Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud. Dirk Meinicke
u.a., Cloud-Computing, S. 75 und 180. Vormals war es üblich, die Sicherheit und Integrität der den einzelnen Mandanten zugeordneten Datenbeständen durch physische Trennung der verwendeten Systeme zu gewährleisten, was sich jedoch als unwirtschaftlich herausgestellt hat. Heute werden dagegen Virtualisierungskonzepte zur Anwendung gebracht, die einen parallelen Betrieb unterschiedlicher Mandanten auf derselben Hardware ermöglichen, vgl. zum Ganzen Schorer, in: Hilber, Handbuch, C/1, Rn. 43ff. 158 Schmidt-Bens, Cloud Computing, S. 3; Metzger/Reitz u.a., Cloud Computing, S. 14; auch Terplan/Voigt, Cloud, S. 191. 159 Vossen/Haselmann u.a., Cloud-Computing, S. 6f., zur Datenlokalität auch, S. 77. 160 Metzger/Reitz u.a., Cloud Computing, S. 50f.; zur Fragmentierung von Daten auch Vossen/Haselmann u.a., Cloud-Computing, S. 178. 161 Metzger/Reitz u.a., Cloud Computing, S. 50f. 162 Vossen/Haselmann u.a., Cloud-Computing, S. 177. 163 Zu diesem Aspekt Vossen/Haselmann u.a., Cloud-Computing, S. 177. 164 Vossen/Haselmann u.a., Cloud-Computing, S. 70f. 165 Vgl. dazu im Überblick Schmidt-Bens, Cloud Computing, S. 73ff.; zu den Grenzen möglicher Verschlüsselungen aber Schorer, in: Hilber, Handbuch, C/1, Rn. 85.
VII. Zusammenfassende Problemfokussierung und weiterer Gang der Untersuchung
Daten an sich stellen die herkömmliche Dogmatik der strafprozessualen Zwangsmaßnahmen bereits vor nicht unerhebliche Herausforderungen, was vor allem mit ihrer fehlenden Körperlichkeit zu tun hat.166 Sofern es sich nun um solche Daten handelt, die in einer Cloud-Architektur gespeichert sind, lassen sich unter Berücksichtigung der vorstehenden Darstellung der technischen Grundlagen zwei darüber hinausgehende (miteinander zusammenhängende) spezielle Probleme festhalten.167 Es sind dies zum einen die dezentrale Speicherung und zum anderen die flexible Datenlokalität. Der Speicherort von Daten wird computergesteuert bestimmt, verändert sich ständig und lässt sich im Nachhinein oft nur schwer rekonstruieren, zumal Datenpakete nicht selten aufgeteilt werden.168 Länderkennungen der Domain-Adressen (z.B. .de oder .com) sind im Wesentlichen frei wählbar und haben insofern praktisch keine indizielle Bedeutung für die Ermittlung des Standortes der Datenspeicherung.169 Die klassische Durchsuchung beim Beschuldigten, bei der dessen Hardware beschlagnahmt wird, um im weiteren Verlauf der Ermittlungen die darauf befindlichen Daten auszuwerten, geht somit ins Leere, wenn vom Beschuldigten Cloud-Dienste genutzt werden.170 Denn selbst wenn in diesem Fall möglicherweise noch Endgeräte vorgefunden werden, befinden sich auf diesen eben keine Daten. Beispiele können Ermittlungen wegen des Besitzes strafbaren Video-, Bild- oder Textmaterials sein (etwa nach den §§ 86f., 130ff., 184f. StGB), aber auch Konstellationen der Wirtschaftskriminalität, bei denen Unternehmen durchsucht werden, die ihre Buchhaltung und andere potentiell beweiserhebliche Vorgänge über Cloud-Anwendungen nutzen.
Unproblematisch wäre der Zugriff unter solchen Umständen im Grunde nur möglich, wenn der Beschuldigte die ausgelagerten Daten freiwillig herausgibt, wobei es selbst in diesem Fall völkerrechtliche Zugriffshindernisse geben kann (vgl. dazu unten D V 2a bb (b)). Inwieweit die Ermittlungsbehörden nach der geltenden Gesetzeslage – namentlich gemäß § 110 Abs. 3 StPO – dazu befugt sind, von einem etwaig rechtmäßig beschlagnahmten Endgerät aus auf die im Rahmen eines Cloud-Dienstes gespeicherten Daten zuzugreifen, wird später noch zu erörtern sein. Zu bedenken ist aber auch, dass der Beschuldigte theoretisch überhaupt keine eigenen Endgeräte benötigt, da der von jedem erdenklichen Rechner aus (z.B. in einem öffentlichen Call Shop) auf seine Datenbestände zugreifen kann.
Diese umfassende Dezentralisierung der Datenspeicherung sowie auch des Zugriffs auf die gespeicherten Datenbestände ist eine große Herausforderung für die Ermittlungsbehörden in rechtlicher wie auch in tatsächlicher Hinsicht. Sie könnten versuchen, dem dadurch zu begegnen, dass direkt beim Anbieter des Cloud-Dienstes auf die Daten zugegriffen wird. Im Kontext des Zugriffs auf webbasiert gespeicherte E-Mails des Beschuldigten ist häufig diese Vorgehensweise gewählt worden (näher dazu unten D I 2). Der Gedanke dahinter ist, dass die Server des Providers beschlagnahmt werden, auf denen sich die Daten befinden. Hier stoßen wir aber auf das zweite bereits angesprochene Problem, die flexible Datenlokalität in Cloud-Systemen. Wie soeben dargestellt wurde, werden Datenpakte in der Cloud aufgeteilt und die Daten befinden sich innerhalb der Serverstruktur des Anbieters gleichsam „ständig in Bewegung“. Der Speicherort wird also permanent verändert (gesteuert durch Algorithmen), wobei sich dieser Prozess letztlich an technischen Bedürfnissen sowie wirtschaftlichen Interessen des Diensteanbieters ausrichtet. Das bedeutet, dass es womöglich einen Zugriff an unterschiedlichen Orten erfordern würde, um alle Bestandteile eines Datensatzes zu erlangen. Hierzu müssten die Ermittler aber überhaupt wissen, wo sich die Daten aktuell befinden. Zudem wird sich der Speicherungsort häufig außerhalb Deutschlands befinden, weshalb das später noch vertiefend erörterte Problem der Transnationalität zur Geltung kommt.
Zur Verdeutlichung sei folgendes Beispiel gebildet: Die Ermittler erfahren, dass potentiell beweiserhebliche Daten des Beschuldigten B, der Dienste beim Cloud-Anbieter C nutzt, zum Zeitpunkt t0 auf Servern von C in Irland gespeichert sind. Unverzüglich wird ein Rechtshilfeverfahren zur vorläufigen Sicherung der Daten eingeleitet. Zum Zeitpunkt t1, in dem in Irland über dieses Rechtshilfeersuchen entschieden wird, ist das entsprechende Datenpaket jedoch aufgeteilt worden und befindet sich nun auf Servern in Litauen und der Tschechischen Republik. Die Beschlagnahme in Irland erbringt somit keine Ergebnisse. Es bedarf wenig Phantasie, um diese Konstellation hin zu einem endlosen Wettrennen der Ermittlungsbehörden gegen die ständig im Netzwerk des Cloud-Anbieters (womöglich weltweit) zirkulierenden Daten fortzuentwickeln. Ein Wettlauf, den die Ermittlungsbehörden kaum gewinnen können.
Natürlich ist dieses Problem nicht neu. Doch zeigt die jüngste Aktivität der Europäischen Kommission, dass eine Lösung, die zum einen den Bedürfnissen der Ermittlungsorgane und gleichzeitig den Rechten der potentiell Betroffenen gleichermaßen Rechnung trägt, bislang noch nicht gefunden ist. Im praktischen Ermittlungsalltag wird dem drohenden Verlust der Daten im transnationalen Nirvana wohl in erster Linie dadurch begegnet, dass im Rahmen herkömmlicher Maßnahmen der Telekommunikationsüberwachung eine Aufzeichnung der Internetdaten erfolgt. Jedenfalls solche Daten, die nach Beginn der Überwachung auf den Server eines Cloud-Anbieters übertragen werden, können dann – sofern sie nicht verschlüsselt sind – abgefangen werden, bevor sie auf dem Territorium eines anderen Staates gespeichert werden. Auch die inzwischen in § 100b StPO eingeführte strafprozessuale Online-Durchsuchung kann insoweit als Versuch gewertet werden, möglichst viele Daten auf dem System des Beschuldigten zu sichern, so dass Probleme einer eventuellen späteren externen Speicherung im Ausland sich gar nicht erst stellen.
In der vorliegenden Arbeit wird untersucht, inwiefern sich unter Rückgriff auf die heute geltenden strafprozessualen Eingriffsnormen Maßnahmen rechtfertigen lassen, mit denen die skizzierten Probleme bewältigt werden können. Dabei wird sich zeigen, dass – unter Berücksichtigung der einschlägigen verfassungsrechtlichen Maßgaben (dazu C) – weder eine Beschlagnahme von in einer Cloud gespeicherten Daten nach den §§ 94ff. bzw. § 99 StPO (D I bzw. II) noch eine Aufzeichnung sämtlicher Internetdaten gem. § 100a Abs. 1 S. 1 StPO (D III) zulässig ist. Auch die – ohnehin höchst problematischen – durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens neu eingeführten Vorschriften zur Quellen TKÜ (§ 100a Abs. 1 S. 2, S. 3 StPO) bzw. zur Online-Durchsuchung (§ 100b StPO) vermögen nicht alle durch das Phänomen Cloud Computing aufgeworfenen Schwierigkeiten zu bewältigen (D IV). Schließlich sind die rechtlichen Probleme beim grenzüberschreitenden Zugriff bislang nicht adäquat gelöst (D V). Für den innerstaatlichen Bereich kommt somit nach der hier zu Grunde gelegten Sichtweise angesichts des Fehlens einer passenden Ermächtigungsgrundlage lediglich für eine Übergangszeit ein Zugriff auf in einer Cloud gespeicherte Daten