Das OLG Stuttgart hat mit seinem Beschluss vom 19.5.2021 (2 Ws 75/21) die Beschwerde der Staatsanwaltschaft Mannheim zurückgewiesen und folgenden Leitsatz aufgestellt:
§ 100b StPO stellt keine Ermächtigungsgrundlage dar, um einen IT-Servicedienstleister allein zur Herausgabe von auf seinem Server gespeicherten Daten eines Dritten und zur Verschwiegenheit hierüber zu verpflichten.
In seiner Entscheidung führt der Senat aus, das er es nicht für zulässig erachte , im Wege eines Erst-Recht-Schlusses die Verpflichtung eines Dritten zur Mitwirkung als vermeintlich milderes Mittel gegenüber einer technischen Infiltration auf Grundlage von § 100b StPO anzuordnen. Die Vorschrift des § 100b StPO behandelt nämlich nur das Verhältnis von staatlichen Ermittlungsbehörden gegenüber Beschuldigten und nicht auch gegenüber Dritten. Hätte der Gesetzgeber über das in § 100b Abs. 3 S. 2 StPO bereits vorgesehene Maß hinaus in Rechte Dritter eingreifen und sie etwa zur Mitwirkung verpflichten wollen, hätte dies bereits aus verfassungsrechtlichen Gründen einer ausdrücklichen Regelung bedurft.
Die Entscheidung im Volltext:
- Die Beschwerde der Staatsanwaltschaft Mannheim gegen den Beschluss des Landgerichts Karlsruhe vom 15.03.2021 wird als unbegründet verworfen.
- Die Staatskasse hat die Kosten des Rechtsmittels zu tragen.
Gründe
I.
Die Staatsanwaltschaft Mannheim führt ein Ermittlungsverfahren gegen unbekannt u.a. wegen Erpressung gem. § 253 Abs. 1 und 4 StGB, das folgenden Sachverhalt zum Gegenstand hat:
Unbekannte Täter verschafften sich u.a. am 01.12.2020 über die IP-Adresse … Zugang zum IT-Netzwerk der M. AG, einem Hersteller für Maschinen zur Massivholzbearbeitung, und kopierten dort mittels einer Schadsoftware Daten bzw. extrahierten diese vollständig. Ferner verschlüsselten sie File-Server, so dass die Geschädigte auf diese ab dem 06.12.2020 nicht mehr zugreifen konnte, was zum Erliegen der Produktion führte. Die unbekannten Täter forderten in der Folge die Zahlung von 5 Millionen US-Dollar für die Anleitung zur Entschlüsselung und die Zusage, die abgezogenen Daten nicht zu veröffentlichen, sondern zu löschen. Für den Fall der Zahlungsverweigerung wurde die Vernichtung der Zugangsschlüssel und die Veröffentlichung der Daten angekündigt. Im Rahmen von Verhandlungen mit den unbekannten Tätern gelang es der Geschädigten die Forderung auf 950.000,– EUR zu reduzieren, welche schließlich am 22.12.2020 über einen Bitcoin-Transfer beglichen wurde. Sodann erfolgte die Entschlüsselung der Daten.
Mit Verfügung vom 03.03.2021 beantragte die Staatsanwaltschaft Mannheim beim Landgericht Karlsruhe nach § 100b Abs.1 StPO in Vorbereitung eines Rechtshilfeersuchens in die U.S.A. anzuordnen
„1. die einmalige Erhebung aller Daten auf dem Server, der am 01.12.2020 über die IP-Adresse … im Internet erreichbar war, bei dem Hosting Provider
G. (…) Vereinigte Staaten von Amerika
durch Herausgabe einer Kopie der Inhaltsdaten, die für den Account gehostet werden, der dieser IP-Adresse zuordenbar ist.
- die Verpflichtung des Hosting Providers, die betroffenen Kunden nicht über die Ermittlungsmaßnahme zu informieren.“.
Mit Beschluss vom 15.03.2020 lehnte das Landgericht Karlsruhe den Antrag ab mit der Begründung, die beantragte Verpflichtung zur Herausgabe sei keine Maßnahme nach § 100b StPO, da es an dem von der Vorschrift vorausgesetzten Eingriff in ein informationstechnisches System mit technischen Mitteln fehle. Ferner sehe § 100b StPO eine Verpflichtung des Betreibers zur Auskunft anders als für Maßnahmen nach §§ 100a und 100g StPO nicht vor.
Hiergegen wendet sich die Staatsanwaltschaft Mannheim mit ihrer Beschwerde vom 29.03.2021 und führt im Wesentlichen aus, der Einsatz technischer Mittel sei im Rahmen des § 100b StPO zwar erlaubt, nicht aber Voraussetzung für die heimliche Datenerhebung; § 100b StPO ermächtige den Staat, Daten beim Provider zu erheben. Die Pflicht des Dritten, die Daten herauszugeben, ergebe sich aus § 95 StPO.
Die Generalstaatsanwaltschaft Stuttgart ist der Beschwerde mit Zuschrift vom 14.05.2021 beigetreten. Sie hat beantragt, den Beschluss aufzuheben und die von der Staatsanwaltschaft Mannheim am 03.03.2021 beantragte Maßnahme einer – atypischen – Online-Durchsuchung gemäß § 100b Abs.1 StPO anzuordnen.
II.
Die Beschwerde der Staatsanwaltschaft Mannheim hat in der Sache keinen Erfolg. Die angefochtene Entscheidung entspricht der Sach- und Rechtslage.
Der Senat teilt die Auffassung des Landgerichts und tritt den Gründen der angefochtenen Entscheidung in Verbindung mit denjenigen des Nichtabhilfebeschlusses vom 07.04.2021 bei.
Die von der Staatsanwaltschaft Mannheim beantragte Ermittlungsmaßnahme entspricht nicht einer in § 100b StPO normierten Onlinedurchsuchung, sondern stellt sich im Hinblick auf den mitbetroffenen IT-Servicedienstleister als Maßnahme sui generis dar, die der Gesetzgeber (bislang) nicht vorgesehen hat. Insbesondere besteht keine Rechtsgrundlage dafür, den IT-Servicebetreiber zu einer Mitwirkung (1.) an einer gegenüber dem Beschuldigten heimlichen Ausforschung des IT-Systems und zum Stillschweigen (2.) darüber zu verpflichten.
- § 100b StPO regelt den verdeckten Zugriff der Ermittlungsbehörden auf ein vom Beschuldigten genutztes informationstechnisches System mit technischen Mitteln und sieht keine heimlich auszuübende Mitwirkungsverpflichtung eines Dritten vor.
Bereits vor Normerlass war nach der Rechtsprechung des BGH die Beschlagnahme und Auswertung eines Computers und dessen vollständigen Datenbestandes nach §§ 94 ff., 102 ff. StPO mit den entsprechenden Herausgabepflichten aus § 95 StPO möglich; eine verdeckte Online-Durchsuchung war demgegenüber wegen der damit aufgrund der Heimlichkeit der Maßnahme gesteigerten Eingriffsintensität und mangels gesetzlicher Grundlage nicht zulässig (vgl. BGH, Beschluss vom 31.01.2007 – StB 18/06). Mit Einführung der Onlinedurchsuchung gemäß § 100b StPO wollte der Gesetzgeber die diesbezüglich erkannte Regelunglücke schließen und den Ermittlungsbehörden verdeckte Durchsuchungsmaßnahmen unter bestimmten, einschränkenden Voraussetzungen mit technischen Mitteln ermöglichen, wie sich der Gesetzesbegründung (BT-Drucksache 18/12785) entnehmen lässt. Die Gesetzesmotive (aaO, Seite 54) verdeutlichen, dass der Gesetzgeber eine Online-Durchsuchung im Sinne eines verdeckten, d.h. heimlichen, staatlichen Zugriffs auf ein fremdes informationstechnisches System mit dem Ziel, dessen Nutzung zu überwachen und gespeicherte Inhalte auszuleiten, verstanden wissen wollte. Da er nach der damaligen Rechtslage eine „offene“ Durchsuchung und Beschlagnahme der auf informationstechnischen Geräten gespeicherten Daten nach den §§ 94 ff., 102 ff. StPO jedoch bereits als grundsätzlich legitimiert ansah, stellte er mit der Schaffung des § 100b StPO einerseits die Heimlichkeit der Maßnahme in den Mittelpunkt und wollte zur Wahrung derselben den Einsatz technischer Instrumentarien erlauben. Er wollte staatlichen Ermittlungsbehörden ermöglichen, das IT-System eines Beschuldigten ohne dessen Wissen zu infiltrieren. Zwar lässt sich der Gesetzesbegründung nicht entnehmen, wie hiernach zum Einsatz kommende technische Mittel ausgestaltet sein sollten; die Gesetzesbegründung geht jedoch erkennbar davon aus, dass solche Mittel angewendet werden müssen, um die heimliche Datenerhebung zu erreichen. Deutlich wird in den Gesetzesmaterialien auch, dass die Informationsbeschaffung im Rahmen des § 100b StPO deutlich weiter reichen sollte, als dies bis dahin auf Grundlage einer – ausschließlich Kommunikationsinhalte umfassenden – Telekommunikationsüberwachung nach § 100a StPO möglich war; nicht nur neu hinzukommende Kommunikationsinhalte, sondern alle auf einem informationstechnischen System gespeicherten Inhalte sowie das gesamte Nutzungsverhalten einer Person sollten überwacht werden können.
Vor diesem Hintergrund setzt sich die Gesetzesbegründung auch intensiv mit der Frage auseinander, dass die Ausforschung und Untersuchung aller Daten und Aktivitäten eines IT-Systems über die reinen Kommunikationsinhalte hinaus den von Art. 1 i.V.m. Art. 2 Abs. 2 GG verfassungsrechtlich besonders geschützten Kernbereich der privaten Lebensführung betreffen kann. Dementsprechend hat der Gesetzgeber sich hinsichtlich der Eingriffsvoraussetzungen und der verfahrensrechtlichen Sicherungen des § 100b StPO an den Regelungen zur akustischen Wohnraumüberwachung orientiert. Nach den Vorstellungen des Gesetzgebers sollte von der Online-Durchsuchung den verfassungsrechtlichen Vorgaben folgend restriktiv Gebrauch gemacht werden, was auch durch die Subsidiaritätsklausel in § 100b Abs. 1 Nr. 3 StPO zum Ausdruck kommt.
Diesem gesetzgeberischen Willen und den verfassungsrechtlichen Anforderungen entsprechend ist bei der Anwendung und Auslegung der Norm nach Ansicht des Senats Zurückhaltung geboten. Die vom Gesetzgeber vorgenommene Typisierung der einzelnen Ermittlungsmaßnahmen und der ihnen jeweils innewohnende Charakter muss im Blick behalten werden: Im Ausgangspunkt erfährt daher eine Onlinedurchsuchung gemäß § 100b StPO im Gegensatz zur Durchsuchung und Beschlagnahme nach §§ 94 ff., 102 ff. StPO ihre spezifische Prägung durch die Heimlichkeit der Maßnahme. Daher sind in § 100b StPO anders als bei der Telefonüberwachung nach § 100a StPO, der Bestandsdatenauskunft nach § 100j StPO oder der Erhebung von Nutzungsdaten bei Telemediendiensten gem. § 100k StPO gerade keine Mitwirkungspflichten von Providern vorgesehen. Das Fehlen einer vergleichbaren Ermächtigungsnorm im Bereich des § 100b StPO zeigt, dass der Fall einer offenen Maßnahme gegenüber dem Diensteanbieter gerade nicht geregelt ist.
Die Anordnung einer Onlinedurchsuchung durch das Gericht erlaubt den Ermittlungsbehörden, ein bestimmtes IT-System des Beschuldigten oder eines Dritten, dessen IT-System der Beschuldigte nutzt, zu infiltrieren, um Daten aus diesem System zu erheben. Die Ausführung der Maßnahme obliegt zwar der Staatsanwaltschaft und ihren Ermittlungspersonen. Dabei ist es nach allgemeinen Grundsätzen grundsätzlich auch denkbar, dass die Staatsanwaltschaft als „Herrin des Ermittlungsverfahrens“ eine gerichtlich angeordnete Ermittlungsmaßnahme nicht oder nur teilweise ausführen lässt, etwa, wenn der Vollzug der angeordneten Maßnahme aufgrund von aktuellen Entwicklungen nicht (mehr) zweckmäßig erscheint. Auch ist es zulässig, eine gerichtlich angeordnete Maßnahme nur teilweise auszuführen, wenn sich eine in der Anordnung vorgesehene Zwangsmaßnahme durch die freiwillige Mitwirkung der betroffenen Person erübrigt.
Für nicht zulässig hält es der Senat allerdings, im Wege eines Erst-Recht-Schlusses – wie die Staatsanwaltschaft in ihrer Beschwerde argumentiert – die Verpflichtung eines Dritten zur Mitwirkung als vermeintlich milderes Mittel gegenüber einer technischen Infiltration auf Grundlage von § 100b StPO anzuordnen; hierin ist kein Minus, sondern vielmehr ein Aliud zu sehen. Die Vorschrift des § 100b StPO behandelt nämlich nur das Verhältnis von staatlichen Ermittlungsbehörden gegenüber Beschuldigten und nicht auch gegenüber Dritten. Hätte der Gesetzgeber über das in § 100b Abs. 3 S. 2 StPO bereits vorgesehene Maß hinaus in Rechte Dritter eingreifen und sie etwa zur Mitwirkung verpflichten wollen, hätte dies bereits aus verfassungsrechtlichen Gründen einer ausdrücklichen Regelung bedurft.
Denn eine offene, den Diensteanbieter verpflichtende Maßnahme nach § 100b StPO würde neben dem Eingriff in den Schutzbereich des Grundrechts auf Integrität und Vertraulichkeit informationstechnischer Systeme und dem Eingriff in das Fernmeldegeheimnis auch einen Eingriff in die Berufsausübungsfreiheit des Diensteanbieters darstellen, der nach Art. 12 Abs.1 S.2 GG einer besonderen gesetzlichen Grundlage bedürfte (vgl. BGH, Beschluss vom 20. August 2015 – StB 7/15 –, juris zu § 100a und 100b Abs. 3 S.1 a.F.). Insoweit stellt auch § 95 StPO mit der dort normierten Herausgabepflicht keine ausreichende Ermächtigungsgrundlage dar, da dieser allein die Herausgabe von (beschlagnahmefähigen) Gegenständen betrifft, worunter zwar grds. die vorliegend zu erhebenden (Bestands-) Daten fallen, nicht aber die auch dem § 100b StPO unterfallende laufende Kommunikation nebst Überwachung des Nutzungsverhaltens.
Eine gegenüber dem Diensteanbieter – und nicht einem Beschuldigten – als Eingriffsadressaten nach § 100b Abs. 3 S. 2 StPO offene Maßnahme nach § 100b StPO käme darüber hinaus vor dem Hintergrund der Subsidiaritätsklausel des § 100b Abs. 1 Nr. 3 StPO nicht in Betracht. Insoweit stellt die im vorliegenden Fall zur Erhebung von Bestandsdaten ausreichende analoge Durchsuchung und Beschlagnahme nach §§ 102 ff., 94 ff. StPO den geringeren Eingriff bei gleichem Erfolg der Maßnahme (einmalige Erhebung der zum Zeitpunkt der Durchsuchung vorhandenen Daten) dar.
- Darüber hinaus ergibt sich aus § 100b i.V.m. § 101 Abs. 4 S. 3 u. 4 StPO, genauso wenig wie (bislang) aus den §§ 94 ff. StPO, eine Ermächtigung, den betroffenen Diensteanbieter zur Verschwiegenheit gegenüber seinem Kunden, dem Beschuldigten, zu verpflichten. Die durch § 101 Abs. 4 S. 3 u. 4 StPO ermöglichte Zurückstellung der Benachrichtigung des Betroffenen stellt lediglich eine Ausnahme von der ansonsten nach § 35 StPO spätestens mit Beginn einer Maßnahme durch die staatlichen Organe vorzunehmende Benachrichtigung dar; keinesfalls kann hierüber ein Dritter – noch dazu in Bezug auf seine Berufsausübung – zum Stillschweigen verpflichtet werden. Eine Stillschweigeverpflichtung ergibt sich für (deutsche) Diensteanbieter allein aus § 113 Abs. 6 S. 2 TKG (bzw. § 17 G 10), der aber seinerseits keine Ermächtigungsnorm für die Strafverfolgungsbehörden darstellt und dessen Reichweite sich überdies auf den Anwendungsbereich des TKG beschränkt, das auf den vorliegend in Rede stehenden Anbieter von Cloud-Diensten keine Anwendung findet.
- Soweit die Generalstaatsanwaltschaft in ihrer Zuschrift zu bedenken gibt, dass der Einsatz qualifizierter technischer Mittel (Überwachungssoftware) im Rahmen der sog. Quellen-TKÜ auf praktische Probleme stoße und die Ermittlungsbehörden darauf angewiesen seien, auf andere Art Zugriff auf Kommunikationsplattformen oder Cloud-Dienste zu nehmen, bedarf es vorliegend keiner Entscheidung darüber, ob die Ausnutzung solcher Zugangsdaten sich als Einsatz technischer Mittel im Sinne des § 100b StPO darstellt. Da sich weder aus dem Gesetz noch aus den Gesetzesmaterialien konkrete Festlegungen zur Ausgestaltung der technischen Mittel entnehmen lassen, erscheint es nach Ansicht des Senats jedenfalls nicht von vorneherein ausgeschlossen, dass andere Eingriffe – etwa durch Verwendung eines heimlich erlangten Zugangspassworts -, die sich aus Sicht eines Systembetreibers jedenfalls als systemfremder Zugriff von außen darstellen dürften, unter § 100b StPO bzw. § 100a Abs. 1 Satz 2 StPO fallen können. In diesem Fall würden sich, solange die Maßnahme durch die Ermittlungsbehörden selbst vorgenommen wird, die in der vorliegend zu entscheidenden Konstellation maßgeblichen Probleme der mangelnden Heimlichkeit sowie der Mitwirkungspflicht eines Dritten nicht stellen.
III.
Die Kostenentscheidung ergibt sich aus § 473 Abs. 1 StPO.
OLG Stuttgart Beschluß vom 19.5.2021, 2 Ws 75/21