Dirk Meinicke - Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud

Die Rechtsprechung – namentlich ist hier der Zweite Senat des Bundesverfassungsgerichts zu nennen – hat in der Vergangenheit die eine oder andere Chance verpasst, den Gesetzgeber an seine verfassungsrechtlich verbürgte Verantwortung zu erinnern, die darin besteht, die wesentlichen Voraussetzungen neuartiger Grundrechtseingriffe in hinreichend bestimmter Weise zu regeln. In erster Linie ist hier die Entscheidung zum strafprozessualen Zugriff auf beim Diensteanbieter gespeicherte E-Mails zu nennen,13 eine Maßnahme, die in technischer Hinsicht ein Unterfall der Cloud-Problematik ist. Zuletzt wurde auch die Überwachung des Surfverhaltens, und damit ein der Intensität nach mit einer Online-Durchsuchung zumindest teilweise vergleichbarer Eingriff, auf die herkömmliche Telekommunikationsüberwachung gestützt.14 Indem die Judikatur bis hin zum Zweiten Senat des Bundesverfassungsgerichts in dieser Weise das Instrumentarium der Zwangsmaßnahmen im geltenden Recht auf neuartige Eingriffe mit ihren spezifischen Gefährdungslagen ausdehnt, konnte für die Praxis eine trügerische Scheinsicherheit geschaffen werden dahingehend, dass der mit Blick auf die Bedürfnisse effektiver Strafverfolgung ohne Frage notwendige Zugriff auf informationstechnische Systeme – speziell auf die heute besonders weit verbreitete E-Mail-Kommunikation – auch ohne Gesetzesänderung möglich sein würde.

Indes zeigt sich spätestens bei der Rechtslage hinsichtlich der Überwachung des Surfverhaltens, dass solche Lösungen auf der Basis des überkommenen geltenden Rechts vermutlich nicht von Dauer sein können. Denn während der für das Strafrecht zuständige Zweite Senat am BVerfG diese Maßnahme in wenig überzeugender Weise unter Berufung auf § 100a StPO für zulässig erklärt hat, gibt es Rechtsprechung des für die präventiven Ermittlungsmaßnahmen zuständigen Ersten Senats, die diesem Verständnis recht eindeutig entgegensteht. Womöglich ist daher das letzte Wort noch nicht gesprochen hinsichtlich der Frage, ob die StPO in ihrer geltenden Fassung den Herausforderungen des digitalen Zeitalters gewachsen ist. Nach der hier entwickelten Lösung, die sich auf dem sicheren Boden allgemeiner verfassungsrechtlicher Maßstäbe verortet,15 scheitert das geltend Recht hieran beinahe schon krachend.

Den grundsätzlich richtigen Weg für eine zukünftige gesetzliche Regelung weist aus Sicht des Verfassers der eingangs erwähnte Verordnungsvorschlag der Europäischen Kommission.16 Darin wird ebenso simpel wie revolutionär das sog. Marktortprinzip implementiert, wonach die Strafverfolgungsorgane den Zugriff auf etwaige Daten unabhängig von ihrem konkreten – häufig gar nicht mehr zuverlässig zu ermittelnden – Speicherort an dem Ort vornehmen, an der der Serviceprovider seine Dienste anbietet. Damit wird der ansonsten unvermeidliche loss of location ,17 der Verlust eines erreichbaren Ortes für den ermittlungsbehördlichen Zugriff auf die in der weltweiten informationstechnischen Netzwerkstruktur zirkulierenden Daten, verhindert. Sofern dann – was dem Vorschlag der Kommission leider gründlich misslingt – Eingriffsnormen geschaffen werden, die den sensiblen Anforderungen eines zeitgemäßen Grundrechts- und Verfahrensschutzes Rechnung tragen, müssen effektive Strafverfolgung einerseits und tragfähiger Grundrechtsschutz andererseits auch im „Strafprozessrecht 4.0“ keine unüberwindbaren Gegensätze bleiben.

Die vorliegende Untersuchung geht zur Klärung der beim strafprozessualen Zugriff auf Cloud-Systeme auftretenden Fragen wie folgt vor: Zunächst werden im ersten Abschnitt die technischen Grundlagen etwas näher geschildert, die für das Funktionieren von Cloud-Anwendungen von Bedeutung sind (B). Anschließend müssen die verfassungsrechtlichen Rahmenbedingungen skizziert werden, die bei der Suche nach einschlägigen Ermächtigungsnormen zu beachten sind (C), bevor darauf aufbauend die einzelnen in Betracht kommenden Eingriffsgrundlagen innerhalb des deutschen Strafprozessrechts auf ihre Eignung zur Legitimation des Zugriffs auf die Cloud hin untersucht werden (D). Schließlich ist zu der Frage der Verwertbarkeit von rechtswidrig erlangten Daten Stellung zu nehmen (E), bevor die Arbeit mit einer Zusammenfassung der wesentlichen Ergebnisse endet (F). Die Untersuchung beschränkt sich dabei auf die Voraussetzungen eines Zugriffs auf Inhaltsdaten,18 weil diese unter dem Gesichtspunkt eines angemessenen Grundrechtsschutzes von herausragender Bedeutung sind.19

1COM(2018) 225 final vom 17.4.2018, S. 1. 2COM(2018) 225 final vom 17.4.2018, S. 2. 3COM(2018) 225 final vom 17.4.2018, S. 16 4Der Hinweis hierauf wurde bereits im Jahr 2011 als „inflationär“ bezeichnet, vgl. Kudlich, GA 2011,193; aus der Literatur näher etwa Klesczewski, ZStW 123 (2011), S. 737ff.; umfassend Sieber, DJT-Gutachten, C 35ff.; C 62ff. und C 103ff. 5Frühzeitig etwa Obenhaus, NJW 2010, 651ff.; M. Gercke, CR 2010, 345ff. 6Dalby, Grundlagen; Wicker, Strafanspruch, jew. passim. 7Vgl. hierzu unten D.V. 2. 8Siehe bereits knapp hierzu Meinicke, StV 2012, 463 sowie vertiefend ders., in: Scholz/Funk (Hrsg.), S. 73, 75ff.; grds. ebenso auch Sieber, DJT-Gutachten, C 155f. 9Hierzu unten D. IV. 10Siehe etwa den Hinweis auf „unüberwindbare praktische Schwierigkeiten“ beim Zugriff auf im Ausland gespeicherte Daten bei Wohlers/Jäger, in: SK-StPO, § 102 Rn. 15a a.E.; ausführlich nunmehr für eine „Problemlösung“ auf der Basis des geltenden Rechts Wicker, Strafanspruch, S. 333ff. 11Hierzu eingehend unten D I 3 a). 12Siehe unten D. VI. 13Vgl. hierzu unten D. I. 2. 14Dazu unter D. III. 15Vgl. zu diesen unten C. 16Dazu unten D.V. 2. b). 17Begriff von Spoenle, Cloud Computing, S. 5. 18Vgl. zu diesem im TKG nicht ausdrücklich definierten Begriff statt Vieler B. Gercke, GA 2012, 474, 484f. 19Zum Zugriff auf andere (insbesondere Bestands-)Daten vgl. nur Dalby, Grundlagen, S. 56ff.

Nachstehend werden also zunächst die wichtigsten Grundbegriffe sowie die technischen Hintergründe des Phänomens „Cloud Computing“ skizziert. Diese technisch-empirische Befundaufnahme soll einen präzisen Zugang zu den spezifischen rechtlichen Problemen beim strafprozessualen Zugriff auf in der Cloud gespeicherte Daten ermöglichen.

In einer knappen Definition20 lässt sich Cloud Computing als Möglichkeit zur Nutzung von IT-Infrastruktur, die über ein Netzwerk (i.d.R. das Internet) zur Verfügung gestellt wird, beschreiben, wobei vom Anbieter je nach Bedarf z.B. Speicherplatz, Rechenleistung oder Software bereitgestellt werden kann.21 Der Kunde nutzt also den Zugang zum Internet, um die von einem anderen zur Verfügung gestellte Soft- und Hardware zu verwenden.22 Es lassen sich insbesondere fünf charakteristische Merkmale von Cloud Computing ausmachen:23

Zunächst ist das Konzept des sog, Ressource-Pooling zu nennen. Damit ist das Zusammenfassen („Poolen“) bestimmter physischer Ressourcen, z.B. von Rechenleistung, Speicherkapazität oder Netzwerkbandbreite gemeint, wodurch ein zentral abrufbarer Vorrat entsteht, der bedarfsorientiert auf die einzelnen Nutzer verteilt wird.24 Die Verteilung erfolgt auf der Basis sog. Virtualisierungen, das bedeutet, dass durch die Einführung einer logischen Abstraktionsebene von der tatsächlich vorhandenen Hardware abstrahiert wird.25 Es werden also logische Ressourcen auf physische Ressourcen abgebildet, wobei der Benutzer einer logischen Ressource in der Anwendung keinen Unterschied im Vergleich zur Verwendung der physischen Ressource selbst erkennen kann.26 Wer Cloud Computing-Leistungen in Anspruch nimmt, erhält also virtuell seine eigene (physische) Struktur, „ein Stück Hardware, Betriebssystem und Software für sich selbst“,27 während er sich tatsächlich mit einer Vielzahl anderer Nutzer dieselben Ressourcen teilt. Diese Technik der Virtualisierung ist für die Funktionsweise des Cloud Computing von großer Bedeutung (vgl. auch unten).28