von Dirk Burczyk
Auch Kriminelle schützen ihre Kommunikation mithilfe kryptografisch geschützter Telekommunikation. Beim EncroChat-Hack ist es Polizeibehörden scheinbar gelungen, in solche Strukturen einzudringen und Tausende Verdächtige zu identifizieren.
Am 24. Juni 2020 um 16:54 MEZ fädelt ein Nutzer „cxxxx@encrochat“ den Kauf einer Menge von zehn Kilogramm Marihuana bei seinem Kumpel „lxxxx@encrochat“ ein. „Also Sonntag kommt das Gras. ich kann Sonntag aber noch nicht da sein legst Du das für mich so lange weg?“ – „ja ich kläre alles … 5 [Kilogramm Marihuana] krieg ich mindestens hin“ – „okay also brauchst Du Geld erst wenn wir uns sehen“ – „nee brauche erst Geld wenn Du es mitnimmst“. Am folgenden Tag geht dieser Dialog, der wie aus dem Drehbuch eines B-Movies klingt, weiter. „lass uns mal absprechen wie wir das nun machen“ schreibt der Eine. Der Andere hakt nach: „Digga?“ – „Moment“ „bekommst Deine 10“ „kannste nachher bei mir abholen“ – „Wann ich fahr jetzt los. Brauch 2,5-3 Std zu dir“ – „nicht zu mir kommen … bleib draußen ich hol dich mit Hund ab … gras ist dann draußen in nem Auto“.
Was cxxxx@encrochat und lxxxx@encrochat in diesen Tagen im April 2020 nicht wissen, als sie sich über ihre Krypto-Telefone über ihren Handel verständigen: ihre Nachrichten, inklusive eines Google Maps-Fotos des Übergabeortes, werden zu dieser Zeit von französischen Behörden abgefangen und gespeichert. Wenige Wochen später werden sie an das deutsche Bundeskriminalamt (BKA) übergeben. Einige Monate später werden sich weitere Ermittlungsmaßnahmen der örtlich zuständigen Staatsanwaltschaft anschließen und schließlich in der Verurteilung wegen erwerbsmäßigen Drogenhandels münden. Wesentliches Beweismittel werden die abgefangenen Chats sein, aus denen der Handel mit zehn Kilogramm Marihuana und zwei Kilogramm Amphetaminen hervorgeht; bei der Hausdurchsuchung werden weitere 20 Gramm Kokain gefunden. Doch wie gelangte die deutsche Polizei an diese Daten, die in den Jahren 2020/21 als zentrales Beweismittel in zahlreichen Anklagen wegen des Handels mit Betäubungsmitteln dienten?
In den Jahren 2017 und 2018 stellten französische Ermittler*innen bei Verfahren wegen Rauschgifthandels in insgesamt sieben Verfahren fest, dass die Verdächtigen ein Telefon benutzen, mit dem sämtliche Kommunikation vom Gerät her verschlüsselt wird. Es wurde damals von einer (nirgendwo registrierten) Firma namens EncroChat über einen Online-Markt für einen Preis von etwa 1.600 Euro angeboten. Dafür erhielten die Käufer*innen ein Smartphone, bei dem Kamera und GPS entfernt sind und auf dem drei Apps installiert sind: ein Messenger, ein Notizblock und eine Anwendung für Sprachnachrichten. Neben den französischen ermitteln auch niederländische Behörden, weil die SIM-Karten der Geräte von einem dortigen Mobilfunkanbieter stammen. Insgesamt soll es sich um über 66.000 SIM-Karten gehandelt haben. Auch Europol ist seit 2018 in die Ermittlungen einbezogen.[1] Im April 2019 bilden Frankreich und die Niederlande bei der EU-Agentur für justizielle Zusammenarbeit in Strafsachen Eurojust schließlich ein Gemeinsames Ermittlungsteam (Joint Investigation Team, JIT).
Zur selben Zeit tauchen auch bei Ermittlungen des BKA vermehrt Krypto-Telefone auf. Im Herbst 2019, so ein Vermerk der Wiesbadener Behörde, seien 75 % der polizeilich festgestellten Geräte von EncroChat gewesen (die Gesamtzahl nicht genannt). Bei einem internationalen Arbeitstreffen von Kriminalist*innen erfährt das BKA von den Ermittlungen in Frankreich. Sie erfahren auch, dass die EncroChat-Nutzer*innen mittels der SIM-Card einen singulären und dauerhaften „Access Point Name“ erzeugen, über den sie sich im Netzwerk anmelden. Da sich darüber ein Personenbezug herstellen lässt, sind strafrechtliche Ermittlungen auch in Deutschland möglich. Anfang 2020 erörtert das BKA mit der darauf spezialisierten „Zentralstelle für Internetkriminalität“ (ZIT) der Generalstaatsanwaltschaft (GStA) Frankfurt/Main, wie die Nutzer*innen lokalisiert werden können, um gegen die Anschlussinhaber*innen vorgehen zu können. Das vorgeschlagene Verfahren solle unabhängig von den französischen Ermittlungen geführt werden.
Frankreich hackt, Europol verteilt die Beute
Am 19. Februar 2020 gibt es dann eine Besprechung bei Europol, an der auch der Verbindungsbeamte des BKA teilnimmt. Frankreich gibt dort bekannt, eine große Menge von EnchroChat-Daten abgefangen zu haben. Der französische Verbindungsbeamte präsentiert die Planungen zum weiteren Vorgehen. Diese werden später in einem „Memorandum of understanding“ zwischen den beteiligten Ermittlungsbehörden aus zwölf EU-Staaten festgehalten. Demnach plant die französische Seite, für zwei Monate die EncroChat-Daten live auszuleiten („Live-Phase“) und dann die Server vom Netz zu nehmen. Die Daten sollen nach Funknetzzellen sortiert an die von den mutmaßlichen Straftaten betroffenen Teilnehmerstaaten übergeben werden, einzig Frankreich und die Niederlande den gesamten Datenschatz erhalten. Die Übergabe während der „Live-Phase“ soll über Europol vorgenommen werden. Die Methode der Datenerhebung bleibt mit Verweis auf die „nationale Verteidigungsfähigkeit“ Frankreichs geheim. Frankreich lässt die anderen Teilnehmer in dem Glauben, spezialisierte Polizeieinheiten erhöben die Daten. Andere Staaten könnten die Daten allerdings nur erhalten, wenn dort ebenfalls ein Verfahren gegen das Unternehmen EncroChat geführt wird. Dann könnten diese während der „Live-Phase“ für die polizeiliche Auswertung genutzt werden („intel only“). Die Aufnahme offener Ermittlungen sei allerdings erst erlaubt, wenn die französische Staatsanwaltschaft in Lille (Jurisdictions Interrégionales spécialisées dans la lutte contre criminalité et la délinquance organisées JIRS, ähnlich der ZIT eine spezialisierte Staatsanwaltschaft) die Daten freigegeben hat. Ausnahmen gebe es nur, wenn die Daten geschützt werden können, also die Verfahrenseröffnung ohne den Verweis auf die Daten auskomme.
Am 9. März 2020 findet eine Videokonferenz bei Eurojust statt, an der von deutscher Seite der Verbindungsbeamte, die GStA Frankfurt/Main-ZIT und das BKA teilnehmen. Darin wird über das JIT berichtet und von französischer Seite „offiziell“ angekündigt, dass man demnächst viele EncroChat-Daten erhalten werde und sie bei Bezügen nach Deutschland übermitteln werde. Dies ist das erste Treffen zu EncroChat, dessen Durchführung von der Bundesregierung öffentlich bestätigt wird.[2] Auch bei diesem Treffen wird noch einmal unterstrichen, dass die Daten nicht für offene Ermittlungsmaßnahmen genutzt werden dürften und selbst ihre Verwendung für die Abwendung dringender Gefahren für Leib und Leben der Zustimmung der französischen Behörden bedürften.
Um der Forderung aus Frankreich nach einem laufenden Ermittlungsverfahren gegen EncroChat Genüge zu tun, leitet die ZIT am 13. März 2020[3] gegen sämtliche Nutzer*innen von EncroChat ein Ermittlungsverfahren „gegen Unbekannt“ ein. Das damit betraute BKA beschreibt am 13. Mai 2020 in einem Brief an JIRS in Lille, wie man sich den anschließenden Umgang mit den Daten denkt. Die vom BKA im Auftrag der ZIT geführten Ermittlungen richteten sich auf den Verdacht der Bildung einer kriminellen Vereinigung und des bandenmäßigen Handeltreibens mit Betäubungsmitteln in nicht geringer Menge. Aufgrund der übermittelten Daten – seit dem 3. April 2020 wurden täglich Daten „live“ übermittelt – habe eine Vielzahl von schweren Straftaten festgestellt werden können. Die ZIT bereite „verabredungsgemäß“ ein Rechtshilfeersuchen an Frankreich vor, um die gerichtsverwertbare Freigabe der Daten nach Ende der „Live-Phase“ zu beantragen. Es sei für die deutschen Behörden jedoch unerlässlich, die Nutzer*innen bereits jetzt zu identifizieren. Dazu sollten in einem ersten Schritt gerichtliche Beschlüsse zum Einsatz von IMSI-Catchern und zur verdeckten Observation erwirkt werden, bei denen die Begründung allein auf Erkenntnisse des BKA abstellt. Dieses „Regenschirmverfahren“ unter dem oben genannten Aktenzeichen solle verdeckt geführt und auch in späteren Verfahren nicht offengelegt werden. Alle sich daran anschließenden Ermittlungsverfahren gegen konkrete Tatverdächtige sollten dann erst in die „offene“ Phase der Ermittlungen (Durchsuchungen, Sicherstellungen etc.) übergehen, wenn Freigabe durch französische Behörden erfolgt sei. Zum Schluss bittet das BKA noch um Hinweise, wie in der verdeckten Phase der Ermittlungen Anträge auf Durchführung von Ermittlungsmaßnahmen so formuliert werden könnten, dass die französischen Maßnahmen nicht gefährdet würden. Zugespitzt formuliert: die Richter*innen sollten bei Anordnung von Ermittlungsmaßnahmen gezielt darüber getäuscht werden, dass die Erkenntnisse des BKA aus einer umfassenden polizeilichen Überwachungsmaßnahme stammten, die so in der Bundesrepublik nicht zulässig wäre. Das taktische Ziel des Vorgehens war offenbar, nach Beendigung der „Live-Phase“ und des geplanten Abschaltens des EncroChat-Servers Anfang Juni 2020 schnell in die offene Phase der Ermittlungen übergehen zu können, damit ggf. weiter vorhandene Beweise nicht durch die Verdächtigen vernichtet werden könnten. Erst danach konnten dann formale Europäische Ermittlungsanordnungen (EEA) an die französischen Behörden gerichtet werden, über deren Formulierung sich die Teilnehmerstaaten am 29. Mai 2020 bei Eurojust nochmals mit Frankreich verständigten.
Eine solche EEA stellt die GStA Frankfurt/Main dann am 2. Juni 2020 an Frankreich. Elf Tage später genehmigt die Vize-Präsidentin des Strafgerichts in Lille die Übermittlung der Daten.[4] Das BKA berichtet den Landeskriminalämtern, der Bundespolizei und dem Zoll über deren Existenz.[5] Ende Juli wird der „Gesamtdatensatz“ der während der „Live-Phase“ und der retrograd auf den Geräten erhobenen Daten den Ländern georeferenziert zur Verfügung gestellt, um eine gemeinsame Auswerte- und Ermittlungstätigkeit im „Unbekannt“-Verfahren der GStA Frankfurt/Main aufnehmen zu können. Ermittlungen gegen einzelne Tatverdächtige sollen dann nach örtlicher Zuständigkeit von diesem Verfahren abgetrennt geführt werden. Versuche von Strafverteidiger*innen, die Ermittlungsakten des „Unbekannt“-Verfahrens in den einzelnen Strafverfahren herbeizuziehen, werden abgelehnt; es handele sich um „fremde Akten“. Zur Frage, wie viele Nutzer*innen in Deutschland insgesamt identifiziert wurden, in welchem Umfang deren Kommunikation abgefangen wurde und wie viele Verfahren letztlich eröffnet wurden, verweigert die Bundesregierung jede Auskunft, „um den Erfolg von derzeit laufenden Ermittlungen“ nicht zu gefährden.[6]
Juristische Auseinandersetzung zur Beweisverwertbarkeit
Die von den französischen Behörden vorgenommene Komplettüberwachung eines Messengerdienstes wäre nach deutschem Recht vollkommen unzulässig. Die Überwachung einzelner Geräte ist möglich, da es sich um einen schwerwiegenden Eingriff in das Fernmeldegeheimnis und das IT-Grundrecht handelt, sieht die Strafprozessordnung (StPO) aber einigermaßen hohe Hürden vor. Es handelt sich hier sowohl um eine informationstechnische Telekommunikationsüberwachung (§ 100a Abs. 1 S. 2 StPO) als auch – durch Erhebung der gespeicherten Notizen und zurückliegender Chat- und Sprachnachrichten – eine Onlinedurchsuchung (§ 100b StPO). Sie ist nur zulässig bei einem konkreten Verdacht auf schwere Straftaten und kann sich nur auf einzelne, in der richterlichen Anordnung bestimmte Betroffene beziehen. In der rechtswissenschaftlichen Literatur wird deshalb überwiegend bestritten, dass die durch französische Behörden in Deutschland erhobenen Daten überhaupt als Beweis in einem gerichtlichen Strafverfahren verwertet werden dürfen. So argumentieren Benjamin Derin und Tobias Singelnstein, es habe sich um eine Massenüberwachung – noch dazu unter Einsatz geheimdienstlicher Mittel – gehandelt, die erst darauf zielte, Verdachtsmomente gegen einzelne Verdächtige zu finden und „Zufallsfunde“ zu generieren.[7]
Die Rechtsprechung hat jedoch einen anderen Weg eingeschlagen. So entschied das Oberlandesgericht (OLG) Bremen[8], es habe sich um einen „spontanen Datenaustausch“ gehandelt, die Regelungen zur Rechtshilfe im Rahmen der Richtlinie über die Europäische Ermittlungsanordnung mit ihren geringen Rechtsschutzregelungen sei nicht einmal anwendbar. Das OLG Hamburg[9] und das OLG Schleswig-Holstein[10] befanden, der rechtswidrige Eingriff durch die französischen Behörden sei durch die EEA gleichsam „geheilt“ worden und spiele keine Rolle für die Frage der Beweisverwertung. Und das OLG Rostock[11] und das OLG Bremen wollen für einen ausreichenden Verdacht zur Begründung von TKÜ-Maßnahmen bereits ausreichen lassen, dass ein Verdächtiger das EncroChat-System benutzt hat. Gegründet wird dies auf den relativ hohen Preis für die ansonsten weitgehend nutzlosen Kryptotelefone und die Angaben der französischen Ermittler*innen, diese würden ausschließlich für kriminelle Unternehmungen genutzt. Auch mag die Richter*innen beeindruckt haben, in welchen Mengen hier Rauschmittel durch Groß- und Zwischenhändler gehandelt wurden.
Einzig das Landgericht (LG) Berlin entschied gegen die Beweisverwertung.[12] Von dem Argument, es habe sich nur um „Zufallsfunde“ aus einem französischen Verfahren gegen die (unbekannten) EncroChat-Betreiber gehandelt, ließ es sich nicht überzeugen. Die Überwachung sei schon technisch auf die Endnutzer*innen gerichtet gewesen, nicht auf die Betreiber*innen. Dem Ansatz aus Rostock und Bremen wollte das LG Berlin ebenfalls nicht folgen. Der Besitz von Brechstange und Bolzenschneider liefere ja auch keinen Anfangsverdacht für eine Einbruchsstraftat. Doch das Kammergericht Berlin als zweite Instanz kassierte das Beweisverwertungsverbot wieder.[13] In einem Fall, der ursprünglich vor dem LG Hamburg verhandelt wurde, entschied dann der Bundesgerichtshof (BGH) im Sinne der Linie der OLG.[14] Zunächst stellte der BGH fest, dass die abgefangenen „SMS“ (sic!) verwendet werden dürften, wenn es sich bei den aufzuklärenden Straftaten um solche handle, bei denen auch nach der deutschen Strafprozessordnung eingriffsintensive Maßnahmen wie eine Quellen-Telekommunikationsüberwachung oder eine Online-Durchsuchung möglich wären. Dass es in unterschiedlichen Mitgliedstaaten der EU unterschiedliche Anordnungsvoraussetzungen für solche Eingriffe gebe, sei unproblematisch und werde durch die Europäische Ermittlungsanordnung (EEA) verfahrensrechtlich geheilt. Es gehe ja nur um die Übermittlung bereits vorhandener Daten, nicht eine Anordnung auf Erhebung solcher Daten durch die Strafverfolgungsbehörden in einem anderen EU-Staat, die nach deutschem Recht unzulässig sein könnte. Auch habe es sich nicht um eine anlasslose Massenüberwachung gehandelt, vielmehr sei für die französischen Behörden klar gewesen, dass EncroChat „ein von vornherein auf die Unterstützung krimineller Aktivitäten ausgerichtetes und im Verborgenen agierendes Netzwerk“ dargestellt habe. Auch, dass Daten bereits vor dem Beschluss über eine EEA übermittelt worden seien, sah der BGH als unproblematisch an; eine Weitergabe von Erkenntnissen zu Strafverfolgung sei auch ohne ordentliches Rechtshilfeersuchen zulässig. Der BGH stellte in seiner Entscheidung auch heraus (Rn. 43), dass nicht jeder Verstoß gegen Beweiserhebungsvorschriften auch ein Beweisverwertungsverbot nach sich ziehe. Das ist selbstverständlich zutreffend. Abgewogen werden in der richterlichen Beweiswürdigung im Fall einer solchen Weitergabe die Beschuldigtenrechte gegen die Schwere der verfolgten (mutmaßlichen) Rechtsverstöße und damit das „Ausmaß des staatlichen Aufklärungsinteresses“. Je schwerer das angeklagte Verbrechen, umso leichter soll der Schutz vor staatlicher Willkür bei der Beweiserhebung wiegen. Ob der BGH tatsächlich ausreichend die Vorgaben der EEA-Richtlinie zu den zulässigen Methoden der Datenerhebung gewürdigt hat, wird zumindest von Strafverteidiger*innen bestritten und in naher Zukunft das Bundesverfassungsgericht beschäftigen.[15] Denn der BGH stellte hier allein auf die Regelung des zwischenstaatlichen Verkehrs ab, verneinte aber, dass es außer in krassen Grenzfällen um einen Schutz individueller Rechte geht. Explizit beschäftigte sich der BGH nicht mit der Frage, ob es sich um eine „Befugnis-Shopping“ gehandelt habe, also deutsche Behörden in bewusster Umgehung des hiesigen Strafprozessrechts ein Rechtshilfeersuchen gestellt hätten. Dies ist aber der springende Punkt in diesem Verfahren.
Umgehung strafprozessualer Vorgaben?
Denn von „Spontanübermittlungen“ und „Zufallsfunden“ kann angesichts des oben dargestellten Vorlaufs der EncroChat-Verfahren keine Rede sein. Zudem erfolgten die Übermittlungen zunächst eben nicht für strafrechtliche Ermittlungen, sondern als „intelligence only“, also für polizeiliche Auswertungen zur Verdachtsgewinnung. Es ist auch keineswegs so, dass BKA und GStA Frankfurt/Main von sich aus die Gerichte über diese Vorläufe aufgeklärt haben, etwa über jenes „Memorandum of Understanding“, nach dem die Herkunft der Daten so lange wie möglich verschleiert werden sollte. Solche Informationen erreichten die Gerichte nur dank der Beharrlichkeit von Strafverteidiger*innen.
Mit Blick auf den BGH-Beschluss stellt sich allerdings auch die Frage, ob die deutschen Gerichte überhaupt so genau wissen wollten, wie das BKA und die GStA Frankfurt/Main bzw. die ZIT an die EncroChat-Daten gelangt sind. So heißt es dort richtig, die Übermittlung zur Strafverfolgung sei vom Strafgericht Lille am 13. Juni genehmigt worden (Rn. 22). Dass es aber bereits zuvor, und zwar täglich, Datenübermittlungen an das BKA via Europol gegeben hat, bleibt außen vor. Das „Unbekannt“-Verfahren der GStA Frankfurt/Main als „Schirmverfahren“, aus dem vor dem 13. Juni bereits Verfahren gegen einzelne tatverdächtige EncroChat-Nutzer*innen abgetrennt wurden, findet ebenfalls keine Erwähnung. Der BGH ignoriert schlicht, wie BKA und GStA Frankfurt/Main zum Schutz der französischen Ermittlungen gezielt die Gerichte im Unklaren über die tatsächliche Herkunft ihres „Anfangsverdachts“ gelassen haben. Der BGH argumentiert sogar weiter, dass „andere Beweismittel … hier für die Überführung des Angeklagten … nicht zur Verfügung [stehen], so dass ohne die Verwertung dieser Beweismittel eine Überführung des Angeklagten … nicht möglich wäre“ (Rn. 44), und also in der Abwägung der widerstreitenden Interessen – nämlich dem an einem rechtsstaatlich sauberen Verfahren und dem an einer durchgreifenden Strafverfolgung – hintanstehen könne, wenn Verfahrensregeln aus der Richtlinie zur Europäischen Ermittlungsanordnung verletzt wurden. Für die Übermittlung bereits vorhandener Beweise durch einen anderen EU-Staat entfalle ohnehin die Prüfung, ob sie nach deutschem Strafprozessrecht so erhoben werden dürften – es gehe ja nur um Übermittlung bereits vorliegender Beweise. Es sei gerade nicht ausgeschlossen, „Daten aus Maßnahmen zu verwenden, die keine Entsprechung in der StPO haben. … Denn den national unterschiedlichen Strafverfahrensordnungen ist es immanent, dass sie … unterschiedliche strafprozessuale Maßnahmen vorsehen.“ (Rn. 73)
Doch hier geht es nicht einfach um unterschiedliche strafprozessuale Maßnahmen. Die französische Überwachung richtete sich ja nicht gegen die EncroChat-Server, sondern gegen jedes einzelne Endgerät – eine solche Maßnahme der Massenüberwachung ohne individuellen Anfangsverdacht gegen die einzelnen Nutzer*innen wäre in Deutschland schlicht verfassungswidrig. Damit öffnet der BGH also die Tür dahin, dass mit Wissen deutscher Strafverfolgungsbehörden andere Strafverfolgungsbehörden in der EU massiv in Grundrechte von Menschen auf deutschem Staatsgebiet eingreifen können und deutsche Strafgerichte diese (nach deutschem Recht rechtswidrig erhobenen) Daten als verwertbar ansehen können, wenn nur die aufzuklärenden Straftaten ausreichendes Gewicht haben. Diese Entscheidung wäre vermutlich auch nicht anders ergangen, wenn dem BGH bekannt gewesen wäre, dass die Gendarmerie den Hacker-Angriff technisch gar nicht selbst vorgenommen hat, sondern die „Direction générale de la sécurité intérieure“ DGSI, der französische Inlandsgeheimdienst. Diesen klaren Bruch des deutschen Trennungsgebots von Polizei und Geheimdiensten und die Verletzung des Rechts der Strafverteidigung auf volle Einsicht in die Beweiserhebung wischt der BGH mit dem Verweis auf historisch irgendwie gewachsene „national unterschiedliche Strafverfahrensordnungen“ hinweg. Zumindest hinsichtlich der Einsicht in die Beweiskette bis hin zum technischen Vorgehen der Behörden hat das französische Kassationsgericht (Cour de cassation in Paris, entspricht dem BGH) mittlerweile entschieden, dass der Weg der Datenerhebung offengelegt und die Echtheit der Daten durchgehend belegt werden muss.[16]
Der BGH bestätigt damit, was aus bürgerrechtlicher Sicht schon immer in der Konstruktion der Europäischen Ermittlungsanordnung und generell einer vertieften grenzüberschreitenden Zusammenarbeit von Strafermittlungsbehörden unter der Koordination von Europol und Eurojust angelegt war: ein Befugnis-Shopping der Behörden jenseits politischer und parlamentarischer Kontrolle. Nach dem Urteil des BGH ist auch mit einer wirksamen gerichtlichen Kontrolle im Rahmen der Beweiswürdigung nicht zu rechnen. Hinsichtlich der Frage der Formulierung digitalforensischer Standards in Strafverfahren muss aber auch der Gesetzgeber aktiv werden. Dass es Richter*innen ausreichen lassen, einen Ausdruck der Chat-Verläufe vorgelegt zu bekommen und ein Testat des BKA, dass es damit schon seine Richtigkeit habe – was für die IT-Forensiker des BKA gar nicht nachprüfbar ist, weil sie die vollständigen Daten gar nicht vorliegen haben – ist schlicht aus der Zeit gefallen.