Ist das juristische Ende krimineller Kryptomessenger gekommen?

Nach der grundlegenden Entscheidung des BGH (BGHSt 67, 29) zur Verwertbarkeit der Daten gem. § 261 StPO hat das BVerfG die Verfassungsbeschwerde als unzulässig zurückgewiesen, da der Beschwerdeführer die Entscheidung des EuGH nicht ergänzend berücksichtigt hatte (BVerfG NStZ-RR 25, 25). Das BVerfG erinnerte nichts gegen Behandlung und Bewertung der von der Verteidigung geltend gemachten Verwertungsverbote durch die erste Instanz und den BGH, insbesondere die gebotene Abwägung im Rahmen der Verwertung von im europäischen Ausland erhobenen Daten nach deutschem Recht gem. § 100b StPO analog und die Betrachtung im Verwertungszeitpunkt.

Kritisiert, aber als nicht entscheidungserheblich angesehen, wurde lediglich die Nichtvorlage beim EuGH durch den BGH gem. Art. 267 Abs. 3 AEUV, der dies als rein innerstaatliche Fragestellung angesehen hatte. Der BGH hat in der Folge unter Berücksichtigung der Rechtsprechung des EuGH angenommen, dass Beweise im hiesigen Zusammenhang verwertbar sind, wenn eine Europäische Ermittlungsanordnung (EEA) gem. Art. 6 Abs. 1a RL EEA, die auf der Einleitung eines Verfahrens gegen einen Beschuldigten im Anordnungsstaat (hier: Deutschland) beruht, notwendig und verhältnismäßig ist (BGH 13.2.25, 5 StR 491/23, juris).

Die EAA setzt gem. Art. 6 Abs. 1b RL EEA voraus, dass die Maßnahme „in einem vergleichbaren innerstaatlichen Fall unter denselben Bedingungen“ erfolgen dürfte. Dabei müssen nicht die materiellen Voraussetzungen für die Anordnung der Maßnahme im Anordnungsstaat vorliegen, sondern nur die der innerstaatlichen Übermittlung der Daten gem. § 161 Abs. 1, § 474 Abs. 1 StPO (BGH, a. a. O.). § 161 Abs. 3, § 479 Abs. 2, § 100e Abs. StPO, die eine Schwellengleichheit verlangen, wenn die Daten verwendet werden, greifen nicht, wenn im Ausland erhobene Daten verwendet werden. Denn sie erfordern nach dem Wortlaut eine Datenerhebung nach deutschem Recht. Zudem ergibt die teleologische Auslegung der europäischen Rechtshilfevorschriften, dass die gegenteilige Auffassung eine Überprüfung der Anordnung der Maßnahme im Vollstreckungsstaat (hier: Frankreich) erfordere, die der gegenseitigen Anerkennung und justiziellen und effektiven Zusammenarbeit innerhalb der EU zuwiderliefe. Dies gilt für alle Taten in prozessualer Tateinheit. Die zugrunde liegenden Verwendungsbeschränkungen sind erst im Rahmen der Verhältnismäßigkeitsprüfung bedeutsam, wenn die Daten im konkreten Strafverfahren verwertet werden (etwa nach dem Maßstab der §§ 100b, 100d StPO; BGH, a. a. O.). In einer früheren Entscheidung prüft der BGH die innerstaatlichen Verwendungsbeschränkungen der § 161 Abs. 3, § 479 Abs. 2, § 100b VI StPO analog bereits im Rahmen des Art. 6 Abs. 1b RL EEA unter Bezugnahme auf den EuGH (BGH 30.1.25, 5 StR 528/24 –, juris).

Seit dem 1.4.24 unterfiel der Handel mit Cannabis in nicht geringer Menge nach § 34 Abs. 1 und 3 Konsumcannabisgesetz (KCanG) nicht mehr dem § 100b StPO, sodass einige Gerichte mangels Verwertbarkeit von EncroChat-Dateien zu Freisprüchen kamen (s. nur KG Berlin 30.4.24, 5 Ws 67/24, juris). Dem steht die BGH-Rechtsprechung entgegen, nach der die Meistbegünstigungsklausel des § 2 Abs. 3 StGB nicht für Verfahrensrecht gilt (BGH 30.1.25, 5 StR 528/24, juris; BGH 13.2.25, 5 StR 491/23, juris; 1 StR 349/24, 30.4.25, becklink 2034219).

2019 wurden bei einer Ermittlung wegen Rauschgiftdelikten in den Niederlanden kryptierte Mobiltlefone der kanadischen Firma Sky Global gefunden, die die Messenger-Anwendung SkyECC für ca. 2.200 EUR im Jahr vertrieb. Nutzer waren ca. 170.000 Personen weltweit. Ferner wurden 9.000 Chatnachrichten französischer Staatsbürger ermittelt und an Frankreich übergeben. Französische Ermittlungsbehörden infiltrierten daraufhin aufgrund richterlicher Beschlüsse die in Frankreich befindlichen und von Sky Global genutzten Server und konnten sich durch einen „Man-in-the-Middle“-Angriff mit einem eigenen Server zwischen den Hauptserver und die Endgeräte unter Erfassung der Entschlüsselungsdaten setzen, bevor die Nachrichten weitergeleitet wurden. Es wurde ein Datenvolumen (zusammen mit den EncroChat-Daten) von 4 Petabyte (iww.de/s13000) sichergestellt. Bis August 2022 erfolgten Datenübersendungen aufgrund mehrerer EEA aus Frankreich nach Deutschland.

Laut BGH sind die übermittelten Daten verwertbar (BGH 9.1.25, 1 StR 142/24, juris), da weder eine anlasslose Massenüberwachung aufgrund der Verdachtsmomente aus den Chats vorlag noch eine späte Benachrichtigung deutscher Behörden bei Maßnahmen gegen deutsche Staatsangehörige zu einem Verwertungsverbot führt. Da es sich um schwere Straftaten i. S. d. § 100b StPO handelt, sind ferner die Voraussetzungen des Art. 6 Abs. 1b RL EEA zur vergleichbaren innerstaatlichen Weitergabe von Daten erfüllt. Eingriffe in den höchstpersönlichen Bereich sind nicht ersichtlich.

Ab 2017 entwickelten US-amerikanische und australische Ermittler mithilfe eines V-Mannes in der Operation Trojan Shield ein eigenes Kryptohandy namens „ANOM“, dass über eine Backdoor, d. h. eine Möglichkeit der Ausleitung des Datenverkehrs unter Verwendung des Entschlüsselungscodes durch das FBI das Mitlesen und Aufzeichnen des Chat- und Datenverkehrs ermöglichte. Das über V-Leute vertriebene Gerät kostete in Europa zwischen 1.000 EUR und 1.500 EUR im Jahr, bezahlbar über Kryptowährungen, und war Ende-zu-Ende-verschlüsselt. Der Server, an den eine Kopie des Datenverkehrs ausgeleitet wurde, stand von Sommer 2019 – 7.6.21 in einem europäischen Land (wahrscheinlich Litauen, iww.de/s13001), das mit gerichtlicher Genehmigung alle 2 bis 3 Tage den Empfang der Nachrichten ermöglichte. Europa wurde für den Server-Standort wahrscheinlich gewählt, weil Gerichte in den USA und Australien die Genehmigung der Einrichtung eines Ausleitungsservers versagt haben sollen.

Ab September 2020 erhielt das BKA Kenntnis von Daten mit Bezug zu Deutschland. Die Generalstaatsanwaltschaft Frankfurt a. M. stellte im April ein Rechtshilfeersuchen an das US-Justizministerium, das die Verwertung der übersandten Daten genehmigte. Mehrere Gerichte (z. B. OLG München 19.10.23, 1 Ws 525/23, juris) hielten die Daten nicht für verwertbar, da weder das Drittland noch die dort ergangenen Beschlüsse bekannt seien und daher rechtsstaatliche Belange nicht beurteilt werden könnten.

Der BGH hat ein Verwertungsverbot abgelehnt (BGH 9.1.25, 1 StR 54/24, juris; BGH 21.1.25, 1 StR 281/24, juris), da es sich bei dem Drittstaat um einen europäischen Staat handelt, der zwar die Unterrichtungspflicht gem. Art. 31 Abs. 1 RL EEA verletzt habe, woraus jedoch im Zuge der Abwägung kein Verwertungsverbot folgt, da es sich ausschließlich um Chatinhalte zu kriminellen Zwecken für schwerwiegende Straftaten handelte, die weder den Kernbereich betrafen noch anlasslos, da nur von Kriminellen genutzt, ermittelt wurden. Weder lag ein „Befugnis-Shopping“ vor, um deutsche Normen zu umgehen, noch wurde das Vertrauen missbraucht, da kriminelle Zwecke keinen Vertrauensschutz verdienen und die „Täuschung“ lediglich in der möglichen Entschlüsselung lag. Der Grundsatz gegenseitigen Vertrauens rechtsstaatlichen Handelns gilt auch im Verhältnis zu den USA. Die Angeklagten waren zwar aufgrund der Tatsache, dass der Drittstaat unbekannt ist, daran gehindert, Anfechtungsmaßnahmen zu nutzen (Primärschutz). Dies ist aber hinnehmbar, da die Eingriffsschwellen der §§ 100a, 100e Abs. 6 StPO von Anfang an erreicht waren. Eine rechtsstaatswidrige Tatprovokation ist nach dem BGH nicht feststellbar, da nicht ersichtlich ist, dass staatliche Ermittler zu den Straftaten verleitet haben.

Der BGH verneint also neben der Unverwertbarkeit der Beweise die Problematik einer sog. „Hörfalle“ wegen fehlenden Vertrauensschutzes und eine Tatprovokation alleine durch einen bloßen Bedingungszusammenhang mit dem Messenger.

Es bleibt den Beratenden in den genannten Fällen nur, auf die Beweiswürdigung zu achten (vgl. z. B. LG Berlin I 19. 12.24, 525 KLs 8/22, juris, Rn. 372 ff., nicht rechtskräftig), die sich auf das Auftauchen derselben Teilnehmerdaten in dem Korrespondenzchat beziehen muss, auf die Zeitstempel, eine Identifizierung und die Metadaten sowie eine ordnungsgemäße computerforensische Auswertung.