Die hier verwendeten Abkürzungen richten sich (soweit nichts anderes angegeben ist) nach Kirchner, Abkürzungsverzeichnis der Rechtssprache, 8. Aufl. 2015.

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

ISBN: 978-3-8005-1755-8

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Die Idee zu dieser Arbeit ist im Jahre 2009 auf der 10. Herbstakademie „Inside the Cloud – Neue Herausforderungen für das Informationsrecht“ der Deutschen Stiftung für Recht und Informatik entstanden. Mein erster Dank gilt an dieser Stelle Prof Dr. Hans Kudlich, der sich frühzeitig zur Betreuung der Arbeit bereiterklärt und zugleich die Verzögerungen toleriert hat, die mit der berufsbegleitenden Fertigstellung des Vorhabens einhergegangen sind. Prof. Dr. Safferling danke ich für die zügige Erstattung des Zweitgutachtens.

Darüber hinaus geht mein Dank an Prof. Dr. Prof. h.c. Jürgen Taeger, der als Vorsitzender des Vorstandes der DSRI nicht nur die eingangs erwähnte Tagung organisiert hat, sondern auch in den folgenden Jahren so freundlich war, mich immer wieder zu Vorträgen auf der Herbstakademie einzuladen. Dies hat mit erheblich dazu beigetragen, dass ich immer wieder neben dem beruflichen Alltag Zeit für wissenschaftliche Fragestellungen gefunden habe, was letztlich die Grundlage dafür war, dass ich die nun vorliegende Arbeit fertigstellen konnte. Ich bin glücklich und dankbar, dass das Thema trotz der inzwischen vergangenen Zeit praktisch nichts an Aktualität verloren hat.

Oberhausen, Oktober 2020

Dr. iur. Dirk Meinicke, LL.M.

Inhaltsverzeichnis

1 Abkürzungshinweise
2 Vorwort
3 A. Einleitung
4 B. Technische Grundlagen I. Definition und grundlegende Charakteristika 1. Ressource-Pooling 2. Rapid Elasticity 3. On Demand self-service 4. Broad network-access 5. Measured service II. Abgrenzung zu ähnlichen Technologien 1. Verteilte Systeme: Cluster- und Grid-Computing 2. IT-Outsourcing 3. Das Application-Service-Provider-Modell 4. Utility-Computing III. Service-Modelle 1. Software-as-a-Service (SaaS) 2. Platform-as-a-Service (PaaS) 3. Infrastructure-as-a-Service (IaaS) IV. Verschiedene Arten von Clouds 1. Öffentliche Cloud 2. Nichtöffentliche Cloud 3. Community-Cloud 4. Hybride Cloud V. Technische Grundvoraussetzungen für Cloud Computing 1. (Breitband-)Internet, Hochleistungsserver, Multicore-Prozessoren und Web 2.0 2. Virtualisierung VI. Technische Einzelheiten 1. Anforderungen an Cloud-Systeme und charakteristische Merkmale a) Transparenz b) Ausfallsicherheit und hohe Verfügbarkeit c) Elastizität und Skalierbarkeit 2. Datensicherheit a) Grundsätzliches b) Datensicherungsstrategie c) Arten der Datensicherung und Speichermedien 3. Datenlokalität VII. Zusammenfassende Problemfokussierung und weiterer Gang der Untersuchung
5 C. Der verfassungsrechtliche Rahmen strafprozessualer Ermittlungsmaßnahmen I. Verfassungsrechtliche Vorüberlegungen 1. Gesetzesvorbehalt und Eingriffsnorm a) Allgemeiner Eingriffsvorbehalt und Wesentlichkeitskriterium b) Analogieverbot und Bestimmtheitsgebot im Verfahrensrecht 2. Konsequenz: Notwendigkeit einer bereichsspezifischen Eingriffsnorm II. Zwischenergebnis und Folgerungen für die Untersuchung
6 D. Strafprozessualer Zugriff auf Cloud Computing-Systeme de lege lata I. § 94 StPO als Grundlage für Ermittlungen in Cloud Computing-Systemen 1. Mögliche Beschlagnahmegegenstände in Cloud-Sachverhalten a) Hardware und Speichermedien als Beschlagnahmegegenstände b) Daten als Beschlagnahmeobjekte aa) Die ablehnende Ansicht von Bär bb) Die bejahende Ansicht des BVerfG und der h.L. cc) Stellungnahme c) Verfahrensweisen zur Sicherstellung von Daten 2. Der Zugriff auf beim Provider zwischengespeicherte E-Mails als Blaupause für Cloud-Sachverhalte? a) Technische Grundlagen der E-Mail-Kommunikation275 aa) Übertragung zum Mail(out)Server bb) Übertragung zum Mail(in)Server cc) Der Abruf der E-Mail durch den Empfänger b) Rechtsprechung und Schrifttum zum E-Mail-Zugriff im Überblick aa) Hintergrund: Die Einteilung der E-Mail-Kommunikation in „Phasen“ bb) E-Mail-Zugriff zwischen Beschlagnahme und TKÜ (a) Rechtsprechung (b) Literatur (aa) Das Meinungsbild vor BVerfG NJW 2009, 2431ff. (bb) Die Reaktionen im Schrifttum auf BVerfG NJW 2009, 2431ff. (cc) Keine Ermächtigungsgrundlage für den Zugriff auf E-Mails c) Folgerungen für die vorliegende Untersuchung 3. Die Unzulänglichkeit der §§ 94ff. StPO als Ermächtigung zum Eingriff in die Cloud a) „IT-spezifische“ Gefährdungslage in Cloud-Sachverhalten aa) Das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (a) Schutzbereich (aa) Schutz des Systems als System (bb) Negative Abgrenzung: Das Verhältnis zu den Art. 2 Abs. 1, 10, 13 GG (1) Art. 13 GG (2) Art. 10 GG (3) Recht auf informationelle Selbstbestimmung (cc) Bestimmung des Schutzbereichs vom Eingriff her (dd) Die Cloud als System i.S.d. IT-Grundrechts (b) Schranken bb) Untauglichkeit der Beschlagnahmevorschriften als Ermächtigungsnorm für den Zugriff auf die Cloud cc) Zwischenergebnis: Unanwendbarkeit der §§ 94ff. StPO II. §§ 99f. StPO (Postbeschlagnahme) 1. Norminhalt 2. Keine Anwendbarkeit beim Zugriff auf die Cloud III. § 100a StPO (Überwachung der Telekommunikation) 1. Zur großen praktischen Relevanz der TKÜ in Cloud-Sachverhalten 2. Der Telekommunikationsbegriff a) Der strafprozessuale Telekommunikationsbegriff aa) Grundlagen bb) Erweiterungen b) Der Telekommunikationsbegriff im TKG c) Eigene Stellungnahme zum Telekommunikationsbegriff aa) Die Anwendung des Methodenkanons bb) Grundrechtsspezifische Aspekte cc) Probleme des Kernbereichsschutzes dd) Abschließende kritische Würdigung 3. Zwischenergebnis IV. Online-Durchsuchung und Quellen-TKÜ (§§ 100a Abs. 1 S. 2, S. 2, 100b StPO n.F.) 1. Die Rechtslage bis zum 24.08.2017 a) Quellen-TKÜ aa) Begriff und technischer Hintergrund bb) Rechtliche Bewertung in Rechtsprechung und Schrifttum cc) Bewertung des Diskussionsstandes b) Die Online-Durchsuchung: Technische Grundlagen und rechtliche Bewertung vor der Neuregelung in § 100b StPO aa) Technische Grundlagen522 bb) Rechtliche Bewertung nach alter Rechtslage (a) Strafrechtliche Rechtsprechung zur „Online-Durchsuchung“ (aa) Beschl. des Ermittlungsrichters v. 21.2.2006, StV 2007, 60 (bb) Beschl. des Ermittlungsrichters vom 25.11.2006 (cc) BGH Beschl. v. 31.1.2007 (b) Die Behandlung der strafprozessualen Online-Durchsuchung im Schrifttum 2. Die Neuregelung durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens a) Quellen-TKÜ nach §§ 100a Abs. 1 S. 2 und S. 3 StPO aa) Inhalt der Neuregelung im Überblick bb) Kritische Würdigung b) Online Durchsuchung nach § 100b StPO n.F. aa) Inhalt der Neuregelung im Überblick bb) Kritische Würdigung V. § 110 Abs. 3 StPO und die transnationale Dimension des Zugriffs auf in der Cloud gespeicherte Daten 1. Die Anwendbarkeit von § 110 Abs. 3 StPO beim Zugriff auf inländische Clouds 2. § 110 Abs. 3 StPO und grenzüberschreitender Zugriff a) Der Souveränitätsgrundsatz aa) Allgemeines bb) Mögliche Rechtfertigungen bei Verstößen (a) Gewohnheitsrecht (b) Völkerrechtliche Vereinbarungen: Die Cybercrime-Konvention b) Jüngste europäische Entwicklungen: Das Marktortprinzip aa) Allgemeiner Inhalt des Kommissionsvorschlags bb) Konkrete Ausgestaltung und Verfahren cc) Kritische Würdigung (a) Mangelnder Grundrechtsschutz (b) Verstoß gegen den Souveränitätsgrundsatz (c) Beschränkung des einseitigen Vorgehens auf die Sicherungsanordnung VI. Zusammenfassung der Ergebnisse: Derzeit keine Ermächtigungsgrundlage für Zugriff auf in der Cloud gespeicherte Daten/Übergangszeit

7 E. Verwertbarkeit unzulässig erlangter Daten I. Grundlagen und Begrifflichkeiten 1. Der Aufklärungsgrundsatz 2. Die unterschiedlichen Kategorien der Beweisverbote a) Kurzer Überblick über die Begrifflichkeiten b) Zur Relevanz selbstständiger Beweisverwertungsverbote im vorliegenden Zusammenhang II. Die unselbstständigen Beweisverwertungsverbote 1. Die Rechtsprechung (insbesondere Abwägungslehre) 2. Einzelne Ansätze aus der Literatur im Überblick III. Beweisverwertungsverbote bei Verstößen gegen Rechtshilfevorschriften IV. Eigene Stellungnahme für die vorliegende Fallgruppe
8 F. Zusammenfassung der Ergebnisse
9 Literaturverzeichnis

A. Einleitung

„Das Internet kennt keine Grenzen.“1 Mit dieser Feststellung illustriert die Europäische Kommission im Jahr 2018 die Notwendigkeit einer europaweit einheitlichen Regelung für den grenzüberschreitenden strafprozessualen Zugriff auf elektronische Beweismittel. Die von der Kommission vorgeschlagene Verordnung nehme „das spezifische Problem ins Visier, das durch die Volatilität elektronischer Beweismittel und die internationale Dimension entsteht“.2 An späterer Stelle gibt die Begründung des Verordnungsentwurfs einen guten zusammenfassenden Überblick über die Struktur jener Technologie, bei der das besagte spezifische Problem der Volatilität und Internationalität in besonderer Weise entsteht.

„In vielen Fällen werden Daten nicht mehr auf dem Gerät eines Nutzers gespeichert, sondern über eine Cloud-Infrastruktur grundsätzlich für den Zugang von jedem beliebigen Ort aus zur Verfügung gestellt. Diensteanbieter müssen nicht in jedem Staat niedergelassen sein oder dort Server unterhalten, sondern können vielmehr eine zentrale Verwaltung und dezentrale Systeme nutzen, um Daten zu speichern und ihre Dienste anzubieten. Sie tun dies, um den Lastausgleich zu optimieren und um schneller auf Ersuchen der Nutzer um Daten zu reagieren. Inhalt verteilende Netze (content delivery networks, CDN) werden in der Regel eingesetzt, um das Bereitstellen von Inhalten durch das Kopieren von Inhalten auf verschiedene Server in aller Welt zu beschleunigen. Damit können Unternehmen Inhalte von dem Server liefern, der dem Nutzer am nächsten ist oder der die Kommunikation durch ein schwächer frequentiertes Netzwerk leiten kann.“3

Nun ist die die Relevanz moderner Kommunikationsmittel für die Strafverfolgung insgesamt alles andere als eine neue Erkenntnis, sondern vielmehr fast schon ein Allgemeinplatz.4 Auch wurde das Phänomen Cloud-Computing schon vor einigen Jahren erstmals in den Fokus strafprozessualer Diskussionen gerückt5 und ist zuletzt auch Gegenstand einzelner Monographien6 gewesen. Dass die mit dem strafprozessualen Zugriff auf Cloud-Systeme verbundenen Fragestellungen gleichwohl weiterhin nicht befriedigend gelöst sind, hat aus Sicht des Verf. im Wesentlichen zwei Ursachen: Zum einen sind Cloud-Sachverhalte praktisch immer inter- bzw. transnational, weil die Daten im absoluten Regelfall auf Servern außerhalb des Bundesgebietes gespeichert sind, womit das nationale Recht allein keine Handhabe zur Beantwortung der aufgeworfenen Rechtsfragen bietet.7 Zum anderen zeigen sich die Schwierigkeiten beim Umgang mit Cloud-Sachverhalten als Symptom eines tiefergehenden Defizits, das darin besteht, dass der bundesdeutsche Gesetzgeber bislang wenig Mühe darauf verwendet hat, den Katalog strafprozessualer Ermittlungsbefugnisse an die Herausforderungen des digitalen Zeitalters anzupassen.8 Die erst kürzlich eingeführten Vorschriften zu Quellen-TKÜ und Online-Durchsuchung9 haben insofern zwar die richtige Zielrichtung, sind aber in einem hektischen und fragwürdigen Verfahren verabschiedet worden und weisen dementsprechend eine Reihe von Mängeln auf.

Die Diskussion über Cloud-Sachverhalte im nationalen Recht wird daher letztlich unweigerlich auf die klassischen Maßnahmen der Beschlagnahme bzw. Durchsuchung und der Telekommunikationsüberwachung (TKÜ) zurückgeworfen. Weil nun aber die Notwendigkeit des Zugriffs auf Cloud-Daten zur Gewährleistung einer effektiven Strafverfolgung angesichts der ubiquitären Verbreitung dieser Technologie unbezweifelbar ist, scheint sich eine gewisse Tendenz im Schrifttum bemerkbar zu machen, die überkommenen Eingriffsbefugnisse in einer Weise zu interpretieren, die den Zugriff auf die Cloud sicherstellt.10 Dieser Tendenz wird in der vorliegenden Arbeit mit Nachdruck entgegengetreten. Dem wird die Einsicht entgegengehalten, dass der staatliche Zugriff auf Datenbestände in informationstechnischen Systemen mit Blick auf Intensität und Reichweite des Grundrechtseingriffs eine neuartige Qualität hat. Das ist vom Ersten Senat des Bundesverfassungsgerichts in seiner Entscheidung zur (präventiven) Online-Durchsuchung – sowie anschließend in der Entscheidung zum BKAG – im Grundsatz zutreffend herausgearbeitet worden.11

Weil in informationstechnischen Systemen also permanent (oft vom Nutzer unbemerkt) unterschiedlichste Daten gespeichert und erzeugt werden, aus denen sich in der Gesamtheit nicht selten aussagekräftige Persönlichkeitsbilder, Bewegungsprofile und Verhaltensmuster ableiten lassen, ist es unabdingbar, dass die wesentlichen Voraussetzungen des strafprozessualen Zugriffs auf entsprechende Daten vom Gesetzgeber in bereichsspezifischer und klarer Weise bestimmt werden. Die Uminterpretation geltender Vorschriften ist demgegenüber kein gangbarer Weg. Damit lässt sich das Ergebnis dieser Untersuchung an dieser Stelle vorwegnehmen: Das geltende Recht sieht – da auch die kürzlich neu in die Strafprozessordnung eingefügten Vorschriften zu Quellen-TKÜ und Online-Durchsucheng einer kritischen (verfassungsrechtlichen) Prüfung nicht standhalten – derzeit keine Ermächtigungsgrundlage für den Zugriff auf Cloud-Systeme vor. Das ist unter dem im Grundsatz anerkennenswerten Bedürfnis nach effektiver Strafverfolgung unbefriedigend, wobei den gravierendsten Auswirkungen durch die Anerkennung einer Übergangsfrist begegnet werden kann.12 Im Übrigen sollte es nach Ansicht des Verf. aber auch Aufgabe einer rechtswissenschaftlichen Arbeit sein, ein entsprechendes Regelungsdefizit klar zu benennen, anstatt im vorauseilenden Gehorsam der gerichtlichen Praxis vermeintliche „Lösungen“ anzubieten und damit den Gesetzgeber von seiner Verantwortung zu entlasten.

Die Rechtsprechung – namentlich ist hier der Zweite Senat des Bundesverfassungsgerichts zu nennen – hat in der Vergangenheit die eine oder andere Chance verpasst, den Gesetzgeber an seine verfassungsrechtlich verbürgte Verantwortung zu erinnern, die darin besteht, die wesentlichen Voraussetzungen neuartiger Grundrechtseingriffe in hinreichend bestimmter Weise zu regeln. In erster Linie ist hier die Entscheidung zum strafprozessualen Zugriff auf beim Diensteanbieter gespeicherte E-Mails zu nennen,13 eine Maßnahme, die in technischer Hinsicht ein Unterfall der Cloud-Problematik ist. Zuletzt wurde auch die Überwachung des Surfverhaltens, und damit ein der Intensität nach mit einer Online-Durchsuchung zumindest teilweise vergleichbarer Eingriff, auf die herkömmliche Telekommunikationsüberwachung gestützt.14 Indem die Judikatur bis hin zum Zweiten Senat des Bundesverfassungsgerichts in dieser Weise das Instrumentarium der Zwangsmaßnahmen im geltenden Recht auf neuartige Eingriffe mit ihren spezifischen Gefährdungslagen ausdehnt, konnte für die Praxis eine trügerische Scheinsicherheit geschaffen werden dahingehend, dass der mit Blick auf die Bedürfnisse effektiver Strafverfolgung ohne Frage notwendige Zugriff auf informationstechnische Systeme – speziell auf die heute besonders weit verbreitete E-Mail-Kommunikation – auch ohne Gesetzesänderung möglich sein würde.

Indes zeigt sich spätestens bei der Rechtslage hinsichtlich der Überwachung des Surfverhaltens, dass solche Lösungen auf der Basis des überkommenen geltenden Rechts vermutlich nicht von Dauer sein können. Denn während der für das Strafrecht zuständige Zweite Senat am BVerfG diese Maßnahme in wenig überzeugender Weise unter Berufung auf § 100a StPO für zulässig erklärt hat, gibt es Rechtsprechung des für die präventiven Ermittlungsmaßnahmen zuständigen Ersten Senats, die diesem Verständnis recht eindeutig entgegensteht. Womöglich ist daher das letzte Wort noch nicht gesprochen hinsichtlich der Frage, ob die StPO in ihrer geltenden Fassung den Herausforderungen des digitalen Zeitalters gewachsen ist. Nach der hier entwickelten Lösung, die sich auf dem sicheren Boden allgemeiner verfassungsrechtlicher Maßstäbe verortet,15 scheitert das geltend Recht hieran beinahe schon krachend.

Den grundsätzlich richtigen Weg für eine zukünftige gesetzliche Regelung weist aus Sicht des Verfassers der eingangs erwähnte Verordnungsvorschlag der Europäischen Kommission.16 Darin wird ebenso simpel wie revolutionär das sog. Marktortprinzip implementiert, wonach die Strafverfolgungsorgane den Zugriff auf etwaige Daten unabhängig von ihrem konkreten – häufig gar nicht mehr zuverlässig zu ermittelnden – Speicherort an dem Ort vornehmen, an der der Serviceprovider seine Dienste anbietet. Damit wird der ansonsten unvermeidliche loss of location,17 der Verlust eines erreichbaren Ortes für den ermittlungsbehördlichen Zugriff auf die in der weltweiten informationstechnischen Netzwerkstruktur zirkulierenden Daten, verhindert. Sofern dann – was dem Vorschlag der Kommission leider gründlich misslingt – Eingriffsnormen geschaffen werden, die den sensiblen Anforderungen eines zeitgemäßen Grundrechts- und Verfahrensschutzes Rechnung tragen, müssen effektive Strafverfolgung einerseits und tragfähiger Grundrechtsschutz andererseits auch im „Strafprozessrecht 4.0“ keine unüberwindbaren Gegensätze bleiben.

Die vorliegende Untersuchung geht zur Klärung der beim strafprozessualen Zugriff auf Cloud-Systeme auftretenden Fragen wie folgt vor: Zunächst werden im ersten Abschnitt die technischen Grundlagen etwas näher geschildert, die für das Funktionieren von Cloud-Anwendungen von Bedeutung sind (B). Anschließend müssen die verfassungsrechtlichen Rahmenbedingungen skizziert werden, die bei der Suche nach einschlägigen Ermächtigungsnormen zu beachten sind (C), bevor darauf aufbauend die einzelnen in Betracht kommenden Eingriffsgrundlagen innerhalb des deutschen Strafprozessrechts auf ihre Eignung zur Legitimation des Zugriffs auf die Cloud hin untersucht werden (D). Schließlich ist zu der Frage der Verwertbarkeit von rechtswidrig erlangten Daten Stellung zu nehmen (E), bevor die Arbeit mit einer Zusammenfassung der wesentlichen Ergebnisse endet (F). Die Untersuchung beschränkt sich dabei auf die Voraussetzungen eines Zugriffs auf Inhaltsdaten,18 weil diese unter dem Gesichtspunkt eines angemessenen Grundrechtsschutzes von herausragender Bedeutung sind.19

1 COM(2018) 225 final vom 17.4.2018, S. 1. 2 COM(2018) 225 final vom 17.4.2018, S. 2. 3 COM(2018) 225 final vom 17.4.2018, S. 16 4 Der Hinweis hierauf wurde bereits im Jahr 2011 als „inflationär“ bezeichnet, vgl. Kudlich, GA 2011,193; aus der Literatur näher etwa Klesczewski, ZStW 123 (2011), S. 737ff.; umfassend Sieber, DJT-Gutachten, C 35ff.; C 62ff. und C 103ff. 5 Frühzeitig etwa Obenhaus, NJW 2010, 651ff.; M. Gercke, CR 2010, 345ff. 6 Dalby, Grundlagen; Wicker, Strafanspruch, jew. passim. 7 Vgl. hierzu unten D.V. 2. 8 Siehe bereits knapp hierzu Meinicke, StV 2012, 463 sowie vertiefend ders., in: Scholz/Funk (Hrsg.), S. 73, 75ff.; grds. ebenso auch Sieber, DJT-Gutachten, C 155f. 9 Hierzu unten D. IV. 10 Siehe etwa den Hinweis auf „unüberwindbare praktische Schwierigkeiten“ beim Zugriff auf im Ausland gespeicherte Daten bei Wohlers/Jäger, in: SK-StPO, § 102 Rn. 15a a.E.; ausführlich nunmehr für eine „Problemlösung“ auf der Basis des geltenden Rechts Wicker, Strafanspruch, S. 333ff. 11 Hierzu eingehend unten D I 3 a). 12 Siehe unten D. VI. 13 Vgl. hierzu unten D. I. 2. 14 Dazu unter D. III. 15 Vgl. zu diesen unten C. 16 Dazu unten D.V. 2. b). 17 Begriff von Spoenle, Cloud Computing, S. 5. 18 Vgl. zu diesem im TKG nicht ausdrücklich definierten Begriff statt Vieler B. Gercke, GA 2012, 474, 484f. 19 Zum Zugriff auf andere (insbesondere Bestands-)Daten vgl. nur Dalby, Grundlagen, S. 56ff.

12 3 4 5 Weiter

Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud