+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

Darf die Staatsanwaltschaft Passwörter knacken?

   
22. August 2023

Sei es zur Wahrung der Privatsphäre oder Einhaltung datenschutzrechtlicher Vorgaben, fast jeder Computer und jedes Handy ist heutzutage durch Passwort vor fremdem Zugriff geschützt. Im Rahmen von Ermittlungsmaßnahmen kann dieser Schutz ein erhebliches Hindernis für Staatsanwaltschaft und Co. darstellen. Beschuldigte müssen aufgrund der Selbstbelastungsfreiheit ihre Passwörter nicht preisgeben. Hat die Staatsanwaltschaft das Passwort nicht im Rahmen anderer Ermittlungsmaßnahmen erhoben, bleibt ihr häufig nur die Nutzung von Sicherheitslücken im Betriebssystem oder das Erraten des Zugangscodes (ggf. mit Hilfe von sog. Brute-Force-Programmen) übrig. Für den Einsatz eines digitalen Dietrichs existiert bisher keine spezielle Ermächtigungsgrundlage.

Die Bestandsdatenabfrage aus § 100j Abs. 1 S. 3 StPO ermöglicht nun, gespeicherte Passwörter von Telemedienanbietern wie Apple oder Google zu erheben. Dies wirft zwei Fragen auf: Entfaltet § 100j Abs. 1 S. 3 StPO für andere Maßnahmen, den Passwortschutz solcher Geräte zu überwinden, eine Sperrwirkung?

Die Annexkompetenz zum Knacken von Passwörtern

Ermittlungsbehörden können das Knacken von passwortgeschützten Geräten auf eine sogenannte Annexkompetenz stützen. Es gilt als typische Begleitmaßnahme für andere Ermittlungsmaßnahmen, den Passwortschutz zu überwinden. Ähnlich wie beim Aufbrechen einer Haustür im Rahmen einer Durchsuchung gem. § 102 StPO müssen Ermittlungsbehörden den Schutz von Geräten überwinden, um die Durchsicht der Speichermedien gem. § 110 StPO und die Beschlagnahme der auf den Geräten gespeicherten Daten gem. § 94 StPO überhaupt erst möglich zu machen.

Die Bestandsdatenabfrage aus § 100j StPO zur Erhebung von Passwörtern

Speichern Telemediendienstleister wie Apple oder Microsoft ein Passwort für ein Endgerät als Bestandsdatum, können Ermittlungsbehörden diesen Zugangscode ohne Wissen des Beschuldigten einfordern. Bei der zu ermittelnden Tat muss es sich jedoch um eine der in § 100b StPO genannten schweren Straftaten handeln, welche im konkreten Fall besonders schwer wiegt, und die Voraussetzungen für die Nutzung des Passworts im Rahmen einer Folgemaßnahme vorliegen.

Sperrwirkung des § 100j Abs. 1 S. 3 StPO?

Wollte der Gesetzgeber mit der Einführung des § 100j StPO am 01.12.2021 eine abschließende Regelung für das Erlangen von Passwörtern treffen und dem Knacken von Passwörtern auf Grundlage der Annexkompetenz zu §§ 110, 94 StPO ein Ende setzen? Die besseren Argumente sprechen dafür, dass die Bestandsdatenabfrage keine abschließende Regelung für Passwörter enthält und damit keine Sperrwirkung gegenüber dem Knacken von Passwörtern im Rahmen einer Annexkompetenz zu §§ 110, 94 StPO entfaltet.

Eine solche Sperrwirkung hätte zur Folge, dass elektronische Geräte nur als Beweismittel dienen können, wenn ein Telemediendienstleister die Passwörter der Nutzer*innen speichert oder diese gar nicht passwortgeschützt sind. Eine solche Einschränkung für Ermittlungsverfahren war jedoch nicht Ziel des Gesetzgebers. Der § 100j Abs. 1 S. 3 StPO sollte vielmehr als eine schnellere Alternative zum in der Praxis teilweise langwierigen Prozess des Knackens hinzutreten.

Die unterschiedlich hohen Voraussetzungen von §§ 94, 110 StPO einerseits – der Anfangsverdacht jeder Straftat genügt – und § 100j StPO andererseits – der Verdacht einer Katalogtat des § 100b StPO ist erforderlich – lassen sich mit den Modalitäten der Eingriffe erklären. Während die Durchsuchung und Beschlagnahme offene Maßnahmen darstellen, von denen der Beschuldigte Kenntnis erlangt, ist die Bestandsdatenerhebung jedenfalls dem Beschuldigten gegenüber zunächst verdeckt. Hier müssen zum Schutz der Rechte des Beschuldigten höhere Eingriffsvoraussetzungen erfüllt sein.

Anders stellt es sich dar, wenn Ermittlungsbehörden die im Ergebnis verdeckte Erhebung von Passwörtern bei Telemediendiensteanbietern auf §§ 94, 95, 95a StPO stützen wollen. Für diese Konstellation stellt § 100j Abs. 1 S. 3 StPO mit ihren höheren Voraussetzungen eine abschließende Regelung dar. Im Ergebnis kann die Staatsanwaltschaft dann nicht ohne Benachrichtigung des Beschuldigten bei Ermittlungen beispielsweise wegen des Verdachts der Volksverhetzung gem. § 130 StGB oder der Urkundenfälschung gem. § 267 StGB Passwörter bei Apple und Co. erheben.

Fazit

Ermittlungsbehörden dürfen weiterhin im Rahmen offener Ermittlungsmaßnahmen mithilfe technischer Hilfsmittel den Passwortschutz von Smartphones etc. überwinden. Diese Maßnahme muss jedoch für den Beschuldigten transparent und nachvollziehbar sein.

Spätestens seit der Entscheidung des BVerfG zur Onlinedurchsuchung ist klar, dass informationstechnische Systeme wie Smartphones, die große Mengen an personenbezogenen Daten erzeugen und speichern, einen besonderen grundrechtlichen Schutz genießen. Nutzer*innen speichern auf ihnen bewusst und unbewusst teils riesige Mengen an Daten, wie Chatinhalte, GPS-Daten oder wichtige elektronische Dokumente. Diese Menge an Daten ermöglichen einen umfassenden Einblick in das Leben ihrer Nutzer*innen. Zwar ist die Überwindung des Passwortschutzes dem Beschuldigten bekannt. Er muss jedoch auch erfahren, welches Programm die Ermittler eingesetzt und welche Daten sie gesichtet haben. Um die Integrität der Daten auf dem Gerät und einen adäquaten Grundrechtschutz zu gewährleisten, sind Protokolle über den Einsatz der technischen Mittel und die Durchsicht der jeweiligen Daten zwingend erforderlich. Hier besteht weiterhin Regelungsbedarf!


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn