Einführung
In einem Strafverfahren mit Bezug zur Computerkriminalität sind die Durchsuchung (§§ 102, 103 ff. StPO) und die Beschlagnahme (§§ 94 ff. StPO) die mitunter am erfolgversprechendsten Beweissicherungsmittel. Häufig ist das Auffinden von Datenträgern mit belastendem Material die einzige Möglichkeit, dem Beschuldigten ein strafbares Verhalten nachzuweisen. Anderweitige Ermittlungsansätze verlaufen aufgrund der weitläufigen Strukturen des Internets sowie der strafprozessualen- und datenschutzrechtlichen Hürden zumeist im Sand.
Mittlerweile kommen bei derartigen Durchsuchungen regelmäßig IT-Spezialisten der Polizei zum Einsatz. Im Idealfall führen sie zunächst eine oberflächliche Sichtung der EDV-Anlage(n) und externen Datenträger durch, um Anhaltspunkte für den notwendigen Umfang der genaueren Durchsicht gem. § 110 Abs. 1 StPO und Sicherstellung/ Beschlagnahme (§ 94 StPO) zu gewinnen.
In den 80er- und 90er-Jahren wurde gewöhnlich die gesamte EDV-Anlage einschließlich all ihrer Peripheriegeräte mitgenommen. Diese Unsitte war auf technisch unerfahrene Ermittler zurückzuführen, die lieber zu viel als zu wenig mitnahmen. Darunter hatten insbesondere die Betreiber größerer Mailboxen (BBS), Internetprovider und Firmen-Intranets zu leiden. Für einen Teledienst kann sich ein Totalausfall von nur wenigen Stunden bereits existenzbedrohlich auswirken. Dementsprechend groß war die Empörung, wenn auf der Suche nach Kunden- oder Nutzerdaten ganze Anlagen beschlagnahmt wurden. Sowohl die Polizei als auch die Staatsanwaltschaften haben aus den Fehlern der Vergangenheit gelernt und ziehen im Zweifelsfall bei der Durchsuchung Spezialisten hinzu.
Trotzdem muss sich ein Beschuldigter darauf einstellen, dass im Zweifelsfall eine Beschlagnahme des gesamten Computers erfolgt. Normalerweise verfügen die Strafverfolgungsbehörden nicht über die technischen Mittel und ausreichende Zeit, um vor Ort eine sinnvolle Sichtung des Materials vornehmen zu können. Außerdem besteht immer das Risiko, dass bei der flüchtigen Untersuchung des Systems versteckte Partitionen, Dateisysteme oder on-the-fly Kryptographie-Programme/ Karten übersehen werden. Besteht Unklarheit bzgl. der verwendeten Hard-/ Software, oder ist eine spezielle Software zum Anzeigen der Daten erforderlich, so bleibt der Verhältnismäßigkeitsgrundsatz gewahrt, wenn beim Verdächtigen der ganze Computer beschlagnahmt wird. Davon ausgenommen sind handelsübliche Monitore, Tastaturen, Mouse, etc., die sich in jeder Behörde finden lassen.
Bei Standardsystemen ließe sich die Ansicht vertreten, vor Ort lediglich eine Sicherung des aktuellen System- und Datenstandes durch das Erstellen von Image-Dateien zu erlauben. Aus praktischen Gründen und mit Hinblick auf einen späteren Strafprozess sollte allerdings von einer solchen Vorgehensweise abgesehen werden. Einerseits haben sich in diesem Zusammenhang noch keine abgesicherten Standardverfahren etabliert, zum anderen birgt das bloße Imagefile ohne den dazugehörigen Datenträger als Beweismittel eine Restunsicherheit.
Im Übrigen kann sich die Notwendigkeit einer Beschlagnahme des Rechners auch aus dem Tatvorwurf ergeben. Wird ein Täter beispielsweise wegen Urheberrechtsverletzungen verurteilt, so kommt unter Umständen die Einziehung seiner Hardware, die von ihm zur Vervielfältigung eingesetzt wurde, gem. § 111b I, IV, 102 ff. StPO i.V.m. § 110 UrhG in Betracht.
Nach der Sicherstellung/ Beschlagnahme wird auf Anordnung der Staatsanwaltschaft im Laufe des weiteren Ermittlungsverfahrens durch die IT-Fachgruppe der Polizei ein EDV-Beweissicherungsbericht erstellt. U.a. werden die beweiserheblichen Inhalte auf Trägermedien der Polizei gesichert. Zu diesem Zweck benutzen neben dem FBI auch viele deutsche Polizeibehörden das Linux-Tool IXimager von ILook Forensics. Federführend bei der Programmierung ist ein Beamter von Scotland Yard, der das Programm ständig an die Bedürfnisse der Ermittlungsbehörden anpasst. Das Programm wird kostenlos und weltweit an entsprechende IT-Fachabteilungen der Ermittlungsbehörden verteilt. Es erstellt protokollierte Bitstream-Images der Datenträger, wobei sich im Nachhinein einzelne Dateien aus dem Imagefile extrahieren lassen. Hash-Werte sollen die Authentizität und die Unverfälschtheit der Daten garantieren. Trotzdem wird der Wert eines solchen Beweismittels von Strafverteidigern regelmäßig in Frage gestellt. Eine an dieser Stelle ansetzende Konfliktverteidigung bietet jedoch wenig Aussicht auf Erfolg, sofern das Sicherungsverfahren ordnungsgemäß durchgeführt wurde. Ein anderes oft genutztes Tool stellt EnCase Forensic von Guidance Software dar, wobei der hohe Preis des Programms inzwischen viele Behörden dazu veranlasst hat auf IXimager/ILook zu wechseln.
Die gesicherten Daten werden in der Folgezeit durch die Fachkommissariate ausgewertet. Momentan beträgt die alleine Wartezeit bis zum Ergebnis der technischen Auswertung bis zu zehn Monate (bei durchschnittlicher Größe der Datenmenge).
Nach Abschluss des Strafverfahrens werden die im Archiv der Polizei gesicherten Daten (Asservate) durch Erlass einer entsprechenden Löschungsverfügung protokolliert vernichtet.
§ 102 StPO – Durchsuchung beim Verdächtigen
|
Bei dem, welcher als Täter oder Teilnehmer einer Straftat oder der Begünstigung, Strafvereitelung oder Hehlerei verdächtig ist, kann eine Durchsuchung der Wohnung und anderer Räume sowie seiner Person und der ihm gehörenden Sachen sowohl zum Zweck seiner Ergreifung als auch dann vorgenommen werden, wenn zu vermuten ist, daß die Durchsuchung zur Auffindung von Beweismitteln führen werde. |
1. Verdachtsgrad, Gegendstand der Durchsuchung und Durchsicht der Daten
a) Um beim Verdächtigen eine Durchsuchung gem. § 102 StPO durchführen zu können, muss zunächst ein Anfangsverdacht für ein strafbares Verhalten des Betroffenen bestehen. Das Bundesverfassungsgericht versteht unter dieser Voraussetzung das wahrscheinliche Vorliegen einer bereits begangenen Straftat.[1] Der so genannte „Anfangsverdacht“ wird allgemein auch als die Möglichkeit strafbaren Verhaltens definiert. Jedenfalls müssen konkrete Anhaltspunkte vorliegen, die auf eine Straftat hindeuten. Bloße Vermutungen reichen nicht aus.[2]
b) Für die notwendige Konkretisierung im Durchsuchungsbeschluss reicht es hinsichtlich des zu suchenden Beweismittels aus, wenn dieses als „Datenträger/ Trägermedien mit möglicherweise straftatrelevanten Daten (siehe Tatvorwurf)“ bezeichnet wird. Eine nähere Konkretisierung des Datenträgertyps ist nicht erforderlich, da bei fast allen Taten eine unüberschaubare Anzahl verschiedener Trägermedien und Formate in Betracht kommt. Sofern bei der Durchsuchung mit dem Auffinden eines größeren Rechnerverbundes oder einem Netzwerk zu rechnen ist, sollte die Durchsuchungsanordnung auf „Räumlichkeiten, in denen sich Netzwerk-Server und Clients des Verdächtigen befinden“ spezifiziert werden.
c) Die Durchsuchung muss (in dem für uns interessanten Fall) dem Auffinden von Beweismitteln dienen. Zu diesem Zweck dürfen die Beamten selbstständig vorgefundene Computer in Betrieb nehmen und zunächst oberflächlich deren Datenbestand sichten Oberflächlich bedeutet, dass die Beamten die Anzahl der Dateien (Datenmengen), Datentypen, Benutzer- und Programmzugehörigkeiten, Zeitpunkte der Dateierstellungen sowie Lese-/Schreibberechtigungen der Nutzer überprüfen können. Nur so ist es den Ermittlungsbeamten i.S.d. § 152 GVG überhaupt möglich, den notwendigen Umfang für eine spätere Durchsicht der Datenträger gem. § 110 Abs. 1 StPO bzw. eine anstehende Sicherstellung (§ 94 Abs. 1 StPO)/ Beschlagnahme (§ 94 Abs. 2 StPO) zu bestimmen.
d) Im Regelfall geht die oberflächliche Sichtung der Datenträger noch während der Durchsuchung nahtlos in eine Durchsicht i.S.v. § 110 Abs. 1 StPO über, d.h. die Ermittler dürfen auf Anordnung der Staatsanwaltschaft auch direkt Kenntnis vom Inhalt der Daten nehmen, um beweisrelevante Daten aufzufinden. Die höchstrichterliche Rechtsprechung hat in diesem Zusammenhang entschieden, dass die Durchsicht von Datenträgern der Durchsicht von Papieren i.S.v. § 110 Abs. 1 StPO gleichsteht.[3]
2. Grundsatz der Verhältnismäßigkeit und Zufallsfunde
a) Wie bei jeder Grundrechte beschränkenden Maßnahme muss auch bei der Durchsuchung der Grundsatz der Verhältnismäßigkeit beachtet werden, d.h. die Durchsuchungsanordnung darf nicht außer Verhältnis zur Schwere der vorgeworfenen Straftat stehen. Auch Privatklagedelikte wie beispielsweise nichtgewerbliche Urheberrechtsverletzungen (§ 374 Abs. 1 Nr. 8 StPO) können eine Durchsuchung rechtfertigen.[4]
b) Eine einstweilige Sicherstellung von Gegenständen, die zwar auf Straftaten hindeuten, aber nicht im Zusammenhang mit dem eigentlichen Durchsuchungszweck stehen, ist gem. § 108 Abs. 1 StPO möglich. Die Polizeibeamten können die einstweilige Sicherstellung selbstständig anordnen, da § 108 Abs. 1 StPO die „Gefahr im Verzug“ gesetzlich vermutet.[5] Später muss die Beschlagnahme auf Antrag der Staatsanwaltschaft durch einen Richter gem. §§ 94 Abs. 2, 98 Abs. 1 StPO neu angeordnet werden, sofern die Staatsanwaltschaft die Zufallsfunde für die Einleitung eines neuen Strafverfahrens verwerten möchte.
Wenn bei einer Durchsuchung aus anderen Gründen, Datenträger mit (raub)kopierten Audio-/ Videoformaten zufällig aufgefunden werden, verbietet sich eine einstweilige Sicherstellung, da der bloße Besitz und das Abspielen dieser Medien nicht strafbar gem. § 106 UrhG ist. Ausgenommen sind Fälle, in denen konkrete Anhaltspunkte für eine unerlaubte Vervielfältigungshandlung des Verdächtigen bestehen (z.B. mehrere DVD-Brenner in einem BIG-Tower, eine große Anzahl offensichtlicher Raubkopien > 150 Stück, mehrere 50er-Spindeln mit Rohlingen, etc.). Bei (raub)kopierter Software ist eine gesetzlich erlaubte Nutzung nicht möglich (§§ 69a ff. UrhG), weshalb schon der bloße Besitz eine Sicherstellung ohne weitere Anhaltspunkte rechtfertigt.
§ 103 StPO – Durchsuchung bei anderen Personen
|
(1) Bei anderen Personen sind Durchsuchungen nur zur Ergreifung des Beschuldigten oder zur Verfolgung von Spuren einer Straftat oder zur Beschlagnahme bestimmter Gegenstände und nur dann zulässig, wenn Tatsachen vorliegen, aus denen zu schließen ist, daß die gesuchte Person, Spur oder Sache sich in den zu durchsuchenden Räumen befindet. Zum Zwecke der Ergreifung eines Beschuldigten, der dringend verdächtig ist, eine Straftat nach § 129a, auch in Verbindung mit § 129b Abs. 1, des Strafgesetzbuches oder eine der in dieser Vorschrift bezeichneten Straftaten begangen zu haben, ist eine Durchsuchung von Wohnungen und anderen Räumen auch zulässig, wenn diese sich in einem Gebäude befinden, von dem auf Grund von Tatsachen anzunehmen ist, daß sich der Beschuldigte in ihm aufhält. |
|
(2) Die Beschränkungen des Absatzes 1 Satz 1 gelten nicht für Räume, in denen der Beschuldigte ergriffen worden ist oder die er während der Verfolgung betreten hat. |
Einleitung
Ein Eingriff in die Rechte eines Nichtverdächtigen gemäß § 103 StPO ist nur unter engen Voraussetzungen zulässig. Eine solche Durch-suchungsanordnung kommt z.B. in Betracht, wenn in den Räumlichkeiten eines Providers, der vom Tatverdächtigen für seine illegalen Aktivitäten genutzt wird, nach beweiserheblichen Daten gesucht werden soll (streitig).
1. Offline-Durchsuchung beim Provider
§ 103 StPO kommt als Eingriffsgrundlage in Betracht, wenn im Rechenzentrum des Providers auf angemieteten Datenträgern des Tatverdächtigen nach illegalen Webspace-Inhalten, pornographische Bildern, Raubkopien auf einem FTP-Server, etc. gesucht werden soll. Eine solche Durchsuchung in den Providerräumlichkeiten zum Zwecke der Spuren- und Beweissicherung richtet sich analog nach § 103 StPO.
Der Verhältnismäßigkeitsgrundsatz gebietet es jedoch, dass die Durchsuchung nur dann angeordnet wird, wenn bewiesene Tatsachen für ein Auffinden bzw. Vorhandensein der Beweismittel (Daten) sprechen.[6] Bei der Durchsuchung sollte tunlichst darauf geachtet werden, dass der Geschäftsbetrieb des Providers nicht unterbrochen wird. Letztlich ist der Provider gem. § 11 TDG für die fremden Daten grundsätzlich nicht verantwortlich, es sei denn er hatte von der strafbaren Handlung seines Kunden/ Nutzers Kenntnis. Nach Möglichkeit sollte der Speicher des Tatverdächtigen durch das Anfertigen von Image-Files gesichert werden.
2. Online-Durchsuchung beim Provider
Die „Online-Durchsuchung“ beim Provider ist zurzeit eine rechtliche Grauzone. Unter einer „Online-Durchsuchung“ versteht man den Zugriff auf Inhaltsdaten des Tatverdächtigen beim Provider (des Tatverdächtigen) mittels einer Online-Verbindung. Von den üblicherweise zwischengespeicherten Mailbox-Nachrichten sind Daten zu unterscheiden, die von dem Betroffenen auf einem externen Datenspeicher im Netz abgespeichert wurden (z.B. Pornographie, Warez, etc. auf virtuellen Festplatten, sog. "Mediazentren", FTP-Servern, WebSpace, FXP-Boards, usw.). Derartige Daten ruhen und sind nicht mehr Teil eines Kommunikationsprozesses i.S.d. § 100a StPO. Zumeist werden sie vom Täter ausschließlich zum Zwecke der Datenvervielfältigung/ Archivierung auf den externen (Netz-)Speicher übertragen. Es mangelt bei derartigen Daten an einer Vergleichbarkeit mit dem klassischen höchstpersönlichen Kommunikationsprozess i.S.d. § 100a StPO. Mit Einführung des § 100a StPO hatte der Gesetzgeber einen vertraulichen Kommunikationsakt zwischenmenschlicher Art vor Augen. Die Beschränkung des § 100a StPO auf Daten i.S.v. „Gesprächsdaten“ ergibt sich schon daraus, dass ein Eingriff nach § 100a StPO nur bei entsprechend schweren Straftaten angeordnet werden darf. Würde man jede Provider-„Datendurchsuchung“ an § 100a StPO messen, so würde dies zu einer unbilligen prozessualen Ermittlungslücke führen, da das Auffinden von Beweisen auf schwere Straftaten i.S.d. § 100a StPO beschränkt bliebe.
Jedenfalls bezweckt § 100a StPO die Erfassung des laufenden Kommunikationsverkehrs, nicht hingegen das Durchsuchen sämtlicher, möglicherweise bereits weit in der Vergangenheit gespeicherter Daten.[7] Der Begriff der "Überwachung" i.S.v. § 100a StPO entspricht nicht dem Zweck einer einmaligen Durchsuchung. In solchen Fällen ist es daher sinnvoll, die üblichen Beschlagnahme- und Durchsuchungsregelungen der §§ 94 ff. StPO bzw. § 103 StPO (ggf. analog) anzuwenden, sofern der Speicher eines (nichtverdächtigen) Providers bzw. Dritten von der Maßnahme betroffen ist.[8] Gegenansichten überzeugen wenig, da sie sich letztlich an ein Konstrukt klammern, das auf einer ungewollten Regelungslücke der Strafprozessordnung aufbaut.
Für die Zukunft bleibt zu hoffen, dass der Gesetzgeber den Begriff der Telekommunikation in § 100a StPO auf höchstpersönliche Merkmale begrenzen und die Vorschriften der §§ 94, 102, 103 ff. StPO um das Merkmal der binären Datendurchsuchung ergänzen wird.
§ 105 – Anordnung und Ausführung von Durchsuchungen
|
(1) Durchsuchungen dürfen nur durch den Richter, bei Gefahr im Verzug auch durch die Staatsanwaltschaft und ihre Ermittlungspersonen (§ 152 des Gerichtsverfassungsgesetzes) angeordnet werden. Durchsuchungen nach § 103 Abs. 1 Satz 2 ordnet der Richter an; die Staatsanwaltschaft ist hierzu befugt, wenn Gefahr im Verzug ist. |
|
(2) Wenn eine Durchsuchung der Wohnung, der Geschäftsräume oder des befriedeten Besitztums ohne Beisein des Richters oder des Staatsanwalts stattfindet, so sind, wenn möglich, ein Gemeindebeamter oder zwei Mitglieder der Gemeinde, in deren Bezirk die Durchsuchung erfolgt, zuzuziehen. Die als Gemeindemitglieder zugezogenen Personen dürfen nicht Polizeibeamte oder Ermittlungspersonen der Staatsanwaltschaft sein. |
|
(3) Wird eine Durchsuchung in einem Dienstgebäude oder einer nicht allgemein zugänglichen Einrichtung oder Anlage der Bundeswehr erforderlich, so wird die vorgesetzte Dienststelle der Bundeswehr um ihre Durchführung ersucht. Die ersuchende Stelle ist zur Mitwirkung berechtigt. Des Ersuchens bedarf es nicht, wenn die Durchsuchung von Räumen vorzunehmen ist, die ausschließlich von anderen Personen als Soldaten bewohnt werden. |
Überblick
Durchsuchungen dürfen grundsätzlich nur von einem Richter angeordnet werden. Sofern „Gefahr im Verzug“ vorliegt, kann sich eine spontane Zuständigkeit der Staatsanwaltschaft bzw. ihrer Ermittlungsbeamten i.S.v. § 152 GVG ergeben. „Gefahr im Verzug“ liegt vor, wenn die richterliche Anordnung nicht mehr rechtzeitig eingeholt werden kann, ohne dass der Zweck der Maßnahme möglicherweise vereitelt wird.[9] Nach Ansicht des Bundesverfassungsgerichts[10] handelt es sich bei der „Gefahr im Verzug“ um einen unbestimmten Rechtsbegriff. Das hat zur Folge, dass die Ermittlungsbeamten keinen Freiraum bei der Lagebeurteilung haben und jeden Fall für sich betrachten müssen.[11] Auch bei einer eiligen Angelegenheit muss zunächst versucht werden, eine Durchsuchungsanordnung über den richterlichen Eildienst zu erwirken.
[1] BVerfG NJW 1991, 690; NJW 2004, 1305.
[2] Meyer-Goßner, § 102, Rdnr. 3.
[3] BGH NStZ-RR 2004, 40.
[4] vgl. Meyer-Goßner, § 102, Rdnr. 15.
[5] BGHSt 19, 374; Meyer-Goßner, § 108, Rdnr. 6.
[6] vgl. Meyer-Goßner, § 103, Rdnr. 6.
[7] ähnlich: Bär, MMR 2000, 472.
[8] ähnlich: LG Ravensburg, NStZ 2003, 325; analoge Anwendung des § 99 StPO.
[9] Meyer-Goßner, § 98, Rdnr. 6; BVerfG NJW 1979, 1539 (1540).
[10] BVerfG NJW 2001, 1121 (1123).
[11] Meyer –Goßner, § 98, Rdnr. 7.
» Zurück zur Übersicht «
