Rechtsprechung

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

E-Mail-Dienste sind zur Bereithaltung und Herausgabe von IP-Adressen verpflichtet

Rechtsprechungshinweis: BVerfG, Nichtannahmebeschluss vom 20.12.2018 – 2 BvR 2377/16

1. Wurde gemäß § 100a StPO eine Überwachung des E-Mail-Verkehrs angeordnet, so umfasst der Umfang der vom TK-Dienstleistungsanbieter bereitzustellenden Daten auch die bei der Telekommunikation anfallenden IP-Adressen als „andere Adressierungsangabe“.
2. Dass der Betreiber eines Telekommunikationsdienstes aufgrund seiner Systemstruktur nicht unmittelbar auf die externen IP-Adressen der Nutzer zugreifen kann, steht einer solchen Verpflichtung nicht entgegen, wenn die fehlende Zugriffsmöglichkeit darauf beruht, dass sich der Betreiber bewusst dazu entschlossen hat, die Daten nicht zu protokollieren.

Das Bundesverfassungsgericht hatte die Frage zu entscheiden, ob das Anliegen eines E-Mail-Providers seinen Kunden datenschutzsensible Dienstleistungen anzubieten soweit schützenswert ist, dass es Vorrang vor der Verpflichtung zur Einhaltung gesetzlicher Vorgaben hat.[1] Im konkreten Fall weigerte sich ein Anbieter von E-Mail-Diensten, die IP-Adressen der auf die E-Mail-Postfächer zugreifenden Benutzer an die Ermittlungsbehörden herauszugeben. Er begründete dies mit dem Umstand, dass er aus Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ablauf einer Kommunikation via E-Mail

Bei einer Kommunikation via E-Mail werden in der Regel Datenpakete zwischen dem Rechner des Benutzers (sog. Client) sowie dem Absende-Mailserver und dem Ziel-Mailserver ausgetauscht.[4] Hierbei kommen bestimmte Netzwerkprotokolle (SMTP, POP3 und IMAP) – oftmals gepaart mit einer Transferverschlüsselungen (TLS) oder einer Inhaltsverschlüsselung (S/MIME oder OpenPGP) – zur Anwendung. Bei den jeweiligen Übertragungsvorgängen fallen Kommunikationsdaten, wie u.a. die IP-Adresse des Clients an.[5] Die Kommunikationsdaten müssen seitens des Mailanbieters zumindest für die Dauer des Kommunikationsvorgangs gespeichert werden, damit überhaupt die Möglichkeit besteht, dass die abgerufenen Datenpakte übersendet werden können.[6]

Telekommunikationsüberwachungnach § 100a StPO

Die Überwachung und Aufzeichnung von Telekommunikation kann neben nachrichtendienstlicher Tätigkeit auch zur Gefahrenabwehr[2] oder zum Zweck der Strafverfolgung angeordnet werden. § 100 a StPO stellt für letzteres die Ermächtigungsgrundlage dar. Die Anordnung zur Telekommunikationsüberwachung (sog. TKÜ) steht und dem Vorbehalt einer richterlichen bzw. gerichtlichen Entscheidung. Bei Gefahr im Verzug kann die Ermittlungsmaßnahme auch von der  Staatsanwaltschaft angeordnet werden, wobei die richterliche bzw. gerichtliche Anordnung unverzüglich nachzuholen ist und innerhalb von drei Werktagen ergehen muss.

Unter den weit auszulegenden Begriff der Telekommunikationsüberwachung fällt auch der Zugriff auf die E-Mail-Kommunikation, die durch das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG geschützt ist. Der Schutzbereich erfasst dabei nicht nur die Kommunikationsinhalte, sondern auch die näheren Umstände der Telekommunikation, wozu u.a. die IP-Adressen gehören.[3]

Hergang des Verfahrens

Im konkreten Fall ordnete das Amtsgericht Stuttgart auf Antrag der Staatsanwaltschaft gemäß §§ 100a, 100b StPO die Sicherung, Spiegelung und Herausgabe aller Daten, die auf den Servern des Betreibes bezüglich des betreffenden E-Mail-Accounts elektronisch gespeichert sind, sowie sämtlicher bezüglich dieses Accounts künftig anfallender Daten (Inhalts- und Verkehrsdaten nebst IP-Adressen, insbesondere auch bei den zukünftigen Login-Vorgängen anfallender IP-Adressen) an. Der Dienstbetreiber kam diesem Verlangen auch nach. Er erklärte jedoch, dass Verkehrsdaten der Nutzer nicht „geloggt“ würden und solche Daten inklusive der IP-Adressen deshalb nicht zur Verfügung gestellt werden könnten. 

Die Staatsanwaltschaft wies den Beschwerdeführer darauf hin, dass er gesetzlich verpflichtet sei, für die Dauer der Überwachungsmaßnahme die Verkehrsdaten und insbesondere die IP-Adressen zu dem betreffenden Account zu „loggen“. Dem widersprach der Betreiber mit der Begürdnung, dass die fraglichen IP-Adressen nicht erhoben werden und damit auch nicht vorhanden sind. Eine Pflicht hierzu bestünde ebenfalls nicht. Daraufhin drohte die Staatsanwaltschaft dem Betreiber die Verhängung von Ordnungsmitteln an, welches in Form eines Ordnungsgeldes in Höhe von 500 €  vom Amtsgericht Stuttgart auch verhängt wurde. Hiergegen wehrte sich der Betreiber mit der Begrüdung, dass er die geforderten Verkehrsdaten nicht hat und auch nicht kurzfristig, sondern nur durch eine aufwändige Neustrukturierung seines EDV-Systems, erfassen kann. Seine Beschwerde beim Landgericht Stuttgart blieb jedoch erfolglos, wodurch der Weg zum Bundesverfassungsgericht frei war.

Entscheidung des Bundesverfassungsgerichts

Das Bundesverfassungsgericht stellte in seiner Entscheidung fest, dass Anbieter von Telekommunikationsdiensten nach § 5 Abs. 2 TKÜV dazu verpflichtet sind, den Ermittlungsbehörden im Falle einer TKÜ-Maßnahme eine vollständige Kopie der Telekommunikationsdaten bereitzustellen. Da die staatliche Informationserhebung in Form der verdeckten Überwachung mit dem verfassungsrechtlichen Erfordernis einer funktionstüchtigen Strafrechtspflege in Zusammenhang steht, können Telekommunikationsdienste hiervon nicht entbunden werden. Dies gilt selbst dann, wenn der Dienstanbieter aus (honorierungswürdigen) Gründen des Datenschutzes grundsätzlich keine Protokollierung von IP-Adressen vornimmt.

Ein Grundrechtsverstoß war nach Auffassung des Bundesverfassungsgerichts nicht ersichtlich. Insbesondere lag kein ungerechtfertigter Eingriff in die Berufsfreiheit (Art. 12 GG) des Betreibers  vor.

Ferner war die Festsetzung des Ordnungsgeldes angesichts der Weigerung des Betreibes, seinen gesetzlichen Pflichten nachzukommen, erforderlich.

Folgen für Service Provider

Für Betreiber von E-Mail-Diensten hat dies zur Folge, dass auch die IP-Adressen der eigenen Kunden stets zu erfassen sind, damit diese im Falle einer TKÜ-Anordnung an die zuständigen Behörden herausgegeben werden können. Die Pflicht zur Bereithaltung der Daten nach § 5 Abs. 2 TKÜV wird zudem durch die Vorschrift des § 110 Abs. 1 Satz 1 Nr. 1 TKG unterstrichen, welche regelt, dass Betreiber von öffentlich zugänglichen Telekommunikationsdiensten verpflichtet sind, ab dem Zeitpunkt der Betriebsaufnahme auf eigene Kosten technische Einrichtungen zur Umsetzung von Telekommunikationsüberwachung vorzuhalten und die organisatorischen Vorkehrungen für deren unverzügliche Umsetzung zu treffen.[7]

Mithin haben Betreiber von Telekommunikationsdiensten ihre Tätigkeit so zu organisieren, dass es ihnen ohne weiteres möglich ist, den auskunftsersuchenden Behörden vollständige Kommunikationsdaten bereitstellen zu können, wozu insbesondere die IP- Adressen gehören. Kommt der Dienstanbieter dem Herausgabeverlangen nicht nach, wie es bei der hiesigen Entscheidung der Fall war, hat er mit der Verhängung eines Ordnungsgeldes zu rechnen.

Fußnoten

[1] Siehe hierzu insgesamt: ZD-Aktuell 2019, 06454f.; MMR- Aktuell 2019, 414410.

[2] Im Bund und in einigen Bundesländern.

[3] ZD-Aktuell 2019, 06454.

[4] Hierbei erfrag der Quell-Mailserver die Adresse des Ziel-Mailservers beim sog. DNS-Server.

[5] In der Regel überprüft der Ziel-Mailserver zudem, ob die IP-Adresse des Absende-Mailservers auf einer sog. Blacklist steht, um die betreffende E-Mail ggf. vorab auszusortieren.

[6] MMR- Aktuell 2019, 414410.; im Detail: Nolte/Schlutz, jurisPR-Compl 5/2019 Anm.4., S.3.

[7] Nolte/Schlutz, jurisPR-Compl, 5/2019 Anm.4., S.2 f.

Posted by Dr. Mathias A. Grzesiek in Datenschutz, IT-Strafrecht, Rechtsprechung
Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Ein italienischer Staatsbürger aus Brüssel wollte mit einem an das Bundeskriminalamt (BKA) gerichteten Antrag erreichen, dass seine Flugdaten nicht gespeichert, verarbeitet oder übermittelt werden. Der Rechtsbehelf blieb jedoch erfolglos.

Der Antragsteller unternahm im Zeitraum von Mai 2018 bis Juli 2019 eine Vielzahl an Flügen innerhalb der europäischen Union. Ihm ging es in seinem Antrag im Wege des einstweiligen Rechtsschutzes primär um eine Flugreise von Brüssel nach Berlin und zurück, die er im November 2019 unternehmen wollte.

Der EU-Bürger berief sich auf sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh). Die von den deutschen Behörden ergriffenen Maßnahmen zu Speicherung und Verarbeitung seiner Daten tangieren sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 der Charta sowie sein Recht auf informationelle Selbstbestimmung, welches aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG abgeleitet wird.

Das Bundeskriminalamt lehnte den Antrag des Mannes ab. Die Sicherheitsbehörde begründete ihre Entscheidung damit, dass sie mit Blick auf die Terrorabwehr gesetzlich dazu verpflichtet sei, die Flugdaten von Passagieren zu speichern. Diese Pflicht ergebe sich konkret aus dem deutschen Fluggastdatengesetz (FlugDaG). Laut der EU Richtlinie (EU)2016/681 müssen alle Fluggastdaten, der in die EU oder aus der EU Fliegenden, in eine zentrale Datenbank aufgenommen werden. Die Eingriffe in die Rechte des Antragstellers seien daher gerechtfertigt.

Seinen darauffolgenden Eilantrag an das Verwaltungsgericht Wiesbaden lehnte das Gericht als unzulässig ab. Das Verwaltungsgericht begründete seine Entscheidung (Beschluss v. 21.08.2019, Az. 6 L 807/19.WI) damit, dass dem Antragsteller bereits das notwendige Rechtschutzinteresse fehle. Das Gericht wies darauf hin, dass der Antragsteller im Zeitraum zwischen Mai 2018 und Juli 2019 zahlreiche ähnliche Flüge unternommen habe, bei denen ebenfalls Fluggastdaten gespeichert wurden. Die Speicherung, Verarbeitung oder Übermittlung der Daten habe er damals offensichtlich widerspruchslos hingenommen. Daher sei nicht nachvollziehbar, warum die Datenspeicherung in Deutschland für ihn plötzlich unzumutbar sei.

Gegen den Beschluss kann der Antragsteller Beschwerde beim Verwaltungsgerichthof Kassel einlegen.

Posted by Merve Celik in Datenschutz, Rechtsprechung
Einziehung und Verwertung illegal erworbener Bitcoins

Einziehung und Verwertung illegal erworbener Bitcoins

Rechtsprechungshinweis: BGH 1 StR 412/16 – Beschluss vom 27. Juli 2017 (LG Kempten)

Erlangtes Etwas im Sinne der § 73 Abs. 1 aF StGB ist die Gesamtheit des materiell aus der Tat tatsächlich Erlangten. Hiervon werden – ungeachtet ihrer Rechtsnatur – auch Bitcoins erfasst. Sie stellen angesichts ihres Marktwertes einen realisierbaren Vermögenswert dar, für den der Angeklagte sowohl materiell Berechtigter ist als auch die faktische Verfügungsgewalt hat. Sie sind angesichts der Speicherung in der Blockchain und der Kombination aus öffentlichen und dem Angeklagten bekannten privaten Schlüssel der Wallet hinreichend abgrenzbar und damit tauglicher, wenn auch nicht körperlicher Gegenstand einer Verfallsanordnung. Soweit dagegen geltend gemacht wird, Bitcoins könnten allein deswegen kein Verfallsgegenstand sein, da sie weder Sache noch Recht seien und deswegen der Wortlaut des § 73e aF StGB auf sie nicht anwendbar sei, kann dem nicht gefolgt werden. Die Vorschrift des § 73 Abs. 1 Satz 1 aF StGB enthält gerade keine solche Begrenzung auf Sachen oder Rechte.

Mining von Kryptowährungen mittels eines Botnetzes ist de lege lata strafbar

In seiner Entscheidung befasste sich der erste Senat mit der Frage der Strafbarkeit des illegalen Bitcoinschürfens. Der Entscheidung lag ein Fall zugrunden, indem der Angeklagte die Kontrolle über fremde Rechner mittels des Einsatzes eines Trojaners übernahm, um diese zum Bitcoin-Mining zu verwenden. Die gekaperten Rechner werden dabei zu einem sog. Botnetz zusammengefügt und ihre Rechenleistung zu bündeln.

Der BGH bestätigte die Entscheidung des vorbefassten Tatgerichts (LG Kempten) dahingehend, dass diese Handlung den Tatbestand der Datenveränderung nach § 303a StGB sowie (tateinheitlich) den Tatbestand des Ausspähens von Daten gemäß § 202 a StGB erfüllt.[1] Durch den Einsatz des Trojaners wird die Tat durch den geschädigten Computerinhaber selbst, also in mittelbarer Täterschaft nach § 25 Abs. 1 Alt. 2 StGB, erfüllt. Hierbei hat der Computerinhaber, dessen Rechner als sog. Zombie Computer unbemerkt fremdgesteuert wird, meist keine Kenntnis.

Vermögensabschöpfung nach §§ 73ff. StGB auch bei Bitcoins möglich

Besondere Bedeutung kommt der Entscheidung zu, da sich der BGH erstmalig mit der Frage beschäftigt hat, ob Bitcoins dem Verfall nach § 73 aF StGB unterfallen und damit als Tatertrag eingezogen werden können. Dies wird als Vermögensabschöpfung bezeichnet. Obgleich die Rechtsnatur von Bitcoins umstritten ist, bejaht der BGH die Frage mit der Begründung, dass Bitcoins einen realisierbaren Vermögenswert in sich tragen, der durch die Kombination aus öffentlichem und privatem Schlüssel hinreichend abgrenzbar sei.[2] Der Täter als materiell Berechtigter hat faktische Verfügungsgewalt über die Bitcoins, da ihm die Kombination aus öffentlichem Schlüssel und  privatem Schlüssel der Wallet bekannt ist. Auch wenn Bitcoins zwr keinen körperlichen Gegenstand darstellen, sind sie trotzdem tauglicher Gegenstand einer Verfallsanordnung. Das Gegenargument, das Bitcoins weder Sache noch Recht sind und deshalb vom Wortlaut des Gesetzes (hier § 73e aF StGB) nicht erfasst sein können, überzeugt den BGH nicht.

Das der private Schlüssel zur Wallet den Ermittlungsbehörden nicht bekannt ist, wirkt sich auf die Anordnung des Verfalls nicht aus. Zwar ist Kenntnis dieses Schlüssels Voraussetzung, um die faktische Verfügungsgewalt über die Bitcoins zu übernehmen. Dies betrifft aber lediglich die Vollstreckung der Verfallsentscheidung, zu der sich der BGH nicht geäußert hat.

Offen bleibt ebenfalls die Frage, wie die Einziehung der Bitcoins im konkreten Fall umgesetzt werden soll. Gemäß § 75 StGB geht das Eigentum an der Sache oder das Recht mit Rechtskraft der Entscheidung auf den Staat über. Ob die Bitcoins in eine staatliche Bitcoin-Wallet überführt oder zunächst in der Wallet des Täters verbleiben, um später ggf. veräußert oder umgewandelt zu werden, wird seitens des BGH leider nicht erörtert. Es wäre durchaus interessant zu wissen, was mit den Bitcoins geschehen ist. Im konkreten Fall wurden 86 Bitcoins sichergestellt sowie der Verfall über weitere 1.730 Bitcoins angeordnet. Schon zum Entscheidungszeitpunkt (Juli 2017)  hatten die insgesamt 1.816 Bitcoins einen Wert von fast 4 Millionen Euro. Nach heutigem Kurs (Stand Juli 2019) wären die Bitcoins sogar rund 16 Millionen Euro wert.

Im Ergebnis stellt die Entscheidung jedenfalls klar, dass Bitcoins grundsätzlich eingezogen und verwertet werden können, auch wenn weiterhin Fragen ­­– insbesondere zur Vollstreckung und Rechtsfolge – offenbleiben. Obgleich die Entscheidung des BGH noch auf Grundlage der alten Rechtslage (alte Rechtsgrundlage: Verfall nach § 73 aF StGB) erfolgte, ist davon auszugehen, dass sich die im Juli 2017 in Kraft getretene Gesetzesänderung zur Reform der strafrechtlichen Vermögensabschöpfung (aktuelle Rechtsgrundlage: Einziehung von Taterträgen nach § 73 nF StGB) nicht auswirkt.

Fußnoten
[1] Hierzu insgesamt kritisch: Brodowski, StV 4/2019, 385f.

[2] Der BGH nimmt hierbei Bezug auf Rückert MMR 2016, 295, 296.

Posted by Dr. Mathias A. Grzesiek in Kryptowährungen, Rechtsprechung