Der BGH hat entschieden, dass die Entsperrung eines Mobiltelefons durch das zwangsweise Auflegen des Fingers des Beschuldigten von der Befugnisnorm § 81b Abs. 1 StPO gedeckt sein kann.
Leitsatz des BGH:
Der Versuch der Ermittlungsbehörden, Zugang zu den auf einem Mobiltelefon eines Beschuldigten gespeicherten Daten durch zwangsweises Auflegen von dessen Finger auf den Fingerabdrucksensor zu erlangen, ist von § 81b Abs. 1 StPO in Verbindung mit §§ 94 ff. StPO als
Ermächtigungsgrundlage jedenfalls dann gedeckt, wenn eine zuvor nach §§ 102, 105 Abs. 1
StPO richterlich angeordnete Durchsuchung gerade auch dem Auffinden von Mobiltelefonen
dient und der beabsichtigte Datenzugriff trotz seiner Eingriffsintensität verhältnismäßig ist.
BGH, Beschluss vom 13. März 2025 – 2 StR 232/24 – LG Köln
Das OLG Bremen hat entschieden, dass eqw Entsperrung eines Mobiltelefons durch das zwangsweise Auflegen des Fingers des Beschuldigten von der Befugnisnorm § 81b Abs. 1 StPO gedeckt sein kann.
Aus den Entscheidungsgründen: 1. Die Verurteilung des Angeklagten zeigt keinen sachlich-rechtlichen Mangel zum Nachteil des Angeklagten auf. Rechtsfehler bezüglich der Beweiswürdigung des Landgerichts sind nicht ersichtlich und es tragen die vom Landgericht getroffenen Feststellungen die Verurteilung des Angeklagten wegen Widerstands gegen Vollstreckungsbeamte gemäß § 113 Abs. 1 StGB. Insbesondere steht entgegen der Auffassung der Revision nicht die Regelung des § 113 Abs. 3 StGB der Strafbarkeit der vorgeworfenen Tat entgegen. Die Diensthandlung der einschreitenden Polizeibeamten, mit Anwendung unmittelbaren Zwanges gegen den Willen des Angeklagten dessen Mobiltelefon durch Auflegen seines Fingers auf den Fingerabdrucksensor zu entsperren, wogegen sich der Angeklagte widersetzte, war rechtmäßig.
a. Die Entsperrung eines Mobiltelefons durch Auflegen eines Fingers eines Beschuldigten auf den Fingerabdrucksensor des Telefons kann auf die Ermächtigungsgrundlage des § 81b Abs. 1 StPO gestützt werden. Dies ist bereits mehrfach in der Rechtsprechung so entschieden worden (siehe LG Ravensburg, Beschluss vom 14.02.2023 – 2 Qs 9/23, juris Rn. 8, NStZ 2023, 446; AG Baden-Baden, Beschluss vom 13.11.2019 – 9 Gs 982/19, juris Rn. 15 ff.) und entspricht auch der wohl überwiegenden Auffassung in der Literatur (siehe BeckOK-Goers, 53. Ed., § 81b StPO Rn. 4.1; Deutscher, StRR 2023, 26 ff.; Meyer-Goßner/Schmitt, 67. Aufl., § 81b StPO Rn. 8a; MK-Trück, 2. Aufl., § 81b StPO Rn. 8; Neuhaus, StV 2020, 489 f.; Rottmeier/Eckel, NStZ 2020, 193 ff.; Ruhs, GSZ 2024, 254). Soweit von Teilen der Literatur demgegenüber vertreten wird, dass § 81b Abs. 1 StPO keine geeignete Grundlage für eine solche Maßnahme darstellen könne (so Bäumerich, NJW 2017, 2718, 2720; Bock/Fülscher, StraFo 2023, 386, 388; Grzesiek/Zühlke, StV 2021, 117, 119; Hecken/Ziegler, jurisPR-ITR 10/2023 Anm. 5; Horter, NStZ 2023, 447 f.; Momsen, DRiZ 2018, 140 f.; Nadeborn/Irscheid, StraFo 2019, 274 f.; Nadeborn/Albrecht, NZWiSt 2021, 420, 421; zweifelnd auch BeckOK, Schild, 50. Ed, § 46 BDSG Rn. 52), ist dem nicht zu folgen.
§ 81b Abs. 1 StPO erlaubt die Vornahme von Maßnahmen an einem Beschuldigten gegen dessen Willen nicht nur in Bezug auf die in der Vorschrift genannten Maßnahmen der Aufnahme von Lichtbildern und Fingerabdrücken sowie der Vornahme von Messungen, sondern die Vorschrift ist ausdrücklich technikoffen formuliert und erlaubt damit auch die Vornahme ähnlicher Maßnahmen (so auch LG Ravensburg, Beschluss vom 14.02.2023 – 2 Qs 9/23, juris Rn. 11, NStZ 2023, 446; ebenso Rottmeier/Eckel, NStZ 2020, 193, 195; Ruhs, GSZ 2024, 254 f. m.w.N.). Das Auflegen eines Fingers auf einen Fingerabdrucksensor ist als ähnliche Maßnahme zur Aufnahme eines Fingerabdrucks anzusehen: In beiden Fällen werden durch eine grundsätzlich ohne stärkeren Zwang mögliche und rein auf äußerlich erkennbare Daten beschränkte Maßnahme identische biometrische Daten des Beschuldigten in Form der individuellen anatomischen Merkmale der Papillarleisten vermessen, ähnliches gilt auch für eine Entsperrung durch eine Gesichtserkennung (Face-ID) oder einen Irisscan im Hinblick auf die Vergleichbarkeit mit einer Lichtbildaufnahme. Zudem handelt es sich bezogen auf den Schutz der betroffenen Daten des Beschuldigten um eine weniger eingriffsintensive Maßnahme, da die Aufnahme von Fingerabdrücken noch weitergehend die Speicherung dieser Daten und die Verarbeitung durch den Vergleich mit beliebigen weiteren Spuren erlaubt, während es sich bei dem Auflegen des Fingers auf einen Fingerabdrucksensor eines Mobiltelefons um eine Vermessung zur einmaligen Verwendung und ohne dauerhafte Speicherung durch die Ermittlungsbehörden handelt.
Die Ermächtigungsgrundlage des § 81b Abs. 1 StPO ist auch nicht auf Maßnahmen von Eingriffen in die körperliche Unversehrtheit zu erkennungsdienstlichen Zwecken beschränkt (so aber Bäumerich, NJW 2017, 2718, 2720; Horter, NStZ 2023, 447 f.; Nadeborn/Albrecht, NZWiSt 2021, 420, 421): Zwar ist die mit Gesetz vom 17.07.2015 (BGBl. I S. 1332) eingeführte amtliche Überschrift des § 81b StPO auf "erkennungsdienstliche Maßnahmen" beschränkt, der Wortlaut der Norm selbst aber gestattet die Vornahme der nach dieser Vorschrift vorgesehenen Maßnahmen "für die Zwecke der Durchführung des Strafverfahrens" im Allgemeinen, ohne hier weitere Einschränkungen vorzusehen (vgl. so auch Ruhs, GSZ 2024, 254). Soweit der Bundesgerichtshof ausgeführt hat, dass die Vorschrift es allgemein gestatte, für die Individualität einer Person signifikante dauerhafte Persönlichkeitsgegebenheiten auch gegen den Willen des Beschuldigten zu fotografieren, zu vermessen oder in anderer Weise zu registrieren, um durch einen Vergleich mit bereits vorliegenden Erkenntnissen feststellen zu können, ob sie auf den Beschuldigten als Täter hindeuteten (siehe BGH, Urteil vom 09.04.1986 – 3 StR 551/85, juris Rn. 21, BGHSt 34, 39), schließt dies dementsprechend die Vermessung anatomischer Merkmale des Beschuldigten zu sonstigen Zwecken der Durchführung des Strafverfahrens nicht aus. Auch der Gesetzgebungsgeschichte ist eine Beschränkung der Zweckrichtung der nach § 81b Abs. 1 StPO zulässigen Maßnahmen nicht zu entnehmen: Vielmehr beruht die Neufassung des § 81b StPO durch die Hinzufügung der Absätze 2 bis 5 aufgrund des Gesetzes zur Durchführung der Verordnung (EU) 2019/816 sowie zur Änderung weiterer Vorschriften vom 10.08.2021 (BGBl. I S. 3420) auf den Vorgaben der Verordnung (EU) 2019/816 zur Einrichtung eines zentralisierten Systems für die Ermittlung der Mitgliedstaaten, in denen Informationen zu Verurteilungen von Drittstaatsangehörigen und Staatenlosen (ECRIS-TCN) vorliegen, zur Ergänzung des Europäischen Strafregisterinformationssystems und zur Änderung der Verordnung (EU) 2018/1726 (ABl. L 135/1 vom 22.05.2019), ohne dass der Gesetzesbegründung eine Absicht der Beschränkung des Anwendungsbereichs der Norm im Übrigen zu entnehmen wäre (siehe die Begründung des Gesetzesentwurfs der Bundesregierung zum Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2019/816 sowie zur Änderung weiterer Vorschriften vom 09.03.2021, BT-Drucks. 19/27432, S. 20).
Wie generell im Rahmen der nach § 81b Abs. 1 StPO vorgesehenen Maßnahmen beinhaltet die Vorschrift als Annexkompetenz auch eine Ermächtigung zur Anwendung unmittelbaren Zwanges zur Durchsetzung der betreffenden Maßnahme (vgl. BGH, Urteil vom 09.04.1986 – 3 StR 551/85, juris Rn. 21, BGHSt 34, 39; siehe auch Begr. Reg.-Entw. BT-Drucks. 19/27432, S. 22), vorliegend damit die hier gegenständliche Diensthandlung des Auflegens des Fingers des Angeklagten auf den Fingerabdrucksensor des Telefons durch die einschreitenden Polizeibeamten.
b. Die Erstreckung des § 81b StPO auf Maßnahmen der (zwangsweisen) Entsperrung eines Mobiltelefons durch Auflegen eines Fingers eines Beschuldigten auf einen Fingerabdrucksensor steht auch nicht im Widerspruch zu höherrangigem Recht. Eine Verletzung des auf Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zu stützenden Grundsatzes der Selbstbelastungsfreiheit (nemo-tenetur-Grundsatz), wonach im Strafverfahren niemand gezwungen werden darf, sich selbst durch eine Aussage einer Straftat zu bezichtigen und damit zu seiner Überführung beizutragen (siehe BVerfG, Urteil vom 19.03.2013 – 2 BvR 2628/10, juris Rn. 60, BVerfGE 133, 168; Beschluss vom 06.09.2016 – 2 BvR 890/16, juris Rn. 35, StV 2017, 241), liegt nicht vor. Dieser Grundsatz verbietet nur den Zwang zu aktiver Mitwirkung, nicht aber, dass der Beschuldigte gezwungen wird, gegen ihn gerichtete Beweisermittlungsmaßnahmen passiv zu erdulden (siehe BVerfG, a.a.O.).
Mit dem (zwangsweisen) Auflegen eines Fingers eines Beschuldigten auf den Fingerabdrucksensor eines Mobiltelefons liegt wegen der damit verbundenen Vermessung individueller biometrischer Daten des Betroffenen dagegen ein Eingriff in dessen Grundrecht auf informationelle Selbstbestimmung vor, der allerdings – wie bereits ausgeführt – eine nur geringe Eingriffsintensität aufweist und daher im Hinblick auf den allgemeinen Gesetzesvorbehalt des Art. 2 Abs. 1 GG durch die Regelung des § 81b Abs. 1 StPO gerechtfertigt werden kann.
Zugleich wird mit der zwangsweisen Entsperrung des Mobiltelefons eines Beschuldigten auch in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme als besonderer Ausprägung des allgemeinen Persönlichkeitsrechts eingegriffen, da sich auf einem solchen Mobiltelefon möglicherweise Daten befinden, die Erkenntnisse bis in den Kernbereich der privaten Lebensgestaltung des Beschuldigten erbringen könnten (siehe zu diesem Grundrecht BVerfG, Urteil vom 27.02.2008 – 1 BvR 370/07, juris Rn. 166 ff., BVerfGE 120, 274). Dabei ist zu beachten, dass bereits die Entsperrung des Mobiltelefons wegen des damit ermöglichten Datenzugriffs einschließlich der Gefahr unbefugter oder missbräuchlicher Verwendung als relevanter Grundrechtseingriff anzusehen ist (vgl. so auch EuGH, Urteil vom 04.10.2024 – C-548/21, juris Rn. 77 (Bezirkshauptmannschaft Landeck)). Andererseits ist der spätere Datenzugriff selbst und die Verwendung der erlangten Daten als separater – vorliegend nicht verfahrensgegenständlicher – Eingriff zu betrachten, dessen Zulässigkeit insbesondere unter Zuständigkeits- und Verhältnismäßigkeitsgesichtspunkten gesondert zu beurteilen ist (so bereits LG Ravensburg, Beschluss vom 14.02.2023 – 2 Qs 9/23, juris Rn. 13, NStZ 2023, 446; ebenso auch Rottmeier/Eckel, NStZ 2020, 193, 197), hier nach den §§ 94 und 110 StPO, wobei das Bundesverfassungsgericht hierzu die vorhandenen Bestimmungen der StPO zu Durchsuchungen und Beschlagnahme auch in Bezug auf Mobiltelefone und Personal Computer als verfassungsgemäße und ausreichende Grundlage angesehen hat (siehe BVerfG, Urteil vom 02.03.2006 – 2 BvR 2099/04, juris Ls., NJW 2006, 976). Auch unter Berücksichtigung der Einschlägigkeit des Schutzgehalts des Grundrechts auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme erweist sich die Erstreckung des § 81b StPO auf die vorliegende Fallkonstellation aber als verfassungskonform: Soweit das Bundesverfassungsgericht dahingehend gesteigerte Anforderungen an die Rechtfertigung eines Eingriffs in dieses Grundrecht aufgestellt hat, dass die heimliche Infiltration eines solchen informationstechnischen Systems verfassungsrechtlich nur zulässig sein kann, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen, und unter den Vorbehalt richterlicher Anordnung zu stellen ist (siehe BVerfG, Urteil vom 27.02.2008 – 1 BvR 370/07, juris Rn. 242 ff., BVerfGE 120, 274), gelten diese Anforderungen für den vorliegenden Fall eines offenen Zugriffs gerade nicht und das Bundesverfassungsgericht hat den offenen Zugriff ausdrücklich als eine mildere Maßnahme angesehen (siehe BVerfG, a.a.O., juris Rn. 225, 238). Daher gebietet auch die jüngere Rechtsprechung des Europäischen Gerichtshofs (siehe EuGH, a.a.O., juris Rn. 81 ff.) – abgesehen davon, dass der vorliegende Eingriff bereits nicht den Regelungen der Richtlinie 2002/58 vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation sowie der Richtlinie 2016/680 vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr unterliegt und damit die genannte Rechtsprechung keine unmittelbare Anwendung findet – nicht die Heranziehung der dort formulierten und in ähnlicher Weise gesteigerten Eingriffsvoraussetzungen für den vorliegenden Fall der offenen bloßen Entsperrung des Mobiltelefons.
c. Die zwangsweise Entsperrung des Mobiltelefons des Angeklagten durch Auflegen eines Fingers des Beschuldigten auf den Fingerabdrucksensor eines Mobiltelefons in Anwendung der Rechtsgrundlage des § 81b Abs. 1 StPO unterliegt damit im Übrigen lediglich dem allgemeinen Grundsatz der Verhältnismäßigkeit. Auch insoweit erweist sich im vorliegenden Fall die Maßnahme der einschreitenden Polizeibeamten als rechtmäßig. Sie diente dem legitimen Ziel der weiteren Aufklärung des Tatvorwurfs der Verbreitung kinderpornographischer Schriften gemäß § 184b Abs. 1 Nr. 2 StGB, dessen der Angeklagten ausweislich des Durchsuchungsbeschlusses des Amtsgerichts Bremen vom 02.01.2023 verdächtig war; die Maßnahme war wegen der Wahrscheinlichkeit des Auffindens entsprechender als Beweismittel geeigneter Daten auf dem Mobiltelefon auch geeignet. Eine mildere gleich geeignete Maßnahme stand wegen der Schwierigkeiten einer anderweitigen Entsperrung eines Mobiltelefons hierfür nicht zur Verfügung; insbesondere wäre eine alternativ vorzunehmende Anfertigung eines Fingerabdrucks des Angeklagten zur Erstellung einer Fingerabdruck-Attrappe, mit welcher die Entsperrung vorzunehmen gewesen wäre, mit dem intensiveren Eingriff einer dauerhaften Speicherung der biometrischen Daten des Angeklagten einhergegangen. Zuletzt war die Maßnahme auch als angemessen anzusehen, dies namentlich auch im Hinblick auf die erhebliche Bedeutung der im konkreten Fall zu schützenden Rechtsgüter: Im Vergleich hierzu tritt die Intensität sowohl des Eingriffs in die informationelle Selbstbestimmung wegen der Vermessung individueller biometrischer Daten des Betroffenen wie auch der Eingriff in die körperliche Freiheit durch das – hier nur mittels milder Maßnahmen herbeigeführte – zwangsweise Auflegen des Fingers auf den Sensor zurück. Wie bereits ausgeführt wurde, ist der weitere Datenzugriff und die Verwendung der erlangten Daten nicht Gegenstand der hier betroffenen Maßnahme gewesen; es ist auch nichts dazu ersichtlich, dass nach den Umständen des vorliegenden Falles bereits die bloße Ermöglichung des Datenzugriffs einschließlich der damit verbundenen Gefahr unbefugter oder missbräuchlicher Verwendung von einer Eingriffsintensität für den Betroffenen gewesen wären, die die Maßnahme der zwangsweisen Entsperrung des Mobiltelefons durch die einschreitenden Polizeibeamten als im Hinblick auf die betroffenen Schutzgüter nicht mehr angemessen erscheinen gelassen hätten. Dass im weiteren Verfahren die Verwendung der durch offenen Zugriff erlangten Daten durch die Ermittlungsbehörden in unzulässiger Weise erfolgt wäre oder dies konkret gedroht hätte, ist auch von der Revision nicht geltend gemacht worden.
b. Nach den Feststellungen des Landgerichts unterlag der Angeklagte keinem Irrtum hinsichtlich der Rechtmäßigkeit der Diensthandlung, so dass sich die Frage einer Vermeidbarkeit dieses Irrtums im Sinne des § 113 Abs. 4 StGB bereits nicht stellt. Dass in der Literatur eine Gegenauffassung zu herrschenden Meinung der Zulässigkeit der Maßnahme der einschreitenden Polizeibeamten vertreten wird, begründet im Übrigen nicht ohne weiteres auch im konkreten Fall die Annahme eines entsprechenden vermeidbaren oder unvermeidbaren Irrtums des Angeklagten.
Das VG Frankfurt hat entschieden, dass die Anordnung einer DNS-Sperre durch die BaFin nach § 37 KWG unzulässig ist, wenn nicht zunächst der Host-Provider als milderes Mittel herangezogen wird
Die Pressemitteilung des Gerichts: Rechtswidrige DNS-Sperre
Die Weisung der BaFin an einen Internetdienstanbieter zur Einrichtung einer DNS-Sperre für eine Internetadresse ist rechtswidrig.
Die für das Finanzdienstleistungsaufsichtsrecht zuständige 7. Kammer des Verwaltungsgerichts Frankfurt am Main hat aufgrund der mündlichen Verhandlung vom heutigen Tage der Klage eines Internetdienstanbieters gegen die Weisung der BaFin stattgegeben.
Im April 2021 veröffentlichte die beklagte Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auf ihrer Homepage eine Mitteilung, dass sie der dem Verfahren beigeladenen Gesellschaft das unerlaubt betriebene Depotgeschäft sowie die unerlaubt erbrachte Anlagevermittlung und Anlageberatung untersagt habe.
Sodann erteilte die BaFin der Klägerin, die zu den größten Internetdienstanbietern (Internet- oder Access-Provider) gehört, eine Weisung, für die Internetadresse der beigeladenen Gesellschaft eine DNS-Sperre einzurichten und ihre Kunden darüber zu informieren, dass die Webseite auf Weisung gesperrt worden und eine Untersagungsverfügung gegenüber der beigeladenen Gesellschaft erlassen worden sei.
Mit ihrer Klage wendet sich die Klägerin gegen diese Weisung. Sie ist der Auffassung, § 37 Abs. 1 Satz 1 Nr. 1 KWG sei keine verfassungskonforme Ermächtigungsgrundlage für die Anordnung einer DNS-Sperre und die Auferlegung der Informationspflichten. Die BaFin habe auch nicht alle ihr möglichen und zumutbaren Maßnahmen zur Heranziehung der Beigeladenen ausgeschöpft, bevor sie die Weisung erteilt habe.
Die Kammer hat der Klage stattgegeben. In der mündlichen Urteilsbegründung hat die Kammer ausgeführt, dass sie an der Verfassungsmäßigkeit der Rechtsgrundlage des § 37 KWG keine Zweifel habe. Die Beigeladene habe zwar erlaubniswidrig gehandelt: die BaFin habe aber nicht ohne Vorermittlungen die Klägerin als Access-Provider einbeziehen dürfen. Insoweit hätte sie als milderes Mittel zunächst die Hinzuziehung des Host-Providers in Erwägung ziehen müssen.
Die Berufung wurde zugelassen.
Bei der Abfassung der Pressemitteilung lag eine schriftliche Urteilsbegründung noch nicht vor.
Das Urteil ist noch nicht rechtskräftig. Es besteht die Möglichkeit, gegen diese Entscheidung Rechtsmittel an den Hessischen Verwaltungsgerichtshof in Kassel einzulegen.
Kreditwesengesetz - KWG
§ 37 Einschreiten gegen unerlaubte oder verbotene Geschäfte
(1) 1Die Bundesanstalt kann die sofortige Einstellung des Geschäftsbetriebs und die unverzügliche Abwicklung dieser Geschäfte gegenüber dem Unternehmen und den Mitgliedern seiner Organe anordnen, wenn
1. ohne die nach § 32 oder die nach § 15 des Wertpapierinstitutsgesetzes erforderliche Erlaubnis Bankgeschäfte betrieben oder Finanzdienstleistungen erbracht werden,
VG Neustadt
Beschluss vom 27.10.2022 3 L 763/22.NW
Das VG Neustadt hat entschieden, dass die Datenerhebung und Datenspeicherung durch das Statistische Landesamt Rheinland-Pfalz im Rahmen des Zensus 2022 rechtmäßig und datenschutzkonform war bzw. ist.
Die Pressemitteilung des Gerichts: Datenerhebung im Rahmen des Zensus 2022 rechtmäßig
Das Statistische Landesamt Rheinland-Pfalz ist berechtigt, im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 die im Gesetz zur Durchführung des Zensus im Jahr 2022 (ZensG 2022) näher bezeichneten, strukturellen Angaben einschließlich sog. statistischer Hilfsmerkmale zu erheben. Dies geht aus einem Beschluss des Verwaltungsgerichts Neustadt/Wstr. vom 27. Oktober 2022 hervor.
Die Antragsteller bewohnen ein Anwesen im Landkreis Kaiserslautern. Der Antragsgegner erinnerte die Antragsteller mit Schreiben vom 27. Juni 2022 an die Beantwortung und Rückleitung der Datenanforderung zur GWZ bis zum 10. Juli 2022, nachdem diese ihrer Erklärungspflicht bis zu diesem Zeitpunkt nicht nachgekommen waren. Mit der Erinnerung wurde den Antragstellern mitgeteilt, dass sie die Fragen Online beantworten oder in Papierform an einen näher bezeichneten privaten Dienstleister senden könnten, der den Papierbogen digitalisiere und zur Geheimhaltung verpflichtet sei.
Am 4. Juli 2022 legten die Antragsteller dagegen Widerspruch ein. Der Widerspruch wurde mit Widerspruchsbescheid vom 4. August 2022 zurückgewiesen. Nach Zustellung des Widerspruchsbescheids erhoben die Antragsteller am 12.9.2022 Klage und suchten um vorläufigen gerichtlichen Rechtsschutz nach, mit der Begründung, dass die einschlägigen Rechtsvorschriften des Zensusgesetzes 2022 und die dort geregelte Behandlung von Hilfsmerkmalen verfassungswidrig seien. Der wirksame Schutz digital gespeicherter Daten könne grundsätzlich nicht gewährleistet werden, eine Deanonymisierung sei nicht ausgeschlossen. Der US-amerikanische IT-Dienstleister, der in den Betrieb der Internetpräsenz „www.zensus2022.de“ eingebunden sei, könne auf technische Daten zugreifen und biete im öffentlichen Teil der Website ein Kontaktformular an, über das Nutzer Statistikämter anschreiben könnten. Hierzu seien persönliche Daten einzugeben, deren Weitergabe an unbefugte Dritte nicht ausgeschlossen werden könne. Das vertraglich zugesicherte Versprechen des Dienstleisters, Daten ausschließlich auf europäischen Servern zu verarbeiten, sei mit Blick auf den „CLOUD Act“ unzureichend. Die Einbindung des Dienstleisters sei damit zugleich unionsrechtswidrig.
Der Antrag wurde mit Beschluss der 3. Kammer vom 27. Oktober 2022 abgelehnt.
Durch die Heranziehung der Antragsteller zu den im Rahmen der GWZ im Zensus 2022 angeforderten Auskünften sei das Recht auf informationelle Selbstbestimmung nicht verletzt. Die Ausgestaltung des Zensus 2022 entspreche den Vorgaben, die das Bundesverfassungsgericht in seinem Urteil vom 19. September 2018 (Az.: 2 BvF 1/15 und 2/15) zum Zensus 2011 sowie in dem zur Volkszählung ergangenen Urteil vom 15. Dezember 1983 (Az.: 1 BvR 209/83 u.a.) gemacht habe. Die rechtlichen Schutzmechanismen des ZensG 2022 blieben dabei nicht hinter denjenigen des Zensusgesetzes 2011 zurück. Der Grundsatz der Verhältnismäßigkeit sei gewahrt. Auch unter Berücksichtigung der Fortentwicklung der statistischen Wissenschaft seien Möglichkeiten einer grundrechtsschonenderen Datenerhebung nicht ersichtlich. Verbleibende Restrisiken der Deanonymisierung und Reidentifizierung seien zwar nicht auszuschließen, als notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik jedoch hinzunehmen. Die Heranziehung zur Auskunftserteilung verstoße auch nicht gegen datenschutzrechtliche Bestimmungen und sei insbesondere mit den Regelungen der Datenschutzgrundverordnung vereinbar. Das Hosting des öffentlichen Bereichs der Zensus 2022-Homepage durch einen US-amerikanischen Dienstleister stehe der Rechtmäßigkeit der Durchführung des Zensus 2022 nicht entgegen. Die Verarbeitung von Hosting-Daten durch den Dienstleister erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Befragungsdaten der Auskunftspflichtigen zum Zensus seien von der Verarbeitung nicht umfasst, sondern lediglich allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs. Der Antragsgegner dürfe auf die vertraglichen Zusagen des Dienstleisters vertrauen. Die Einlassungen der Antragsteller zu einem denkbaren Zugriff US-amerikanischer Sicherheitsbehörden im Rahmen des sog. "CLOUD-Act" blieben spekulativ und stünden einer Datenerhebung durch den Antragsgegner auch deshalb nicht entgegen, weil das Bundesverfassungsgericht verbleibende Restrisiken trotz Anspannung aller zumutbaren Vorkehrungen als grundsätzlich notwendige Folge einer im überwiegenden Allgemeininteresse angeordneten Statistik akzeptiert habe. Überdies sei der US-amerikanische IT-Dienstleister nach Auskunft des Bundesbeauftragten für den Datenschutz aufgrund zwischenzeitlich vorgenommener Änderungen beim Aufruf des Online-Fragebogens nicht mehr eingebunden, sodass auch eine Übermittlung von Metadaten nicht mehr erfolge. Damit griffen auch die von dem EuGH (Rechtssache C-311/18 "Schrems II") geäußerten Bedenken gegen eine Übertragung personenbezogener Daten von EU-Bürgern in die Vereinigten Staaten nicht durch. Die Übermittlung der eigentlichen Befragungsdaten erfolge unter Einhaltung der Vorgaben des Zensusvorbereitungsgesetzes 2022 verschlüsselt, womit der Gefahr des Zugriffs unbefugter Dritter wirksam begegnet werde. Dabei stehe es den Antragstellern frei, den Fragebogen in Papierform einzureichen. Die hierfür zur technischen Umsetzung in Gestalt der Digitalisierung eingebundene Firma sei zur Geheimhaltung verpflichtet. Sie habe kein Datenzugriffsrecht und erbringe damit unter datenschutzrechtlichen Aspekten keine Dienstleistung, die einen intensiveren Zugriff auf Daten der Antragsteller erlaube, als beispielsweise die Beauftragung eines privaten Postunternehmens, das mit Übergabe eines Briefs jedenfalls potenziell gleichfalls Zugriff auf die darin enthaltenen Daten habe.
Gegen den Beschluss ist das Rechtsmittel der Beschwerde zum Oberverwaltungsgericht Rheinland-Pfalz zulässig.
Verwaltungsgericht Neustadt, Beschluss vom 27. Oktober 2022 – 3 L 763/22.NW
Das Bundesverfassungsgericht hat entschieden, dass die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten auf Grundlage von § 20 Abs. 1 BVerfSchG grundrechtswidrig ist.
Die Pressemitteilung des Bundesverfassungsgerichts: Erfolgreiche Verfassungsbeschwerde gegen die Übermittlung mit nachrichtendienstlichen Mitteln erhobener personenbezogener Daten
Mit heute veröffentlichtem Beschluss hat der Erste Senat des Bundesverfassungsgerichts entschieden, dass die Übermittlungsbefugnisse der Verfassungsschutzbehörden in Angelegenheiten des Staats- und Verfassungsschutzes nach dem Bundesverfassungsschutzgesetz (BVerfSchG) mit dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) nicht vereinbar sind. Dies gilt, soweit sie zur Übermittlung personenbezogener Daten verpflichten, die mit nachrichtendienstlichen Mitteln erhoben wurden. Die betreffenden Vorschriften verstoßen gegen die Normenklarheit und den Grundsatz der Verhältnismäßigkeit. Zudem fehlt es an einer spezifisch normierten Protokollierungspflicht. Die angegriffenen Normen gelten - mit Blick auf die betroffenen Grundrechte jedoch nach einschränkenden Maßgaben - bis zum 31. Dezember 2023 vorübergehend fort.
Sachverhalt:
Nach § 20 Abs. 1 Satz 1 BVerfSchG übermittelt das Bundesamt für Verfassungsschutz personenbezogene Daten und Informationen an Polizeien und Staatsanwaltschaften, wenn tatsächliche Anhaltspunkte dafür bestehen, dass die Übermittlung zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. § 20 Abs. 1 Satz 2 BVerfSchG definiert die Staatsschutzdelikte unter anderem als die in §§ 74a und 120 des Gerichtsverfassungsgesetzes (GVG) genannten Straftaten sowie sonstige Straftaten, die gegen die in Art. 73 Abs. 1 Nr. 10 Buchstabe b oder c GG genannten Schutzgüter gerichtet sind. § 21 Abs. 1 Satz 1 BVerfSchG erstreckt die Übermittlungspflichten des § 20 Abs. 1 Satz 1 und 2 BVerfSchG entsprechend auf die Verfassungsschutzbehörden der Länder. Auf diese Übermittlungsregelungen verweist das Rechtsextremismus-Datei-Gesetz (RED-G). Die Rechtsextremismus-Datei ist eine der Bekämpfung des gewaltbezogenen Rechtsextremismus dienende Verbunddatei von Polizeibehörden und Nachrichtendiensten des Bundes und der Länder, die in ihrem Kern der Informationsanbahnung dient. Dazu werden in ihr spezifische personenbezogene Daten gespeichert, wenn ihre Kenntnis für die Aufklärung oder Bekämpfung des gewaltbezogenen Rechtsextremismus erforderlich ist. Der Beschwerdeführer, der im Prozess um den Nationalsozialistischen Untergrund rechtskräftig verurteilt wurde, wendet sich gegen die Übermittlungsbefugnisse der Verfassungsschutzbehörden und rügt eine Verletzung des Grundrechts auf informationelle Selbstbestimmung.
Wesentliche Erwägungen des Senats:
A. Die Verfassungsbeschwerde ist zulässig, soweit sie sich gegen die Übermittlungsvorschriften in § 20 Abs. 1 Satz 1 und 2 und § 21 Abs. 1 Satz 1 in Verbindung mit § 20 Abs. 1 Satz 1 und 2 BVerfSchG richtet. Der Beschwerdeführer beanstandet die Übermittlungstatbestände allerdings nur hinsichtlich der Übermittlung mit nachrichtendienstlichen Mitteln heimlich erhobener personenbezogener Daten.
Soweit der Beschwerdeführer zusätzlich die allgemeine Übermittlungsbefugnis des Bundesamtes für Verfassungsschutz nach § 19 Abs. 1 Satz 1 BVerfSchG in der Fassung vom 5. Januar 2007 angegriffen hat, ist die Verfassungsbeschwerde unzulässig. Nachdem in Folge einer Gesetzesänderung im Jahr 2015 die Altfassung außer Kraft getreten ist, fehlt es insoweit an einem fortdauernden Rechtsschutzbedürfnis. Der Beschwerdeführer hat seine Verfassungsbeschwerde auch nicht fristgerecht auf die Neufassung der Vorschrift umgestellt.
B. Soweit die Verfassungsbeschwerde zulässig ist, ist sie auch begründet.
I. Durch Übermittlungen personenbezogener Daten und Informationen nach den angegriffenen Regelungen ist das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG betroffen. Die Übermittlung personenbezogener Daten, mit der eine Behörde die von ihr erhobenen Daten einer anderen Stelle zugänglich macht, begründet einen erneuten Grundrechtseingriff im Verhältnis zur ursprünglichen Datenerhebung.
II. Die angegriffenen Vorschriften sind zwar in formeller Hinsicht mit der Verfassung vereinbar. Insbesondere steht dem Bund hier die Gesetzgebungskompetenz zu. Denn die Gesetzgebungskompetenz des Bundes aus Art. 73 Abs. 1 Nr. 10 GG erstreckt sich nicht nur auf die Zusammenarbeit des Bundes und der Länder, sondern auch auf die der Länder untereinander. Sie umfasst hingegen nicht die Regelung der Zusammenarbeit zwischen Behörden desselben Landes.
III. Die angegriffenen Übermittlungsbefugnisse genügen jedoch nicht den verfassungsrechtlichen Anforderungen an die Normenklarheit und die Verhältnismäßigkeit und enthalten keine ausreichenden Vorgaben für eine Protokollierung der Datenübermittlung.
1. a) Ein Verstoß gegen das Gebot der Normenklarheit folgt hier allerdings nicht ohne weiteres bereits daraus, dass sich der Gesetzgeber mitunter mehrgliedriger Verweisungsketten bedient hat. Die Normenklarheit setzt der Verwendung gesetzlicher Verweisungsketten Grenzen, steht dieser aber nicht grundsätzlich entgegen. Maßgeblich bleibt die inhaltliche Verständlichkeit der Regelung für den Normbetroffenen. Bei der Normierung sicherheitsrechtlicher Datenverarbeitungen kann es zweckdienlich sein, auf Fachgesetze zu verweisen, in deren Kontext Auslegungsfragen – anders als bei heimlichen Maßnahmen – im Wechselspiel von Anwendungspraxis und gerichtlicher Kontrolle verbindlich geklärt werden können. Ob eine Verweisung mit dem Gebot der Normenklarheit vereinbar ist, hängt von einer wertenden Gesamtbetrachtung unter Berücksichtigung möglicher Regelungsalternativen ab. Das Erfassen des Normgehaltes wird insbesondere durch Verweisungsketten erleichtert, die die in Bezug genommenen Vorschriften vollständig aufführen.
Danach sind jedenfalls einige der selbst vielgliedrigen Verweisungsketten des § 20 Abs. 1 Satz 2 BVerfSchG unter dem Aspekt der Normenklarheit nicht zu beanstanden.
b) Jedoch regelt § 20 Abs. 1 Satz 2 BVerfSchG die Voraussetzungen der Übermittlungspflicht nicht durchgehend normenklar. Verweisungen dürfen nicht durch die Inbezugnahme von Normen, die andersartige Spannungslagen bewältigen, ihre Klarheit verlieren und in der Praxis nicht zu übermäßigen Schwierigkeiten bei der Anwendung führen. Dies droht vorliegend dadurch, dass zur Bestimmung der Straftaten, die eine Übermittlungspflicht auslösen, ohne weitere Einschränkung auf § 120 Abs. 2 GVG verwiesen wird. Nach dieser Vorschrift wird die Zuständigkeit der Oberlandesgerichte für bestimmte Straftaten nur begründet, wenn der Generalbundesanwalt wegen der besonderen Bedeutung des Falles die Verfolgung übernimmt. Ob und inwieweit dieses Tatbestandmerkmal auch im Rahmen der – insbesondere gefahrenabwehrrechtlichen – Übermittlungspflicht zu berücksichtigen ist, lässt § 20 Abs. 1 Satz 2 BVerfSchG in Verbindung mit § 120 Abs. 2 GVG nicht mit hinreichender Klarheit erkennen.
2. Die in § 20 Abs. 1 Satz 1 und 2 BVerfSchG geregelten Übermittlungsbefugnisse verstoßen zudem gegen den Grundsatz der Verhältnismäßigkeit.
a) Zwar dienen sie dem legitimen Zweck, Staatsschutzdelikte effektiv zu bekämpfen und damit einhergehend den Bestand und die Sicherheit des Staates sowie Leib, Leben und Freiheit der Bevölkerung zu schützen. Dass die angegriffenen Übermittlungsbefugnisse zur Erreichung dieser Zwecke grundsätzlich im verfassungsrechtlichen Sinne geeignet und erforderlich sind, steht nicht in Zweifel.
b) Sie sind jedoch nicht durchweg mit den Anforderungen des Grundsatzes der Verhältnismäßigkeit im engeren Sinne vereinbar.
aa) Nach diesem gilt für die Übermittlung personenbezogener Daten und Informationen von Verfassungsschutzbehörden an Sicherheitsbehörden mit operativen Anschlussbefugnissen grundsätzlich ein informationelles Trennungsprinzip. Aufgrund der weitreichenden Überwachungsbefugnisse der Verfassungsschutzbehörden unterliegen derartige Übermittlungen gesteigerten Rechtfertigungsvoraussetzungen. Jedenfalls wenn personenbezogene Daten und Informationen mit nachrichtendienstlichen Mitteln erhoben wurden, beurteilen sich diese nach dem Kriterium der hypothetischen Neuerhebung. Danach kommt es darauf an, ob der empfangenden Behörde zu dem jeweiligen Übermittlungszweck eine eigene Datenerhebung und Informationsgewinnung mit vergleichbar schwerwiegenden Mitteln wie der vorangegangenen Überwachung durch die Verfassungsschutzbehörde erlaubt werden dürfte.
(1) Die Übermittlung an eine Gefahrenabwehrbehörde setzt daher voraus, dass sie dem Schutz eines besonders gewichtigen Rechtsguts dient, für das wenigstens eine hinreichend konkretisierte Gefahr besteht. Im Grundsatz steht es dem Gesetzgeber bei der Normierung der Übermittlungsvoraussetzungen frei, das erforderliche Rechtsgut nicht unmittelbar zu benennen, sondern an entsprechende Straftaten anzuknüpfen. Die Übermittlung kann dabei als Übermittlungsschwelle grundsätzlich auch an die Gefahr der Begehung solcher Straftaten anknüpfen, bei denen die Strafbarkeitsschwelle durch die Pönalisierung von Vorbereitungshandlungen oder bloßen Rechtsgutgefährdungen in das Vorfeld von Gefahren verlagert wird. Der Gesetzgeber muss dann aber sicherstellen, dass in jedem Einzelfall eine konkrete oder konkretisierte Gefahr für das durch den Straftatbestand geschützte Rechtsgut vorliegt. Diese ergibt sich nicht notwendiger Weise bereits aus der Gefahr der Tatbestandsverwirklichung selbst.
(2) Die Übermittlung an eine Strafverfolgungsbehörde kommt nur zur Verfolgung besonders schwerer Straftaten in Betracht und setzt voraus, dass ein durch bestimmte Tatsachen begründeter Verdacht vorliegt, für den konkrete und verdichtete Umstände als Tatsachenbasis vorhanden sind.
bb) Diesen Anforderungen genügen die angegriffenen Vorschriften nicht. § 20 Abs. 1 Satz 1 BVerfSchG benennt bei der Regelung der Übermittlung nachrichtendienstlich erhobener Daten zur Gefahrenabwehr nicht unmittelbar das zu schützende Rechtsgut, sondern knüpft – grundsätzlich zulässig – ebenso wie bei der Übermittlung zur Strafverfolgung an die in § 20 Abs. 1 Satz 2 BVerfSchG aufgeführten Straftaten an. Allerdings können nicht alle in den §§ 74a, 120 GVG genannten und durch die Vorschrift pauschal in Bezug genommenen Straftaten als besonders schwere Straftaten qualifiziert werden. Gleiches gilt für den offenen Übermittlungstatbestand, der beliebige sonstige Straftaten alleine aufgrund ihrer Zielsetzung oder des Motivs des Täters mit einbezieht.
Insoweit hilft es auch nicht, dass § 23 Nr. 1 BVerfSchG ein allgemeines Verbot unverhältnismäßiger Übermittlungen enthält. Dieser Pauschalvorbehalt strukturiert den Abwägungsprozess trotz der inzwischen erfolgten verfassungsgerichtlichen Konkretisierung der Anforderungen jedenfalls wegen der in § 20 Abs. 1 Satz 1 BVerfSchG normierten Pflicht zur Übermittlung nicht in einer Weise, dass eine Beschränkung der Übermittlung auf Fälle gesichert wäre, in denen die notwendigen Voraussetzungen vorliegen.
Darüber hinaus fehlt es an der verfassungsrechtlich gebotenen Übermittlungsschwelle. Die angegriffenen Vorschriften erlauben eine Übermittlung bereits dann, wenn tatsächliche Anhaltspunkte dafür bestehen, dass diese zur Verhinderung oder Verfolgung von Staatsschutzdelikten erforderlich ist. Sie ermöglichen damit die Übermittlung von Informationen, die unabhängig von einer konkretisierten Gefahrenlage oder von bestimmten, den Verdacht begründenden Tatsachen als erforderlich angesehen werden können.
3. Schließlich genügen die Übermittlungsvorschriften den verfassungsrechtlichen Anforderungen an eine spezifisch normierte Pflicht zur Protokollierung der Übermittlung sowie zur Nennung der für die Übermittlung in Anspruch genommenen Rechtsgrundlage nicht.
Das OLG Stuttgart hat entschieden, dass die Aufforderung zur Herausgabe von auf Server gespeicherten Daten eines Dritten und Verpflichtung zur Verschwiegenheit keine Onlinedurchsuchung nach § 100b StPO. Eine derartige Emittlungsmaßnahme gegen einen IT-Dienstleister ist mangels Befugnisnorm unzulässig.
Aus den Entscheidungsgründen:
Die von der Staatsanwaltschaft Mannheim beantragte Ermittlungsmaßnahme entspricht nicht einer in § 100b StPO normierten Onlinedurchsuchung, sondern stellt sich im Hinblick auf den mitbetroffenen IT-Servicedienstleister als Maßnahme sui generis dar, die der Gesetzgeber (bislang) nicht vorgesehen hat. Insbesondere besteht keine Rechtsgrundlage dafür, den IT-Servicebetreiber zu einer Mitwirkung (1.) an einer gegenüber dem Beschuldigten heimlichen Ausforschung des IT-Systems und zum Stillschweigen (2.) darüber zu verpflichten.
1. § 100b StPO regelt den verdeckten Zugriff der Ermittlungsbehörden auf ein vom Beschuldigten genutztes informationstechnisches System mit technischen Mitteln und sieht keine heimlich auszuübende Mitwirkungsverpflichtung eines Dritten vor.
Bereits vor Normerlass war nach der Rechtsprechung des BGH die Beschlagnahme und Auswertung eines Computers und dessen vollständigen Datenbestandes nach §§ 94 ff., 102 ff. StPO mit den entsprechenden Herausgabepflichten aus § 95 StPO möglich; eine verdeckte Online-Durchsuchung war demgegenüber wegen der damit aufgrund der Heimlichkeit der Maßnahme gesteigerten Eingriffsintensität und mangels gesetzlicher Grundlage nicht zulässig (vgl. BGH, Beschluss vom 31.01.2007 - StB 18/06). Mit Einführung der Onlinedurchsuchung gemäß § 100b StPO wollte der Gesetzgeber die diesbezüglich erkannte Regelunglücke schließen und den Ermittlungsbehörden verdeckte Durchsuchungsmaßnahmen unter bestimmten, einschränkenden Voraussetzungen mit technischen Mitteln ermöglichen, wie sich der Gesetzesbegründung (BT-Drucksache 18/12785) entnehmen lässt. Die Gesetzesmotive (aaO, Seite 54) verdeutlichen, dass der Gesetzgeber eine Online-Durchsuchung im Sinne eines verdeckten, d.h. heimlichen, staatlichen Zugriffs auf ein fremdes informationstechnisches System mit dem Ziel, dessen Nutzung zu überwachen und gespeicherte Inhalte auszuleiten, verstanden wissen wollte. Da er nach der damaligen Rechtslage eine „offene“ Durchsuchung und Beschlagnahme der auf informationstechnischen Geräten gespeicherten Daten nach den §§ 94 ff., 102 ff. StPO jedoch bereits als grundsätzlich legitimiert ansah, stellte er mit der Schaffung des § 100b StPO einerseits die Heimlichkeit der Maßnahme in den Mittelpunkt und wollte zur Wahrung derselben den Einsatz technischer Instrumentarien erlauben. Er wollte staatlichen Ermittlungsbehörden ermöglichen, das IT-System eines Beschuldigten ohne dessen Wissen zu infiltrieren. Zwar lässt sich der Gesetzesbegründung nicht entnehmen, wie hiernach zum Einsatz kommende technische Mittel ausgestaltet sein sollten; die Gesetzesbegründung geht jedoch erkennbar davon aus, dass solche Mittel angewendet werden müssen, um die heimliche Datenerhebung zu erreichen. Deutlich wird in den Gesetzesmaterialien auch, dass die Informationsbeschaffung im Rahmen des § 100b StPO deutlich weiter reichen sollte, als dies bis dahin auf Grundlage einer - ausschließlich Kommunikationsinhalte umfassenden - Telekommunikationsüberwachung nach § 100a StPO möglich war; nicht nur neu hinzukommende Kommunikationsinhalte, sondern alle auf einem informationstechnischen System gespeicherten Inhalte sowie das gesamte Nutzungsverhalten einer Person sollten überwacht werden können.
Vor diesem Hintergrund setzt sich die Gesetzesbegründung auch intensiv mit der Frage auseinander, dass die Ausforschung und Untersuchung aller Daten und Aktivitäten eines IT-Systems über die reinen Kommunikationsinhalte hinaus den von Art. 1 i.V.m. Art. 2 Abs. 2 GG verfassungsrechtlich besonders geschützten Kernbereich der privaten Lebensführung betreffen kann. Dementsprechend hat der Gesetzgeber sich hinsichtlich der Eingriffsvoraussetzungen und der verfahrensrechtlichen Sicherungen des § 100b StPO an den Regelungen zur akustischen Wohnraumüberwachung orientiert. Nach den Vorstellungen des Gesetzgebers sollte von der Online-Durchsuchung den verfassungsrechtlichen Vorgaben folgend restriktiv Gebrauch gemacht werden, was auch durch die Subsidiaritätsklausel in § 100b Abs. 1 Nr. 3 StPO zum Ausdruck kommt.
Diesem gesetzgeberischen Willen und den verfassungsrechtlichen Anforderungen entsprechend ist bei der Anwendung und Auslegung der Norm nach Ansicht des Senats Zurückhaltung geboten. Die vom Gesetzgeber vorgenommene Typisierung der einzelnen Ermittlungsmaßnahmen und der ihnen jeweils innewohnende Charakter muss im Blick behalten werden: Im Ausgangspunkt erfährt daher eine Onlinedurchsuchung gemäß § 100b StPO im Gegensatz zur Durchsuchung und Beschlagnahme nach §§ 94 ff., 102 ff. StPO ihre spezifische Prägung durch die Heimlichkeit der Maßnahme. Daher sind in § 100b StPO anders als bei der Telefonüberwachung nach § 100a StPO, der Bestandsdatenauskunft nach § 100j StPO oder der Erhebung von Nutzungsdaten bei Telemediendiensten gem. § 100k StPO gerade keine Mitwirkungspflichten von Providern vorgesehen. Das Fehlen einer vergleichbaren Ermächtigungsnorm im Bereich des § 100b StPO zeigt, dass der Fall einer offenen Maßnahme gegenüber dem Diensteanbieter gerade nicht geregelt ist.
Die Anordnung einer Onlinedurchsuchung durch das Gericht erlaubt den Ermittlungsbehörden, ein bestimmtes IT-System des Beschuldigten oder eines Dritten, dessen IT-System der Beschuldigte nutzt, zu infiltrieren, um Daten aus diesem System zu erheben. Die Ausführung der Maßnahme obliegt zwar der Staatsanwaltschaft und ihren Ermittlungspersonen. Dabei ist es nach allgemeinen Grundsätzen grundsätzlich auch denkbar, dass die Staatsanwaltschaft als „Herrin des Ermittlungsverfahrens“ eine gerichtlich angeordnete Ermittlungsmaßnahme nicht oder nur teilweise ausführen lässt, etwa, wenn der Vollzug der angeordneten Maßnahme aufgrund von aktuellen Entwicklungen nicht (mehr) zweckmäßig erscheint. Auch ist es zulässig, eine gerichtlich angeordnete Maßnahme nur teilweise auszuführen, wenn sich eine in der Anordnung vorgesehene Zwangsmaßnahme durch die freiwillige Mitwirkung der betroffenen Person erübrigt.
Für nicht zulässig hält es der Senat allerdings, im Wege eines Erst-Recht-Schlusses - wie die Staatsanwaltschaft in ihrer Beschwerde argumentiert - die Verpflichtung eines Dritten zur Mitwirkung als vermeintlich milderes Mittel gegenüber einer technischen Infiltration auf Grundlage von § 100b StPO anzuordnen; hierin ist kein Minus, sondern vielmehr ein Aliud zu sehen. Die Vorschrift des § 100b StPO behandelt nämlich nur das Verhältnis von staatlichen Ermittlungsbehörden gegenüber Beschuldigten und nicht auch gegenüber Dritten. Hätte der Gesetzgeber über das in § 100b Abs. 3 S. 2 StPO bereits vorgesehene Maß hinaus in Rechte Dritter eingreifen und sie etwa zur Mitwirkung verpflichten wollen, hätte dies bereits aus verfassungsrechtlichen Gründen einer ausdrücklichen Regelung bedurft.
Denn eine offene, den Diensteanbieter verpflichtende Maßnahme nach § 100b StPO würde neben dem Eingriff in den Schutzbereich des Grundrechts auf Integrität und Vertraulichkeit informationstechnischer Systeme und dem Eingriff in das Fernmeldegeheimnis auch einen Eingriff in die Berufsausübungsfreiheit des Diensteanbieters darstellen, der nach Art. 12 Abs.1 S.2 GG einer besonderen gesetzlichen Grundlage bedürfte (vgl. BGH, Beschluss vom 20. August 2015 – StB 7/15 –, juris zu § 100a und 100b Abs. 3 S.1 a.F.). Insoweit stellt auch § 95 StPO mit der dort normierten Herausgabepflicht keine ausreichende Ermächtigungsgrundlage dar, da dieser allein die Herausgabe von (beschlagnahmefähigen) Gegenständen betrifft, worunter zwar grds. die vorliegend zu erhebenden (Bestands-) Daten fallen, nicht aber die auch dem § 100b StPO unterfallende laufende Kommunikation nebst Überwachung des Nutzungsverhaltens.
Eine gegenüber dem Diensteanbieter - und nicht einem Beschuldigten - als Eingriffsadressaten nach § 100b Abs. 3 S. 2 StPO offene Maßnahme nach § 100b StPO käme darüber hinaus vor dem Hintergrund der Subsidiaritätsklausel des § 100b Abs. 1 Nr. 3 StPO nicht in Betracht. Insoweit stellt die im vorliegenden Fall zur Erhebung von Bestandsdaten ausreichende analoge Durchsuchung und Beschlagnahme nach §§ 102 ff., 94 ff. StPO den geringeren Eingriff bei gleichem Erfolg der Maßnahme (einmalige Erhebung der zum Zeitpunkt der Durchsuchung vorhandenen Daten) dar.
2. Darüber hinaus ergibt sich aus § 100b i.V.m. § 101 Abs. 4 S. 3 u. 4 StPO, genauso wenig wie (bislang) aus den §§ 94 ff. StPO, eine Ermächtigung, den betroffenen Diensteanbieter zur Verschwiegenheit gegenüber seinem Kunden, dem Beschuldigten, zu verpflichten. Die durch § 101 Abs. 4 S. 3 u. 4 StPO ermöglichte Zurückstellung der Benachrichtigung des Betroffenen stellt lediglich eine Ausnahme von der ansonsten nach § 35 StPO spätestens mit Beginn einer Maßnahme durch die staatlichen Organe vorzunehmende Benachrichtigung dar; keinesfalls kann hierüber ein Dritter - noch dazu in Bezug auf seine Berufsausübung - zum Stillschweigen verpflichtet werden. Eine Stillschweigeverpflichtung ergibt sich für (deutsche) Diensteanbieter allein aus § 113 Abs. 6 S. 2 TKG (bzw. § 17 G 10), der aber seinerseits keine Ermächtigungsnorm für die Strafverfolgungsbehörden darstellt und dessen Reichweite sich überdies auf den Anwendungsbereich des TKG beschränkt, das auf den vorliegend in Rede stehenden Anbieter von Cloud-Diensten keine Anwendung findet.
3. Soweit die Generalstaatsanwaltschaft in ihrer Zuschrift zu bedenken gibt, dass der Einsatz qualifizierter technischer Mittel (Überwachungssoftware) im Rahmen der sog. Quellen-TKÜ auf praktische Probleme stoße und die Ermittlungsbehörden darauf angewiesen seien, auf andere Art Zugriff auf Kommunikationsplattformen oder Cloud-Dienste zu nehmen, bedarf es vorliegend keiner Entscheidung darüber, ob die Ausnutzung solcher Zugangsdaten sich als Einsatz technischer Mittel im Sinne des § 100b StPO darstellt. Da sich weder aus dem Gesetz noch aus den Gesetzesmaterialien konkrete Festlegungen zur Ausgestaltung der technischen Mittel entnehmen lassen, erscheint es nach Ansicht des Senats jedenfalls nicht von vorneherein ausgeschlossen, dass andere Eingriffe - etwa durch Verwendung eines heimlich erlangten Zugangspassworts -, die sich aus Sicht eines Systembetreibers jedenfalls als systemfremder Zugriff von außen darstellen dürften, unter § 100b StPO bzw. § 100a Abs. 1 Satz 2 StPO fallen können. In diesem Fall würden sich, solange die Maßnahme durch die Ermittlungsbehörden selbst vorgenommen wird, die in der vorliegend zu entscheidenden Konstellation maßgeblichen Probleme der mangelnden Heimlichkeit sowie der Mitwirkungspflicht eines Dritten nicht stellen.
