Hausdurchsuchung in der Cloud

von Alexandra Schauer | 26.07.2018

Für Ermittler sind bei strafrechtlichen Hausdurchsuchungen gerade auch elektronisch verwaltete Daten von großem Interesse. Unternehmen verwalten ihre Daten längst nicht mehr nur auf Servern und Festplatten. In den letzten Jahren hat die Auslagerung von Daten ins Internet, insbesondere in Cloud-Dienste zusehends an Bedeutung gewonnen. Aus strafprozessualer Sicht stellt sich daher die Frage nach Möglichkeit und Reichweite eines Zugriffs von Ermittlungsbehörden auf solche extern verwalteten Daten.

„Cloudsourcing“

Wer sein Unternehmen am Puls der Zeit führt, bedient sich externer IT-Infrastruktur, wie insbesondere Cloud-Lösungen. Daten aller Art werden dabei auf Servern des jeweiligen Dienstanbieters verwaltet. Die Serverzentren des Dienstanbieters befinden sich häufig gar nicht in Österreich, sondern verstreut in Europa oder sogar Übersee. Die Auslagerung dient nicht nur dem Zweck, eine lokale Datenspeicherung zu ersetzen bzw. zu ergänzen, sie ermöglicht es auch bei Bedarfsspitzen kurzfristig auf Kapazitäten zurückzugreifen, deren permanente Bereithaltung für Unternehmen unrentabel wäre. Darüber hinaus verfügen Cloud-Anbieter in der Regel auch über professionellere Schutzeinrichtungen, um die Daten vor allfälligen Angriffen zu schützen. Die permanente technische Weiterentwicklung derartiger Dienste und deren Beliebtheit gerade im unternehmerischen Alltag werfen die Frage auf, inwieweit den Ermittlungsbehörden nun ein Zugriff auf Daten gestattet ist, die sich streng genommen nicht an jenem Ort befinden, der Gegenstand der Untersuchung ist.

„Gustav ans an Gustav zwa – Mia machen heut a Razzia“

Am Beginn dieser Fragestellung steht die Konfrontation eines Unternehmens mit einer Hausdurchsuchung. Nach der StPO ist eine Durchsuchung von Orten und Gegenständen nur dann zulässig, wenn aufgrund bestimmter Tatsachen anzunehmen ist, dass sich dort eine Person verbirgt, die einer Straftat verdächtig ist, oder sich dort Gegenstände oder Spuren befinden, die sicherzustellen oder auszuwerten sind. Was und in welchem Umfang überhaupt durchsucht und gegebenenfalls in Folge sichergestellt werden darf, wird grundsätzlich durch die gerichtlich bewilligte Durchsuchungsanordnung festgelegt.

Kooperationspflicht des Betroffenen

Grundsätzlich umfasst die Befugnis zur Durchführung einer Hausdurchsuchung auch die Sichtung dort befindlicher Computer oder sonstiger Datenträger. Diese umfasst dabei den Zugang zu auf dem Gerät gespeicherten Daten, sowie einmalig, auf zugängliche externe Speicherorte. Einmalig ist im Sinne einer punktuellen Auswertung des dadurch zugänglichen Datenbestands zu verstehen, weitere Beobachtungen durch mehrmalige Abfragen sind nicht erlaubt.

Wer dem Irrtum erliegt, passwortgeschützte Daten seien vor Behördenzugriffen „sicher“, wird vom Gesetzgeber eines Besseren belehrt. Dieser regelt nämlich, dass Betroffene vor jeder Durchsuchung unter Angabe der maßgeblichen Gründe aufzufordern sind, das Gesuchte freiwillig herauszugeben oder die Durchsuchung zuzulassen. Bei Sicherstellung von auf Datenträgern gespeicherten Informationen, haben Betroffene Zugang zu diesen zu gewähren, das bedeutet, dass auch die Zugangsdaten und Passwörter für den jeweiligen Cloud-Dienst herauszugeben sind. Wird die Kooperation verweigert, sind die Ermittler berechtigt, Keylogging- oder Crackingsoftware einzusetzen, um an Zugangsdaten und Passwörter der verschlüsselten Daten zu gelangen.

Auf diese Weise können sich Behörden auch Zugang zu extern verwalteten Daten verschaffen. Dies nicht nur theoretisch, wie der US-amerikanische Fall Microsoft vs. Departement of Justice zeigte. Seit 2013 wehrte sich Microsoft gerichtlich dagegen, in Irland gespeicherte Daten unter Umgehung der irischen Gesetze an US-Behörden auszufolgen. Der Supreme Court hat nun das Verfahren eingestellt, da dieser Streit gewissermaßen legislativ gelöst wurde. Am 23.03.2018 wurde der sogenannte CLOUD-Act, beschlossen. Darin wird festgelegt, dass Dienstebetreiber Kundendaten herausgeben müssen, egal wo die Daten physisch gespeichert sind. Der Dienstebetreiber hat die Möglichkeit Widerspruch einzulegen, sofern die Herausgabe der Daten gegen das Recht jenes Landes verstößt, in dem die Daten gespeichert sind, was allerdings nur gelten soll, wenn der Betroffene weder US-Bürger noch Einwohner der USA noch ein dort registriertes Unternehmen ist. Der CLOUD-Act sieht daneben den Abschluss bilateraler Abkommen der USA mit anderen Staaten vor, die ausländischen Ermittlungsbehörden den Zugriff auf Daten haben, die wiederum in diesem Land gespeichert sind. Dabei sollen die Datenschutzbestimmungen des anderen Landes nicht beachtet werden müssen. Das bisherige System der Rechtshilfeabkommen wäre damit in diesen Fällen obsolet.

Grundsätzlich hat, wenn sich externe Daten auf Servern im Ausland befinden, ein Rechtshilfeersuchen an diesen Staat zu erfolgen. Zwischenstaatliche Rechtshilfeersuchen stellen jedoch in der Regel umständliche und langwierige Unterfangen dar. Nicht selten können Monate vergehen, bis eine grenzüberschreitende Kooperation tatsächlich steht. In der Praxis wird deshalb regelmäßig darauf verzichtet, was vor dem Hintergrund fremder Souveränitätsrechte jedoch fragwürdig scheint.

Fairer Wettbewerb – Unternehmen unter der Lupe

Vergleichbares gilt im österreichischen Kartellrecht. Der VwGH bestätigte diesbezüglich zur historischen Rechtslage, dass ein Zugriff, auf Daten, die in der Cloud gespeichert sind, jedenfalls zulässig ist, wenn vom Ort der Untersuchung aus auf sie zugegriffen werden kann. Mit der letzten Novelle des WettbG im Jahr 2016 wurde dies auch gesetzlich verdeutlicht.

Ausblick: cloudy with sunny intervals

Im April 2018 reagierte die EU-Kommission auf den US-amerikanischen CLOUD-Act und legte einen Vorschlag zur Sicherung von elektronischen Beweismitteln wie E-Mails oder in Clouds gespeicherten Daten vor, welcher eine europäische Vorlageanordnung vorsieht, die EU-weit gelten soll und auf die Dienstanbieter binnen 10 Tagen, in Notfällen binnen 6 Stunden verpflichtend antworten sollen. Ob es zu einer Umsetzung dieses Vorschlages kommt, bleibt abzuwarten, jedoch wäre dies gerade im Kampf gegen organisierte Cyberkriminalität und die dadurch verursachten Schäden für Private und Unternehmen eine begrüßenswerte Verbesserung.