27
Mai
2025
BGH zur Smartphone-Entsperrung per Fingerabdruck – Finger drauf und Handy auf!

BGH zur Smartphone-Entsperrung per Fingerabdruck – Finger drauf und Handy auf!

Mit Beschluss vom 13. März 2025 (Az. 2 StR 232/24) hat der Bundesgerichtshof entschieden, dass Ermittlungsbehörden unter bestimmten Voraussetzungen den Finger eines Beschuldigten zwangsweise auf ein Smartphone legen dürfen, um dieses per Fingerabdruck zu entsperren. Eine Entscheidung mit erheblicher praktischer Tragweite – und nicht minder erheblichem rechtsstaatlichem Konfliktpotenzial.

Der Fall und die Entscheidung des BGH

Im Zentrum der Entscheidung stand ein Ermittlungsverfahren wegen Besitzes kinderpornografischer Inhalte. Im Rahmen einer Wohnungsdurchsuchung wurden mehrere Mobiltelefone beschlagnahmt. Da der Beschuldigte sich weigerte, diese freiwillig zu entsperren, legten Ermittlungsbeamte seinen Finger unter Anwendung unmittelbaren Zwangs auf den Sensor eines Smartphones. Die daraufhin erhobenen Beweise führten später zur Anklage und Verurteilung.

Der BGH billigte dieses Vorgehen ausdrücklich: Die Maßnahme sei durch § 81b Abs. 1 StPO gedeckt, der „ähnliche Maßnahmen“ neben Lichtbildern und Fingerabdrücken zulasse. Die zwangsweise Entsperrung stelle nach Ansicht des Gerichts keine unzulässige Selbstbelastung dar, da sie keine aktive Mitwirkung des Beschuldigten verlange.

Zweifel an der Rechtsgrundlage

Die Entscheidung des BGH ist juristisch umstritten. § 81b StPO erlaubt die Erhebung biometrischer Merkmale „zur Durchführung des Strafverfahrens“ – allerdings mit dem Ziel, eine Identifizierung des Beschuldigten zu ermöglichen. Eine Verwendung zur Entsperrung technischer Systeme ist im Wortlaut der Norm nicht angelegt und wurde vom Gesetzgeber auch bislang nicht vorgesehen.

Die Fachliteratur ist in dieser Frage gespalten. Während Rottmeier/Eckel (NStZ 2020, 193, 195 f.) eine technikoffene Auslegung befürworten, lehnen Nadeborn/Irscheid (StraFo 2019, 274), Neuhaus (StV 2020, 489) und Grzesiek/Zühlke (StV-S 2021, 117) den Rückgriff auf § 81b StPO zur Durchbrechung biometrischer Sperren ab. Kern der Kritik: Die Norm bezweckt die Identifikation – nicht die Entschlüsselung. Auf die Kritik wurde hier im Blog bereits hingewiesen.

Verhältnismäßigkeit vs. Rechtsklarheit

Die Instanzrechtsprechung – etwa das OLG Bremen (Az. 1 ORs 26/24) und das LG Ravensburg (Az. 2 Qs 9/23 jug.) – stützt sich ebenfalls auf § 81b StPO. Beide Gerichte betonen, dass eine technikoffene Anwendung nötig sei, um die Strafverfolgung nicht ins Leere laufen zu lassen. Die faktische Möglichkeit, durch Fingerabdruck Zugriff auf immense Datenmengen des Beschuldigten – frei nach dem Motto “Finger drauf und Handy auf!” –  zu erhalten, sei ein legitimes Ziel.

Doch diese Argumentation ignoriert ein zentrales rechtsstaatliches Prinzip: Eine Maßnahme, die einen schwerwiegenden Eingriff in die informationelle Selbstbestimmung ermöglicht – wie der Zugriff auf verschlüsselte private Daten –, bedarf einer klaren, spezifischen gesetzlichen Grundlage. Das ist derzeit nicht gegeben.

Zudem handelt es sich bei der Entsperrung um eine zweistufige Maßnahme: Erst erfolgt die technische Entsperrung des Geräts, dann die Auswertung der Daten. Der Übergang von Identifikations- zu Beweiserhebungsmaßnahme ist juristisch nicht trivial – und kann nicht durch eine analoge oder erweiterte Auslegung von § 81b StPO überbrückt werden.

Rechtspolitische Einordnung

Die Entscheidung mag praktisch erscheinen, da sie Ermittlungsbehörden in der digitalen Beweiserhebung entlastet. Doch sie operiert an den Grenzen des rechtlich Zulässigen. Das Analogieverbot des Strafrechts – auch wenn im Strafprozessrecht nicht uneingeschränkt anwendbar – verlangt Zurückhaltung bei der Erweiterung belastender Eingriffsgrundlagen.

Dass persönliche Daten nicht denselben rechtlichen Status wie offen zugängliche Inhalte haben, ist nur unzureichend reflektiert worden. Wer verschlüsselte Kommunikation schützt, muss auch die Schwelle für staatlichen Zugriff hoch ansetzen.

Fazit: Technische Realität trifft unklare Rechtslage

Die Fingerentsperrung durch Zwang ist nach derzeitiger Gesetzeslage allenfalls „auf Kante genäht“. De lege lata fehlt eine klare, explizite Rechtsgrundlage. Der Rückgriff auf § 81b StPO als Ermächtigung für den Zugriff auf biometrisch verschlüsselte Inhalte ist zweifelhaft und verkennt Zielrichtung und Systematik der Norm.

Die Entscheidungen des BGH schafft Klarheit für Ermittlungsbehörden – aber keine tragfähige Lösung. Es fehlt weiterhin an einer gesetzlich klar geregelten Ermächtigung für die zwangsweise biometrische Entsperrung digitaler Endgeräte.

Eine Reform wäre daher dringend geboten. Der Gesetzgeber muss den Konflikt zwischen effektiver Strafverfolgung und digitalen Grundrechten auflösen – nicht die Gerichte durch teleologische Konstruktionen. Bis dahin gilt: Ermittlungsbefugnisse dürfen nicht auf Lücken im Gesetz gebaut werden.

Posted by Dr. Mathias Grzesiek in Cybercrime, IT-Strafrecht, Rechtsprechung
25
Mai
2023
Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz

Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz

Mit der steigenden Zahl von Cyberbedrohungen und Angriffen wird es immer dringlicher, geeignete Schutzmaßnahmen zu ergreifen. In diesem Zusammenhang hat die Europäische Union die NIS-2-Richtlinie ins Leben gerufen, die ein hohes gemeinsames Cybersicherheitsniveau in der Union anstrebt. Nun wird Deutschland mit dem NIS-2-Umsetzungsgesetz seine nationalen Vorschriften zur Cybersicherheit verschärfen. In diesem Kurzbeitrag werden die wichtigsten Punkte des Gesetzes und seine Auswirkungen auf Unternehmen zusammengefasst.

  1. Hintergrund und Ziele der NIS-2-Richtlinie: Die NIS-2-Richtlinie zielt darauf ab, die Cyberresilienz der europäischen Wirtschaft zu stärken und wettbewerbsverzerrende Unterschiede zwischen den Mitgliedsstaaten zu beseitigen. Sie verpflichtet die Mitgliedstaaten dazu, ihre nationalen Vorschriften zur Cybersicherheit in kritischen Einrichtungen zu verschärfen. Das übergeordnete Ziel ist die Verhinderung von Störungen der informationstechnischen Systeme und Prozesse, die für die Erbringung wichtiger Dienste genutzt werden.
  2. Adressaten: Das NIS-2-Umsetzungsgesetz richtet sich an Betreiber kritischer Anlagen, wichtiger Einrichtungen und Unternehmen im besonderen öffentlichen Interesse. Die Kategorisierung erfolgt entsprechend der Größe und Kritikalität der Unternehmen. Zu den kritischen Anlagen gehören beispielsweise Einrichtungen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen und Digitale Infrastruktur. Die Regelungen gelten auch für Großunternehmen und Online-Dienstleister mit bestimmten Umsatz- und Mitarbeiterkriterien.
  3. Neue Anforderungen an das Risikomanagement: Das Gesetz legt neue Risikomanagement-Vorschriften fest, die über die bisherigen Pflichten hinausgehen. Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Systeme zu schützen. Es werden zehn Elemente eines angemessenen Risikomanagementansatzes definiert, die Unternehmen umsetzen müssen. Dazu gehören Risikoanalysen, Lieferkettensicherheit, Kryptografie, Verschlüsselung und Personalsicherheit.
  4. Transparenzpflichten und Meldepflichten: Das Gesetz fordert eine erhöhte Transparenz gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Kunden. Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI melden und Zwischenmeldungen abgeben. Zudem werden bußgeldbewehrte Registrierungspflichten eingeführt. Das BSI kann Unternehmen anweisen, ihre Dienstempfänger über Sicherheitsvorfälle zu informieren.
  5. Verantwortung der Geschäftsleitung: Eine bedeutende Neuerung des Gesetzes ist die direkte Verpflichtung der Geschäftsleitung wichtiger und besonders wichtiger Einrichtungen zur Überwachung der Cybersicherheitsmaßnahmen. Die Geschäftsleiter müssen die Risikomanagementmaßnahmen billigen und regelmäßige Schulungen absolvieren. Bei Verstößen können sie persönlich haftbar gemacht werden.
  6. Sanktionen: Das NIS-2-Umsetzungsgesetz sieht strenge Sanktionen für Verstöße gegen die IT-Sicherheitsvorschriften vor. Bußgelder können bis zu 20 Millionen Euro oder einen Prozentsatz des weltweiten Umsatzes des Unternehmens betragen.

Fazit: Das NIS-2-Umsetzungsgesetz markiert einen bedeutenden Schritt in Richtung einer verbesserten Cybersicherheit in Unternehmen. Es legt strengere Vorschriften für Risikomanagement, Transparenz und Verantwortung der Geschäftsleitung fest. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen, um sicherzustellen, dass sie den gesetzlichen Bestimmungen entsprechen und effektive Maßnahmen zum Schutz vor Cyberbedrohungen umsetzen. Die drastischen Sanktionen verdeutlichen, dass Cybersicherheit als essentieller Bestandteil des wirtschaftlichen und sozialen Lebens betrachtet wird und entsprechend behandelt werden muss.

Posted by Dr. Mathias Grzesiek in IT-Strafrecht
15
Mai
2023
Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig

Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig

Das Landgericht Ravensburg hat mit Beschluss vom 14. Februar 2023 (Az. 2 Qs 9/23 jug, hier abrufbar bei Burhoff) bestätigt, dass die Beschlagnahme des Mobiltelefons des Beschuldigten sowie die Abnahme und Nutzung seiner Fingerabdrücke zum Entsperren des Telefons rechtmäßig sind.

Der Beschuldigte wird eines Verstoßes gegen das Betäubungsmittelgesetz verdächtigt, insbesondere der Anstiftung zur unerlaubten Einfuhr von Betäubungsmitteln in nicht geringer Menge und des versuchten unerlaubten Erwerbs von Betäubungsmitteln. Im Rahmen der Ermittlungen wurde sein Zimmer durchsucht und sein Mobiltelefon beschlagnahmt.

Gegen den Beschluss des Amtsgerichts Ravensburg legte der Beschuldigte Beschwerde ein, insbesondere gegen die Anordnung zur Abnahme und Nutzung seiner Fingerabdrücke zum Entsperren seines Telefons. Das Landgericht entschied jedoch, dass die Beschwerde unbegründet ist.

In seiner Begründung stellte das Gericht fest, dass die Voraussetzungen des § 81b Abs. 1 gegeben sind. Die angeordneten Maßnahmen sind von der einschlägigen Ermächtigungsgrundlage gedeckt und verhältnismäßig. Die Anordnung zur Abnahme von Fingerabdrücken des Beschuldigten auch gegen seinen Willen und die Anordnung zur Nutzung der hieraus resultierenden biometrischen Daten für Zwecke der Entsperrung des Mobiltelefons finden ihre Grundlage in § 81b Abs. 1 StPO.

Im Wortlaut heißt es:

Durch die offene Formulierung wird erreicht, dass sich der statische Gesetzeswortlaut an den jeweiligen Stand der Technik anpasst (vgl. Rottmeier/Eckel, NStZ 2020, S. 193 (194)). Mit der „technikoffenen“ Formulierung hat der Gesetzgeber zum Ausdruck gebracht, dass auch solche Maßnahmen gedeckt sind, die dem gesetzlichen Leitbild der Abnahme und Verwendung von äußeren körperlichen Beschaffenheitsmerkmalen zu Identifizierungs- oder Tat nachweiszwecken entsprechen (vgl. Rottrneier/Eckel, NStZ 2020, S. 193 (195)). Im weiteren Sinn kommt der Nutzung der festgestellten Fingerabdrücke zum Entsperren eines Mobiltelefons auch eine Identifizierungsfunktion zu (vgl. ebenda).

Landgericht Ravensburg, 2 Qs 9/23 jug

Das Gericht betonte, dass die Abnahme und Verwendung von Fingerabdrücken zum Entsperren des Mobiltelefons notwendig und mithin verhältnismäßig ist. Insbesondere bleibt das Grundrecht des Beschuldigten auf informationelle Selbstbestimmung hinter dem Interesse der Allgemeinheit an einer effektiven Strafrechtspflege zurück.

Die Identifizierungsfunktion wird hier im Unterschied zum klassischen Fall des § 81b StPO allerdings nicht unmittelbar zum Führen eines Tatnachweises verwendet, sondern als Zwischenziel zur Erlangung der für den Nachweis erforderlichen gespeicherten Daten. Inwieweit die Maßnahme notwendig für das Strafverfahren ist, ist eine Frage der noch zu thematisierenden Verhältnismäßigkeit. Die Verwendung von biometrischen Körpermerkmalen zur Entschlüsselung von Daten durch einen Abgleich mit den im Endgerät hinterlegten Schlüsselmerkmalen ist deshalb auch vom Wortlaut umfasst (vgl. ebenda; LG Baden-Baden Beschluss vom 26. November 2019 – 2 Qs 147/19; Goers in: BeckOK StPO, 46. Edition, 01.01.2023, § 81b Rn. 4.1).

Bei der Abwägung ist zu berücksichtigen, dass die Speicherung der Fingerabdrücke von nur kurzer Dauer ist und der Zweck der Maßnahme mit dem Entsperren des Mobiltelefons erreicht ist. Zudem ist zu beachten, dass es sich um eine offene Ermittlungsmaßnahme handelt und der Beschuldigte eine Tat vorgeworfen wird, die die Grenze eines Bagatelldelikts deutlich übersteigt.

Anmerkung:

Die Entscheidung behandelt die rechtliche Frage der biometrischen Entsperrung von Daten im Strafverfahren. Gemäß § 81b StPO ist es zulässig, Lichtbilder, Fingerabdrücke und ähnliche Maßnahmen beim Beschuldigten aufzunehmen, entweder zum Zweck des Strafverfahrens oder des Erkennungsdienstes. Der Beschuldigte muss nicht aktiv daran mitwirken, aber zwangsweise durchgeführte Maßnahmen dulden. Es ist jedoch umstritten, ob § 81b StPO auch zur Entsperrung biometrischer Verschlüsselungen verwendet werden kann. Die Ansichten in der Literatur sind geteilt. Der Normtext selbst bezieht sich eindeutig nicht auf biometrische Entschlüsselungsversuche. Einige argumentieren, dass § 81b StPO für die Entsperrung verwendet werden kann (so vertreten von Rottmeier/Eckel NStZ 2020, 193 (195 f.), während andere dies ablehnen (Nadeborn/Irscheid StraFo 2019, 274f.; Neuhaus, StV 7/2020, 489f.; Grzesiek/Zühlke, StV-S 3/2021, 117f.). Das Hauptziel der Norm ist die Identifizierung des Beschuldigten für die weitere Verwendung im Strafverfahren. Es ist jedoch fraglich, wie diese weitere Verwendung im Verfahren gestaltet werden kann und ob sie auch bei informationstechnischen Systemsperren relevant ist.

Obwohl das strafrechtliche Analogieverbot im Strafprozessrecht möglicherweise nicht gilt (umstr.), ist der Anwendungsbereich von § 81b StPO nicht eröffnet, da er ein anderes Ziel verfolgt. Auch wenn die nach § 81b StPO gestattete Entnahme von Fingerabdrücken eine scheinbare Nähe aufweist, ist zu bemängeln, dass die Fingerabdrücke zur Identifizierung des Beschuldigten und nicht zum Zugriff auf Daten erhoben werden. Es handelt sich um eine zweistufige Maßnahme, bei der das Gerät im ersten Schritt entschlüsselt wird und dann in einem zweiten Schritt auf die entsperrten Daten zugegriffen wird. Die klare Unterscheidung zwischen Identifikationsmaßnahmen und Beweissicherungsmaßnahmen ist ein zwingendes Erfordernis des Strafprozessrechts. Die nun entschlüsselten Daten dürfen nicht wie von vornherein unverschlüsselte Daten behandelt werden, da dies die betroffenen Rechtsgüter und Grundrechtspositionen nicht berücksichtigt.

Aus hiesiger Sicht fehlt es de lege lata weiterhin an einer Rechtsgrundlage für die zwangsweise biometrische Entsperrung; insbesondere § 81b StPO ermächtigt die Ermittlungspersonen nicht zum Auflegen des Fingers auf einen Fingerabdruckscanner unter Anwendung von unmittelbarem Zwang.

Posted by Dr. Mathias Grzesiek in Cybercrime, IT-Strafrecht, Rechtsprechung