Kolumne : Staat, bleib‘ bei deinen Befugnissen: Der Fall Encrochat

Encrochat war ein im Jahr 2015 gegründeter Anbieter für verschlüsselte Kommunikationstechnik. Das Unternehmen stellte modifizierte Smartphones und eine auf Signal-Protokollen basierende Kommunikationsanwendung zur Verfügung mit dem Ziel, eine hochsichere Kommunikation über Textnachrichten zu ermöglichen. Daher wurden aus der Hardware der Endgeräte alle technischen Komponenten entfernt, die als potenzielle Schwachstelle eine Überwachung und Ausspähung von Nutzern hätten ermöglichen können. Französische Behörden stießen ab dem Jahr 2017 bei Ermittlungen auf Encrochat-Endgeräte und entschlossen sich ab März 2020 zu einer Kompromittierung der Server des Anbieters in Nordfrankreich.

Die genaue technische Verfahrensweise wurde dabei unter Berufung auf „Militärgeheimnisse“ nicht offengelegt. Fakt jedoch ist, dass die Encrochat-Kommunikationsdaten noch vor ihrer Verschlüsselung auf den Endgeräten abgefangen und an behördliche Server umgeleitet wurden. Unbemerkt wurde auf diese Weise über Monate hinweg die Kommunikation zehntausender Nutzer abgeschöpft.

Die durch die französischen Ermittlungsbehörden gewonnenen Rohdaten wurden sodann in Microsoft Excel-Tabellen überführt und über Europol den jeweils zuständigen Strafverfolgungsbehörden verschiedener Staaten zugeleitet – in Deutschland an das Bundeskriminalamt (BKA), das zusammen mit der Generalstaatsanwaltschaft Frankfurt am Main eine umfassende Ermittlungsakte anlegte. Tatbestandlicher Vorwurf vor allem: der gewerbsmäßige Handel mit Betäubungsmitteln.

Ein großer Erfolg für den Rechtsstaat?

Genau davon liest man auch in verschiedensten deutschen Medien seit Beginn der Encrochat-Ermittlungsverfahren: „Halbe Tonne Drogen verkauft“, „Drogenhändler mit 320 Kilo Haschisch ertappt“, „Drogenhandel mit Umsätzen in Höhe von fast einer Million Euro“. Der Umfang der Datensätze ist enorm – und die Strafverfolgungsbehörden in verschiedenen deutschen Großstädten sind in Anbetracht der Vielzahl an Fällen überfordert. Was jedoch auf den ersten Blick wie ein Erfolg für den Rechtsstaat klingt, entwickelt bei näherer rechtlicher Betrachtung aber einen faden Beigeschmack und ist alles andere als unumstritten, obwohl es vielfach um Fälle schwerwiegender, gewerbsmäßiger Kriminalität geht.

So wiesen Strafverteidiger bereits im vergangenen Jahr auf Unstimmigkeiten in den Datensätzen hin und jüngst entzündete sich die juristische Debatte um den Encrochat-Hack erneut, nachdem zunächst der französische Kassationsgerichtshof Zweifel an der rechtmäßigen Erlangung der Daten äußerte, obwohl der Bundesgerichtshof BGH die Daten noch im März dieses Jahres für verwertbar hielt, wenn diese zur Aufklärung schwerer Straftaten verwendet werden.

Mehrere Verfassungsbeschwerden in Sache Encrochat sind deshalb bereits anhängig. In Deutschland geriet neuerdings wieder Bewegung in die rechtliche Würdigung der Encrochat-Verfahren, als sich das Landgericht Berlin vor Kurzem dazu entschloss, zahlreiche Fragen zur Zulässigkeit der Erhebung und Verwertung von Encrochat-Daten dem Europäischen Gerichtshof (EuGH) zur Vorabentscheidung vorzulegen. Unter anderem geht es darum, dass die Integrität der durch die französische Überwachungsmaßnahme abgeschöpften Daten wegen umfassender Geheimhaltung durch die Behörden im Vollstreckungsstaat nicht überprüft werden kann.

Microsoft Office-Dokumente als Grundlage staatlicher Anschuldigungen

Dass diese juristischen Bedenken nicht ganz unangebracht sind, erschließt sich auch jenseits der Argumentation um das französische Militärgeheimnis zur Abschöpfung der Daten. So gilt mittlerweile als sicher, dass die abgeschöpften Rohdaten nicht nur in Excel-Tabellen überführt, sondern im Vorfeld umfassend „rekonstruiert“ wurden. Sie wurden nach dem Abschöpfen mithin gespeichert, zusammengeführt, unzählige Male übermittelt, sowie zur besseren Handhabbarkeit neu aufbereitet, strukturiert und systematisiert. Für das Ermittlungsverfahren „unerhebliche Teile“ der Kommunikation wurden gelöscht, was teils auch Widersprüche in den Datensätzen zur Folge hat, sodass beispielsweise Geodaten, Zeitstempel und die Zahl verschickter Nachrichten logische Brüche aufweisen.

Damit werden vor deutschen Gerichten geführte Ermittlungsverfahren mit erheblichen Strafandrohungen auf Excel-Files gestützt, deren Authentizität und Integrität nicht einmal ansatzweise sichergestellt werden kann. Eine Einsichtnahme in die Rohdatensätze war bislang ebenfalls nicht möglich – eine nachvollziehbare, transparente und belastbare Beweismittelkette im Sinne einer „Chain of Custody“ sieht anders aus. Da hilft es dann auch nicht, wenn deutsche Ermittlungsbehörden argumentieren, dass man sich auf den sogenannten „Grundsatz gegenseitiger Anerkennung“ berufen könne, wonach jeder EU-Mitgliedstaat das Recht eines anderen Mitgliedstaats als gleichwertig anerkennt, denn ein Recht im Unrecht kann es nicht geben.

Ganz im Gegenteil: Der Grundsatz der richterlichen Aufklärungspflicht verlangt, dass der Sachverhalt schon von Amts wegen umfassend aufzuklären ist – selbstredend auch im Falle digitaler Daten, bei denen wie bei den Encrochat-Ermittlungen keinerlei fortlaufende Protokollierung der Datenveränderungen erfolgt ist. Die Gerichte sind deshalb angehalten, die den Ermittlungsverfahren zugrundeliegenden Rohdaten zu sichten und im Zweifelsfall IT-forensisch untersuchen zu lassen. Das gilt umso mehr, wenn es sich wie bei den Encrochat-Ermittlungen um technische Präzedenzfälle handelt. Es kann nicht sein, in einem Rechtsstaat mit strafrechtlichen Anschuldigungen basierend auf bloßen Microsoft Office-Dokumenten konfrontiert zu werden, ohne dass den Ermittlungsbehörden selbst klar ist, wo diese Daten herrühren.

Zum Befugnis-Shopping nach Frankreich?

Überdies stellt sich neben der technischen Frage die mindestens genauso relevante Frage, ob es deutschen Behörden überhaupt möglich ist, die Kommunikation zehntausender Nutzer monatelang anlasslos und „ins Blaue hinein“ zu überwachen, was in Frankreich mit der Kompromittierung des Anbieters jedoch geschehen ist. Ein solches Vorgehen lässt sich auch nicht mit der lapidaren Behauptung juristisch rechtfertigen, dass Dienste wie Encrochat ohnehin nur von „Kriminellen“ genutzt würden oder dass verschlüsselte Kommunikation ohnehin nur etwas für Leute sei, die etwas vor dem Staat „zu verbergen“ hätten.

Denn ohne Zweifel lässt sowohl aus deutschen wie auch aus den europäischen verfassungsrechtlichen Maßstäben ein „Grundrecht auf verschlüsselte Kommunikation“ ableiten, das zwar nicht grenzenlos gilt, aber nicht in beliebiger, anlassloser und verdachtsunabhängiger Weise beschränkt werden kann.

Was kann man daraus nun folgern? Erstens: Encrochat ist ein technischer wie rechtlicher Präzedenzfall. Da aber mit an Sicherheit grenzender Wahrscheinlichkeit davon auszugehen ist, dass sich derlei Vorfälle in Zukunft häufen werden, bei denen digitale Ermittlungsdaten verarbeitet werden, müssen hierfür schon jetzt vernünftige rechtliche Leitplanken gesetzt werden – eine juristisch unsaubere Arbeit rächt sich zu einem späteren Zeitpunkt, wie gut am aktuellen Vorlageverfahren des LG Berlin erkennbar ist.

Zweitens: Ermittlungs- und Sicherheitsbehörden müssen endlich anerkennen, dass unzweifelhaft ein Recht auf verschlüsselte Kommunikation existiert, das nicht in beliebiger Weise verdachtsunabhängig eingeschränkt werden kann – und das erst recht nicht, indem man sich unsubstanziiert auf die Rechtsordnung anderer Staaten beruft.

Drittens: So sinnvoll es politisch und medial inszeniert auch sein mag, gegen zweifellos verwerfliche und rechtswidrige gewerbsmäßige Betäubungsmittelkriminalität vorzugehen, so gibt es in einem Rechtsstaat keine Vorabverurteilung von Beschuldigten durch die Öffentlichkeit. In Deutschland gilt die Unschuldsvermutung und die lässt sich auch durch Politiker:innen nicht aufheben – erst Recht dann nicht, wenn die technische und rechtliche Grundlage von Ermittlungsverfahren alles andere als zweifelsfrei ist.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.

In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Alles eine Frage der Perspektive?