Da ist umso bemerkenswerter, als dass es heute vollkommen h.M. ist, dass bei Finanzagenten zumindest die leichtfertige Geldwäsche anzunehmen ist. Schon sehr früh, im Jahr 2005 hatte sich das Amtsgericht Hamm (10 Ds 101 Js 244/05-1324/05) mit dieser Frage beschäftigt und sie bejaht. Dabei muss beachtet werden, dass bei leichtfertiger Geldwäsche (§261 V StGB) der Vorwurf ausreicht, aus grober Unachtsamkeit verkannt zu haben, dass das entsprechende Geld aus einer “Katalogtat” stammt (dazu BGH 1 StR 393/02 – sehr schön erklärt bei Gruhl in der JurPC).

Das sehen auch weitere Gerichte inzwichen so: Das OLG Zweibrücken (4 U 133/08, hier besprochen) hatte sich im Rahmen einer Zivilprozesses mit strafrechtlichen Fragen zu beschäftigen und kam zum gleichen Ergebnis (ebenso KG Berlin, 8 U 26/09 sowie OLG Hamburg, 2-39/10).

Strafrechtlich scheint es keine Diskussionsgrundlage zu geben: Das LG Darmstadt (212 Ls – 360 Js 33848/05 – 7 Ns) stellte ebenfalls eine leichtfertige Geldwäsche fest und konstatierte, dass es sich bei dem bekannten Vorgehen zur Kontaktierung von Finanzagenten geradezu aufdrängen muss, dass es sich um Gelder aus kriminellen Quellen handelt. Aber es gibt auch Grenzen, etwa mit dem OLG Karlsruhe (3 Ss 100/08), das bei einer nur kurzzeitigen Gutschrift von Geldern auf einem (bereits überwachten) Konto des Finanzagenten keine Geldwäsche erkennt. Da hier zu keinem Zeitpunkt eine Gefährdung bestand, läge höchstens ein Versuch vor – der aber ist zumindest bei der leichtfertigen Geldwäsche nicht strafbar (wie auch: Leichtfertige Geldwäsche ist ein Fahrlässigkeitsdelikt, das gerade keinen Vorsatz kennt!). Der wichtigste Ausschlussgrund der Geldwäsche wird dabei §261 IX S.2 StGB sein, demzufolge der an der Vortat beteiligte nicht nach §261 I-V StGB strafbar sein kann.

Das Urteil des AG Aachen ist insofern wenig ergiebig und berührt die vielen Probleme in dem Bereich leider nicht.
Interessant ist es aber vielleicht hinsichtlich der Strafen, wobei beide Angeklagte vollumfänglich geständig waren: Der erste Finanzagent war nach Jugendstrafrecht zu bestrafen, bei ihm gingen etwas unter 2.000 Euro auf dem Konto ein, die nicht weitergeleitet werden konnten. Er wurde mit einem 4wöchigen Dauerarrest bestraft.
Der zweite Finanzagent hatte gut 10.600 Euro Geldeingang zu verbuchen (zwei Überweisungen zu je ca. 5.300 Euro), wovon er – gegen einen bereits erhaltenen Lohn in Höhe von 500 Euro – immerhin 4.500 Euro an einen Dritten übergeben hatte. Er erhielt 8 Monate auf Bewährung.

Nun hat sich aber folgendes Ergeben: Es wurde eine Durchsuchungs- und Beschlagnahmeanordnung (auch hinsichtlich der E-mails beim Provider) erlassen. Demzufolge waren E-Mails im Zusammenhang mit Straftaten zwischen dem 01.08.2008 und einschliesslich Dezember 2009 zu beschlagnahmen.

Im Zuge dieser Anordnung räumte der Provider der Ermittlungsbehörde einen zeitlich und inhaltlich unbeschränkten “Gastzugang” zum Account des Beschuldigten ein, das heisst, die Behörde konnte sich einloggen und auf die EMails Zugriff nehmen. Die Chronologie war dabei wie folgt:

• 26.02.2010 : Gerichtsbeschluss
• 03.03.2010: Polizei übermittelt Beschluss an Provider
• 10.03.2010: Provider richtet Gastaccount ein

Durch den Gastaccount dann kamen aber auch EMails zu Tage, die nach dem 08.02.2010 datierten und auf eine vollkommen neue Straftat hinwiesen, die auch vom bisherigen Beschluss nicht umfasst war. Die Staatsanwaltschaft erwirkte danach beim Amtsgericht einen weiteren Beschlagnahmbeschluss auf Grund der aufgetauchten E-Mails.

Gestritten wurde nun darüber, ob das verwertet werden durfte.

Das Landgericht Mannheim kommt zu dem Ergebnis: Ja. Bei den Emails, die “gefunden” wurden handelt es sich insofern um so genannte “Zufallsfunde” (§108 StPO), die auch zu verwerten sind. Die Frage, ob der Provider überhaupt einen derart unbeschränkten Zugang hätte gewähren dürfen oder müssen, sieht das Landgericht als nicht relevant an, sondern achtet nur darauf, dass es freiwillig geschehen ist. Damit wurden die E-Mails freiwillig vom Provider zur Verfügung gestellt und konnten als Zufallsfunde verwertet werden.

Die Problematik liegt hier auf der Hand: Sicherlich kann man sich auf den Standpunkt stellen, dass hier die Mails freiwillig heraus gegeben wurden. Allerdings nicht vom Betroffenen oder von einem von diesem Berechtigten, sondern von dem “Verwahrer” dessen Job eine gewisse Sorgfalt beinhaltete. Man muss in höchstem Maße kritisch sehen, dass immerhin der Richter sich schon die Gedanken machte, den Beschluss – zumindest annähernd – zeitlich zu Begrenzen, damit am Ende der Provider aus Faulheit (oder schlichter Dummheit) einen unbeschränkten Zugriff gewährt, in dessen Rahmen auf sämtliche Mails zugegriffen werden kann.

Wie schlimm das ausgehen kann, zeigt sich mit Blick auf IMAP-Postfächer bzw. die berühmte “Cloud”, wo Ermittler bei einem derartigen Zugang letztlich auf sämtliche Korrespondenz des Betroffenen zurückgreifen können. Und mit dem Landgericht Mannheim nun auch noch auswerten können.

Besonders abstrus wird die Geschichte dann, wenn man daran denkt, dass der Bundesgerichtshof (StB 48/09) ausdrücklich feststellte, dass die gesamte Beschlagnahme aller Emails eines Beschuldigten im Regelfall nicht Verhältnismässig sein wird. Der Sachverhalt beim LG Mannheim zeigt, wie man das zielgerichtet umgehen kann. Man muss sich also gut überlegen, inwiefern man seine gesamte Korrespondenz bei einem Anbieter “liegen lässt”.

Hinweis: Die Entscheidung ist mit 14 Seiten überraschend umfangreich und liegt mir zudem nicht vollständig anonymisiert vor. Der Arbeitsaufwand zur Anonymisierung ist relativ aufwändig, daher verzögert sich die Veröffentlichung hier auf der Seite. Wie bei mir üblich, werde ich kurz nach Veröffentlichung dieses Artikels die Entscheidung dem Projekt OpenJur.de zustellen, damit es für die Allgemeinheit erfasst wird. Zugleich ist dies als Aufruf an Kollegen zu verstehen, ähnlich mit interessanten Entscheidungen zu verfahren.

Update: Die Entscheidung ist hier im Volltext zu finden.

Die Entscheidung des Amtsgerichts bietet durchaus einige Überraschungen, die auf Grund der bisher bekannten Pressemeldungen noch nicht im Fokus standen. Im Kern lag, wie berichtet, eine Verurteilung wegen Fälschung beweiserheblicher Daten (§269 StGB) sowie Datenveränderung (§303a StGB) vor. Hinsichtlich dieser – seit dem AG Nürtingen bekannte – Thematik verweise ich erst einmal auf meine bisherige Analyse und gehe im Folgenden nur auf das ein, was m.E. wesentlich von den bisherigen Überlegungen abweicht.

Zuerst einmal ist festzustellen, dass das AG Göttingen einen interessanten Weg geht, bei der Frage, was “Daten” sind. Zurückgegriffen wird hier nicht auf Standardliteratur, sondern auf die DIN 44.300 Nr.19, nach der Daten wie folgt definiert werden:

Zeichen oder kontinuierliche Funktionen, die auf Grund bekannter oder unterstellter Abmachungen, vorrangig zum Zweck der Verarbeitung, Informationen darstellen.

Das ist im Ergebnis nichts anderes als die Definition, die man in jeder Standardliteratur nachlesen kann (etwa SK-Rudolphi, §202a, Rn.3). Umso mehr überrascht es, dass dieser Umweg gegangen wird. Insofern ist es weiterhin nicht überraschend, dass ein “SIM-Lock” problemlos als Datum in Sinne des StGB verstanden wird.

Problematisch finde ich bereits die Feststellung des Amtsgerichts:

Der SIM-Lock stellt eine vom Netzbetreiber implementierte Sperre gegen die Nutzung des subventioniert vertriebenen Handys dar [...]

Das ist m.E. so nicht korrekt und verlangt eine saubere Analyse, auch wenn sich erst einmal im Ergebnis wohl nichts verändern wird: Die Möglichkeit eines SIM-Locks wird nicht vom Netzbetreiber implementiert, sondern vom Handy-Hersteller, der die Option in der Firmware vorsieht. Diese Möglichkeit wiederum wird später vom Handy-Provider genutzt, indem er sie aktiviert. Bei dieser Betrachtung werden zwei Dinge deutlich: Zum einen kann es möglich sein, dass derjenige, der ohne Genehmigung einen SIM-Lock entfernt, in die Rechte von zwei Betroffenen – nämlich Handyhersteller und Provider – eingreift. Zum anderen muss gesehen werden, dass bei einer Deaktivierung eines vorhandenen SIM-Locks nur die vom Provider genutzte Option wieder deaktiviert wird, wobei zu fragen ist, wie hier die Berechtigungsverhältnisse sind.

Gerne wird vorgebracht, dass man mit dem Kauf des Handys (der Hardware) “Eigentümer” wurde und somit “mit dem Handy” machen kann, was man möchte. Das soll dann auch die Software beinhalten. Das AG Göttingen widmet sich dieser Frage sehr ausführlich:

Zwar kann der Endkunde mit der erworbenen Hardware nach eigenem Gutdünken verfahren. Er darf jedoch nicht modifizierend in die softwarebasierten Funktionen eingreifen. Der SIM-Lock stellt eine in die Steuerungssoftware implementierte Programmroutine dar, deren Ablauf für den Betrieb der Hardware erforderlich ist, ohne dass mit dem Erwerb der Hardware ein uneingeschränktes Recht zur Modifikation der Software verbunden wäre. Berechtigt hierzu ist nur derlenige, der die Verfügungsbefugnis über die Daten innehat.

Die Verfügungsbefugnis über die Daten entsteht mit dem sog. ,,Skripturakt”, mithin der Erschaffung oder auch Erstabspeicherung von Daten. Nach der Erschaffung kann diese Befugnis vom Schöpfer zwar auf andere übertragen werden. Die Eigentumsverhältnisse an den Speichermedien spielen hierfür jedoch gerade keine Rolle (vgl. Fischer StGB §202a Rn.7). Unberechtigt handelt damit derjenige, dem die Daten nach dem Willen des Verfügungsbe- rechtigten zum Zeitpunkt der Tathandlung nicht zur Verfügung stehen sollen (LK- Schünemann StGB §202a Rn.9). Dies ist bei dem hinsichtlich seiner Deaktivierung gerade nicht frei zugänglichen SIM-Lock der Fall.

Mit dem Abschalten des SIM-Lock ist es durch den Austausch der ursprünglichen gegen neue Daten zu einer Bedeutungsverschiebung innerhalb des datenförmig Ausgedrückten gekommen. Diese Änderung ist auch rechtswidrig erfolgt, denn der Angeklagte hat hierbei jedenfalls ohne den Willen des Berechtigten, nämlich des jeweiligen Netzbetreibers, gehandelt.

Im Kern ist das korrekt und erntet hier keinen Widerspruch: Die Trennung zwischen Hard- und Software begegnet keinen Bedenken und ist m.E. sogar zwingend. Allerdings dürfen die vielen Zeilen des AG Göttingen über eines nicht hinweg täuschen: Eine Begründung steht da nicht. Vielmehr wird nur behauptet bzw. festgestellt, dass eine Verfügungsbefugnis über Hardware nicht automatisch mit einer Verfügungsbefugnis über die enthaltene Software einher geht. Dabei wäre das nicht sonderlich schwer festzustellen, etwa indem man darauf abstellt, dass bei immateriellen Gütern entsprechend dem Urheberrechtsgesetz das Urheberrecht immer beim Ersteller verbleibt, der nur Nutzungsrechte einräumen kann. Somit schon ausgeschlossen ist, dass man ein “umfassendes Eigentum” an der enthaltenen Software begründen kann. Vielmehr können zwingend nur Nutzungsrechte übertragen werden, die ja zudem (dem Urheberrechtsgesetz sei dank) ausdrücklich vereinbar werden müssen. Wer also ein Handy kauft, kann letztlich an der enthaltenen Software nur so viele Nutzungsrechte erwerben, wie im ausdrücklich zugestanden wird. Klauseln zum Decompilieren oder modifizieren des Firmware-Codes wird man da schon eher nicht finden. Dazu kommt, dass beim Kauf subventionierter Handys ausdrücklich eine Klausel vereinbart sein wird, die eine Entfernung des SIM-Locks alleine durch den Provider vorsieht.

Interessant ist am Rande ein spezieller Aspekt: Es geht um die Frage, ob eine Zustimmung nach §69c UrhG angenommen werden kann, was eine strafrechtlich relevante Rechtfertigung wäre. Dabei muss man (bitte Blick nochmal nach oben!) daran denken, dass schon fraglich ist, wer hier überhaupt Urheberrechte hat an einem installierten “SIM-Lock”: Nach meinem Verständnis kann diese Frage nur den Hersteller der Firmware insgesamt berühren, nicht den Provider, der die vorhandene Option nur noch aktiviert. Dass das AG diese Frage mit Blick auf den Provider thematisiert ist zwar für den Angeklagten relativ günstig, aber m.E. falsch.

Jedenfalls wird die Frage aufgeworfen hinsichtlich Handys, die zwar noch einen SIM-Lock aktiviert hatten, deren Vertragslaufzeit aber abgelaufen war. Das Gericht hatte sich hier schon vorher geholfen, indem man hinsichtlich dieser Telefone die Verfahren kurzerhand eingestellt hat. Dennoch stellt es dann beiläufig dazu fest:

Soweit der Angeklagte sich dahin eingelassen hat, dass er von einer zustimmung der Rechteinhaber zum Abschalten des slM-Lock jedenfalls in den Fällen ausgegangen sei, in denen sich Handys bereits außerhalb der 2-jährigen Vertragsdauer befunden hätten, kann dies zum einen dahinstehen, da nunmehr lediglich Handys innerhalb der 2-jährigen Mindestvertragsdauer Verfahrensgegenstand geblieben sind. lm Übrigen geht das Gericht entgegen den anderslautenden Bekundungen auch davon aus, dass dem Angeklagten bewusst war, dass jedenfalls er selbst zum Abschalten des SIM- Lock auch nach dem Ablauf der Mindestvertragsdauer nicht berechtigt gewesen wäre.

Wenn es “hart auf hart” kommen würde, wäre das AG Göttingen nämlich der Ansicht, dass auch bei Handys die sich eindeutig ausserhalb der Subventions-Phase befinden, keine “Selbsthilfe” betrieben werden kann. Allerdings kann das nicht verallgemeinert werden, sondern ist auf den konkreten Fall zugeschnitten. Hier nämlich war eine Entsperrung nur nach Zahlung einer Gebühr von 20 Euro zu erwarten, die durch die Entsperrung ja gerade umgangen wurde. Allerdings stellt das Gericht auch fest, dass es “jeder Lebenserfahrung widerspricht”, anzunehmen, dass das überhaupt mal kostenlos stattfinden würde (mir ist es aber bereits passiert…).

Interessant wird der Umgang mit einer schriftlichen Zusicherung, die sich der Angeklagte geben liess: Er liess sich unterzeichnen, dass die Handys ihren 2jährigen Vertragszeitraum hinter sich haben und diese im Eigentum des Übersenders stehen. Wie man oben sieht, ist das rechtlich ohnehin irrelevant. Aber es könnte vielleicht eine “gutgläubigkeit” (also einen Irrtum) des Angeklagten darüber bewirken, rechtmässig zu handeln. Das lehnt das Gericht aber ab, denn:

Zum einen liess der Angeklagte sich die SIM-Karte bewusst nicht zusenden, an Hand derer eine Zuordnung des Providers und eine Prüfung der Angaben möglich gewesen wäre. Das sehe ich kritisch, da somit verlangt werden würde, dass man seine SIM-Karte zwingend aus der Hand gibt. Ebenfalls ist es fernab der Lebenswirklichkeit, da gerade oft der Fall auftritt, dass jemand ein gebrauchtes Handy mit SIM-Lock kauft und dieses entsperren möchte, wobei nicht immer nachprüfbar ist, welcher Provider dahinter steht (nicht jedes SIM-Lock-Handy hat auch ein providertypisches Branding).

Hinsichtlich des Fälschens beweiserheblicher Daten hatte ich schon beim AG Nürtingen angemerkt:

Sofern das Gericht im hier angesprochenen Urteil aber auch eine Strafbarkeit nach §269 StGB annimmt, möchte ich Skepsis anmerken. Jedenfalls erkenne ich nicht ohne fragwürdige gedankliche Kniffe, wo ich in der reinen Sperrung als solcher eine verkörperte Gedankenerklärung sehen will.

Das AG Göttingen versucht zumindest, hier etwas zu bieten und stellt diesbezüglich fest

Durch die Manipulationen, die der Angeklagte mit der Beseitigung der SIM-Lock-Sperren vorgenommen hatte, ist dem EPROM/EEPROM die konkludente Aussage verliehen worden, dass der Benutzer des Telefons dieses in jedem beliebigen Mobilfunknetz betreiben könne, da es (entweder von Beginn an oder aber nach Abschaltung in zulässiger, vom Netzbetreiber regulär vorgesehener Weise) keinen SIM-Lock (mehr) enthalte.

Das ist immerhin ein Argument, aber m.E. verfehlt. Dies schon begrifflich, da die technische Sperrung anderer Netze erst einmal eine nackte Tatsache ist, in die man sicherlich (wie das Gericht hier) viel hinein interpretieren kann, aber letztlich keine Gedankenerklärung sehen muss. Das weiss das AG auch selber, wenn es sich mit einer “konkludenten Gedankenerklärung” zu helfen versucht, was aber der Kern des Problems ist: Den gewünschten Inhalt könnte man nur dann sehen, wenn neben die Sperrung noch eine weitere Tatsache treten würde. Etwa eine Signatur, die festhält, wer die Sperrung vorgenommen hat. Nur damit liesse sich nämlich auch ausschliessen, dass auf Grund eines Defektes oder durch einen Dritten eine Sperrung vorgenommen wurde.

Nur damit verhindert man nämlich auch das Problem, dass letztlich die Ausstellererkennbarkeit gewahrt ist, die das AG Göttingen hier durchweg ignoriert: Keineswegs ist die Sperre zwingend von einem Provider eingerichtet, auch wenn es sicherlich naheliegend ist. Vielmehr ist vollkommen offen, wer im Einzelfall die angebliche Gedankenerklärung in Form der Sperre verfasst haben soll – dabei muss sich der Aussteller schon aus den Daten selbst ergeben und nicht aus irgendwelchen zugehörigen Ausdrucken oder Informationen (SK-Rudolphi, §269, Rn.21). Somit liegt letztlich gar keine hypothetische Urkunde vor (zur Ausstellererkennbarkeit in diesem Zusammenhang sehr ausführlich SK-Rudolphi, §269, Rn.21ff).

Diese Problematik ist im Ergebnis auch der Grund, warum die Literatur bisher sehr kritisch ist bei der Frage, ob Daten die unmittelbaren Zugang zu Leistungen gewähren, als Gedankenerklärungen anzusehen sind (Fischer, §269 Rn.4 a.E.). Ein Datum für sich ist nicht alleine eine Gedankenerklärung, sondern eine sich selbst erschöpfende Tatsache (Fischer, §267 Rn.10).

Im Ergebnis finden sich in der Entscheidung durchaus kritische Punkte, wobei ich der Strafbarkeit nach §303a StGB nicht widerspreche, auch wenn in den Gründen ein anderer Ansatz wünschenswert wäre. Die Strafbarkeit wegen der Veränderung beweiserheblicher Daten nach §269 StGB lehne ich weiterhin ab und sehe meine bisherige Kritik durch die Argumentation des Gerichts im vorliegenden Fall bestätigt. Dabei muss gesehen werden, dass am §269 StGB letztlich eine nicht unerhebliche Frage bei der Bestimmung des Strafrahmens liegt, speziell wenn man gewerbsmäßig eine solche Dienstleistung anbietet.

Hinweis: Auf Grund eines Versehens wurde mir die Entscheidung nicht vollständig anonymisiert übermittelt. Aus der Entscheidung ergibt sich, dass eine umfassende Kundenliste mit den Daten der Kunden (zumindest Name, Bestellweg und Bestelldatum) bei der Staatsanwaltschaft vorliegen muss. Insofern sollte man abwarten, ob nicht tatsächlich gegen einzelne Kunden auch noch Schritte unternommen werden.

aus der Rechtswissenschaft zumindest gibt es soweit ersichtlich keine einzige Stimme, die für die Zulässigkeit der Quellen-TKÜ auf der bisherigen rechtlichen Grundlage einträte.

Solche Sätze sind gefährlich, denn es reicht nur eine einzige Stimme, um sie zu widerlegen. Und wenn man dann als Ausnahme auch noch den Standardkommentar zur StPO anführen kann, der auf jedem Richtertisch in Deutschland steht, wird es haarig. So liest man nämlich in der Kommentierung des §100a StPO beim Meyer/Goßner unter Rn.7a folgendes:

Die Internet-Telefonie wird von §100a erfasst [...] auch die so genannte Quellen-TKÜ nebst den erforderlichen Begleitmaßnahmen;

Auch sonst muss man nicht lange suchen: Bär ist einer der Verfechter dieser Ansicht (dazu nur Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 321 oder die sehr kritische Besprechung von Bär in der MMR 2008, S.423ff.). Eine Darstellung findet man Online bei Buermeyer/Bäcker in der HRRS (interessanterweise ist einer der Autoren zugleich der Autor der obigen Zeilen).

Der Blick in den Meyer/Goßner bzw. Bär ist für sich alleine natürlich kein Argument, damit steht noch lange nichts fest. Aber: Man wird die Sache differenzierend angehen müssen.

So ist zuerst einmal zu sehen, dass es eindeutig Gerichte gibt, die gestützt auf §100a StPO einen solchen Einsatz eines Trojaners zulassen. Das LG Landshut (4 Qs 346/10) etwa, oder auch das AG Bayreuth (Gs 911/09). Ebenfalls das LG Hamburg (608 Qs 17/10), das Ende 2010 eine solche Maßnahme im Rahmen des §100a StPO sah – allerdings im Jahr 2007 (LG Hamburg, 629 Qs 29/07) noch zu einem anderen Ergebnis kam. Und eben diese beiden unterschiedlichen Entscheidungen des gleichen Gerichts sollen hier als Einstieg in die Problematik dienen.

Dabei muss unterschieden werden, zu welchem Zweck die Maßnahme stattfinden soll (was m.E. leider zu selten getan wird):

1. Geht es im Rahmen strafrechtlicher Ermittlungsverfahren (“repressive Maßnahmen”) um eine Überwachung von (Tele-)Kommunikation im engeren Sinne, speziell Internet-Telefonie?
2. Geht es im Rahmen repressiver Maßnahmen um eine Überwachung von Telekommunikation im weiteren Sinne, also die Ausforschung sämtlicher Aktivitäten eines Rechners (“Online-Durchsuchung”)?
3. Geht es um präventive Maßnahmen im Bereich der Gefahrenabwehr?

Zumindest Punkt 2 kann hier schnell aufgegriffen werden, denn es ist einhellige Meinung, dass eine “echte Online-Durchsuchung” nicht auf den §100a StPO gestützt werden darf (dazu die umfassende Literaturliste bei Meyer/Goßner, §100a, Rn.7a). Die Tatsache, dass das letztlich im Kern auch Bär so sieht zeigt m.E. deutlich, dass es da keine ernsthaften Abweichler gibt.

Auch Punkt 3 ist an dieser Stelle schnell abgehakt, denn das BVerfG (BVerfG, 1 BvR 370/07, 1 BvR 595/07, “Landestrojaner NRW”) hat entschieden, dass – unter bestimmten Voraussetzungen  - eine solche Überwachung im Rahmen der Gefahrenabwehr durchaus möglich ist. Dass der Gesetzgeber nicht in der Lage ist, eine entsprechende Rechtsgrundlage zu formulieren, ist dabei ein anderes Thema.

Der Punkt 1 (um den es hier auch geht) ist dagegen etwas komplizierter und wie versprochen, kann mit dem Landgericht Hamburg gezeigt werden, warum man es unterschiedlich sehen kann (und es auch so gehandhabt wird). Beim §100a StPO geht es augenscheinlich um eine Überwachungsmaßnahme:

Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden, wenn [...]

Nun steht dort offensichtlich nichts von einer “Spionage-Software”, sondern es wird ganz allgemein von einer Überwachung gesprochen. Gelöst wird das u.a., indem man fragt, ob die Installation einer Überwachung-Software eine typische Begleitmaßnahme einer geplanten Telekommunikationsüberwachung darstellt.

Das verneinte das LG Hamburg noch im Jahr 2007 unter Blick auf den Wortlaut des §100a StPO, der – anders als weitere Normen, etwa §100c StPO – gerade keine speziellen technischen Maßnahmen erwähnt. Hinzu kommt ein sehr gutes Argument des Gerichts, das mir bis heute gut gefällt: Der §100a StPO wurde geschaffen, um Maßnahmen bei den Telekommunikationsunternehmen, also im Rahmen laufender Kommunikation beim Übermittler, anzusetzen. Es geht also um den Schutzbereich des Art.10 GG. Hier aber ist eben nicht der Übermittlungsvorgang betroffen, sondern man setzt beim Sender/Empfänger auf dem Endgerät an. Im Regelfall wird es hier also ein Eingriff in Art.13 GG sowie in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vorliegen (letzteres war beim LG Hamburg natürlich noch nicht Thema, da es zu dem Zeitpunkt nicht explizit existierte). Überzeugend stellt das Landgericht im Ergebnis darauf ab, dass ein Eingriff dieser (heimlichen) Art von erheblichem Gewicht ist. Da der Gesetzgeber das selber berücksichtigt, etwa im Rahmen des §100c StPO wo bei Einsatz technischer Mittel innerhalb von Wohnungen sehr viel höhere Anforderungen gestellt werden, kann man den §100a StPO nicht derart zweckentfremden.

Nun sieht das das LG Hamburg im Jahr 2010 plötzlich anders und bejaht die Zulässigkeit. Was ist geschehen? Interessanterweise ist es das BVerfG, das hier als Argument “herhält”: Auf Grund der Entscheidung zum “Landestrojaner NRW” (BVerfG, 1 BvR 370/07, 1 BvR 595/07) wurde seinerzeit vom BVerfG das “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme” konstatiert, das eine bisherige Schutzlücke füllt. Denn alleine mit den Art. 10 GG und Art. 13 GG konnte man einer Überwachungsmaßnahme eines staatlichen Trojaners nicht Herr werden, der – einmal installiert – sich durchaus ausserhalb von Wohnung und ausserhalb des Schutzbereichs des Art. 10 GG auswirken kann (zum Verhältnis von Art. 10 GG zum neuen Grundrecht kurz in Buermann/Becker reinsehen, die bringen das schnell auf den Punkt).
Durch die Entscheidung des BVerfG aber haben sich die Ausführungen des LG Hamburg zum Art. 13 GG erst einmal erledigt.

Nun ist das alleine kein Grund, denn man hätte problemlos die damaligen Überlegungen auf das neue Grundrecht übertragen können. Darüber hinaus scheint es mir so, als wäre das LG Hamburg “pragmatischer” geworden. Es führt im Jahr 2010 plötzlich aus, dass es sich bei der Internet-Telefonie um einen heute typischen Kommunikationsvorgang handelt, auf den (wegen der vorhandenen Verschlüsselung) nur mit einer Quellen-TKÜ auf dem Rechner des Betroffenen zugegriffen werden könnte. Dies wiederum ginge nur mit der Installation einer entsprechenden Software, wodurch im Gesamtbild nun von einer “typischen Begleitmaßnahme” auszugehen sei.

Des Weiteren will das LG Hamburg unter Rückgriff auf das BVerfG nun unterscheiden (dazu wieder auf meine Liste oben und die Unterscheidung Punkt 1 vs. 2 achten!) welche Daten erhoben werden: Wenn die installierte Software, technisch bedingt, nur Vorgänge der Internet-Telefonie erfasst und eben nicht auf weitere Teile des Rechners zugreift, liegt ein vertretbarer Eingriff vor. Sofern das – und so auch im Ergebnis das BVerfG, auch Bär in MMR 2010, 266 – technisch sichergestellt ist, etwa indem der Trojaner alleine Skype “anzapft” und nicht sonst auf der Festplatte arbeitet, kann eine Maßnahme richterlich genehmigt werden. Eben das wurde hinsichtlich der konkreten Software beim LG Hamburg im Jahr 2010 dann auch angenommen.

Im Gesamtbild aber wird eine Sicherheit suggeriert, die es so nicht gibt: Zum einen wird laufend mit dem BVerfG argumentiert, das seinerseits bisher zum Einsatz von Trojanern im Rahmen repressiver Maßnahmen nur etwas am Rande gesagt hat. Gerade die viel zitierte Entscheidung zum “Landestrojaner NRW” beschäftigt sich aber mit dem Einsatz einer konkreten Norm im Rahmen der Gefahrenabwehr und nicht mit der Anwendung einer Norm der StPO im Zuge strafrechtlicher Ermittlungsmaßnahmen. Zwar findet man in der Entscheidung sehr viel, was verallgemeinert werden kann und gerade vor dem Hintergrund des neu konstatierten Grundrechtes auch Ausführungen zur allgemeinen Anwendung, aber in Stein gemeißelt ist da für den hier besprochenen Fall eher wenig.

Mit diesen Gedanken kann man dann auch den lesenswerten Aufsatz von Albrecht durchaus kritisch beleuchten, wenn man seinen Ansatz unter III 1 a-d liest:

• Wenn etwa ein Verstoss gegen (a) den Bestimmtheitsgrundsatz gerügt wird, ist festzustellen, das im Ergebnis von Albrecht vielmehr gerügt wird, dass die Norm den besonderen Anforderungen einer technischen Überwachung nicht gerecht wird. Damit fordert er aber im Ergebnis nur die Konkretisierung spezieller Schranken und eben nicht, dass die Norm derart unbestimmt ist, dass ein Betroffener nicht weiss, welche Maßnahmen erfasst sein können.
• Insofern ist es korrekt, (b) das Fehlen eingriffsspezifischer Beschränkungen zu fordern, was letztlich auch das ist, was er unter (a) meinte. Jedoch muss man auch hier kritisch fragen, ob seine Sorge, dass das Risiko des Rückgriffs auf andere Informationen jederzeit besteht (die das BVerG ja auch sieht) vom §100a StPO wirklich nicht beachtet wird. So wäre schon der Zugriff auf Fotos oder Dokumente im Rahmen des §100a StPO gar nicht möglich, da es vom Wortlaut (“Telekommunikation”) gar nicht erfasst ist. Auch wird der Kernbereich privater Lebensgestaltung durch den §100a IV StPO entsprechend den Vorgaben des BVerfG geachtet.
• Sofern (c) das Fehlen technischer Sicherungsvorkehrungen von Albrecht moniert wird, liest man bei ihm genau genommen nur den Satz “Ob diese Erfordernisse in der Praxis umgesetzt werden können ist durchaus zweifelhaft.” Ob das aber im konkreten Fall nun gesichert ist oder nicht, muss man erst einmal feststellen. Eine pauschale Behauptung, wie hier, reicht daher nicht. Besser geeignet ist aber z.B. der Hinweis von Buermeyer/Bäcker, dass teilweise eine Software von Unternehmen eingesetzt wird,die nicht einmal den Quelltext vorlegen, so dass gar keine abschliessende Analyse möglich sein kann.
• Hinsichtlich der (d) Unverhältnismäßigkeit räumt Albrecht am Ende selber ein, dass auch bei der Möglichkeit zur Umgehung der Verschlüsselung unter Rückgriff auf die Softwarehersteller es gerade nicht reicht, nur mit diesem Hinweis zu arbeiten.

Wenn ich letztlich die Beiträge von Albrecht und Buermann/Bäcker vergleiche, möchte ich eher auf letzteren Verweisen, der mich mehr überzeugt. Insbesondere wenn ich bei Buermann/Bäcker lese, dass moniert wird, sowohl Rechtsprechung als auch Literatur würdigen die differenzierende Betrachtung des BVerfG nicht ausreichend, kann ich dem nur zustimmen. Denn in der Tat bietet das BVerfG viele Einfallstore für langatmige Überlegungen – die aber letztlich nicht darüber hinwegtäuschen dürfen, dass zur hier vorliegenden Frage konkret nichts gesagt wurde. Vielmehr kann man durchaus mit verschiedener Lesart, im Stile der üblichen BVerfG-Kaffeesatzleserei, zu verschiedenen Antworten auf die Frage kommen, ob nun im Rahmen des §100a StPO eine Quellen-TKÜ mittels Trojaner möglich ist.

Überzeugend finde ich am Ende speziell den Gedanken, dass eine echte Kontrolle derzeit nicht möglich ist: Bei der eingesetzten Software wird im Regelfall, mangels Quelltextanalyse, gar nicht für den entscheidenden Richter erkennbar sein, was die Software bewirkt und wie sie missbraucht werden kann. Dieses Missbrauchrisiko fernab der formal eingehaltenen richterlichen Kontrolle bekommt man aber auch nicht in den Griff, indem man alleine eine konkretere Rechtsgrundlage fordert. Vielmehr wird man konsequenterweise verlangen müssen, dass zum einen in der StPO eine ausdrückliche Rechtsgrundlage geschaffen wird, die zum anderen (“Hand in Hand”) mit einer Zertifizierungsvorgabe für entsprechende Software einhergeht, welche eine Quelltextanalyse durch eine Behörde wie das BSI vorsieht. Schon aus diesem Gedanken heraus sehe ich letztlich einen zwingenden Grund, die gesetzlichen Regelungen zu überarbeiten und sich des “staatlichen Trojaners” ausdrücklich anzunehmen.

Bis es so etwas einmal gibt, habe ich allerdings keine Zweifel, dass die zuständigen Gerichte sich im Fall der Fälle immer für die Vereinbarkeit mit §100a StPO entscheiden – wie es bisher der Fall ist.

Angeblich beruft sich die Staatsanwaltschaft auf §94 II StPO:

Befinden sich die Gegenstände in dem Gewahrsam einer Person und werden sie nicht freiwillig herausgegeben, so bedarf es der Beschlagnahme.

Stadler verweist zu Recht darauf, dass “Gegenstände” hierbei extensiv zu verstehen ist und auch Daten darunter fallen – aber: Das ist m.E. gar nicht der Punkt. Vielmehr muss man sich fragen, ob überhaupt eine Beschlagnahme der Domain stattgefunden hat. Vielmehr hat man ja nur den vorhandenen Seiteninhalt ersetzt. Eine echte “Beschlagnahme” der Domain, die sie vollständig dem Domaininhaber entzieht, scheint bisher gar nicht vorzuliegen. Insbesondere habe ich den Eindruck, dass man zwar auf dem Server eine neue Webseite hinterlegt hat, aber z.B. der Domaininhaber weiterhin die Domain auf einen neuen Server umleiten könnte. Jedenfalls mit dem, was bisher beschrieben wurde, sehe ich gar keinen Anhaltspunkt, überhaupt von einer “Beschlagnahme einer Domain” zu sprechen.

Beschlagnahme einer Domain?

Die Frage wird nun nahe liegen: Wie soll denn eine Beschlagnahme einer Domain aussehen? DIe Antwort findet sich in der StPO, ein wenig versteckt im §111c StPO. Konkret: Im dritten Absatz, wo zu lesen ist:

Die Beschlagnahme einer Forderung oder eines anderen Vermögensrechtes, das nicht den Vorschriften über die Zwangsvollstreckung in das unbewegliche Vermögen unterliegt, wird durch Pfändung bewirkt.

Da eine Domain mit dem Bundesgerichtshof (VII ZB 5/05) nichts anderes als eine Forderung ist, die zudem der Pfändung unterliegt, wird man nicht umhin kommen, zu einer “echten” Beschlagnahme einer Domain durch die Staatsanwaltschaft diese zu pfänden, also ein wenig Aufwand zu betreiben. Das ist nichts Kompliziertes, nur eben etwas aufwändiger, als einfach eine HTML-Seite auf einer Festplatte zu hinterlegen. Also: Kann die Staatsanwaltschaft Domains beschlagnahmen? Selbstverständlich.

Qualifikation der aktuellen Maßnahme?

Ich sehe somit keinen Anlass, in dem jetzigen Vorgehen eine “Beschlagnahme einer Domain” zu sehen. Überhaupt habe ich erhebliche Probleme, in der StPO eine geeignete Maßnahme für die Hinterlegung einer selbst erstellten Webseite unter einer fremden, nicht beschlagnahmten Domain, zu finden. Mit Blick auf die Strafprozessordnung möchte ich letztlich das Verhalten von Polizei und Staatsanwaltschaft nicht rechtfertigen.

Allerdings heisst das noch lange nicht, dass damit die Maßnahme rechtswidrig war. Vielmehr wird man überlegen müssen, ob die Hinterlegung einer Informationswebseite zum einen dem Bereich der Gefahrenabwehr unterfallen kann. In diesem Fall würde die Polizei selbstständig, auf Grundlage des jeweiligen Polizeigesetzes, handeln – aber eben nicht auf Grundlage der Strafprozessordnung (die nur im repressiven Bereich Anwendung findet). Man kann sich an dem Punkt allerdings den Mund fusselig diskutieren, wo genau die Gefahr liegen soll, die durch die Polizei bekämpft wird im Hinterlegen einer neuen Webseite (das Abschalten der Seite als automatische Folge der Beschlagnahme der Server-Hardware sollte schliesslich auch ausreichen).

Vereinfacht wird die Argumentation im Bereich der Gefahrenabwehr auch nicht gerade dadurch, dass hier ein Text hinterlegt wurde, mit dem offenkundig den Nutzern auch noch gedroht wurde (hier einzusehen bei Heise).

Im Ergebnis wird es eine Wertungsfrage sein, wie man mit dem aktuellen Vorgehen umgehen möchte. Eine Beschlagnahme möchte ich jedenfalls ablehnen, sehe im Fall einer “echten” Beschlagnahme aber eher wenig Hürden für die Staatsanwaltschaft, da die StPO eine solche tatsächlich vorsieht.

Im Sachverhalt ging es um die klassische Variante: Der Angeklagte hat mehrere Unternehmen angeschrieben und verlangt, dass eine bestimmte Summe gezahlt wird. Ansonsten würde er die Firmenwebseiten mittels DDoS-Attacken “lahm legen”. Immerhin in 3 Fällen wurde ihm Geld gezahlt (2x 2.000 Euro, 1×1.000 Euro – alles via UKash), in 3 weiteren Fällen wurde nicht gezahlt. Dabei wurden sämtliche Seiten mehrmals “lahm gelegt”, insbesondere zur Untermauerung der Geldforderung. Zur DDoS-Attacke nutzte der Angeklagte einen gemiteten russischen Server, über den er wiederum auf ein Bot-Netz zurückgriff. Zur Vertiefung empfehle ich den Wikipedia-Artikel und verzichte auf Ausführungen zum Aufbau eines BotNets sowie zu Botnet-Operatoren.

Das Landgericht Düsseldorf sah in allen 6 Fällen eine unproblematische Strafbarkeit wegen Computersabotage nach §303b I Nr.2 StGB, wobei von einer “gewerbsmäßigen Computersabotage” ausgegangen wird, da Firmeninteressen betroffen sind (§303b II StGB). Bemerkenswert ist, dass die Subsumtion des Gerichts hinsichtlich der Computersabotage mit jeweils einem Satz auskommt, was nochmals unterstreichen sollte, wie unproblematisch die Feststellung der Strafbarkeit einer DDoS-Attacke ist.

Hinweis: Neben der Computersabotage wurde selbstverständlich noch die Strafbarkeit wegen (versuchter) gewerbsmäßiger Erpressung festgestellt, was wenig überraschen sollte. Ich sehe hier keinen Ansatz für eine weitergehende Vertiefung.

Das Ergebnis: Die Entscheidung des LG Düsseldorf überrascht nicht und liegt auf einer Linie mit meiner früheren Analyse. DDoS-Attacken sind keine Bagatell-Delikte. Dabei sind gerade Teenager aufgerufen, die Konsequenzen einer scheinbar anonymen Attacke – etwa im Rahmen von gruppenbasierten Angriffen wie von Anonymous – nicht zu unterschätzen, auch hinsichtlich evt. auflaufender zivilrechtlicher Schadensersatzansprüche. Die Entscheidung aus Düsseldorf sollte wachrütteln und warnen. Evt. anders lautende Analysen im Internet sind kritisch zu sehen. Insbesondere wenn sich auf eine frühere Entscheidung des OLG Frankfurt a.M. berufen wird, ist hier nur kurz festzustellen, dass diese Entscheidung auf Grund der Änerungen des StGB sich schlicht überholt hat. Dazu kommt die Problematik, dass auch der Versuch bereits unter Strafe stehen wird (§303b III StGB).

Dazu ausführlich:

• Analyse: Distributed Denial of Service Attacken sind strafbar!

Update: Es gibt nun erste Zweifel, ob der §303b StGB verfassungsgemäß ist – zum einen, weil er zu unbestimmt sein soll. Diesen Gedanken finde ich zwar nachvollziehbar, teile ihn aber nicht, da letztlich m.E. die Grenzen der Bestimmtheit (noch) eingehalten werden. Dass Wertungsgesichtspunkte bei der Analyse der Datenverarbeitung eine Rolle spielen ist im StGB keineswegs selten und gerade im Daten-Strafrecht ein typisches Kriterium. Dies gerade, da man häufig mit einem bestimmungsgemäßen Gebrauch einer Datenverarbeitung, einfach durch Häufigkeit, Probleme hervorrufen kann. Es verbleibt bei vielen Szenarien alleine die Intention des Handelnden als Differenzierungskriterium. Daneben wird angemerkt, dass eine Ähnlichkeit zum §202c StGB besteht, der ja bereits das BVerfG beschäftigt hat. Auch das ist auf den ersten Blick nachvollziehbar, wird von mir aber abgelehnt: Zum einen ist mit dem BVerfG gerade festzustellen, dass die Wertung auf Grund der Intention des Handelnden keinen Bedenken begegnet. Zum anderen stellt der §303b StGB – anders als der §202c StGB bei weiter Auslegung – eben nicht auch grundsätzlich rechtmässiges Verhalten unter Strafe.

Zu guter Letzt möchte ich darauf verweisen, dass bis heute – also nach nunmehr 5 Jahren Existenz des §303b StGB – weder in der Literatur noch in der Rechtsprechung jemals Zweifel an der Verfassungsmässigkeit der Norm aufgekommen sind. Dabei ist in der Begründung zum §303b StGB nachzulesen, dass ausdrücklich DDoS-Attacken unter Strafe gestellt werden sollten – auch das begegnete niemals irgendeiner Form von Kritik. Stattdessen war von Anfang an klar, dass die Norm restriktiv anzuwenden ist (dazu nur Hilgendorf/Wolf in K&R 2006, S.541ff.)

Der Senat billigt pauschal die Ansicht des OLG Hamburg (NJW 2010, 1893), wonach schon derjenige es unternehme, sich den Besitz von kinderpornografischen Schriften zu verschaffen, der wissentlich und willentlich Seiten mit kinderpornografischem Inhalt aus dem Internet auf dem Bildschirm seines Computers ansieht

Ich möchte hier anmerken, dass das im Grundsatz richtig sein kann, dass die Entscheidung des BGH aber m.E. sehr viel mehr Brisanz enthält, als der Bearbeiter-Leitsatz vermittelt.

Um das zu verstehen, muss zuerst die Historie der Problematik bekannt sein. Der 1. Strafsenat (1 StR 430/06) hatte schon vor Jahren festgestellt, dass die automatische Speicherung im Browser-Cache besitzbegründend sein kann. Ein Teil der Rechtsprechung ging nun den Weg, die hierdurch ausufernde Strafwürdigkeit durch einen Besitzwillen einzuschränken (ich habe das hier kurz dargestellt). Das OLG Hamburg hielt diese Auffassung auch in der Vergangenheit aufrecht, u.a. in der Entscheidung 2 – 27/09 (in der es um den Arbeitsspeicher, nicht Cache ging), wo das Ganze auch noch weiter ausdifferenziert wird.

Der BGH nun hat in seinem Beschluss nur Folgendes gesagt:

Hinsichtlich der Fälle II.4 und 5 der Urteilsgründe billigt der Senat die vom Landgericht gefundene, mit den Entscheidungen der Oberlandesgerichte Schleswig (NStZ-RR 2007, 41, 42) und Hamburg (NJW 2010, 1893, 1895) übereinstimmende Rechtsauffassung (vgl. dazu Laufhütte/Roggenbuck, aaO, § 184b Rn. 10 mN).

Das kann man so verstehen, wie im Bearbeiter-Leitsatz vermerkt. Aber man sollte sich erst einmal ansehen, worum es in der Vorinstanz ging. Das war nämlich LG Kiel (8 Kls 2/10), von mir hier äusserst kritisch besprochen. Das Problem bei der Entscheidung des LG Kiel, die vom BGH hier nicht aufgehoben wird, ist, dass es beim LG Kiel um die Strafbarkeit in dem Fall geht, dass man bereits auf einen Link klickt, dessen Inhalt angeblich einer bestimmten Erwartung entspricht. Das LG Kiel stellte seinerzeit fest, dass bereits der Klick auf einen Link eine Strafbarkeit begründen kann.

Neben der Bestätigung der Rechtsauffassung des LG Kiel, muss man sich fragen, ob der BGH wirklich die zitierte Auffassung des OLG Hamburg so pauschal bestätigen wollte. Immerhin ging es bei 2-27/09 um die Strafbarkeit der Besitzbegründung beim Laden in den Arbeitsspeicher (und nicht Cache, besprochen hatte ich das hier). Möglicherweise ging es dem 5. Strafsenat BGH – nicht zuletzt wegen der nicht vergleichbaren Sachverhalte, Cache und Arbeitsspeicher sind zwei Paar Schuhe – nur um die Ausführungen des LG Kiel und OLG Hamburg zur Besitzbegründung und dem Besitzwillen, was ja der 1. Strafsenat des BGH vor Jahren noch nicht ganz so restriktiv gesehen hat.

Im Ergebnis ist die Entscheidung des BGH in jedem Fall problematisch und keineswegs unreflektiert hinzunehmen. Allerdings möchte ich den Bearbeiter-Leitsatz in der HRR-Strafrecht sehr kritisch sehen und dazu ermuntern, sich die zitierten Entscheidungen des OLG Hamburg sowie die des LG Kiel einmal in Ruhe anzusehen. Andernfalls wird man sehr schnell einen falschen Eindruck erhalten.

Hinsichtlich der Sachfrage ist festzuhalten:

1. Bezüglich des Cache ist seit Jahren mit dem BGH anzunehmen, dass jedenfalls mit entsprechendem Besitzwillen (also wenn man weiß, was man in seinem Browser aufruft) auch Besitz begründet, wenn die Daten in einem dauerhaften Cache (Browser-Cache etc.) gespeichert werden. Das umgehende Löschen des Caches hinterher genügt hier nicht, um einen Besitz zu verneinen.
2. Mit Blick auf den Arbeitsspeicher gibt es derzeit keine einheitliche Linie. Ich wehre mich dagegen, in diesem Beschluss des BGH eine pauschale Bestätigung der Rechtsprechung aus Hamburg zu sehen, demngemäß jedes Betrachten automatisch zum Besitz führt, nur weil die Daten kurzzeitig im Arbeitsspeicher landen, geht jedenfalls mir erheblich zu weit.

Hinweis: Zur terminologischen Ungenauigkeit der Rechtsprechung hinsichtlich der Begrifflichkeit des “Cache” bitte diese Anmerkung von mir beachten.

Dabei bestätigt der BGH, dass mit der Weitergabe der Daten zur Verwirklichung des Tatbestandes unmittelbar angesetzt wird. Der BGH dazu richtigerweise:

Die schnelle zeitliche Abfolge wurde durch das eingespielte System von Tatbeiträgen gewährleistet, bei dem den in Italien sitzenden Mittätern die einzelnen Datenübersendungen jeweils avisiert wurden. Diese wussten dadurch bereits im Voraus, dass die Erbringung ihres eigenen Tatbeitrags unmittelbar bevorstand. Es bedurfte mithin keines neuen Willensimpulses bei einem der durch die Bandenabrede verbundenen Mittäter mehr, sondern die Angeklagten setzten mit der Weitergabe der Daten – was ihnen bewusst war – gleichsam einen automatisierten Ablauf in Gang, so dass auch unter dem Gesichtspunkt der konkreten nahen Rechtsgutsgefährdung [...] die Annahme eines unmittelbaren Ansetzens geboten ist. Dass dem Beschreiben der Kartenrohlinge die Auswertung der Speichermedien durch Abgleich von Videoaufzeichnungen und ausgelesenen Kartendaten und die Übersendung der Daten nach Italien vorausgingen, stellt danach bei der gebotenen wertenden Betrachtung [...] keine diese Annahme hindernden Zwischenschritte dar.

Anders ist es dann, wenn man sich noch in einem sehr frühen Stadium befindet: Der 2. Strafsenat des BGH (2 StR 439/09) erkannte zu Recht noch keinen Versuchsbeginn zu einer gewerbsmäßigen Kartenfälschung, wenn die bestellten “Kartenrohlinge” noch vor Erlangung der Daten beim Kurierdienst lagern und die Festnahme beim Abholen der Rohlinge vorgenommen wird.

Hinweis: Hinsichtlich des Konkurrenzverhältnisses bei der Verabredung zum Verbrechen bitte die aktuelle Entscheidung des BGH mit dem Aktenzeichen 3 StR 419/10 beachten.

Vorher zum Thema:

• Übersicht: Der BGH zum Skimming

Das Thema bleibt spannend, speziell da inzwischen das Entfernen des SIM-Locks ein finanzstarker Markt geworden ist: In Fällen wie den hier verhandelten bietet jemand gegen Bezahlung die Entfernung von SIM-Locks an. Es geht also nicht um den Privatnutzer, der auf Grund einer Anleitung aus dem Internet selber entsperrt, sondern um das gewerbliche Handeln, auch wenn es materiell-rechtlich keinen Unterschied im Rahmen der §§269, 303a StGB darstellt warum man den SIM-Lock entfernt.

Zum Thema:

• Die strafrechtliche Seite habe ich an Hand des früheren Urteils zu §303a StGB bereits ausführlicher besprochen, eine Besprechung des §269 StGB folgt noch

Hinweise: Es gibt auch andere Entscheidungen dieser Art. So erwirkte die Staatsanwaltschaft Augsburg einen Strafbefehl gegen eine Privatperson, die einen SIM-Lock entfernte. Der BGH stellte in einem zivilrechtlichen Verfahren (I ZR 13/02) fest, dass ein Handyhersteller Unterlassungsansprüche gegen jemanden hat, der eigenmächtig entsperrte Handys veräußern möchte, da eine Markenverletzung vorliegt (so auch OLG Frankfurt a.M., 6 U 68/01). Neben den oben benannten Normen des StGB sind immer auch markenrechtliche sowie urheberrechtliche Ansprüche zu bedenken, die nicht nur zivilrechtliche sondern mitunter auch strafrechtliche Folgen haben können. Dabei hat der BGH bereits klar gestellt, dass man sich weder auf eine Erschöpfung nach §24 MarkenG, noch auf eine Fehlerberichtigung nach §69d UrhG berufen kann (BGH, I ZR 255/02).

In Göttingen ermittelt die Staatsanwaltschaft schon seit längerem gegen eine Vielzahl von Kunden eines SIM-Lock-”Entsperrers”, insofern ist mit weiteren Entscheidungen zu rechnen.

Zum einen wird klargestellt, dass IP-Adressen dem Schutzbereich des Art. 10 GG unterfallen:

Das Fernmeldegeheimnis gewährleistet die Vertraulichkeit der individuellen Kommunikation, wenn diese wegen der räumlichen Distanz zwischen den Beteiligten auf eine Übermittlung durch andere angewiesen ist und deshalb in besonderer Weise einen Zugriff Dritter – einschließlich staatlicher Stellen – ermöglicht. Die Beteiligten sollen weitgehend so gestellt werden, wie sie bei einer Kommunikation unter Anwesenden stünden. Das Grundrecht ist entwicklungsoffen und umfasst nicht nur die bei Entstehung des Gesetzes bekannten Arten der Nachrichtenübertragung, sondern auch neuartige Übertragungstechniken (BVerfGE 46, 120 <144>; 115, 166 <182>). Der Schutzbereich erfasst neben den Kommunikationsinhalten alle näheren Umstände des Fernmeldeverhältnisses und bezieht sich sowohl auf die Tatsache der Kommunikation als auch auf die Verbindungsdaten über Teilnehmer, Anschlüsse und Nummern, unter welchen die Teilnehmer miteinander in Kontakt treten (BVerfGE 107, 299 <312>; 113, 348 <364 f.>; 115, 166 <183>; 120, 274 <307>; 124, 43 <54>; BVerfG, Urteil vom 2. März 2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08 -, juris, Rn. 189). Hierzu zählen auch IP-Adressen.

Nun muss die Natur des Art. 10 GG verstanden werden. Der Art. 10 GG schützt – verkürzt ausgedrückt – den “Kommunikationsvorgang als solchen”. Wer sich auf eine Verletzung des Art. 10 GG beruft, der muss daher klarstellen, dass auch der Kommunikationsvorgang betroffen ist. Wenn Daten außerhalb des Kommunikationsvorgangs erhoben werden, ist der Art. 10 GG nicht mehr betroffen – deswegen scheiterte hier auch die Beschwerde, weil die Beschwerdeführer genau das nämlich nicht hinreichend dargelegt haben.

Das BVerfG sieht sich aber auch das Wesen der “IP-Adresse” genauer an und wiederholt im Kern seine Ausführungen aus der Entscheidung zur Vorratsdatenspeicherung:

Die Abfrage von Verbindungsdaten aus einem Datensatz, der aufgrund einer anlasslosen systematisch über einen längeren Zeitraum vorgenommenen Speicherung erstellt wurde, stellt einen intensiveren Eingriff dar als die Abfrage von Daten, die ein Telekommunikationsanbieter in Abhängigkeit von den jeweiligen betrieblichen und vertraglichen Umständen – etwa zu Abrechnungszwecken gemäß §§ 96, 97 TKG – kurzfristig aufzeichnet.

Will heißen: Erhobene Telekommunikationsdaten sind auch im Gesamtbild zu werten. Eine IP-Adresse für sich, einmalig erhoben, ist etwas anderes als eine fortlaufend – im Zusammenhang mit anderen Daten – erhobene IP-Adresse. Damit sehe ich erneut die Tendenz beim BVerfG, dass IP-Adressen sich hinsichtlich der Schutzwürdigkeit einer pauschalen Bewertung entziehen. Ob man damit aber Rückschlüsse auf die Frage des Personenbezugs nach §3 BDSG ziehen kann, bezweifle ich.

Interessant für Webseitenbetreiber ist, dass das BVerfG sich zur Frage äußert, auf welcher Rechtsgrundlage IP-Adressen von Dienstebereibern erhoben werden dürfen (es ging um einen Dienstleister, der ein Bankingportal betreibt):

Als Rechtsgrundlage für eine Speicherung der IP-Adressen kommen sowohl die Vorschriften des Telekommunikations- als auch des Telemediengesetzes in Betracht. Nach § 96 Abs. 2 TKG dürfen Verkehrsdaten über das Ende der Verbindung hinaus nur verwendet werden, wenn dies zum Aufbau weiterer Verbindungen oder für die in §§ 97, 99, 100 und 101 TKG genannten Zwecke – Abrechnungszwecke, Störungsbeseitigung und Missbrauchsbekämpfung – erforderlich ist; im Übrigen sind sie nach Beendigung der Verbindung unverzüglich zu löschen. [...] Soweit die Speicherung der IP-Adresse allein für die Herstellung einer verschlüsselten Verbindung unter Nutzung fremder Telekommunikationsdienste erforderlich wäre, kommen als Rechtsgrundlage §§ 14, 15 TMG in Betracht.

Das ist verdient durchaus Beachtung, da das BVerfG hier m.E. ausdrücklich feststellt, dass IP-Adressen auch von Webseiten auf Grund der §§96ff. TKG erhoben werden dürfen. Gerade die Möglichkeit der Erhebung zur Störungsbeseitigung bzw. Missbrauchsbekämpfung sollte hierbei nicht untergehen.

Aus strafrechtlicher Sicht sollte man ein Auge darauf richten, dass das BVerfG (im Umkehrschluss) klar stellt, dass Ermittlungsbehörden sich auf den §161 I StPO stützen können, um einzelne IP-Adressen zu ermitteln. Erst wenn im Gesamtbild ein erhöhter Schutzbedarf festzustellen ist, ist auch zwingend ein Richter zu fragen. Mit der hiesigen Begründung des BVerfG ist das keinesfalls zwingend oder automatisch der Fall.