Wie, unter anderem, netzpolitik.org berichtet, plant das Bundesministerium des Innern, für Bau und Heimat den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme. Dort ist auch der Volltext des Referentenentwurfes zu finden. Eine andere Quelle habe ich bisher noch nicht gefunden.
Dem Entwurf nach wird ein neuer § 163g StPO eingeführt, der wie folgt lauten soll (der Übersichtlichkeit wegen habe ich einige Sätze voneinander getrennt):
Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen.
Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten.
Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen.
Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.
Entwurfsbegründung zitiert nach netzpolitik.org
Hinsichtlich des ersten Satzes kommen mir jetzt unmittelbar keine großen Bedenken. Dieser Teil der Norm ermächtigt den Staat im Internet so aufzutreten, als sei er der Accountinhaber. In der analogen Welt ist das nichts Unbekanntes.
Problematisch ist der Satz 3 und 4 der Norm, wonach sich der Verdächtige mit der Preisgabe der Accountinformationen möglicherweise selbst belasten muss. Auf den ersten Blick schreit das nach Verfassungswidrigkeit wegen Verstoßes gegen den nemo-tenetur-Grundsatz. Das Problem hat natürlich auch der Entwurfsverfasser gesehen. Aber zunächst ein wenig Slapstick aus der Entwurfsbegründung zu diesem Punkt:
… Dies hat zur Folge, dass nur in den wenigsten Fällen die Beschuldigten mit einer Übernahme von digitalen Identitäten einverstanden sind, denn es besteht ein erhebliches Risiko der Selbstbelastung.
Es bedarf deshalb einer ausdrücklichen Ermächtigung für die Übernahme von digitalen Identitäten, auch gegen den Willen der Beschuldigten. …
Entwurfsbegründung zitiert nach netzpolitik.org
Ich fasse zusammen: Wir müssen den Beschuldigten zur Aussage zwingen, weil er wegen dem Risiko der Selbstbelastung meist nichts sagen wird.
Der Entwurfsverfasser versucht nun diesen Bruch mit dem nemo-tenetur-Grundsatz „zu kitten“, indem im letzten Satz erklärt wird, dass die gewonnenen Erkenntnisse ohne Zustimmung nicht gegen den Beschuldigten verwendet werden dürfen:
Dabei ist auch ein weiterer Aspekt zu beachten: Eine Übernahme der Identität kann in der Regel erfolgen, wenn der Nutzer die Zugangsdaten preisgibt. Der Nutzer läuft dabei aber möglicherweise Gefahr, sich einer Verfolgung wegen weiterer Straftaten auszusetzen, die erst durch den polizeilichen Einblick in den Account offenbar werden. Deswegen ist es erforderlich, den Nutzer gegen diese erzwungene Selbstbelastung zu schützen. Darüber hinaus können in der Regel durch die Weiterführung des Accounts deutlich mehr Rechtsgüter geschützt und Straftaten aufgeklärt werden, als durch das Verbot der Selbstbelastung möglicherweise nicht verfolgt werden können. Das Insolvenzrecht hält hier mit § 97 Abs. 1 InsO ein erfolgreiches Beispiel bereit: Der Nutzer wird davor geschützt, aufgrund von durch den Mitwirkungsakt ggf. aufgedeckter weiterer Straftaten verfolgt zu werden. Dies kann – in Verbindung mit den Strafzumessungsregeln – ein entscheidendes Anreizkriterium sein, um den Nutzer zu einer Übergabe der Zugangsdaten zu bewegen und so die Verfolgung von Darknet-Kriminalität entscheidend zu erleichtern.
Entwurfsbegründung zitiert nach netzpolitik.org
Schaut man sich nun den in Bezug genommenen § 97 Abs. 1 InsO an, werden wohl einige überrascht feststellen, dass diese Art der Auskunftsverpflichtung gegen sich selbst im Insolvenzverfahren seit 1999 „normal“ ist (davor war es das Konkursverfahren, dazu sogleich).
Die Verpflichtung gegen sich selbst auszusagen, ist aber noch viel älter.
Das Bundesverfassungsgericht hat zur selben inhaltlichen Verpflichtung der Konkursordnung (§ 100 KO [Auskunftspflicht des Gemeinschuldners] Der Gemeinschuldner ist verpflichtet, dem Verwalter, dem Gläubigerausschusse und auf Anordnung des Gerichts der Gläubigerversammlung über alle das Verfahren betreffenden Verhältnisse Auskunft zu geben.) schon 1981 entschieden:
Grundrechte des Gemeinschuldners werden nicht dadurch verletzt, daß er nach den Vorschriften der Konkursordnung uneingeschränkt zur Aussage verpflichtet ist und dazu durch die Anordnung von Beugemitteln angehalten werden kann. Offenbart er strafbare Handlungen, darf seine Aussage nicht gegen seinen Willen in einem Strafverfahren gegen ihn verwertet werden.
NJW 1981, 1431, beck-online
Angemerkt sei auch noch, dass das Beweisverwertungsverbot in diesen Fällen weiter reicht, als üblich. Normalerweise entfaltet ein Beweisverwertungsverbot keine „Fernwirkung“.
Nicht so bei dem hier verankerten Beweisverwertungsverbot:
Das Beweisverwendungsverbot für geoffenbarte Straftaten und Ordnungswidrigkeiten soll weiter sein als das herkömmliche Verwertungsverbot, denn Auskünfte dürften auch nicht als Ansatz für weitere Ermittlungen (sog Fernwirkung) dienen (HK-Schmidt § 97 Rn 16). Das Verbot erstreckt sich auch auf Tatsachen, zu denen die Auskunft den Weg gewiesen hat, nicht aber auf solche, die den Ermittlungsbehörden bereits bekannt waren (BT Drs. 12/2443 S. 142 ebenso RA BT Drs. 12/7302 S. 166); sog clean-path-Regel (Weyand ZInsO 2015, 1948, 1951).
Uhlenbruck/Zipperer, 15. Aufl. 2019, InsO § 97 Rn. 8 m.w.N.
Die Aufregung kommt also wohl 38 Jahre zu spät. Nicht überall wo Verfassungsbruch draufsteht ist auch welcher drin. Das heißt aber nicht, dass man nicht trotzdem der Ansicht sein kann, die neue Norm und auch § 97 Abs. 1 InsO gingen zu weit. In der Diskussion sollte aber die bereits bei § 97 Abs. 1 InsO bzw. § 100 KO geführte Debatte mitsamt allen Urteilen berücksichtigt werden, um nicht wieder bei null anzufangen.
Ich entschuldige mich im Vorfeld für den viel zu lang geratenen Kommentar. Aber jetzt habe ich ihn schon geschrieben und er hat mir geholfen meine Gedanken zu diesem Gesetz zu strukturieren. Vielleicht finden Sie ihn ja interessant.. oder er ist Ihnen zu lang. Das ist dann auch ok :). Vielen Dank jedenfalls für Ihre Blogbeiträge und ihre Analyse.
Ich persönlich empfinde diesen Gesetzentwurf als sehr beunruhigend, enthält er doch noch deutlich mehr rechtsstaatlichen Zündstoff. Dazu zählt z.B. die „Anti-Leaking“-Regelung die im Zusammenhang mit den von Ihnen bereits besprochenen Regelungen zur Übernahme von Onlineaccounts, wenn eine Straftat „mit Hilfe von Telekommunikation begangen wird“, es der Polizei ermöglichen auf freie Jagd auf Informanten zu gehen. Man darf halt nur vielleicht nicht einen Journalisten selber angehen, aber den Account des Wikileaks-Mitarbeiters (Teilnehmer, nicht Täter) scheinbar schon. Mir scheint es hier auch nach allen meinen Recherchen unerheblich ob die von einer Behörde geheim gehaltenen Informationen selber eine mögliche Straftat betreffen, z.B. das Verhalten der Bundeswehr im Ausland, aber vielleicht habe ich da nur nichts dazu gefunden.
Vielleicht finde ich auch daher Ihren Vergleich etwas schwierig, denn er geht doch nur auf Ähnlichkeiten zu vergleichbaren Regelungen im InsO ein, lässt aber die großen Unterschiede außen vor, z.B. das Behörden gegenüber Dritten als die entsprechende Person auftreten. Daher einige Fragen an Sie, zu denen ich bisher keine Antworten kenne, aber es kann ja durchaus sein, dass manche meiner Fragen von anderen höherrangigen Gesetzen abgedeckt sind, die mir als Laie nicht bekannt sind:
* Gibt es da irgendeinen Richtervorbehalt? Die Insolvenz muss ja meines Wissens nach zumindest erst mal festgestellt werden und meines Wissens macht man das am Amtsgericht und ein Insolvenzverfahren ist gerichtlich beaufsichtigt. Hier scheint es nicht so zu sein.
* Das Gesetz beschränkt die Übernahme der Identitäten nicht auf die durch die Ermittlungstätigkeiten unmittelbar betroffenen Identitäten. Dazu gehören also vielleicht auch der dem Lebensunterhalt des Beschuldigten dienende Zugang zu verschiedenen beruflichen Netzwerken. Im Insolvenzrecht ist die Verwaltung der Insolvenz zumindest auf die Insolvenz anmeldende Person beschränkt.
* Sind Dritte, oder zumindest Lebenspartner und Verwandte davor geschützt sich in der Kommunikation mit den Behörden, die als der Täter oder Teilnehmer auftreten, selber zu belasten oder sogar erst einer Straftat schuldig zu machen?
* Die StPO hat die Erhebung von Daten einer Funkzelle an besonders schwere Straftaten gebunden, aber wenn jemand eine urheberrechtliche Straftat begangen hat kann die Polizei auch dessen Youtube-Kanal, Twitter-Account oder WhatsApp-Gruppe übernehmen, die vielleicht 100 bis 200.000 Menschen erreichen und dort als der Beschuldigte auftreten um Daten über andere Straftaten zu sammeln?
* Wie steht es um Beweismaterial, dass Dritte erst nach der Übernahme des Accounts herausgeben? Nach der oben stehenden Formulierung wäre es wörtlich genommen schon zulässig (es wird nur Beweismaterial ausgeschlossen, dass durch den „Einblick“ gewonnen wird, nicht durch die Kooperation Dritter). Natürlich müssen Zeugen (leider) heute schon eine Aussage machen, aber wie steht es hier um das Zeugnisverweigerungsrecht von Verwandten, Lebenspartnern oder geschützter Berufsgruppen? Wie werden diese sinnvoll belehrt? Der Vergleich zum Insolvenzrecht zieht hier eher nicht, denn die Insolvenz wird nicht geheim gehalten.
* Wie wird der Beschuldigte, der hier ja noch nicht überführt ist, davor geschützt dass die Polizei irreparablen Schaden an den übernommenen Zugängen anrichtet? Für manche Menschen ist der Instagram-Account ja heute die Haupteinnahmequelle. Das Gesetz stellt allein auf Selbstbelastung ab. Hier erhält die Polizei, so wie heute schon oft bei Ermittlungen wegen Computerkriminalität wo zum Lebensunterhalt dienende Geräte teils für Jahre beschlagnahmt werden, noch mehr Macht schon vor der Verurteilung dem Beschuldigten Schaden zumindest anzudrohen.
Meine persönliche Meinung ist, dass sich die Polizei hier gar geheimdienstähnliche Befugnisse durch die Hintertür aneignet und man schon sehr daran glauben muss, dass bei der Polizei nur gute Menschen arbeiten, die solche verfügbaren Maßnahmen nie missbrauchen würden, um in der fehlenden unabhängigen Kontrolle solcher Maßnahmen nicht eine Falle für „politisch unbequeme Personen“ wie Leaker und politische Organisationen zu erkennen, die sich alle heute kaum noch „ohne Telekommunikation“ organisieren können.
Denn hier erscheint mir der „Freiwilligkeitsvorbehalt“ als geschickte Falle. Wenn beim Einblick in den Account des politisch aktiven andere Straftatbestände auffallen, aber der Nachweis des eigentlich verfolgten Tatbestands nicht so recht gelingen will, dann schließt sich hier zweifelsohne ein Gespräch an, dass man sonst nur aus den USA kennt: „Wir können Sie jetzt als drohende Gefahr und während den Ermittlungen weiter festhalten und dann gehen sie später vielleicht für 10 Jahre ins Gefängnis, oder sie stimmen jetzt der Verwertung der Beweise zu die wir schon haben und gehen jetzt für 4 Jahre ins Gefängnis“. Wer hier jetzt annimmt ein Polizist käme nicht auf die Idee einen Straftatbestand zu konstruieren um hier auf Fischfang zu gehen und dann im Notfall die jetzt bekannten Straftaten in neuen Ermittlungen anderweitig zu verfolgen, liest vermutlich deutlich weniger Berichte über das Polizeiverhalten in den USA als ich :). Vielleicht liege ich aber auch falsch und meine Vermutungen sind alle wirksam durch andere Bestimmungen abgewehrt. Dann freue ich mich über entsprechende Hinweise.
Sie stellen m.E. viele wichtige und interessante Fragen. Lassen Sie mich Ihnen sagen, dass ich Ihnen, ohne einen nicht geringen Aufwand zu betreiben, keine fundierte Antwort zu Ihren Fragen geben kann.
Daher nur ein paar Bemerkungen:
1. Im Insolvenzverfahren gilt § 97 InsO auch schon für das Insolvenzeröffnungsverfahren, § 20 Abs. 1 InsO. In diesem Stadium hat ein Richter nur geprüft, ob der Insolvenzantrag zulässig ist. Das Verfahren ist zu diesem Zeitpunkt noch nicht eröffnet. In diesem Stadium wird erst geprüft, ob Insolvenzgründe überhaupt vorliegen.
Darüber hinaus kommt es aber m.E. nicht entscheidend darauf an, ob ein Richter sich der Sache annimmt oder nicht. Der Richtervorbehalt soll ja eigentlich nur eine erhöhte Gewähr für eine richtige unabhängige Rechtsanwendung bei besonders einschneidenden Maßnahmen gewähleisten. Dafür muss aber die Vorfrage geklärt werden, ob das Gesetz überhaupt zu rechtfertigen ist. Der Richtervorbehalt stellt sich dann also auf der Ebene der Ausgestaltung.
2. Ich stimme im Hinblick auf die hier besprochene Vorschrift zu, dass der Gesetzentwurf rechtsstaatlichen Zündstoff bietet. Mit den übrigen Maßnahmen habe ich mich zu oberflächlich beschäftigt, um dazu etwas Fundiertes in dieser Hinsicht zu sagen. Und auch wenn man eher früher als später Einwände erheben sollte, darf man auch nicht vergessen, dass dieser Referentenentwurf noch durch das Kabinett und die Bundestagsausschüsse muss. Spätestens bei der Gesetzesinitiative im Bundestag schaue ich mir aber einmal alle Maßnahmen (die dann noch übrig sind) genauer an. Insbesondere schaue ich mir dann den von Ihnen genannten Punkt einmal genauer an, ob auch die einfache Urheberrechtsverletzung ausreicht, um diese einschneidenden Maßnahmen zu eröffnen.
3. Angehörige sind nur über den letzten Satz der Norm geschützt. Ich verstehe diesen so, dass Strafverfahren gegen Angehörige nur mit Zustimmung des Verdächtigen erfolgen können.
4. Der Vergleich mit der Insolvenzordnung lässt sich m.E. nicht so leicht von der Hand weisen. Was meinen See damit, die Insolvenz werde nicht geheim gehalten? Warum ist das relevant. Der Betroffene muss sowohl im Insolvenzverfahren als auch im Strafverfahren, wenn es nach dem Willen des BMI geht, Auskünfte über strafbare Tatsachen geben. Eine Beschränkung auf einen insolvenzspezifischen Bereich gibt es zwar dem Wortlaut nach in § 97 Abs. 1 InsO, aber es wird ihn rein faktisch wohl kaum geben. Ich kann mir jedenfalls jetzt ad hoc keine Straftat vorstellen, die sich nicht auch auf die Vermögenssituation des Schuldners auswirken könnte.
Es tut mir leid, Ihnen derzeit dazu nicht mehr sagen zu können. Gerade weil dieses Vorhaben nicht unproblematisch ist, bedarf es ein wenig Aufwand sich mit den Einzelproblemen näher zu befassen.
Ich versuche dieses mal keinen Roman zu schreiben :). Ihren Hinweis, dass das Gesetz ja noch einige Hürden nehmen muss, sollte man übrigens natürlich auch nicht vergessen. Vielen Dank auf jeden Fall für Ihre Antwort. Ich freue mich auf Ihre weiteren Ausführungen zum Thema im Blog.
Zu Ihrer Rückfrage:
> Der Vergleich mit der Insolvenzordnung lässt sich m.E. nicht so leicht von der Hand weisen. Was meinen See damit, die Insolvenz werde nicht geheim gehalten?
Ich gehe davon aus, dass die Übernahme der Accounts durch die Polizei nicht öffentlich gemacht wird. Betroffene Dritte wissen also nicht, dass sie mit der Staatsmacht kommunizieren. Anders im Falle einer Insolvenz: Das Insolvenzverfahren wird nicht nur veröffentlicht (§9), ein Insolvenzverwalter gibt sich als solcher klar zu erkennen. Wenn sich der Schuldner also nach §97 selbst und vielleicht Dritte belastet, dann wissen diese um den Zustand der Insolvenz und können selber informierte Entscheidungen treffen wenn sie sich betroffen wähnen. Wenn Sie z.B. in einer Sache angehört werden, können sie gleich einen Zeugenbeistand hinzuziehen und damit ihre Rechte wahren. Das ist anders wenn die Polizei im Geheimen den WhatsApp-Account eines Beschuldigten weiterführt und in dessen Namen womöglich über einen längeren Zeitraum kommuniziert und dann weitere Personen aufgrund der gewonnenen Erkenntnisse verdächtigt/beschuldigt, während dem Beschuldigten gleichzeitig Strafminderungen versprochen werden, wenn er sich mit der Verwertung zum Nachteil der Dritten einverstanden erklärt.
Auf diesen Umstand hatte ich mich bezogen. Ich verstehe aber glaube ich, jetzt wo ich einen Tag darüber nachdenken konnte, dass es Ihnen vor allem um die Stellung des Beschuldigten selber geht und da gebe ich Ihnen sicher Recht, die erscheint mir in weiten Teilen ähnlich gelagert wenn man vermutet das die Person Schuld ist bzw. tatsächlich insolvent. Insoweit ich den Rechtsbegriff des Beschuldigten verstehe würde ich hier nur entgegnen, dass ich vermute, dass weniger Menschen irrtümlich Insolvenz anmelden, als von der Polizei irrtümlich beschuldigt werden.
Ah ja. Richtig, mir ging es vorrangig darum, dass das Insolvenzrecht den Fall der Selbstbezichtigung schon kennt. Hinsichtlich der Accountübernahme habe ich den Vergleich zum verdeckten Ermittler und nicht zum Insolvenzrecht gezogen. Da passt der Vergleich in der Tat nicht. Wobei sich hier eine insolvenzrechtliche Frage ergibt. Wird der Insolvenzverwalter bei einem insolventen Influencer dessen Instagram-/Youtube-Account in dessen Namen oder mit dem Hinweis auf den Verwalter weiterführen (positive Fortführungsprognose vorausgesetzt)?
Meine Vermutung geht dahin, dass es wohl nicht heißen würde „Let’s Play Minecraft by Gronkh, derzeit RA Dosenkohl als Insolvenzverwalter“. Es würde dann aber an anderer Stelle ein Hinweis erfolgen (jedenfalls im Insolvenzregister), das stimmt schon.
Die Zugangsdaten müsste der jeweilige Influencer aber auch rausrücken.
Der Gesetzentwurf behandelt Straftaten, also Strafrecht.
Das zur Analogie hergezogene Insolvenzrecht ist Zivilrecht.
Werden hier nicht Pferde mit Kühen verglichen?