Verteidigung gegen EncroChat-Daten

In einer großangelegten Operation haben französischen Behörden im Frühjahr 2020 heimlich den vollständigen Chatverkehr aller über 32.000 EncroChat Nutzer überwacht und gespeichert. Hiervon sind alleine in Deutschland über 4.000 Nutzer betroffen. Das Bundeskriminalamt und die Landeskriminalämter werten entsprechende Kommunikation sukzessive aus und leitet bei strafrechtlichen Verdachtsmomenten individuelle Ermittlungsverfahren ein. Auf dieser Grundlage erfolgen weitere Ermittlungen, die nicht selten zu Durchsuchungsmaßnahmen und auch Haftbefehlen führen. Bisher wurden über 2.250 Ermittlungsverfahren eingeleitet und mehr als 1000 Haftbefehle vollstreckt. Vermögensarrestmaßnahmen wurden in Höhe von weit über 250 Millionen Euro vollzogen.

Als Straverteidigerinnen und Strafverteidiger in dieser Verfahrenssituation sehen wir uns zunächst einer abgeschlossenen und verdeckten Verfahrenslage gegenüber, die in den meisten Fällen eine erdrückende Beweislage suggeriert. Hier gilt es, ein taktisches Verteidigungskonzept zu erstellen, das sich auf die Bereiche rechtliche Verwertbarkeit der Daten, Zuverlässigkeit der vermeintlichen Identifizierung und Datenvalidität erstreckt. Wir sind davon überzeugt, dass die vorliegenden Daten keine tragfähige Grundlage für Verurteilungen bieten können – hierfür kämpfen wir seit nunmehr drei Jahren in zahlreichen sog. „EncroChat-Verfahren“.

Viele offene Fragen

Die Situation ist immer noch in vielerlei Hinsicht unübersichtlich. Es ergeben sich viele rechtliche und praktische Fragen – auch zum späteren Hack der Nutzer von Sky ECC global -, die nur teilweise geklärt sind.

Rechtliche Verwertbarkeit

Aus unserer Sicht ist die Frage der Verwertbarkeit der entsprechenden Daten untrennbar mit der Frage der genauen Herkunft der Daten verknüpft. In den von uns geführten Verfahren bemühen wir uns intensiv darum, den konkreten Gewinnungsprozess im Rahmen der durch die französischen Behörden geführten operativen Maßnahmen zu klären.

Keine Legitimation der Einzelmaßnahme nach deutschem Prozessrecht

Die Frage der Verwendbarkeit der Daten im bundesdeutschen Strafprozess hängt maßgeblich davon ab, ob entsprechende Maßnahmen auch durch die hiesigen Behörden hätten durchgeführt werden dürfen. Wir rechnen damit, dass die anstehende Entscheidung des Europäischen Gerichtshofs dies nachdrücklich bekräftigen wird. Nach dem derzeitigen Stand der vorliegenden Informationen wurden nicht nur Daten erhoben, die im Rahmen einer QuellenTKÜ nach deutschem Prozessrecht ermittelbar gewesen wären. Vielmehr wurden durch die französischen Behörden durch „Geräte-Hacks“ auch Daten generiert, die weit darüber herausgehen (beispielsweise chatunabhängige Bewegungsprofile). Eine solche Maßnahmenkombination ist nach unserer Ansicht unzulässig. Entsprechende Erkenntnisse sind nicht verwertbar.

Unzulässigkeit der Gesamtmaßnahme nach deutschem Recht

Darüber hinaus wurde die französische Ermittlungsoperation in einem Umfang durchgeführt, der nach hiesigen Ermächtigungsgrundlagen nicht denkbar wäre. Da die Verwendung der Daten in hiesigen Verfahren die Zulässigkeit eines entsprechenden „hypothetischen Ersatzeingriffs“ erfordert, kann in Hinblick auf die Komplettausforschung von mehr als 32.000 Nutzern ein solcher nicht mehr ansatzweise als vertretbar betrachtet werden. Diese Ansicht vertreten auch ein Teil der hiesigen Oberlandesgerichtsentscheidungen.

„Befugnis-Shopping“

Die deutschen Oberlandesgerichte verweisen in diesem Zusammenhang regelmäßig auf eine beschränkte Prüfungspflicht, da die Maßnahmen der französischen Behörden hier anzuerkennen seien. Die genauen zwischenstaatlichen Vorgänge sind indes noch nicht aufgeklärt. Aussagen sprechen dafür, dass die deutschen Behörden vor Beginn der Maßnahmen nicht nur informiert waren, sondern eine schriftliche Zustimmung erteilt haben, ohne die die französischen Maßnahmen nicht in diesem Umfang begonnen hätten. Sollte dies zutreffen, läge die Annahme einer bewussten Umgehung hiesiger Vorschriften und damit eine Durchbrechung der Anerkennungspflicht nahe.

Zweifel an Rechtsmäßigkeit auch in Frankreich

Auch in Frankreich bestehen nach wie vor Zweifel, ob die Maßnahmen auch nach dortiger Rechtsprechung verfassungsgemäß sind.

Grundrechtliche Bedenken

Von der Maßnahme waren mehr als 4.000 Nutzer in Deutschland betroffen. Bezüglich dieser Nutzer bestand zum Zeitpunkt der Anordnung der Maßnahmen kein ausreichender konkreter Verdacht einer Straftat. Allein die Nutzung einer end-to-end verschlüsselten Kommunikation über eine als besonders sicher konzipierte Konfiguration kann aus unserer Sicht noch keine ausreichende Rechtsgrundlage für eine entsprechende grundrechtsintensive heimliche Ausforschungsmaßnahme bilden.

Fehler in der zwischenstaatlichen Zusammenarbeit

Schließlich haben wir erhebliche Bedenken, ob der Ablauf der zwischenstaatlichen Zusammenarbeit sich im Rahmen der rechtlichen Zulässigkeit bewegte. So wäre aus unserer Sicht eine frühzeitige Stellung einer Europäischen Ermittlungsanordnung erforderlich gewesen. Eine solche wurde zwar getroffen, aber aus unserer Sicht zu einem weitaus späten Zeitpunkt.

Keine ausreichende Unterrichtung

Die französischen Behörden haben die vorgeschriebene rechtzeitige vorherige Unterrichtung der bundesdeutschen Stellen zudem unterlassen. Wäre dies der Fall gewesen, wären die Bundesrepublik angesichts eines fehlenden konkreten Tatverdachts und der fehlenden rechtlichen Ermächtigungsgrundlage für die Gesamtmaßnahme zum Widerspruch verpflichtet gewesen, was zu einer Ausnahme der deutschen Nutzer aus der Überwachungsoperation geführt hätte. Diese nicht mehr hinnehmbare Verletzung rechtsstaatlicher Verfahrensgarantien durch verdachtslose und über die gesetzliche Ermächtigung hinausgehende Komplettausforschung aller Nutzer führt zu einem Beweisverwertungsverbot.

Fehlender Zugang zu Rohdaten und Maßnahmendokumentation

Aufgrund einer Geheimhaltungsverfügung sind der Verteidigung weder die ursprünglich gewonnenen Daten, noch Unterlagen zur Dokumentation der technischen Umsetzung zugänglich. Dies bedeutet, dass die hiesigen Verfahrensbeteiligten keinerlei Überprüfungsmöglichkeit haben, ob die Daten mit zu erforderlichen Zuverlässigkeit technisch gewonnen und verarbeitet wurden. Diese fatale Beschränkung der Rechtsposition verhindert für die Beteiligten in unzulässiger Weise jede technische Verifizierungsmöglichkeit.

Keine Verwendbarkeit und Verwertbarkeit

Insgesamt dürfte eine Verwendung und Verwertung der EncroChat-Daten daher aus unserer Sicht – dies vertreten wir auch in von uns angebotenen Anwaltsfortbildungen und Veröffentlichungen – unzulässig sein.

Die Fachliteratur hat sich in zahlreichen Veröffentlichungen mit dem Thema befasst:


  • Pauli: Zur Verwertbarkeit der Erkenntnisse ausländischer Ermittlungsbehörden, NStZ 2021, 146
  • Diaz: Anm. zu OLG Bremen, jurisPR-StrafR 10/2021, 1
  • Nadeborn/Kempgens: Anm. zu OLG Hamburg, jurisPR-StrafR 12/2021, 4
  • Stehr/Rakow: Anm. zu OLG Hamburg und OLG Bremen, StRR 4/2021, 6
  • Derin/Singelnstein: Verwendung und Verwertung von Daten aus massenhaften Eingriffen in informationstechnische Systeme aus dem Ausland (Encrochat), NStZ 2021, 449
  • Sommer: EncroChat – ein Kapitel in der Geschichte des zerbröselnden europäischen Strafprozesses, StV Spezial 2021, 67
  • Derin/Singelnstein: »Encrochat« – Verwendung durch verdachtsunabhängige Massenüberwachung im Ausland erlangter Daten in deutschen Strafverfahren, StV 2022, 130-135
  • Meyer-Mews: Auswirkungen der Rechtsprechung zur Vorratsdatenspeicherung auf die Verwertbarkeit der EncroChat-Kommunikation, HRRS 2023, 110-117
  • Sommer: Chat about EncroChat, StraFo 2023, 250-259

Bisherige Gerichtsentscheidungen

Die Oberlandesgerichte haben sich in verschiedenen Haftentscheidungen oberflächlich und vorläufig mit der Problematik befasst und die Daten zunächst als verwertbar angesehen. Demgegenüber hat das Landgericht Berlin in einer Entscheidung vom 01.07.2021 wegen der Unverwertbarkeit der Daten die Eröffnung eines Hauptverfahrens abgelehnt und den Haftbefehl aufgehoben. Auf die Beschwerde der Staatsanwaltschaft Berlin wurde diese Entscheidung durch das Kammergericht aufgeboben.

Zwischenzeitlich lliegen Entscheidungen von mehreren Strafsenaten des Bundesgerichtshofs vor. Der 6. Senat bejaht in einem kurzen sog. obiter dictum die Verwertbarkeit ohne jede eigene Begründung und verweist auf die Entscheidung des Kammergerichts. Die umfangreiche Entscheidung des 5. Senats geht ebenefalls von einer Verwertbarkeit aus. Rechtlich und tatsächlich verbleiben gleichwohl zahlreiche offene Fragen, sodass nach wie vor gewichtige Argumente gegen die Verwertbarkeit sprechen. Es bestehen Zweifel, ob das darin zum Ausdruck kommende Verständnis der RL EEA so mit europäischen Recht vereibar ist, zumal eine entsprechende Maßnahme in Deutschland unter dem Vorbehalt einer Anordnung durch ein Landgericht gestanden hätte.

Im Herbst 2022 hat das Landgericht Berlin ein Verfahren ausgesetzt und zahlreiche Rechtsfrage dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.

In der am 30. April 2024 verkündeten Entscheidung hat der EuGH zwar die grundsätzliche Verwertbarkeit der EncroChat-Daten bestätigt. Mit dem Urteil stellt der EuGH aber auch klar, dass die bisherige Rechtsansicht des Bundesgerichtshofs zu praktisch nicht vorhandenen Prüfungspflicht des nationalen Prozeßrechts unzutreffend ist. Die rechtliche Argumentation der entsprechenden Grundsatzentscheidung des BGH vom 02. März 2022 kann daher keinen Bestand mehr haben. Wir gehen zwar davon aus, dass eine grundsätzliche Verwertbarkeit – mit anderer rechtlicher Argumentation – weiterhin angeommen werden wird. Gleichwohl betont der EuGH den individualschützenden Charakter der Benachrichtungspflichten. Darüber hinaus stellt der EuGH klar, dass dem Beschuldigten effektive Verteidigungsrechte gewährleistet werden müssen. In vielen EncroChat-Verfahren ist der Zugang zu den entsprechenden Rohdaten nach wie vor aus rechtlichen Gründen erschwert. In Einzelfällen hat sich herausgestellt, dass nicht ausreichende Rohdaten vorhanden sind, was aus unserer Sicht – nunmehr gestützt durch das Urteil des EuGH – zu einer Unverwertbarkeit führt.

In einer Entscheidung vom 19.10.2023 greift das OLG München die Bedenken der Literatur wiederum auf und zieht hieraus einen „Erst-recht-Schluss“ für die Unverwertbarkeit von ANOM-Daten.

Mit Inkrafttreten des KCanG haben sich auch die strafprozessualen Eingriffsnormen verändert. Fälle des Handeltreibens mit Cannabis oher Erfüllung des Qualifikationstatbestandes des Absatz 4 (zB. bandenmäßiger Handel) legitimieren zwar noch strafprozessuale Maßnahmen nach § 100a StPO, aber keine Onlinedurchsuchung gem. § 100b StPO. Diese Gesetzesänderung hat ganz erhebliche Auswirkungen auf die Verwertbarkeit der EncroChat-Daten. Bisher hatte die obergerichtliche Rechtsprechung immer argumentiert, dass die EncroChat-Überwachungsmaßnahme insbesondere aufgrund ihrer gesetzlichen Legitimation gem. § 100b StPO gerechtfertigt und entsprechende Erkenntnisse damit verwertbar seien. Diese Rechtsansicht wird sich nunmehr in nicht-bandenmäßigen Fällen des Handeltreibens mit Cannabis nicht mehr halten lassen. Selbst unter Heranziehung der bisherigen ständigen Rechtsprechung zur Verwerbarkeit von EncroChat-Daten dürften diese in diesen Fälllen einem klaren Beweiswertungsverbot unterfallen.

Verteidigung in EncroChat Fällen

Die Verteidigung in EncroChat Verfahren erweist sich als ausgesprochen komplex. Häufig werden wir daher derzeit von Mandanten und bereits tätigen Kollegen in entsprechende Verfahren involviert.

Ausgehend von einer vertieften Befassung mit den technischen Hintergründen des Systems und der französischen Ermittlungsoperation gilt es, auf eine eingehende Aufklärung der konkreten technischen Maßnahmen und verfahrensmäßigen Hintergründe hinzuwirken.

Aufbauend darauf sind die rechtlichen Fragen und Schwierigkeiten in geeigneter Form im Verfahren geltend zu machen. Hierfür bieten sich verschiedene Anträge und letztlich die Erhebung eines Verwendungs- und Verwertungswiderspruchs an.

Die Verteidigung gegen digitale Beweisdaten aus den EncroChat – Ermittlungen beschränkt sich aber nicht nur auf diese rechtlichen Fragen. In tatsächlicher Hinsicht lassen sich häufig Angriffspunkte gegen die Frage der Identifizierung – also ob es sich bei dem Nutzer überhaupt um den Beschuldigten handelt – analysieren und vortragen. Letztlich wird nach vertiefter Befassung mit den technischen Hintergründen auch die Datenvalidität in Frage stehen. Hier gilt es, Angriffspunkte herauszuarbeiten, die den Aussagegehalt der Daten relativen oder aufheben.

Hinzu tritt regelmäßig die Frage, ob die Chatinhalte überhaupt die von den Ermittlungsbehörden behaupteten Tatvorwürfe belegen. Hier ist regelmäßig eine eingehene Befassung mit dem genauen Inhalt der Chats – jeweils auch in Bezug zur Kommunikation anderer Nutzer – notwendig. Häufig stellt sich in diesem Zusammenhang heraus, dass das Ermittlungsnarrativ nicht die einzige Interpretationsmöglichkeit darstellt. In nicht wenigen Fällen lässt sich in Zusammenarbeit mit den Beschuldigten herausarbeiten, dass die Taten in der behaupteten Weise gar nicht stattgefunden haben.

Von entscheidender Bedetung ist zudem der Zugang zum ursprünglichen Datenmaterial. Während in vielen Verfahren (zumindest) Gerätedaten vorliegen, die in dieser Form von französischen Behörden übermittelt wurden, sind Fälle bekannt, in denen Tabellen zugänglich sind, deren Ersteller und Erstellungsweg gänzlich unbekannt sind. Gerade in diesen Fällen ist eine Überprüfung der Authentizität und Integrität der Daten unmöglich und kann unserer Meinung nach keine tragende Wirkung für eine Schuldfeststellung entfalten.

Aktuelle Fortbildungen

04./05.09.2020:
Bad Saarower Tage „Verteidigung mit und gegen IT“

24.06.2021:
EncroChat & Sky ECC global: Verteidigung gegen digitale Beweismittel aus länderübergreifenden „Staats-Hacks“ (RA Kai Kempgens und RA Dr. Toralf Nöding)

12./13.11.2021:
RA Kai Kempgens als Referent auf dem 38. Herbstkolloquium der AG-Strafrecht in Leipzig zum Thema „Encrochat – technische und rechtliche Aspekte“

25.08.2022:
RA Kai Kempgens referiert „Verteidigung in EncroChat-Verfahren abseits von Verwertungsfragen“(gemeinsam mit RA Dr. Toralf Nöding) – Vereinigung Berliner Strafverteidiger e.V.

23.03.2023:
RA Kai Kempgens referiert auf dem Erlanger Cybercrime Tag

13.05.2023:
RA Kai Kempgens referiert auf dem 44. Strafverteidigertag 2023

Über den Autor

Rechtsanwalt Kai Kempgens ist seit zwanzig Jahren als Strafverteidiger in Berlin tätig. Er verteidigt und berät in zahlreichen komplexen Umfangsverfahren und besonderen Sachverhalten, häufig mit spezifischem fachlichen Bezug zur IT-Forensik, digitalen Beweisführung und technischen sowie wissenschaftlichen Sonderfragen.

Seit Offenlegung der Ermittlungen im Jahre 2020 ist Kai Kempgens regelmäßig in EncroChat-Verfahren als Strafverteidiger – häufig in Zusammenarbeit mit anderen Kolleginnen und Kollegen – tätig und befasst sich in Fachveröffentlichungen und Fachdiskussionen mit dem Thema. Auf zahlreichen Fortbildungen und Kongressen trat er als Referent auf.

page.php