Die Ermittlungsbehörden können ein großes Interesse daran haben, E-Mails von Tatverdächtigen mitzulesen oder die beim E-Mail-Provider hinterlegten Bestands- und Bezahldaten abzufragen. Die Transparenzberichte von bekannten Webmaildiensten wie Posteo und Mailbox.org zeigen dabei aber, dass ca. 50 % aller Auskunftsersuchen fehlerhaft sind. Welche Folgen sich hieraus ergeben und wie Sie reagieren können, erfahren Sie hier:

Welche Arten von Auskünften gibt es?

Den Staatsanwaltschaften stehen verschiedene Möglichkeiten zur Verfügung, E-Mail-Accounts zu Ermittlungszwecken zu nutzen. Hierbei gilt wie immer: Je stärker durch die Ermittlungsmaßnahme in die Grundrechte des Betroffenen eingegriffen wird, desto höhere Voraussetzungen sind an die Anordnung der entsprechenden Maßnahmen zu stellen. Die folgenden Möglichkeiten stehen den Staatsanwaltschaften zur Verfügung:

• Bestandsdatenauskunft
  

Die Ermittlungsmaßnahme mit den geringsten Anforderungen ist die Bestandsdatenauskunft gem. § 100j StPO. Bestandsdaten enthalten die bei der Anmeldung hinterlegten Informationen über den Inhaber des E-Mail-Accounts wie Name, Anschrift, Geburtsdatum sowie Daten zum Vertragsbeginn und Vertragsende.

Eine Bestandsdatenanfrage erfordert nur einen Anfangsverdacht und dass die voraussichtlich erlangten Daten für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsort eines Beschuldigten erforderlich sind. Zudem gilt wie bei allen staatlichen Grundrechtseingriffen der allgemeine Verhältnismäßigkeitsgrundsatz: d.h. die Bestandsdatenanfrage muss im Einzelfall in einem angemessenen Verhältnis zur Straftat stehen, die aufgeklärt werden soll. Einfache Bestandsdatenauskünfte haben keine besonderen Anordnungsvoraussetzungen, sondern liegen im Anordnungsermessen der Staatsanwaltschaft bzw. der ermittelnden Polizei. Nur wenn sich das Auskunftsersuchen auch auf Sicherheits- und Zugangscodes i.S.d. Abs. 1 Satz 2 des § 100j StPO bezieht, besteht nach § 100j Abs. 3 StPO ein Richtervorbehalt.

• Verkehrsdatenauskunft
  

Einen Schritt weiter gehen Auskünfte zu Verkehrsdaten. Verkehrsdaten sind nach § 3 Nr. 30 TKG Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden, wie beispielsweise IP-Adressen, Sender und Empfänger von E-Mails, Bezahldaten und generell alle Log-Daten.

Die Voraussetzungen für die Erhebung von Verkehrsdaten sind in § 100g StPO geregelt. Demnach dürfen Verkehrsdaten nur beim Verdacht von schweren Straftaten oder Straftaten, die mittels Telekommunikation begangen worden sein sollen, abgefragt werden. Verkehrsdatenanfragen stehen unter einem Richtervorbehalt und können von den Ermittlungsbehörden nur bei Gefahr in Verzug eigenständig angeordnet werden. Grundsätzlich kann die Verkehrsdatenanfrage aber nur von einem Ermittlungsrichter nach einer vorherigen eigenständigen Prüfung durch einen Beschluss angeordnet werden. Dieser Beschluss muss dabei gewisse Mindestanforderungen erfüllen. So muss er dem Provider z.B. den Tatvorwurf, die Dauer der Verkehrsdatenerhebung und die Bedeutung der Verkehrsdaten für das Verfahren mitteilen.

• E-Mail-TKÜ
  

Wollen die Ermittlungsbehörden die E-Mails eines Beschuldigten mitlesen, so ist die Anordnung einer Telekommunikationsüberwachung (TKÜ) erforderlich. Die Anforderungen an eine TKÜ sind in § 100a StPO geregelt und sind noch höher als die Anforderungen an eine Verkehrsdatenauskunft. Eine TKÜ ist nur dann zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass jemand eine schwere Straftat begangen hat, die Tat auch im Einzelfall schwer wiegt und die Aufklärung des Sachverhalts oder der Aufenthaltsort des Beschuldigten auf andere Weise aussichtslos wäre. Auch hier besteht ein Richtervorbehalt. Zudem ist die TKÜ zeitlich beschränkt und wird regelmäßig nur für einen Zeitraum von 3 Monaten angeordnet. Nach Ablauf des Zeitraums ist ein neuer Beschluss erforderlich.

Ob Webmaildienste zu TKÜs verpflichtet werden können, ist aber nicht unumstritten. Denn nach dem Urteil des Europäischen Gerichtshofes vom 13.06.2019 sind Webmaildienste keine Telekommunikationsdienste. Da der Wortlaut des § 100a Abs. 4 StPO aber ausdrücklich davon spricht, dass nur jemand, der Telekommunikationsdienste erbringt oder daran mitwirkt, zu einer TKÜ verpflichtet werden kann, wird vertreten, dass Webmaildienste nicht unter den Anwendungsbereich des § 100a StPO fallen. Dieser Auffassung hat aber der BGH in seiner Entscheidung vom 21.04.2021 eine Absage erteilt und den E-Mail Anbieter Tutanota zur Überwachung und Aufzeichnung von zwei E-Mail Postfächern verpflichtet (http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&nr=118375&Frame=4&.pdf). Im Dezember 2021 ist zudem eine Gesetzesänderung zu erwarten, die auch Webmaildienste wieder in den Anwendungsbereich des TKG führen wird. Dieses Beispiel zeigt aber deutlich, wie kompliziert und dynamisch die Rechtslage in diesem Bereich ist.

• Quellen-TKÜ

Ein besonderer Fall der E-Mail Überwachung ist die sog. Quellen TKÜ nach § 100a Abs. 1 Satz 2 und 3 StPO. Hierbei wird die Kommunikation erfasst, bevor diese verschlüsselt wird oder nachdem diese entschlüsselt wurde bzw. bei E-Mails mittels PGP oder S/MIME. Die Quellen TKÜ wird insbesondere im Bereich der organisierten Kriminalität oder der Terrorismusbekämpfung eingesetzt und unterliegt ebenfalls einem Richtervorbehalt und den Mindestanforderungen einer normalen TKÜ.

Die Quellen TKÜ wird immer wieder mit einer Onlinedurchsuchung nach § 100b StPO bzw. dem Einsatz des Staatstrojaners verwechselt. Der wesentliche Unterschied liegt aber darin, dass durch eine Quellen TKÜ nur die laufende E-Mail Kommunikation für einen gewissen Zeitraum von den Ermittlungsbehörden mitgelesen werden kann. Eine Onlinedurchsuchung ermöglicht den Ermittlungsbehörden indes den Zugriff auf sämtliche auf einem Rechner oder Server gespeicherten Daten.

Was kann ich machen, wenn die behördliche Anfrage fehlerhaft ist?

Wie die Transparenzberichte der Webmaildienste, die einen starken Fokus auf Datenschutz legen, zeigen, sind viele behördliche Anfragen fehlerhaft. Der Grund hierfür liegt aus meiner Sicht hauptsächlich darin, dass auch fehlerhafte Anfragen von vielen Providern beantwortet werden, da für diese Diskussionen über die Rechtmäßigkeit einer Anfrage mit den Behörden nur Zeit und Geld kosten. Wenn Webmaildienste den Datenschutz aber ernst nehmen, haben sie grundsätzlich die Möglichkeit, gegen die oben genannten Ermittlungsmaßnahmen Beschwerde gem. § 304 StPO einzulegen. Die Beschwerde führt dazu, dass das zuständige Landgericht den Beschluss des Ermittlungsrichters überprüft und ggf. aufhebt.

Die strikte Überprüfung behördlicher Anfragen mag im Einzelfall anstrengend und frustrierend sein. Im Ergebnis führt eine konsequente Prüfung der Anordnungsvoraussetzungen zu mehr Vertrauen der Nutzer:innen im die Sicherheit ihrer Kommunikation und kann ein entscheidender Wettbewerbsvorteil sein.

Welche Folgen drohen, wenn ich die Anfrage einfach nicht bearbeite?

Keine gute Idee ist es hingegen, die Anfrage einfach zu ignorieren. Denn in diesem Fall kann das Gericht ein Ordnungsgeld und wenn dieses nicht hilft, sogar Ordnungshaft gegen den E-Mailanbieter anordnen. Dabei handelt es sich nicht um leere Drohungen, insbesondere ein Ordnungsgeld wird nach meiner Erfahrung schnell verhängt, wenngleich dies nicht immer rechtmäßig ist. Einfach nicht zu reagieren, ist aber in jedem Fall die schlechteste Alternative.

Fazit:

Im Ergebnis führen behördlichen Anfragen für E-Mailanbieter daher zu einem echten Problem: Übermittelt ein Webmaildienst auf der Grundlage einer offensichtlich fehlerhafte Anfrage personenbezogene Daten seiner Kunden, verstößt es gegen den Datenschutz und setzt das Vertrauen seiner Nutzerinnen und Nutzer aufs Spiel. Verweigert er aber die Übermittlung der angeforderten Daten, droht ihm ein Rechtsstreit und im worst case ein Ordnungsgeld oder sogar Ordnungshaft.

Es braucht daher einen auf diese Problematik abgestimmten firmeninternen Prozess, der sicherstellt, dass die Rechtmäßigkeit der behördlichen Auskunftsanfragen geprüft wird. Wenn Sie hierbei kompetente Hilfe benötigen, stehe ich Ihnen gerne zur Verfügung.