Der strafprozessuale Zugriff auf Inhaltsdaten in der Cloud. Dirk Meinicke
bestimmter Weise zu regeln. In erster Linie ist hier die Entscheidung zum strafprozessualen Zugriff auf beim Diensteanbieter gespeicherte E-Mails zu nennen,13 eine Maßnahme, die in technischer Hinsicht ein Unterfall der Cloud-Problematik ist. Zuletzt wurde auch die Überwachung des Surfverhaltens, und damit ein der Intensität nach mit einer Online-Durchsuchung zumindest teilweise vergleichbarer Eingriff, auf die herkömmliche Telekommunikationsüberwachung gestützt.14 Indem die Judikatur bis hin zum Zweiten Senat des Bundesverfassungsgerichts in dieser Weise das Instrumentarium der Zwangsmaßnahmen im geltenden Recht auf neuartige Eingriffe mit ihren spezifischen Gefährdungslagen ausdehnt, konnte für die Praxis eine trügerische Scheinsicherheit geschaffen werden dahingehend, dass der mit Blick auf die Bedürfnisse effektiver Strafverfolgung ohne Frage notwendige Zugriff auf informationstechnische Systeme – speziell auf die heute besonders weit verbreitete E-Mail-Kommunikation – auch ohne Gesetzesänderung möglich sein würde.
Indes zeigt sich spätestens bei der Rechtslage hinsichtlich der Überwachung des Surfverhaltens, dass solche Lösungen auf der Basis des überkommenen geltenden Rechts vermutlich nicht von Dauer sein können. Denn während der für das Strafrecht zuständige Zweite Senat am BVerfG diese Maßnahme in wenig überzeugender Weise unter Berufung auf § 100a StPO für zulässig erklärt hat, gibt es Rechtsprechung des für die präventiven Ermittlungsmaßnahmen zuständigen Ersten Senats, die diesem Verständnis recht eindeutig entgegensteht. Womöglich ist daher das letzte Wort noch nicht gesprochen hinsichtlich der Frage, ob die StPO in ihrer geltenden Fassung den Herausforderungen des digitalen Zeitalters gewachsen ist. Nach der hier entwickelten Lösung, die sich auf dem sicheren Boden allgemeiner verfassungsrechtlicher Maßstäbe verortet,15 scheitert das geltend Recht hieran beinahe schon krachend.
Den grundsätzlich richtigen Weg für eine zukünftige gesetzliche Regelung weist aus Sicht des Verfassers der eingangs erwähnte Verordnungsvorschlag der Europäischen Kommission.16 Darin wird ebenso simpel wie revolutionär das sog. Marktortprinzip implementiert, wonach die Strafverfolgungsorgane den Zugriff auf etwaige Daten unabhängig von ihrem konkreten – häufig gar nicht mehr zuverlässig zu ermittelnden – Speicherort an dem Ort vornehmen, an der der Serviceprovider seine Dienste anbietet. Damit wird der ansonsten unvermeidliche loss of location,17 der Verlust eines erreichbaren Ortes für den ermittlungsbehördlichen Zugriff auf die in der weltweiten informationstechnischen Netzwerkstruktur zirkulierenden Daten, verhindert. Sofern dann – was dem Vorschlag der Kommission leider gründlich misslingt – Eingriffsnormen geschaffen werden, die den sensiblen Anforderungen eines zeitgemäßen Grundrechts- und Verfahrensschutzes Rechnung tragen, müssen effektive Strafverfolgung einerseits und tragfähiger Grundrechtsschutz andererseits auch im „Strafprozessrecht 4.0“ keine unüberwindbaren Gegensätze bleiben.
Die vorliegende Untersuchung geht zur Klärung der beim strafprozessualen Zugriff auf Cloud-Systeme auftretenden Fragen wie folgt vor: Zunächst werden im ersten Abschnitt die technischen Grundlagen etwas näher geschildert, die für das Funktionieren von Cloud-Anwendungen von Bedeutung sind (B). Anschließend müssen die verfassungsrechtlichen Rahmenbedingungen skizziert werden, die bei der Suche nach einschlägigen Ermächtigungsnormen zu beachten sind (C), bevor darauf aufbauend die einzelnen in Betracht kommenden Eingriffsgrundlagen innerhalb des deutschen Strafprozessrechts auf ihre Eignung zur Legitimation des Zugriffs auf die Cloud hin untersucht werden (D). Schließlich ist zu der Frage der Verwertbarkeit von rechtswidrig erlangten Daten Stellung zu nehmen (E), bevor die Arbeit mit einer Zusammenfassung der wesentlichen Ergebnisse endet (F). Die Untersuchung beschränkt sich dabei auf die Voraussetzungen eines Zugriffs auf Inhaltsdaten,18 weil diese unter dem Gesichtspunkt eines angemessenen Grundrechtsschutzes von herausragender Bedeutung sind.19
1 COM(2018) 225 final vom 17.4.2018, S. 1. 2 COM(2018) 225 final vom 17.4.2018, S. 2. 3 COM(2018) 225 final vom 17.4.2018, S. 16 4 Der Hinweis hierauf wurde bereits im Jahr 2011 als „inflationär“ bezeichnet, vgl. Kudlich, GA 2011,193; aus der Literatur näher etwa Klesczewski, ZStW 123 (2011), S. 737ff.; umfassend Sieber, DJT-Gutachten, C 35ff.; C 62ff. und C 103ff. 5 Frühzeitig etwa Obenhaus, NJW 2010, 651ff.; M. Gercke, CR 2010, 345ff. 6 Dalby, Grundlagen; Wicker, Strafanspruch, jew. passim. 7 Vgl. hierzu unten D.V. 2. 8 Siehe bereits knapp hierzu Meinicke, StV 2012, 463 sowie vertiefend ders., in: Scholz/Funk (Hrsg.), S. 73, 75ff.; grds. ebenso auch Sieber, DJT-Gutachten, C 155f. 9 Hierzu unten D. IV. 10 Siehe etwa den Hinweis auf „unüberwindbare praktische Schwierigkeiten“ beim Zugriff auf im Ausland gespeicherte Daten bei Wohlers/Jäger, in: SK-StPO, § 102 Rn. 15a a.E.; ausführlich nunmehr für eine „Problemlösung“ auf der Basis des geltenden Rechts Wicker, Strafanspruch, S. 333ff. 11 Hierzu eingehend unten D I 3 a). 12 Siehe unten D. VI. 13 Vgl. hierzu unten D. I. 2. 14 Dazu unter D. III. 15 Vgl. zu diesen unten C. 16 Dazu unten D.V. 2. b). 17 Begriff von Spoenle, Cloud Computing, S. 5. 18 Vgl. zu diesem im TKG nicht ausdrücklich definierten Begriff statt Vieler B. Gercke, GA 2012, 474, 484f. 19 Zum Zugriff auf andere (insbesondere Bestands-)Daten vgl. nur Dalby, Grundlagen, S. 56ff.
B. Technische Grundlagen
Nachstehend werden also zunächst die wichtigsten Grundbegriffe sowie die technischen Hintergründe des Phänomens „Cloud Computing“ skizziert. Diese technisch-empirische Befundaufnahme soll einen präzisen Zugang zu den spezifischen rechtlichen Problemen beim strafprozessualen Zugriff auf in der Cloud gespeicherte Daten ermöglichen.
I. Definition und grundlegende Charakteristika
In einer knappen Definition20 lässt sich Cloud Computing als Möglichkeit zur Nutzung von IT-Infrastruktur, die über ein Netzwerk (i.d.R. das Internet) zur Verfügung gestellt wird, beschreiben, wobei vom Anbieter je nach Bedarf z.B. Speicherplatz, Rechenleistung oder Software bereitgestellt werden kann.21 Der Kunde nutzt also den Zugang zum Internet, um die von einem anderen zur Verfügung gestellte Soft- und Hardware zu verwenden.22 Es lassen sich insbesondere fünf charakteristische Merkmale von Cloud Computing ausmachen:23
1. Ressource-Pooling
Zunächst ist das Konzept des sog, Ressource-Pooling zu nennen. Damit ist das Zusammenfassen („Poolen“) bestimmter physischer Ressourcen, z.B. von Rechenleistung, Speicherkapazität oder Netzwerkbandbreite gemeint, wodurch ein zentral abrufbarer Vorrat entsteht, der bedarfsorientiert auf die einzelnen Nutzer verteilt wird.24 Die Verteilung erfolgt auf der Basis sog. Virtualisierungen, das bedeutet, dass durch die Einführung einer logischen Abstraktionsebene von der tatsächlich vorhandenen Hardware abstrahiert wird.25 Es werden also logische Ressourcen auf physische Ressourcen abgebildet, wobei der Benutzer einer logischen Ressource in der Anwendung keinen Unterschied im Vergleich zur Verwendung der physischen Ressource selbst