Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Fluggäste müssen Datenspeicherung zur Terrorabwehr dulden

Ein italienischer Staatsbürger aus Brüssel wollte mit einem an das Bundeskriminalamt (BKA) gerichteten Antrag erreichen, dass seine Flugdaten nicht gespeichert, verarbeitet oder übermittelt werden. Der Rechtsbehelf blieb jedoch erfolglos.

Der Antragsteller unternahm im Zeitraum von Mai 2018 bis Juli 2019 eine Vielzahl an Flügen innerhalb der europäischen Union. Ihm ging es in seinem Antrag im Wege des einstweiligen Rechtsschutzes primär um eine Flugreise von Brüssel nach Berlin und zurück, die er im November 2019 unternehmen wollte.

Der EU-Bürger berief sich auf sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh). Die von den deutschen Behörden ergriffenen Maßnahmen zu Speicherung und Verarbeitung seiner Daten tangieren sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 der Charta sowie sein Recht auf informationelle Selbstbestimmung, welches aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG abgeleitet wird.

Das Bundeskriminalamt lehnte den Antrag des Mannes ab. Die Sicherheitsbehörde begründete ihre Entscheidung damit, dass sie mit Blick auf die Terrorabwehr gesetzlich dazu verpflichtet sei, die Flugdaten von Passagieren zu speichern. Diese Pflicht ergebe sich konkret aus dem deutschen Fluggastdatengesetz (FlugDaG). Laut der EU Richtlinie (EU)2016/681 müssen alle Fluggastdaten, der in die EU oder aus der EU Fliegenden, in eine zentrale Datenbank aufgenommen werden. Die Eingriffe in die Rechte des Antragstellers seien daher gerechtfertigt.

Seinen darauffolgenden Eilantrag an das Verwaltungsgericht Wiesbaden lehnte das Gericht als unzulässig ab. Das Verwaltungsgericht begründete seine Entscheidung (Beschluss v. 21.08.2019, Az. 6 L 807/19.WI) damit, dass dem Antragsteller bereits das notwendige Rechtschutzinteresse fehle. Das Gericht wies darauf hin, dass der Antragsteller im Zeitraum zwischen Mai 2018 und Juli 2019 zahlreiche ähnliche Flüge unternommen habe, bei denen ebenfalls Fluggastdaten gespeichert wurden. Die Speicherung, Verarbeitung oder Übermittlung der Daten habe er damals offensichtlich widerspruchslos hingenommen. Daher sei nicht nachvollziehbar, warum die Datenspeicherung in Deutschland für ihn plötzlich unzumutbar sei.

Gegen den Beschluss kann der Antragsteller Beschwerde beim Verwaltungsgerichthof Kassel einlegen.

Posted by Merve Celik in Datenschutz, Rechtsprechung
E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

E-Evidence-Verordnung: Sinnvolle Harmonisierung des europäischen Strafverfahrens oder Gefährdung des Rechtsstaats?

Webdienste, Datenbanken, Clouds und Apps sind nicht an Ländergrenzen gebunden. Sie können überall in der Welt bereitgestellt werden und benötigten nicht zwingend eine physische Infrastruktur. Auch brauchen IT-Dienstanbieter keine Firmenpräsenz in dem Land, in sie Dienstleistungen anbieten. In Ermittlungsverfahren, in denen Beweismittel oder Dienstanbieter außerhalb des hoheitlichen Zugriffsbereichs nationaler Ermittlungsbehörden liegen, sind die Möglichkeiten beweisbezogener Informationsbeschaffung begrenzt.[1] Dies stellt Staatsanwaltschaften und Gerichte in der gesamten europäischen Union häufig vor praktische Schwierigkeiten.

Was ist die E-Evidence-Verordnung?

Die EU-Kommission hat einen Entwurf einer Verordnung vorgelegt, welche hinsichtlich der Gewinnung elektronischer Beweismittel die Rechtshilfe innerhalb der EU effizienter gestalten und die länderübergreifende Zusammenarbeit zwischen Strafverfolgungsbehörden innerhalb der EU-Mitgliedstaaten verbessern soll.[2] Bisherige Kooperationsverfahren innerhalb der EU brachten nicht den erhofften Erfolg, da sie zu kompliziert und träge waren.

Bereits seit 2016 wird gefordert, ein gemeines Konzept zu schaffen, um die Zuständigkeitsfrage im Cyberspace verpflichtend zu regeln. Zu den vorhandenen Instrumenten – wie dem EU-Haftbefehl[3] – soll den Strafermittlern daher ein neues Werkzeug in die Hand gegeben werden, welches die Strafermittlung und Strafverfolgung im Cyberspace vereinfachen soll.[4] Die E-Evidence-Verordnung, die 2018 vorgelegt und im Rahmen der Legislaturperiode 2019-2024 weiter diskutiert wird, soll dies ermöglichen.

Konkret sollen mithilfe der E-Evidence-Verordnung (zu Deutsch: Europäische Herausgabe- und Sicherungsanordnungen für elektronische Beweismittel im Strafrecht) Staatsanwaltschaften aller EU-Mitgliedsländer digitale Beweise unbürokratisch und schnell sichern und abgreifen können.

Nach dem aktuellen Entwurf soll den Behörden eines Mitgliedsstaats künftig ein standardisiertes Verfahren zur Verfügung gestellt werden, mit dem europaweite Auskunftsersuchen an Anbieter informationstechnischer Dienste, wie Webmailanbieter, Messenger-Dienste, Cloud-Betreiber, soziale Netzwerke, Hoster und Provider, gestellt werden können. Das Ersuchen verpflichtet die Dienstanbieter zur Sicherung und Herausgabe von Daten.[5]

Voraussetzungen der E-Evidence-Verordnung

Die Europäischen Herausgabe- und Sicherungsanordnung darf nur für Strafverfahren genutzt werden.[6] Die Maßnahme darf nur während eines laufenden Ermittlungs- oder Gerichtsverfahrens angeordnet werden. [7] Nach rechtskräftigem Abschluss des Strafverfahrens darf das Auskunftsverfahren daher nicht (mehr) eingesetzt werden. Es ist davon auszugehen, dass mit „Gerichtsverfahren“ nach deutschem Recht das Zwischenverfahren (§§ 199 ff. StPO), das Hauptverfahren (§§ 212ff. StPO) sowie das Rechtsmittelverfahren (§§ 312 ff StPO) gemeint sind. Die Anordnungen können somit in jedem Zeitpunkt des deutschen Strafverfahrens angewandt werden.

Konkret wird die Herausgabeanordnung vom Anordnungsstaat, dessen nationale Behörde die Ermittlungen führt, erlassen und anschließend vom Vollstreckungsstaat umgesetzt.

Grundsätzlich darf die Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO für alle Straftaten erlassen werden. Eine Beschränkung auf bestimmte Delikte, wie es bspw. die Telekommunikationsüberwachung nach § 100a Abs. 2 StPO oder die Online-Durchsuchung nach § 100b Abs. 2 StPO vorsehen, ist dem Entwurf nicht zu entnehmen. Ob von der Verordnung auch Ordnungswidrigkeiten nach dem OWiG erfasst sind, bleibt offen.

Die Anordnungsmaßnahme muss, unabhängig davon ob es sich um die Herausgabe- oder Sicherungsanordnung handelt, stets notwendig sein und dem Gebot der Verhältnismäßigkeit entsprechen.[8]

Ferner gilt das sog. Herkunftslandprinzip. Die Anordnungsbehörde bewertet mögliche Straftaten allein nach den inländischen Gesetzen des Herkunftslandes. Das Prinzip der beiderseitigen Strafbarkeit[9], wonach das entsprechende Verhalten in beiden Ländern strafbewehrt sein muss, gilt ausdrücklich nicht. Die E-Evidence-VO sieht für die Herausgabeanordnung lediglich vor, dass in beiden Staaten eine vergleichbare Ermächtigungsgrundlage für die konkret durchzuführende Ermittlungsmaßnahme vorhanden sein muss.[10]

Die Anordnungen können auch in Verfahren erlassen werden, die sich gegen eine juristische Person im Anordnungsstaat richtet.[11] Die Maßnahmen könnten ebenfalls Ordnungswidrigkeitsverfahren – sofern diese erfasst sind – gegen Unternehmen (§ 30 OWiG) betreffen. De lege ferenda wären auch Verfahren nach dem Verbandssanktionengesetz, welches sich derzeit noch im Entwurfsstadium befindet[12], von der E-Evidence-VO erfasst.

Weitere Voraussetzung ist, dass der adressierte IT-Dienstanbieter seine Dienste zumindest innerhalb der EU anbietet.

Umfang der Herausgabepflicht nach der E-Evidence-VO

Die E-Evidence-VO unterscheidet bei der Herausgabepflicht zwischen Teilnehmer- und Zugangsdaten sowie Inhalts- und Transaktionsdaten.

  • Unter Teilnehmerdaten fallen Daten wie das Geburtsdatum, die Postanschrift, die Telefonnummer oder die E-Mail-Adresse des Betroffenen.[13] Zugangsdaten sind Daten, anhand derer festgestellt werden kann, wann der Benutzer den betreffenden Dienst genutzt hat, wie bspw. die Uhrzeit und die IP-Adresse. [14] Die Herausgabe von Teilnehmer- und Zugangsdaten kann laut Entwurf stets erlassen werden.[15] Gleiches gilt für die Sicherungsanordnung.[16]
  • Die Herausgabe von Inhalts- und Transaktionsdaten hingegen kann nur bei Straftaten angeordnet werden, die im Anordnungsstaat im Höchstmaß mit einer Freiheitsstrafe von mindestens drei Jahre sanktioniert werden. [17] Unabhängig vom Strafmaß kann sie auch bei ausgewählten Straftaten, die mittels eines Informationssystems begangen werden, durchgeführt werden.[18] Unter den Begriff der Transaktionsdaten fallen Daten, die im Kontext mit der der vom Dienstanbieter angebotenen Leistung stehen.[19] Hierunter fallen Daten, die vom Dienstanbieter selbst generiert werden, wie bspw. ein vorgeschlagener Routenverlauf bei einem Online-Routenplaner. Inhaltsdaten sind Daten, die in digitalen Formaten gespeichert werden, wie bspw. Videos, Bilder oder Tonaufzeichnungen.[20]

Da Transaktions- und Inhaltsdaten sensibler sind, sieht der Entwurf bei der Anordnung der Herausgabe einen Richtervorbehalt vor.[21] Für Teilnehmer- und Zugangsdaten kann die Anordnung der Herausgabe durch die Staatsanwaltschaft erfolgen. [22] Von besonderer Bedeutung ist der Umstand, dass der Richtervorbehalt nur für die ermittelnden Behörde des Anordnungsstaates gilt, nicht jedoch für den Vollstreckungsstaat. Eine Überprüfung grundrechtsinvasiver Herausgabeanordnungen durch die Judikative des Vollstreckungsstaates fehlt ebenso wie dahingehende Rechtsschutzmöglichkeiten des Betroffenen.

Ablauf der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO

Der Ablauf des Verfahrens erfolgt in zwei Schritten:

  • In einem ersten Schritt erlässt die Ermittlungsbehörde des Anordnungsstaates eine Sicherungsanordnung. Diese richtet sie direkt an den betroffenen Dienstanbieter. Das Anliegen wird hierbei in Form eines Zertifikats, dem sog. EPOC-PR, an den Dienstanbieter übermittelt.[23] Das Zertifikat verpflichteten ihn zum „Quick Freeze“[24], also zur unverzüglichen Sicherung der angeforderten Daten für einen Zeitraum von 60 Tagen.[25]
  • In einem zweiten Schritt schickt die Behörde eine europäische Herausgabeanordnung (EPOC), die ebenfalls zertifiziert ist, um an die gesicherten Daten zu gelangen. Der Dienstleister muss innerhalb von zehn Tagen nach Erhalt des EPOC-Anfragezertifikats auf die Anordnung reagieren.[26] In eiligen Verfahren ist diese Frist sogar auf 6 Stunden verkürzt.[27] Sobald die Herausgabeanordnung erfolgt, sind die Daten seitens des Dienstanbieters so lange zu sichern, wie dies zur Herausgabe erforderlich ist.[28]

Der Dienstanbieter kann eine Erstattung seiner Kosten durch den Anordnungsstaat geltend machen.[29] Sofern der adressierte Dienstanbieter seinen Verpflichtungen aus der Anordnung nicht nachkommt, muss er mit finanziellen Sanktionen, wie bspw. einem Bußgeld, rechnen. Zur Höhe der finanziellen Sanktion schweigt die E-Evidence-VO. Dem Entwurf ist lediglich zu entnehmen, dass die Sanktion wirksam, verhältnismäßig und abschreckend sein muss.[30]

Anmerkungen und Kritik zum Entwurf der E-Evidence-VO

Die zunehmende Digitalisierung und Internationalisierung, die beinahe jeden Lebensbereich zu erfassen scheint, betrifft auch das Strafrecht. Die Gewinnung elektronischer Daten, die sich innerhalb einer Cloud befinden, die nicht selten auf einem ausländischen Server gehostet wird, führt im Rahmen von Strafermittlungen zu faktischen und juristischen Schwierigkeiten.

Dass die E-Evidence-VO diesem Problem begegnen will und zur Effektivität und Praxistauglichkeit im Rahmen grenzüberschreitender elektronischer Ermittlungstätigkeit beitragen möchte, ist verständlich und nachvollziehbar. Jedoch birgt die Harmonisierung des europäischen Strafverfahrens, insbesondere wenn sie übereilt erfolgt, untrügliche Gefahren.

Mit der E-Evidence-VO wird eine EU-weite Erweiterung einzelner Ermittlungsbefugnisse angestrebt, obwohl innerhalb der EU weder ein gleichwertiger Mindeststandard an Bürgerrechten besteht noch ein einheitliches europäisches Strafrecht vorhanden ist. Insbesondere die EU-weiten Unterschiede im materiellen Strafrecht, also der Strafgesetze, die ein konkretes Verhalten mit Strafe sanktionieren, können zu perfiden Situationen führen. Als Beispiel wird die Abtreibung genannt. Auf Malta kann der durchführende Arzt mit einer Freiheitsstrafe von bis zu vier Jahren sowie einem Berufsverbot bestraft werden. In Deutschland ist die Durchführung der Abtreibung grundsätzlich straflos. Sollte der betroffene maltesische Arzt ein E-Mail-Konto bei einem deutschen Anbieter unterhalten, so kann die Maßnahme der Sicherung und Herausgabe bei diesem vollstreckt werden, obwohl nach deutschem Recht nicht einmal ein Anfangsverdacht im Sinne von § 152 Abs. 2 StPO vorliegt.

Der Vorschlag der Europäischen Kommission mag zwar gut gemeint sein, er zäumt das Pferd aber von hinten auf. In der Bundesrepublik genießen wir einen vergleichsweise hohen Grundrechtsschutz. Anderen Mitgliedsstaaten der EU, die keinen gleichwertigen Standard garantieren, unmittelbare Eingriffsbefugnisse zu gestatten, bringt den Verzicht an Hoheitsrechten und staatlichen Souveränität mit sich. Die europäische Generalermächtigung in Form der E-Evidence-VO führt gleichzeitig dazu, dass nationales Verfassungsrecht umgangen wird, was unweigerlich zu einem Verlust an Rechtsstaatlichkeit führt.

Sinnvoller erscheint es, zunächst ein grundrechtlicher Mindeststandard innerhalb der EU zu etablieren, bevor eine grundrechtsinvasive Verordnung, wie die E-Evidence-VO, in Kraft tritt.

Des Weiteren sollten zunächst eine unabhängige Institution geschaffen werden, welche die Einhaltung der Rechtmäßigkeit und Verhältnismäßigkeit der Europäischen Herausgabe- und Sicherungsanordnungen EU-weit überprüfen soll und an die sich der Adressat der Maßnahme wenden kann. Der Entwurf sieht weder einheitliche Rechtsschutzmöglichkeiten für den Betroffenen vor, noch lässt sich dem Entwurf entnehmen, wohin sich der Betroffene im Bedarfsfall wenden soll. Auch thematisiert der Entwurf nicht, ob der Vollstreckungsstaat, der nicht einmal konkrete Kenntnis von der Durchführung der Maßnahme erhält, die Maßnahme des Anordnungsstaates im Zweifelsfall überprüfen darf. Der Grundrechtsschutz soll allein durch das vorherige Einschalten einer Justizbehörde beim Erlass der Anordnung gewährleistet sein. Nach Ansicht des Deutschen Richterbundes führt dies jedoch zu einer weitestgehenden Rechtslosigkeit für die Betroffenen.[31]

Strafverfolgungsbehörden weitere internationale Eingriffsbefugnisse zu geben, ohne die Einhaltung des Grundrechtsschutzes für die Betroffenen Bürger zu garantieren, ist aus rechtsstaatlicher Sicht nicht vertretbar. Ebenso ist rechtsstaatlich unvertretbar, ausländische Gerichte und Ermittlungsbehörden mit hoheitlichen Befugnissen auszustatten, ohne den eigenen Institutionen Machtmittel in die Hand geben, um die exterritorialen angeordneten Maßnahmen erkennen und überprüfen zu können.

Auch die praktische Handhabung der Herausgabe- und Sicherungsanordnung nach der E-Evidence-VO wirft viele Fragen auf. Wie beschrieben soll die Herausgabenanordnung in bestimmten Fällen innerhalb von 6 Stunden nach Erhalt der Anfrage erfolgen. Dienstanbieter werden bereits Schwierigkeiten damit haben, die angeforderten Daten innerhalb dieses kleinen Zeitfensters ausfinding zu machen, zu isolieren und zu sichern. Wie sie gleichzeitig überprüfen sollen, ob die von einer ausländischen Behörde angefragten Daten überhaupt herausgeben werden dürfen, bleibt fraglich. Viele kleinere IT-Dienstleister verfügen jedenfalls nicht über die hierfür notwendige rechtliche Kompetenz oder eine eigene Rechtsabteilung. Sie müssten sich daher zunächst extern um Rechtsrat bemühen. [32] Dienstanbieter können sich zwar um Kostenerstattung bemühen. Ob hierbei auch die Erstattung von Rechtsberatungskosten umfasst ist, bleibt unklar. Eine rechtliche Unterstützung (bspw. im Falle rechtlicher Unklarheiten) durch inländische Institutionen ist jedenfalls vorgesehen. Auch bleiben Haftungsfragen im Falle der unberechtigten Herausgabe von Daten ungeklärt.

Sollten die Institutionen der EU weiter an ihrem Plan der Umsetzung der Verordnung festhalten wollen, sind noch viele Fragen zu klären. Es lohnt sich für den Praktiker in jedem Fall die E-Evidence-VO weiter im Blick zu behalten.

Fußnoten

[1] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[2] Der Entwurf ist abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52018PC0225&from=EN

[3] Vgl. zum EU-Haftbefehl bspw. Gaede, NJW 2013, 1279f.

[4] S. 3 d. Entwurfs.

[5] Vgl. Begründung der E-Evidence-VO vom 17.4.2018.

[6] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[7] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[8] Vgl. Art. 5 Abs. 2 und Art. 6 Abs. 2 E-Evidence-VO vom 17.4.2018.

[9] Das Prinzip gilt bei internationalen Auslieferungsersuchen. Vgl. Grundsatz der Grundsatz der Gegenseitigkeit nach § 5 IRG.

[10] Vgl. Art. 5 Abs. 2 E-Evidence-VO vom 17.4.2018.

[11] Vgl. Art. 3 Abs. 2 E-Evidence-VO vom 17.4.2018.

[12] Vgl. zum aktuellen Referentenentwurf zum Verbandssanktionengesetz: Gercke/Grözinger auf LTO https://www.lto.de/recht/hintergruende/h/verbandssanktionengesetz-entwurf-bmjv-compliance-interne-untersuchungen-trennung-strafverteidigung-gastkommentar/

[13] Vgl. Art. 2 Nr. 7 E-Evidence-VO vom 17.4.2018.

[14] Vgl. Art. 2 Nr. 8 E-Evidence-VO vom 17.4.2018.

[15] Vgl. Art. 5 Abs. 3 E-Evidence-VO vom 17.4.2018.

[16] Vgl. Art. 6 Abs. 2 a. E. E-Evidence-VO vom 17.4.2018.

[17] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[18] Hiermit sind Straftaten im Sinne der Artikel 3, 4 und 5 des Rahmenbeschlusses 2001/413/JI des Rates gemeint.

[19] Vgl. Art. 2 Nr. 9 E-Evidence-VO vom 17.4.2018.

[20] Vgl. Art. 2 Nr. 10 E-Evidence-VO vom 17.4.2018.

[21] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[22] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[23] Vgl. Art. 10 Abs. 1 E-Evidence-VO vom 17.4.2018.

[24] Zu technischen Hintergründen: Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

[25] Vgl. Art. 4 E-Evidence-VO vom 17.4.2018.

[26] Vgl. Art. 9 Abs. 1 E-Evidence-VO vom 17.4.2018.

[27] Vgl. Art. 9 Abs. 2 E-Evidence-VO vom 17.4.2018.

[28] Vgl. Art. 10 Abs. 2 E-Evidence-VO vom 17.4.2018.

[29] Vgl. Art. 12 E-Evidence-VO vom 17.4.2018.

[30] Vgl. Art. 13 E-Evidence-VO vom 17.4.2018.

[31] Siehe: https://www.drb.de/positionen/stellungnahmen/stellungnahme/news/618/

[32] Bleich, ct magazin Heft Nr. 16 2019, S. 166f.

Posted by Dr. Mathias A. Grzesiek in Internationalisierung des Strafrechts, IT-Strafrecht
Einziehung und Verwertung illegal erworbener Bitcoins

Einziehung und Verwertung illegal erworbener Bitcoins

Rechtsprechungshinweis: BGH 1 StR 412/16 – Beschluss vom 27. Juli 2017 (LG Kempten)

Erlangtes Etwas im Sinne der § 73 Abs. 1 aF StGB ist die Gesamtheit des materiell aus der Tat tatsächlich Erlangten. Hiervon werden – ungeachtet ihrer Rechtsnatur – auch Bitcoins erfasst. Sie stellen angesichts ihres Marktwertes einen realisierbaren Vermögenswert dar, für den der Angeklagte sowohl materiell Berechtigter ist als auch die faktische Verfügungsgewalt hat. Sie sind angesichts der Speicherung in der Blockchain und der Kombination aus öffentlichen und dem Angeklagten bekannten privaten Schlüssel der Wallet hinreichend abgrenzbar und damit tauglicher, wenn auch nicht körperlicher Gegenstand einer Verfallsanordnung. Soweit dagegen geltend gemacht wird, Bitcoins könnten allein deswegen kein Verfallsgegenstand sein, da sie weder Sache noch Recht seien und deswegen der Wortlaut des § 73e aF StGB auf sie nicht anwendbar sei, kann dem nicht gefolgt werden. Die Vorschrift des § 73 Abs. 1 Satz 1 aF StGB enthält gerade keine solche Begrenzung auf Sachen oder Rechte.

Mining von Kryptowährungen mittels eines Botnetzes ist de lege lata strafbar

In seiner Entscheidung befasste sich der erste Senat mit der Frage der Strafbarkeit des illegalen Bitcoinschürfens. Der Entscheidung lag ein Fall zugrunden, indem der Angeklagte die Kontrolle über fremde Rechner mittels des Einsatzes eines Trojaners übernahm, um diese zum Bitcoin-Mining zu verwenden. Die gekaperten Rechner werden dabei zu einem sog. Botnetz zusammengefügt und ihre Rechenleistung zu bündeln.

Der BGH bestätigte die Entscheidung des vorbefassten Tatgerichts (LG Kempten) dahingehend, dass diese Handlung den Tatbestand der Datenveränderung nach § 303a StGB sowie (tateinheitlich) den Tatbestand des Ausspähens von Daten gemäß § 202 a StGB erfüllt.[1] Durch den Einsatz des Trojaners wird die Tat durch den geschädigten Computerinhaber selbst, also in mittelbarer Täterschaft nach § 25 Abs. 1 Alt. 2 StGB, erfüllt. Hierbei hat der Computerinhaber, dessen Rechner als sog. Zombie Computer unbemerkt fremdgesteuert wird, meist keine Kenntnis.

Vermögensabschöpfung nach §§ 73ff. StGB auch bei Bitcoins möglich

Besondere Bedeutung kommt der Entscheidung zu, da sich der BGH erstmalig mit der Frage beschäftigt hat, ob Bitcoins dem Verfall nach § 73 aF StGB unterfallen und damit als Tatertrag eingezogen werden können. Dies wird als Vermögensabschöpfung bezeichnet. Obgleich die Rechtsnatur von Bitcoins umstritten ist, bejaht der BGH die Frage mit der Begründung, dass Bitcoins einen realisierbaren Vermögenswert in sich tragen, der durch die Kombination aus öffentlichem und privatem Schlüssel hinreichend abgrenzbar sei.[2] Der Täter als materiell Berechtigter hat faktische Verfügungsgewalt über die Bitcoins, da ihm die Kombination aus öffentlichem Schlüssel und  privatem Schlüssel der Wallet bekannt ist. Auch wenn Bitcoins zwar keinen körperlichen Gegenstand darstellen, sind sie trotzdem tauglicher Gegenstand einer Verfallsanordnung. Das Gegenargument, das Bitcoins weder Sache noch Recht sind und deshalb vom Wortlaut des Gesetzes (hier § 73e aF StGB) nicht erfasst sein können, überzeugt den BGH nicht.

Das der private Schlüssel zur Wallet den Ermittlungsbehörden nicht bekannt ist, wirkt sich auf die Anordnung des Verfalls nicht aus. Zwar ist Kenntnis dieses Schlüssels Voraussetzung, um die faktische Verfügungsgewalt über die Bitcoins zu übernehmen. Dies betrifft aber lediglich die Vollstreckung der Verfallsentscheidung, zu der sich der BGH nicht geäußert hat.

Offen bleibt ebenfalls die Frage, wie die Einziehung der Bitcoins im konkreten Fall umgesetzt werden soll. Gemäß § 75 StGB geht das Eigentum an der Sache oder das Recht mit Rechtskraft der Entscheidung auf den Staat über. Ob die Bitcoins in eine staatliche Bitcoin-Wallet überführt oder zunächst in der Wallet des Täters verbleiben, um später ggf. veräußert oder umgewandelt zu werden, wird seitens des BGH leider nicht erörtert. Es wäre durchaus interessant zu wissen, was mit den Bitcoins geschehen ist. Im konkreten Fall wurden 86 Bitcoins sichergestellt sowie der Verfall über weitere 1.730 Bitcoins angeordnet. Schon zum Entscheidungszeitpunkt (Juli 2017)  hatten die insgesamt 1.816 Bitcoins einen Wert von fast 4 Millionen Euro. Nach heutigem Kurs (Stand Juli 2019) wären die Bitcoins sogar rund 16 Millionen Euro wert.

Im Ergebnis stellt die Entscheidung jedenfalls klar, dass Bitcoins grundsätzlich eingezogen und verwertet werden können, auch wenn weiterhin Fragen ­­– insbesondere zur Vollstreckung und Rechtsfolge – offenbleiben. Obgleich die Entscheidung des BGH noch auf Grundlage der alten Rechtslage (alte Rechtsgrundlage: Verfall nach § 73 aF StGB) erfolgte, ist davon auszugehen, dass sich die im Juli 2017 in Kraft getretene Gesetzesänderung zur Reform der strafrechtlichen Vermögensabschöpfung (aktuelle Rechtsgrundlage: Einziehung von Taterträgen nach § 73 nF StGB) nicht auswirkt.

Fußnoten
[1] Hierzu insgesamt kritisch: Brodowski, StV 4/2019, 385f.

[2] Der BGH nimmt hierbei Bezug auf Rückert MMR 2016, 295, 296.

Posted by Dr. Mathias A. Grzesiek in Kryptowährungen, Rechtsprechung