante Beweismittel suchen. Der Zugriff unterliegt allerdings erheblichen Hürden.

DuD • Datenschutz und Datensicherheit 5 | 2013 307

AUFSÄTZE

bieter nicht erst die einem Kunden zugewiesenen Kapazitäten ak-tiv erweitern müssen.9

Kerntechnologie ist die Virtualisierung: Verfügbare IT-Res-sourcen (z. B. Rechenkapazität) werden mittels Einsatzes einer Virtualisierungsebene (Virtual Machine Monitor VMM oder Hypervisor) von der physikalischen Recheneinheit abstrahiert, zusammengeführt und für die Nutzung durch mehrere Anwen-der verwaltet.10 Bei Anforderung durch einen Kunden wird die-sem die angefragte Ressource aus dem Pool im benötigten Um-fang zugeteilt und nach der Nutzung wieder zurückgezogen.11 Aufgrund der Virtualisierung und der stetigen auslastungsab-hängigen Neuzuweisung von Ressourcen ist durch den Nutzer eine Zuordnung der aktuell beanspruchten Kapazitäten zu einer bestimmten physikalischen Recheneinheit nicht möglich.12 Die-se Ungewissheit kommt in der metaphorischen Bezeichnung des vom CSP vorgehaltenen Ressourcenpools als „Wolke“ bzw. „Cloud“ zum Ausdruck.13

Für Cloud Computing-Dienste lassen sich drei Ebenen, sog. service models, abgrenzen14 und zwar in Abhängigkeit der „on de-mand“ zur Verfügung gestellten Serviceleistung:15

Infrastructure-as-a-Service (Iaas): Der CSP stellt Hardware-komponenten wie Speicher, Rechenkapazität oder Netzwerk zur Verfügung und betreibt auch den VMM; die Installation von Betriebssystem und Anwendungen obliegt jedoch weiter-hin dem Kunden.16 Bekanntes Beispiel ist die Amazon Elastic Compute Cloud (EC2), die Rechenleistung vorhält.17

Platform-as-a-Service (PaaS): Hierbei wird eine Entwicklungs-umgebung bereitgestellt, um das Erstellen eigener Anwendun-gen zu ermöglichen;18 Zielgruppe sind vor allem Softwareent-wickler.19 Entsprechende Dienste bieten u. a. die Google App Engine oder das Developer Center von Microsoft Windows Azure.20

Software-as-a-Service (SaaS): Im Rahmen dieser Dienste stellt der CSP Softwarekomponenten bereit, die auf seiner Infra-struktur installiert sind und durch ihn gewartet und aktuali-siert werden.21 Beispiele sind Webmail-Dienste, ferner das On-line-Office-Programmpaket Google Docs oder der Cloud Play-er von Amazon.

Gelegentlich wird das in diesem Beitrag zentrale Modell des Cloud Storage als vierte Erscheinungsform genannt – teilwei-se in Fortführung des Musters unter Bezeichnungen wie „Data

9 BITKOM: Cloud Computing – Evolution in der Technik, Revolution im Business, http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdf (abgerufen am 18.9.2012).

10 Heidrich/Wegener: a. a. O., S. 803, Pohle/Ammann: a. a. O., S. 273 (274), Birk/Wegener: a. a. O., S. 641 (642).

11 Pohle/Ammann: a. a. O., S. 273 (274).12 Schulz/Rosenkranz: a. a. O., S. 232 (233).13 Schuster/Reichl: a. a. O., S. 38 (39), Obenhaus: Cloud Computing als neue Herausfor-

derung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, S. 651.14 Mell/Grance: a. a. O.15 Repschläger/Pannicke/Zarnekow: a. a. O., S. 6 (8), BITKOM: a. a. O.16 Nägele/Jacobs: a. a. O., S. 281 (282), Heidrich/Wegener: a. a. O., S. 803 (804).17 Repschläger/Pannicke/Zarnekow: a. a. O., S. 6 (9), Fickert: Entwicklungen des Cloud

Computing im Überblick – Aktuelle und künftige rechtliche Probleme, in: Taeger/Wiebe: Inside the Cloud Neue Herausforderungen für das Informationsrecht, Ol-denburger Verlag, Oldenburg, Göttingen 2009, S. 419 (420).

18 Spies: USA: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 2009, S. XI.

19 Heidrich/Wegener: a. a. O., S. 803 (804).20 Niemann/Paul: a. a. O., S. 444 (445), Heidrich/Wegener: a. a. O., S. 803 (804).21 Niemann/Paul: a. a. O., S. 444 (445).

Storage-as-a-Service“ (DaaS)22 oder „Storage-as-a-Service”.23 Bei näherer Betrachtung lässt sich der Cloud Storage den drei Ser-vicemodellen zuordnen:24 Mit Speicherkapazität auf einer Fest-platte wird eine Hardwarekomponente zur Verfügung gestellt (IaaS-Element),25 ggf. ergänzt durch über den Browser zugäng-liche Funktionen etwa zur Verwaltung der extern gespeicherten Dateien (SaaS-Element).

3 Strafprozessuale Fragen

Kritiker von Cloud Storage-Angeboten bemängeln den Kontroll-verlust des Nutzers, da die Daten den eigenen physischen Herr-schaftsbereich verlassen und in den des CSP übergehen.26 Gerade dieser Aspekt des Verlusts physikalischer Verfügungsmacht über das Speichermedium kann besondere Anreize für Täter setzen:27 Mit der Verlagerung von Daten „in die Wolke“ bleibt die jederzei-tige Zugriffsmöglichkeit, insbesondere von anderen Standorten aus, erhalten;28 gleichzeitig wird vermeintlich das Risiko ausge-schaltet, dass möglicherweise belastendes Datenmaterial bei der Beschlagnahme eigener Speichermedien in die Hände der Straf-verfolgungsorgane fällt.29

3.1 Zugriff beim Betroffenen

Obwohl lokale Computersysteme dank der Cloud auf reine Zu-griffsmittel reduziert werden könnten,30 funktionieren Cloud Sto-rage-Dienste wie Dropbox oder Skydrive derart, dass auf dem Rechner des Anwenders ein Ordner angelegt wird. Dateien in diesem Ordner werden mit der Cloud synchronisiert. Die §§ 102, 103 StPO erlauben, im Durchsuchungsobjekt nach bestimmten Sachen oder Informationen zu forschen. Vom Durchsuchungs-beschluss gedeckt ist auch die Inbetriebnahme vorgefundener EDV-Anlagen.31 Allerdings umfasst die Ermächtigung nur eine grobe Sichtung durch Inaugenscheinnahme, etwa von Ordner-strukturen. Wurde eine vorgefundene EDV-Anlage in Betrieb ge-nommen, ermöglicht § 110 StPO die Untersuchung und inhaltli-che Kenntnisnahme im Hinblick auf potenziell beweiserhebliche Daten.32 Diese Durchsicht soll es Ermittlern ermöglichen, über die Beschlagnahme oder Sicherstellung des Aufgefundenen zu ent-scheiden. Der Wortlaut der Norm („Papiere“, § 110 Abs. 1 StPO)

22 Nägele/Jacobs: a. a. O., S. 281 (282), Schuster/Reichl: a. a. O., S. 38 (39).23 Marko: Vertragsrechtliche Aspekte des Cloud Computing, in: Blaha et al.:

Rechtsfragen des Cloud Computing, Medien und Recht Verlag, Wien 2011, S. 15 (21).24 Wie auch viele andere nach dem Muster „?aaS“ gebildete Submodelle

(„Business-Process-as-a-Service” (BPaaS), „Identity-as-a-Service“ (IDSaaS), „Data-as-a-Service“). Vgl. dazu Niemann/Paul: a. a. O., S. 444 (445), Shaw: Cloud Computing for Lawyers and Executives – A Global Approach, Autonomous Legal & Technolo-gy Publishing, 2011, S. 5.

25 Heidrich/Wegener: a. a. O., S. 803 (804).26 Nägele/Jacobs: a. a. O., S. 281 (283), Heidrich/Wegener: a. a. O., S. 803.27 Gercke: Strafrechtliche und strafprozessuale Aspekte von Cloud Computing

und Cloud Storage, CR 2010, S. 345.28 Brookman: Können wir der Cloud vertrauen?, ZD 2012, S. 401.29 Obenhaus: a. a. O., S. 651.30 Brookman: a. a. O., S. 401 (402).31 Bär: Transnationaler Zugriff auf Computerdaten, ZIS 2011, S. 53, Marberth-Kubi-

cki in Auer-Reinsdorff/Conrad (Hrsg.): Beck’sches Mandats-Handbuch IT-Recht, München 2011, § 36 Rn. 280.

32 Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 281.

308 DuD • Datenschutz und Datensicherheit 5 | 2013

AUFSÄTZE

wurde im Wege der Rechtsfortbildung auch auf Computerdaten erstreckt, da diese gleichsam Informationen verkörpern.33

Angesichts des Umfangs des zu sichtenden Datenmaterials ist es häufig unumgänglich eine sog. Mitnahme zur Durchsicht zu veranlassen, die noch keine Beschlagnahme darstellt.34 Wie sie im Einzelfall umzusetzen ist wird durch den Verhältnismäßigkeits-grundsatz bestimmt. Die Anfertigung vollständiger oder teilwei-ser Kopien des Datenbestands dürfte regelmäßig einer Mitnahme der gesamten EDV-Anlage vorzuziehen sein.35

Hat die Durchsicht ergeben, dass bestimmte Daten als Beweis-mittel bedeutsam sind, hat deren Beschlagnahme zu erfolgen (§ 94 Abs. 2 StPO), sofern der Beschuldigte nicht zur freiwilligen Herausgabe bereit ist. Anderenfalls reicht die Sicherstellung, die amtliche Verwahrung.36

Der Normgeber der §§ 94 ff. StPO ging davon aus, dass Infor-mationen in körperlichen Gegenständen, z. B. Papieren, manifes-tiert sind.37 Demnach kommt auch im digitalen Zeitalter nur die Beschlagnahme der entsprechenden Hardware und nicht nur der darauf befindlichen Daten in Betracht.38 Betrifft die Beschlagnah-me komplette EDV-Anlagen stellt sich die Frage der Verhältnis-mäßigkeit der Maßnahme. Als milderes Mittel wird die Anferti-gung von Kopien betrachtet.39

Als Zwischenergebnis lässt sich insoweit festhalten, dass eine „klassische“ Durchsuchung und Beschlagnahme/Sicherstellung in Betracht kommt, soweit Daten sowohl im Cloud-Speicher als auch lokal beim Nutzer abgelegt sind.

3.2 Zugriff während des Übertragungsvorgangs

Mit Inanspruchnahme von Cloud Computing-Diensten geht not-wendigerweise ein Fluss von Datenströmen zwischen dem Rech-ner des Nutzers und dem Standort der beanspruchten IT-Res-source einher.40 Bei diesem Datenverkehr könnte es sich um Tele-kommunikation handeln, auf deren Daten zugegriffen werden könnte.

Erforderlich ist, dass die im Wege des Up- und Downloads der Daten anfallenden Datenströme als „Telekommunikation“ ein-zustufen sind. § 3 Nr. 22 TKG definiert diese als „technische[n] Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen“. Unter Letztge-nannten sind gem. § 3 Nr. 23 TKG „technische Einrichtungen oder Systeme, die als Nachrichten identifizierbare elektromagne-tische oder optische Signale senden, übertragen, vermitteln, emp-fangen, steuern oder kontrollieren können“ zu verstehen. Prinzi-piell wird damit auch die Übertragung von Computerdaten al-ler Art erfasst.41 So handelt es sich etwa bei Chat-Unterhaltun-

33 Obenhaus: a. a. O., S. 651, Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 284.

34 Schlegel: „Online-Durchsuchung light“ – Die Änderung des § 110 StPO durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung, HRRS 2008, S. 23 (26).

35 Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 283.36 Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 277, 282.37 Obenhaus: a. a. O., S. 651.38 Gercke/Brunst: Praxishandbuch Internetstrafrecht, Kohlhammer, Stuttgart

2009, Rn. 968 f.39 Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 283.40 Gercke: a. a. O., S. 345 (346), Kudlich: Strafverfolgung im Internet – Bestands-

aufnahme und aktuelle Probleme, GA 2011, S. 193 (207).41 Gercke/Brunst: a. a. O., Rn. 802.

gen, E-Mails42 oder über soziale Netzwerke versandte Mitteilun-gen43 um Telekommunikation. Weniger augenscheinlich ist dies bei den Datenströmen, die durch die Interaktion mit dem Cloud-Speicherort entstehen; schließlich mangelt es an einem menschli-chen Empfänger, dessen Existenz aufgrund des Wortbestandteils „Kommunikation“ notwendig ist.44 Inwieweit dieser Datenaus-tausch mit externen Speichern „Telekommunikation“ sein kann, erscheint aktuell ungeklärt.45

Einen Telekommunikationsvorgang annehmend, existieren in Abhängigkeit der Klassifikation der zu erlangenden Daten ver-schiedene Normen, die Ermittlern einen Zugriff ermöglichen.46 Da von den beim CSP gespeicherten Informationen inhaltlich Kenntnis genommen werden soll, sind sog. Inhaltsdaten betroffen. Dadurch wird das Fernmeldegeheimnis des Art. 10 GG direkt be-einträchtigt.47 Es stellt somit einen intensiven Eingriff in die Rech-te des Betroffenen dar.48 Der Zugriff im Rahmen der Strafver-folgung ist deshalb an die Voraussetzungen der §§ 100a ff. StPO (Telekommunikationsüberwachung, TKÜ) geknüpft.49 Eine mas-sive Einschränkung erfährt die Maßnahme dadurch, dass die An-wendung auf die Katalogtaten des § 100a Abs. 2 StPO beschränkt ist.50 Somit sind grundsätzlich nur Taten erfasst, deren angedroh-tes Höchststrafmaß mindestens fünf Jahre beträgt.51 „Typische“, mithilfe des Internets begangene Delikte, z. B. Betrug, scheiden damit aus.52

Sollte auch diese Hürde überwunden sein, kann die mögliche Verschlüsselung übertragener Daten Schwierigkeiten bereiten.53 Konsequenterweise könnte eine Überwachung bereits vor Einset-zen des Übertragungsvorgangs ansetzen. Bei diesem Verfahren, des heimlichen Zugriffs auf die unverschlüsselten Daten auf dem System des Anwenders, handelt es sich um eine Quellen-TKÜ.54 Neue Impulse, um die strafprozessuale Zulässigkeit einer solchen, erfuhr die Kontroverse durch das Urteil des BVerfG vom 27. Fe-bruar 2008.55 Danach wurde der Schutzbereich des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG) um das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ergänzt. Zum einen wird dem Bürger zugesichert, dass die von ihm in einem informationstech-nischen System gespeicherten Daten vertraulich bleiben, zum an-deren wird die Zurechenbarkeit des Datenbestands zu einem Be-rechtigten gewährleistet und schützt vor Zweifeln, die an dieser aufkommen können; etwa weil das Ausmaß einer Infiltration des

42 Roxin/Schünemann: Strafverfahrensrecht, 27. Auflage, C. H. Beck, München 2012, § 36 Rn. 3.

43 Graf in Graf (Hrsg.): Beck’scher Online-Kommentar StPO, 14. Edition, Stand: 1. 6.2012, § 100a Rn. 32k.

44 Roxin/Schünemann: a. a. O., § 36 Rn. 4.45 Sieber: Straftaten und Strafverfolgung im Internet – Gutachten C zum 69.

Deutschen Juristentag, C. H. Beck, München 2012.46 Bär: Handbuch zur EDV-Beweissicherung im Strafverfahren, Boorberg,

Stuttgart, München 2007, Rn. 12, Bär: TK-Überwachung – §§ 100 a – 101 StPO mit Nebengesetzen Kommentar, Carl Heymanns Verlag, Köln, München 2010, Vorb. §§ 100a – 100i StPO Rn. 7.

47 Bär: a. a. O., Vorb. §§ 100a – 100i StPO Rn. 34.48 Bär: a. a. O., Rn. 42.49 Bär: a. a. O., Vorb. §§ 100a – 100i StPO Rn. 35.50 Gercke/Brunst: a. a. O., Rn. 792.51 Gercke/Brunst: a. a. O., Rn. 792, Roxin/Schünemann: a. a. O., § 36 Rn. 10.52 Gercke/Brunst: a. a. O., Rn. 792, Bär: a. a. O., Rn. 52.53 Gercke: a. a. O., S. 345 (346), Kudlich: a. a. O., S. 193 (205).54 Gercke/Brunst: a. a. O., Rn. 885, Sieber: a. a. O., Beukelmann: Surfen ohne strafrecht-

liche Grenzen, NJW 2012, S. 2617 (2620).55 BVerfG, Urteil vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07.


AUFSÄTZE

Systems nicht geklärt werden kann.56 Deshalb ist mittels tech-nischer und rechtlicher Maßnahmen sicherzustellen, dass aus-schließlich Telekommunikationsdaten abgegriffen werden. Die-sen Anforderungen wird Genüge getan, wenn eine zur Telekom-munikation eingesetzte Software manipuliert wird.57 Zweifel blei-ben, ob durch diese Maßnahme tatsächlich nur Telekommunika-tionsdaten erhoben werden, was freilich schwer nachprüfbar er-scheint.58 Klarheit über die Zulässigkeit einer Quellen-TKÜ kann letztlich nur die Schaffung einer speziellen Ermächtigungsgrund-lage schaffen, die den Anforderungen des BVerfG gerecht wird.59

Selbst wenn also davon ausgegangen wird, dass es sich bei der Übertragung von Daten zwischen Cloud Storage-Nutzer und CSP um Telekommunikation handelt, gestaltet sich ein Zugriff schwierig: Einerseits wird die Anwendbarkeit der TKÜ vom Vor-liegen einer Katalogstraftat begrenzt, andererseits kann die Ver-schlüsselung von Datenströmen ein Abgreifen vor Einsetzen des Datenübertragungsvorgangs erforderlich machen. Dies wirft je-doch erhebliche rechtliche Schwierigkeiten auf.

3.3 Zugriff auf die Cloud

Eine Ermittlungsmaßnahme kann darin bestehen, Daten un-mittelbar beim CSP zu sichern. Dabei sind zwei Konstellationen denkbar: der mittelbare Zugriff auf den Cloud-Speicher im Rah-men der Haussuchung,60 d. h. ausgehend von der Hardware des Beschuldigten, oder die unmittelbare Durchsuchung beim CSP.

3.3.1 Mittelbarer Zugriff

Ähnlich dem direkten Zugriff auf die Hardware des Beschuldig-ten, gliedert sich die Ermittlungsmaßnahme in die drei Schritte: Durchsuchung, Durchsicht sowie Sicherstellung/Beschlagnahme.

Die Durchsuchungsanordnung spiegelt den Zweck der Maß-nahme wider und regelt, was durchsucht werden darf, indem räumliche Grenzen gesetzt werden. Im Gegensatz zur TKÜ han-delt es sich um einen offenen Eingriff, der sich gegen denjeni-gen richtet, der im Durchsuchungsbefehl aufgeführt wird.61 Fol-ge waren starke Einschränkungen im Hinblick auf die Sichtung von Datenbeständen in Computernetzwerken. Diese traten zuta-ge, sobald ein Rückgriff auf Daten erfolgen sollte, die sich auf Me-dien außerhalb des Dursuchungsobjekts befanden.62 Es bedurfte der Beschlagnahme des externen Speichers, verbunden mit der Gefahr einer Beseitigung von Beweismitteln während des Zeit-raums zwischen Kenntnisnahme extern gespeicherter Daten und der Durchsuchung.63 Durch das Gesetz zur Neuregelung der Tele-kommunikationsüberwachung und anderer verdeckter Ermitt-lungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 200764 wurde § 110 Abs. 3 StPO neu ein-gefügt. Danach ist es den Strafverfolgungsbehörden bei Durch-suchungen erlaubt, von Computersystemen auch auf extern ge-

56 Buermeyer/Bäcker: Zur Rechtswidrigkeit der Quellen-Telekommunikations-überwachung auf Grundlage des § 100a StPO, HRRS 2009, S. 433 (437).

57 Gercke/Brunst: a. a. O., Rn. 893 ff.58 Kudlich: a. a. O., S. 193 (206), Roxin/Schünemann: a. a. O., § 36 Rn. 3.59 Sieber: a. a. O., Buermeyer/Bäcker: a. a. O., S. 433 (441).60 Roxin/Schünemann: a. a. O., § 35 Rn. 2.61 Bär: a. a. O., S. 53.62 Obenhaus: a. a. O., S. 651.63 BT-Dr. 16/5846, S. 63, Nack in Hannich (Hrsg.): Karlsruher Kommentar zur

Strafprozessordnung, 6. Auflage, C. H. Beck, München 2008, §§ 109, 110 Rn. 8.64 BGBl. 2007 I, S. 3198.

legene Systeme zuzugreifen, wenn dieser von dem Computersys-tem vor Ort aus technisch möglich ist.65 Aus der Perspektive des CSP steht es dem offenen Charakter der Durchsuchung nicht ent-gegen, dass die Durchsicht von einem anderen Rechner aus vor-genommen wird. Seine Rechte werden durch § 110 Abs. 3 Satz 2, 2. Halbsatz StPO gewahrt, der auf § 98 Abs. 2 StPO verweist. Danach ist eine gerichtliche Entscheidung über die Zulässigkeit der Maßnahme herbeizuführen, wenn der Betroffene bei der Be-schlagnahme abwesend war; zuvor ist diesem auch rechtliches Gehör zu gewähren (§ 33 Abs. 2, 3 StPO).66

Oftmals steht der Umfang des vorgefundenen Datenvolumens einer Durchsicht nach beweiserheblichen Daten entgegen. In die-sem Fall kann eine Mitnahme zur Durchsicht erfolgen.67

Angesichts dessen, dass die größten CSPs wie Google, Amazon und Microsoft US-amerikanische Unternehmen sind, die ihre zur Verfügung gestellte Infrastruktur hauptsächlich im Ausland be-reithalten,68 findet die Norm dort ihre Grenzen, wo nationale Hoheitsrechte enden. Eine sog. transborder search69 ist nicht ge-deckt.70 Dies ergibt sich zum einen aus der Begründung zum Ge-setz zur Neuregelung der Telekommunikationsüberwachung, die auf Art. 19 Abs. 2 CCK und dessen Beschränkung auf Computer-systeme innerhalb des eigenen Hoheitsgebiets („in its territory“) Bezug nimmt; zum anderen aus dem völkerrechtlichen Souveräni-tätsprinzip.71 Danach darf ein Staat Hoheitsakte nur innerhalb des eigenen Staatsgebiets vornehmen;72 darunter fällt auch die Ent-scheidungsbefugnis darüber, ob und welche strafrechtlichen Er-mittlungsmaßnahmen in seinem Territorium erfolgen.73 Auslän-dischen Behörden sind solche erlaubt, sofern sich die Maßnahme im Fremdgebiet nicht auswirkt oder eine Rechtfertigung in Form einer Erlaubnis – etwa ein Rechtshilfeabkommen oder von Völ-kergewohnheitsrecht besteht.74 Obwohl sich die ermittelnde Per-son bei der Durchsicht eines externen Speichermediums mittels eines Computersystems vor Ort auf deutschem Hoheitsgebiet be-findet, wird diese Souveränität berührt, denn der Zugriff führt zu Datenverarbeitungsprozessen im Drittstaat.75

Die eigentliche Sicherung erfolgt durch Kopieren der Daten über das Netzwerk auf Speichermedien der Ermittler.76

3.3.2 Unmittelbarer Zugriff

Sofern ein mittelbarer Zugriff ausscheidet, kommen Maßnah-men gegenüber dem Gewahrsamsinhaber der Daten in Betracht. Gegen den CSP kann als Nichtverdächtigen gemäß § 103 StPO ein Durchsuchungsbeschluss erwirkt werden. Dafür müssen Tatsa-

65 Schlegel: a. a. O., S. 23 (28).66 Nack in Hannich: a. a. O., §§ 109, 110 Rn. 8, Obenhaus: a. a. O., S. 651 (653).67 Obenhaus: a. a. O., S. 651 (652).68 Gercke: a. a. O., S. 345 (346).69 Sankol: Verletzung fremdstaatlicher Souveränität durch ermittlungsbehörd-

liche Zugriffe auf E-Mail-Postfächer, K&R 2008, S. 279 (280).70 Bär: a. a. O., S. 53 (54).71 Kudlich: a. a. O., S. 193 (208), Gercke: Die Auswirkungen von Cloud Storage auf

die Tätigkeit der Strafverfolgungsbehörden, in: Taeger/Wiebe: Inside the Cloud Neue Herausforderungen für das Informationsrecht, Oldenburger Verlag, Olden-burg, Göttingen 2009, S. 499 (501).

72 Streinz in Sachs (Hrsg.): Grundgesetz, 6. Auflage, C. H. Beck, München 2011, Art. 25 Rn. 51.

73 Obenhaus: a. a. O., S. 651 (654), Sieber: a. a. O.74 Sankol: a. a. O., S. 279 (281).75 Sieber: a. a. O., Bär: a. a. O., Rn. 375, Sankol: a. a. O., S. 279 (280).76 Schlegel: a. a. O., S. 23 (28).


AUFSÄTZE

chen vorliegen, aus denen sich schließen lässt, dass die Maßnah-me zum Auffinden von Beweismitteln führen wird.77

Allerdings beschränkt das völkerrechtliche Souveränitätsprin-zip die Maßnahme auf das nationale Hoheitsgebiet. Außerdem kann sich der physische Speicherort der Daten permanent än-dern, so dass eine zuverlässige Speicherortbestimmung technisch (noch) nicht möglich ist.

Angesichts dieser Schwierigkeiten könnte an den CSP ein He-rausgabeverlangen gerichtet werden, § 95 StPO. Dies wurde be-reits in der Convention on Cybercrime (CCK) berücksichtigt. Art. 18 Abs. 1 lit. a CCK verpflichtet die Vertragsstaaten zur Schaf-fung von Vorschriften, mit deren Hilfe von demjenigen, der im Besitz von Computerdaten ist oder diese unter seiner Kontrol-le („possession or control“) hat, die Herausgabe verlangt werden kann.78 In Deutschland existiert hierfür § 95 StPO, nach welcher ein potenziell beweiserheblicher „Gegenstand“ vom Gewahr-samsinhaber herauszugeben ist (Abs. 1). Ihrem Wortlaut folgend erfasst die Norm nur die Herausgabe von Gegenständen und setzt damit deren physische Existenz voraus. Der CSP könnte danach allenfalls die Festplatten, auf denen die Daten gespeichert sind, herausgeben. 79

Im Falle einer Public Cloud steht aber zu vermuten, dass das Speichermedium Daten zahlreicher weiterer Nutzer beinhaltet. Einem Herausgabeverlangen würde in diesem Fall der Grundsatz der Verhältnismäßigkeit entgegenstehen. Weitere Bedenken be-stehen, da die Daten häufig in verschiedenen Rechenzentren, ver-teilt an unterschiedlichen Standorten gespeichert werden. Zudem bedienen sich CSP vielfach Subunternehmern, die die Speicher-kapazitäten vorrätig halten. Somit ist der CSP vielfach nicht im „Gewahrsam“ der Daten und nicht zur Herausgabe verpflichtet.80

Mit den dargestellten Maßnahmen zur „Durchsuchung-Durchsicht-Beschlagnahme“ (§§ 94 ff. StPO) und zur Telekom-munikationsüberwachung (§§ 100a, b StPO) hält der Gesetzge-ber Rechtsgrundlagen bereit, um einen Zugriff auf extern gespei-cherte Daten zu ermöglichen. Grenzen erfahren diese durch ihre Beschränkung auf das Inland, offenen Rechtsfragen im Bereich der TKÜ und bei Herausgabeverlangen.

3.4 Transnationale Ermittlungen

Da sich der physische Speicherort externer Daten nicht ohne wei-teres bestimmen lässt, das Bewusstsein für die rechtlichen Im-plikationen fehlen mag oder der tatsächliche Zugriff einfach er-scheint, mögen Strafverfolgungsbehörden verleitet sein, auf im Ausland befindliche Cloud Storages eigenmächtig zuzugreifen.

3.4.1 Einseitiges Vorgehen

Ohne vorherige Konsultation des Staats, in dem sich die Cloud-Daten befinden, bedürfen Ermittlungstätigkeiten ausländischer Strafverfolgungsbehörden einer Rechtfertigung. Diese kann, wie bereits erwähnt, durch eine im Vorfeld erteilte Einwilligung (z. B.

77 Marberth-Kubicki in Auer-Reinsdorff/Conrad: a. a. O., § 36 Rn. 276, Roxin/Schüne-

mann: a. a. O., § 35 Rn. 15.78 Sieber: a. a. O.79 Bär: a. a. O., Rn. 447.80 Sieber: a. a. O.

im Rahmen völkerrechtlicher Verträge) oder durch Völkerge-wohnheitsrecht vorliegen.81

Völkervertragsrechtliche Rechtfertigungen, die strafprozessua-le Ermittlungen im Ausland erlauben82 bietet die CCK. Das Re-gelwerk wurde inzwischen durch 30 Staaten ratifiziert, darunter auch den USA. Art. 32 CCK erlaubt den Behörden einer Vertrags-partei in bestimmten Situationen einen direkten, einseitigen Zu-griff. Art. 32 lit. a CCK erlaubt dies für Daten, die der Öffent-lichkeit frei zugänglich sind („publicly available [open source]“). Cloud Storage-Angebote beschränken meist den Datenzugriff auf den jeweiligen Nutzer, so dass diese nur dann frei zugänglich sind, wenn der Anwender eine Datei explizit für die Öffentlich-keit freigegeben hat.

Ferner ist ein einseitiger Zugriff gem. Art. 32 lit. b CCK zuläs-sig, wenn die rechtmäßige und freiwillige Zustimmung („the law-ful and voluntary consent“) der Person vorliegt, die zur Über-mittlung der betroffenen Daten befugt ist („who has the lawful authority to disclose the data to the Party through that computer system“). Wer damit gemeint ist, hängt nach dem Explanatory Re-port zur CCK von den Umständen, der Funktion der Person und dem einschlägigen Recht ab; als Beispiele werden E-Mail-Provi-der und Daten-Hoster im Ausland genannt, sofern diesen nach dem Recht des betroffenen Staates die Preisgabe der Daten er-laubt ist.83 Auch Cloud Storage-Anbieter können dieser Regelung unterliegen.84 Art. 32 lit. b CCK stößt allerdings auf heftige Kri-tik: Danach sei die Regelung nicht mit dem, den Souveränitäts-grundsatz ergänzenden, Prinzip zur Zusammenarbeit vereinbar und deshalb keine ausreichende Rechtsgrundlage für einen di-rekten Zugriff auf den Cloud Storage.85 Bedenken wirft auch auf, dass derjenige, der die Berechtigung zur Herausgabe der Daten hat, schwerlich über die Souveränität des Staates, in dem er die Daten vorhält, verfügen kann – ein Grund, der manche Staaten, z. B. Russland, bislang von einer Vertragsunterzeichnung abhält.86

Angesichts der beschränkten Reichweite der CCK stellt sich die Frage, ob ein einseitiger Zugriff auch auf Speicherorte in Nicht-Konventionsstaaten durch Völkergewohnheitsrecht gerechtfertigt werden könnte.87 Was einen Zugriff auf öffentlich zugängliche Daten angeht, lässt sich womöglich eine Übung, mit Blick auf die weltweite Alltäglichkeit der Internetnutzung und die geringe Intensität eines Eingriffs in den Souveränitätsgrundsatz, anneh-men.88 Für Fälle des Zugriffs mit Zustimmung des Berechtigten spricht bereits die Kontroverse um Art. 32 lit. b CCK gegen eine entsprechende Anwendbarkeit.89

3.4.2 Inländische Niederlassung

Eine weitere Möglichkeit an die Daten zu gelangen, könnte in einem Vorgehen gegen inländische Niederlassungen internatio-

81 Sieber: a. a. O., Schomburg/Hackner in Schomburg et al.: Internationale Rechtshil-fe in Strafsachen, 5. Auflage, C. H. Beck, München 2012, Vor § 68 Rn 37c.

82 Sieber: a. a. O.83 Explanatory Report to the Convention on Cybercrime (ETS No. 185), Nr.

294, http://conventions.coe.int/Treaty/EN/Reports/html/185.htm, (abgerufen am 25.9.2012).

84 Bär: a. a. O., S. 53 (55).85 Gercke: a. a. O., S. 345 (348).86 Sieber: a. a. O.87 Sieber: a. a. O.88 Sieber: a. a. O., Gercke, B.: Zur Zulässigkeit sog. Transborder Searches – Der

strafprozessuale Zugriff auf im Ausland gespeicherte Daten, StraFo 2009, S. 271 (272), dagegen: Schomburg/Hackner in Schomburg et al., Vor § 68 Rn 37c.

89 Sieber: a. a. O., Gercke, B.: a. a. O., S. 271 (273).


AUFSÄTZE

nal tätiger CSPs liegen.90 Denkbar sind Szenarien diese zu ver-pflichten oder diesen gegenüber mit Sanktionen zu drohen, wenn die im Ausland befindliche Muttergesellschaft bestimmte Daten nicht bereitstellt. Umgekehrt gelten die Überlegungen auch für Gesellschaften im Inland und ausländischen Niederlassungen.91

Durch die Anwendung hoheitlichen Zwangs wird nur schein-bar die transnationale Problematik umgegangen; nichtsdesto-trotz wird durch das Vorgehen der völkerrechtliche Souveräni-tätsgrundsatz verletzt.92 Auch eine bloß mittelbare Ausübung von Druck auf das im Ausland sitzende Unternehmen stellt eine Anmaßung von Hoheitsgewalt dar, die in fremdem Territorium nicht besteht.93 Inwieweit Unternehmen eine freiwillige Koopera-tion möglich ist, ist ungeklärt. Nr. 121 Abs. 1 RiVASt, durch den geregelt wird, wann nationale Behörden ausländische Rechtsper-sönlichkeiten direkt kontaktieren dürfen, spricht jedenfalls da-gegen.94

3.4.3 Zusammenarbeit mit dem Ausland

Soweit ein einseitiger Zugriff auf ausländische Datenbestände ausscheidet, kann der betroffene Staat mittels eines „Rechtshil-feersuchens“ um Unterstützung gebeten werden. Das Verfahren gestaltet sich allerdings aufgrund zahlreicher bi- und multilate-raler Abkommen sehr komplex.95 Lückenfüllend greift zudem das Gesetz über die internationale Rechtshilfe in Strafsachen (IRG), § 1 Abs. 3 IRG. Das Vorgehen selbst wird durch die Richtlinien für den Verkehr mit dem Ausland in strafrechtlichen Angelegen-heiten (RiVASt) ergänzt.96

Aufgrund der Komplexität des Verfahrens, der zu beachten-den Formalien und des Geschäftswegs ist der Vorgang sehr zeit-intensiv. Damit einher geht daher die erhebliche Gefahr des zwi-schenzeitlichen Beweismittelverlusts.97 Die automatische Neual-lokation der Daten bedeutet ein weiteres Risiko, da diese zur Ver-änderung des physischen Speicherorts der Daten führen kann; bereits gestellte Rechtshilfeersuchen können deshalb ins Leere laufen.

Als Reaktion darauf eröffnet Art. 29 CCK eine beschleunigte und effektivere Beweismittelsicherung:98 Im Vorfeld der Initiie-rung der Rechtshilfe kann an den ausländischen Vertragsstaat ein formloses Ersuchen mit dem Inhalt des Art. 29 Abs. 2 CCK ge-richtet werden. Die Vertragsstaaten sind gem. Art. 35 CCK ver-pflichtet, eine Kontaktstelle mit einer 24/7-Verfügbarkeit zur Ent-gegennahme entsprechender Anfragen einzurichten. Zudem er-laubt Art. 25 Abs. 3 CCK in Eilfällen die Kontaktaufnahme mit-tels „schnelle[r] Kommunikationsmittel“, wie Fax oder E-Mail.99 Nach Eingang eines solchen Begehrens ist der ersuchte Staat gem. Art. 29 Abs. 3 CCK verpflichtet, alle nach seinem nationalen

90 Obenhaus: a. a. O., S. 651 (654).91 Sieber: a. a. O.92 Sieber: a. a. O., Schomburg/Hackner in Schomburg et al., Vor § 68 Rn 37d.93 Gaede: Der grundrechtliche Schutz gespeicherter E-Mails beim Provider

und ihre weltweite strafprozessuale Überwachung, StV 2009, S. 96 (102).94 Gaede: a. a. O., S. 96 (102).95 Schomburg/Hackner in Schomburg et al., Schnellübersicht Rn. 1.96 Obenhaus: a. a. O., S. 651 (654), Marberth-Kubicki in Auer-Reinsdorff/Conrad:

a. a. O., § 36 Rn. 540.97 Gercke: a. a. O., S. 345 (347), Bär: a. a. O., Rn. 374.98 Bär: a. a. O., S. 53 (55).99 Meyer-Goßner: Strafprozessordnung, 55. Auflage, C. H. Beck, München 2012,

§ 110 Rn. 7.

Recht möglichen Maßnahmen zur umgehenden Datensicherung zu treffen. Im Anschluss sind die gesicherten Daten mindestens 60 Tage aufzubewahren, um dem ersuchenden Staat Zeit für ein formelles Rechtshilfeersuchen einzuräumen, Art. 29 Abs. 7 CCK.

3.4.4 Verwertbarkeit

Werden Cloud-Daten unter Verletzung des völkerrechtlichen Souveränitätsgrundsatzes gesichert oder beschlagnahmt, stellt sich die Frage inwiefern so erlangte Beweismittel in einem Straf-verfahren verwendet werden dürfen. Nach Art. 25 GG wirken Verstöße gegen das Völkerrecht auch innerstaatlich.100 Grund-sätzlich aber führen Verstöße gegen Beweiserhebungsregeln nicht automatisch zu einem Verwertungsverbot,101 sondern bleiben einer Einzelfallentscheidung vorbehalten. Der BGH hat ein Ver-wertungsverbot völkerrechtswidrig erlangter Beweismittel unter Heranziehung der sog. Rechtskreistheorie im Grundsatz verneint. Mit der Verletzung fremdstaatlicher Souveränität sei nämlich kein subjektives Recht des Betroffenen, nicht sein „Rechtskreis“, betroffen.102 Ausnahmsweise wurde ein Verwertungsverbot aller-dings für den Fall bejaht, dass der Drittstaat der Verwertung im Inland ausdrücklich widersprochen hat.103 Hierfür müsste der be-troffene Staat allerdings Kenntnis von einem Zugriff haben, die ihm zumeist fehlen wird.104 Unabhängig von diesen Überlegun-gen können Beweisverwertungsverbote in Fällen entstehen, in denen die Ermittler auf willkürliche Weise vorgegangen sind;105 etwa bei bewusster Nichtbeschreitung des Rechtshilfewegs in der Kenntnis eines ausländischen Speicherorts.106

4 Fazit

Vielfach werden Cloud Storage-Angebote genutzt, um Datenbe-stände zwischen verschiedenen Endgeräten – PC, Tablet, Smart-phone – zu synchronisieren. Dies eröffnet für Ermittlungsbehör-den die Möglichkeit, beweisrelevante Daten unmittelbar zu si-chern.

Rechtliche Probleme treten allerdings auf, sofern auf den Datenbestand in der Cloud zugegriffen werden soll: Maßnah-men der TKÜ sind auf Katalogstraftaten begrenzt – sofern man überhaupt den Datenaustausch „lokal <-> Cloud“ als Telekom-munikation qualifizieren kann. Ein mittelbarer oder unmittel-barer Zugriff auf den Cloud-Speicher führt häufig zur Notwen-digkeit transnationaler Ermittlungen, da sich die Daten physisch meist im Ausland befinden.

Erhebliche, tatsächliche Schwierigkeiten bereitet bereits die Lokalisierung des Speicherorts. Selbst wenn diese zunächst ein-deutig gelingen sollte, führt die Virtualisierungstechnologie zu ständigen automatischen Re-Allokationen, was eine permanente Neulokalisierung notwendig macht.

100 Sieber: a. a. O.101 Bär: a. a. O., S. 53 (59), Sieber: a. a. O., BGH NStZ 1992, 394.102 Gercke, B.: a. a. O., S. 271 (274), BGHSt 37, 30 = JZ 1990, 1033.103 Gercke, B.: a. a. O., S. 271 (274), BGHSt 34, 334, 342 ff.104 Gercke, B.: a. a. O., S. 271 (274).105 Bär: a. a. O., S. 53 (59).106 Schomburg/Hackner in Schomburg et al., Vor § 68 Rn 37e, Meyer-Goßner: a. a. O.,

§ 110 Rn. 7a.


AUFSÄTZE

State-of-the-Art: Ermittlungen in der Cloud

Documents

Transcript of State-of-the-Art: Ermittlungen in der Cloud