E-Evidence: Können Strafverfolgungsbehörden mein Smartphone und meinen Laptop auslesen?
Daten in Smartphones und Laptops können insbesondere mit Hilfe der Online-Durchsuchung erhoben werden. Bei der Online-Durchsuchung greifen die Ermittler heimlich mittels einer Spähsoftware auf das IT-System (Laptop, Smartphone usw.) zu, um die Daten dort zu erheben (§ 100b StPO, siehe dazu auch unseren ersten Blog-Beitrag der E-Evidence-Reihe).
Oft werden die Geräte aber erst bei einer Durchsuchung gefunden und sichergestellt bzw. gegen den Willen von Beschuldigten beschlagnahmt – inklusive der auf den Geräten gespeicherten Daten, die dann ausgelesen werden können.
Müssen Beschuldigte ihre Passwörter offenbaren?
Beschuldigte sind nicht verpflichtet (und können auch nicht gezwungen werden), Passwörter für Geräte preiszugeben oder Endgeräte etwa per Fingerabdruck freiwillig zu entschlüsseln. Entgegen der Ansicht einiger Staatsanwälte enthält die StPO auch keine Rechtsgrundlage, den Beschuldigten mittels körperlicher Einwirkung zu zwingen, den Finger auf den Sensor zu legen, um das Gerät zu entschlüsseln. Dies ist jedoch nicht unumstritten.
Haben Zeugen eine Pflicht, Passwörter offenzulegen?
Es ist unter Juristen umstritten, ob Zeugen dazu verpflichtet sind, Passwörter zu ihren oder fremden Endgeräten zu verraten. Das betrifft etwa IT-Administratoren, wenn sie im Rahmen einer IT-Durchsuchung zu Passwörtern befragt werden oder die Ermittlungsbehörde die Herausgabe einer „Passwortliste“ verlangt.
Im Gegensatz zu dem Beschuldigten können sie sich nicht darauf berufen, dass niemand zu seiner eigenen Überführung beitragen muss. Gleichwohl wird von einigen Juristen eine Pflicht zur Nennung oder Herausgabe eines Passworts verneint, da ein Zeuge nur dazu verpflichtet sei, seine Wahrnehmung der Tat und gegebenenfalls schuldrelevanter Umstände mitzuteilen – „mittelbar“ relevante Umstände wie Passwörter seien davon nicht umfasst. Ermittlungsbehörden lassen diese juristische „Spitzfindigkeit“ jedoch in der Regel nicht gelten und drohen ein Ordnungsgeld an, um die Preisgabe des Passworts zu erzwingen.
Unter bestimmten Voraussetzungen sind auch Anbieter von Telekommunikationsdiensten dazu verpflichtet, das Passwort zu dem Endgerät eines Kunden herauszugeben. Zukünftig soll dies auch für die Anbieter von Telemediendiensten (z.B. Cloud-Dienste, Facebook, Twitter) gelten.
Dürfen Ermittler Passwörter knacken?
Ist das Gerät gesperrt, dürfen Ermittler versuchen, die Sperre zu umgehen oder das Passwort zu knacken. Die auf den Geräten gespeicherten Daten werden zum Teil mit dem sog. UFED Physical Analyzer, einem Standard-Tool der Strafverfolgungsbehörden, gesichert. Bei der Sicherung werden mitunter auch die auf dem Gerät gespeicherten Zugangsdaten zu Online- und Clouddiensten ausgelesen und seitens der Ermittler den IT-Forensikern zur Verfügung gestellt.
Umstritten und nicht geklärt ist allerdings, ob Strafverfolgungsbehörden diese Zugangsdaten dann auch verwenden dürfen, um etwa auf Social Media-Accounts zuzugreifen.