Dr. Mathias Grzesiek

Dr. Mathias Grzesiek ist Partner der auf Wirtschafts- und Steuerstrafrecht spezialisierten Kanzlei Rosinus | Partner Rechtsanwälte PartG mbB in Frankfurt/M. Er berät und verteidigt nationale und internationale Unternehmen sowie Privatpersonen in allen Fragen des Wirtschafts- und Steuerstrafrechts. Neben seiner Anwaltstätigkeit ist er Lehrbeauftragter an der Goethe-Universität Frankfurt am Main.
Dr. Mathias Grzesiek ist Partner der auf Wirtschafts- und Steuerstrafrecht spezialisierten Kanzlei Rosinus | Partner Rechtsanwälte PartG mbB in Frankfurt/M. Er berät und verteidigt nationale und internationale Unternehmen sowie Privatpersonen in allen Fragen des Wirtschafts- und Steuerstrafrechts. Neben seiner Anwaltstätigkeit ist er Lehrbeauftragter an der Goethe-Universität Frankfurt am Main.
Datenhehlerei nach § 202d StGB

Datenhehlerei nach § 202d StGB

A. Gesetzeswortlaut

Der Straftatbestand der Datenhehlerei ist in § 202d Strafgesetzbuch (StGB) kodifiziert und besteht aus drei Absätzen, die im Einzelnen lauten:

(1) Wer Daten (§ 202a Absatz 2 StGB), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, um sich oder einen Dritten zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Die Strafe darf nicht schwerer sein als die für die Vortat angedrohte Strafe.

(3) Absatz 1 gilt nicht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen. Dazu gehören insbesondere

1. solche Handlungen von Amtsträgern oder deren Beauftragten, mit denen Daten ausschließlich der Verwertung in einem Besteuerungsverfahren, einem Strafverfahren oder einem Ordnungswidrigkeitenverfahren zugeführt werden sollen, sowie

2. solche beruflichen Handlungen der in § 53 Absatz 1 Satz 1 Nummer 5 der Strafprozessordnung genannten Personen, mit denen Daten entgegengenommen, ausgewertet oder veröffentlicht werden.

B. Schutzgut der Datenhehlerei nach § 202d StGB

Die Datenhehlerei schützt das formelle Datengeheimnis, welches durch eine entsprechende Vortat – zum Beispiel das Ausspähen von Daten­ – verletzt worden ist, vor einer Aufrechterhaltung und Vertiefung dieser Verletzung.[1]

Der Berechtigte verliert mit der Vortat die Möglichkeit, zu entscheiden, wem seine Daten zugänglich sein sollen. Diese Rechtsgutsverletzung wird aufrechterhalten und vertieft, wenn sich im Anschluss daran ein Dritter die gestohlenen Daten verschafft und damit die Daten weiterverbreitet werden. Durch diese Perpetuierung der dolosen Verfügungsmacht erhält ein Dritter die Möglichkeit, über die Zugänglichmachung der Daten zu entscheiden, wodurch es für diesen schwieriger wird, seine Daten nachzuverfolgen und die alleinige Verfügungsbefugnis wiederzuerlangen.[2]

In der Gegenüberstellung mit der (Sach-) Hehlerei (§ 259 StGB) lassen sich einige Aspekte diskutieren. So kann die Frage aufgeworfen werden, ob das Sich-Verschaffen von Daten und die Wegnahme von Objekten hinsichtlich der Überwindung eines fremden Herrschaftsbereichs miteinander vergleichbar sind; ergo denselben Unrechtscharakter besitzen.[3]

Während das „Opfer“ beim Diebstahl zumindest die Sachherrschaft über das Diebesgut verliert, bleibt bei der Datenhehlerei oftmals eine Kopie der Daten vorhanden. Jedenfalls scheint bei der Datenhehlerei neben der Verfügungsberechtigung auch das „allgemeine Sicherheitsinteresse“ erfasst zu sein.[4]

C. Deliktsaufbau

I. Tatbestand des 202d Abs. 1 StGB

1. Objektiver Tatbestand

a. Daten als Tatobjekt der Datenhehlerei

Angriffsobjekt des Tatbestands sind in Übereinstimmung mit § 202a II StGB „Daten“. Der Begriff wird nicht legaldefiniert, sondern lediglich durch bestimmte Merkmale eingegrenzt. Hierdurch hat der Gesetzgeber dem Anwender des Gesetztes die Möglichkeit offengehalten auf neue Entwicklungen innerhalb der Informationstechnologie schnell und flexibel reagieren zu können.[5] Daten sind nach dem technischen Datenbegriff der Norm DIN 44300 „Zeichen oder kontinuierliche Funktionen aufgrund bekannter oder unterstellter Abmachungen zum Zwecke der Verarbeitung dargestellte Informationen“; kurzum die Darstellung einer Information mithilfe bestimmter Codes.[6] Hierunter fallen auch Musik- , Video- und Filmdateien sowie andere Media-Daten.

Es werden nur nicht öffentlich zugängliche Daten vom Tatbestand erfasst. Öffentlich zugänglich sind Daten, die jedermann ohne oder nach vorheriger Anmeldung, Zulassung oder Entrichtung eines Entgelts nutzen kann (§ 10 V S. 2 BDSG a.F. und nunmehr Art. 4 DSGVO).[7]

Abgestellt wird somit darauf, ob die Informationsquelle technisch geeignet und bestimmt ist, einem individuell nicht bestimmbaren Personenkreis Informationen zu verschaffen. Aus diesem Grund sind insbesondere veröffentlichte, urheberrechtlich geschützte Werke auch dann allgemein zugänglich, wenn für ihre Nutzung bezahlt werden muss.[8]

Als allgemein zugängliche Quellen kommen damit beispielhaft in Frage: Rundfunk, Fernsehen, Printmedien, Aushänge, Datenbanken und das Internet (hier sicherlich nur das Visible Net und nicht das Darknet). In all diesen Fällen kann eine Beeinträchtigung der formellen Verfügungsbefugnis des Berechtigten nicht gegeben sein. Der Umkehrschluss verdeutlicht, dass die Datenverwendung jedermann aus öffentlichen Quellen offensteht.

b. Vortat einer Datenhehlerei

Die Daten müssen durch eine rechtswidrige (Vor-) Tat (§ 11 Abs. 1 Nr. 5 StGB) erlangt worden sein. Als Vortat der Datenhehlerei kommen ­– wie auch bei der Sachhehlerei – demzufolge alle Straftaten in Betracht, die ein Strafgesetz verwirklichen, unabhängig von der Schuld des Täters oder dem Vorliegen eines Strafantrages.[9] Eine taugliche Vortat liegt damit nicht nur in dem Abfangen und Ausspähen von Daten (§§ 202a, 202b StGB) vor, sondern auch in einem Diebstahl (§ 242 StGB), (Computer-) Betrug (§§ 263, 263a StGB) oder einer Nötigung (§ 240 StGB). Voraussetzung bleibt, dass sich die Tat im Einzelfall auch gegen die formelle Verfügungsbefugnis des Berechtigten richtet und der Täter kausal Daten erlangt hat. Die Vortat muss zum Zeitpunkt des abgeleiteten Erwerbs abgeschlossen sein.[10] Nicht erfasst sind mithin Vertragsverletzungen, Disziplinarvergehen oder Ordnungswidrigkeiten. Ebenfalls vermag eine Urheberrechtsverletzung keine Vortat zu begründen.

Berichtigter im Sinne der Vorschrift ist, wer über die Daten verfügen darf, im Regelfall derjenige, der die Daten gesammelt und abgespeichert hat oder auf dessen Veranlassung die Speicherung erfolgt ist. Eigentum oder Besitz spielen dabei keine Rolle. Datenschutzrechtlich Betroffener kann auch eine andere Person sein, wenn die Daten Einzelangaben über seine persönlichen oder sachlichen Verhältnisse enthält.[11]

c. Tathandlung der Datenhehlerei

Tatbestandshandlung ist das „Sich- (oder einem anderen) Verschaffen“, „Überlassen“, „Verbreiten“ oder „sonst zugänglich machen“. Die Regelung folgt damit dem § 202 c I StGB. Auf die dort zu findende Variante des „Verkaufens“ ist bewusst verzichtet worden. Der Gesetzgeber hat sich in dem Gesetzesentwurf somit darauf festgelegt, dass der Täter durch die Tathandlung die tatsächliche Verfügungsgewalt erlangen muss; unabhängig von dem Schließen eines Kaufvertrags.[12]

Es ist ein einverständliches Zusammenwirken zwischen Täter und Vortäter erforderlich. Die vom Vortäter geschaffene Möglichkeit, Zugriff auf die Daten nehmen zu können, muss vom Täter im Einvernehmen mit dem Vortäter genutzt werden.[13]

Hat der Täter zwar Kenntnis von der Vortat, nutzt aber den Vortäter nicht als Quelle, scheidet eine Strafbarkeit wegen Datenhehlerei aus. Damit ist nicht ausreichend, dass der Täter nur mit einem anderen zusammenwirkt, der die Daten nicht durch eine eigene rechtswidrige Tat, sondern nur infolge der rechtswidrigen Tat eines Dritten erlangt hat.[14] Täter und Vortäter müssen keinen unmittelbaren Kontakt haben. Die Strafbarkeit scheitert nicht schon wegen des Einsatzes von Mittelmännern.[15]

2. Subjektiver Tatbestand der Datenhehlerei

Im Hinblick auf das Tatobjekt und die rechtswidrige Vortat ist gem. § 15 StGB Vorsatz erforderlich. Hierbei genügt Eventualvorsatz.

Der Täter muss den Umstand in seinen Vorsatz aufnehmen, dass die Daten nicht öffentlich zugänglich sind. Die konkrete Umsetzung der Vortat muss er nicht kennen. Es genügt das bloße Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen. Demzufolge braucht keine nähere Kenntnis in Form von Ort und Zeit der Tatbegehung, Person des Vortäters oder Art und Weise des Vorgehens vorzuliegen. Bei nachträglich erlangter Kenntnis des Datenhehlers von der illegalen Herkunft der Daten kommt es auf seine Reaktion an: Eine Strafbarkeit besteht nur dann, wenn nach Erlangung der Kenntnis tatbestandliche Handlungen vorgenommen werden.[16]

Weiterhin muss der Täter in der Absicht handeln, sich oder einen Dritten zu bereichern oder einen anderen zu schädigen. Bereicherungsabsicht ist gegeben, wenn es dem Täter darauf ankommt durch die Tat einen Vermögensvorteil zu erlangen. Schädigungsabsicht liegt vor, sofern das Handeln des Täters darauf gerichtet ist, einer anderen Person einen Nachteil zuzufügen. Dieser kann auch immaterieller Natur sein, wie etwa Datenhandel im Internet zum Zweck öffentlicher Bloßstellung oder politischer Agitation.[17]

II. Strafrahmenlimitierung nach § 202 Abs. 2 StGB

Gemäß § 202 d II wird der Strafrahmen der Datenhehlerei durch denjenigen der Vortat begrenzt. Der Gesetzesentwurf der Bundesregierung begründet das damit, dass die Rechtsgutsverletzung der Hehlerei nicht schwerer wiegen würde als die der Vortat und infolgedessen auch nicht schwerer bestraft werden sollte.[18]

III. Tatbestandsausschluss nach § 202 Abs. 3 StGB

202d Abs. 3 StGB sieht für Handlungen, die ausschließlich der Erfüllung rechtmäßiger dienstlicher oder beruflicher Pflichten dienen, einen Tatbestandsausschluss vor. Privilegiert werden insbesondere Handlungen von Amtsträgern (§ 11 II Nr. 2 StGB). Aber auch behördenexterne Personen können aufgrund eines privatrechtlichen Auftrages von einem Amtsträger beauftragt werden. Zu einer dienstlichen Pflicht gehört etwa die Verpflichtung zu Einleitung eines Ermittlungsverfahrens im Falle des Anfangsverdachts einer Straftat durch die Staatanwaltschaft (§ 152 II StPO) und Polizeibehörden (§ 163 I StPO).[19] Die Handlung darf nur ausschließlich der rechtmäßigen Pflichterfüllung dienen.[20]

Durch die Tatbestandsausschlussregelung soll sichergestellt werden, dass Daten zum Zwecke von Ermittlungen und für journalistische Tätigkeiten verwendet werden dürfen.[21]

Die berufliche Pflicht soll dabei insbesondere auch journalistische Tätigkeiten in Vorbereitung einer konkreten Veröffentlichung umfassen. Nur die spezifische Aufgabenerfüllung kann dabei einziger Grund für die Verwendung der Daten sein (Ausschließlichkeitskriterium).[22] § 202 Abs. 3 S. 2 Nr. 2 StGB bezieht sich auf den Ankauf von steuerrechtlich relevanten Daten (Steuer CDs, s.o.). Aber auch die freie Entscheidung des Journalisten, im Rahmen seiner beruflichen Tätigkeit über eine Sache zu berichten, wird erfasst.[23] Zu den in § 53 Abs. 1 S. 1 Nr. 5 StPO genannten Personen gehört, wer bei der Vorbereitung, Herstellung oder Verbreitung von Druckwerken, Rundfunksendungen, Filmberichten oder der Unterrichtung oder Meinungsbildung dienenden Informations- und Kommunikationsdiensten berufsmäßig mitwirkt oder mitgewirkt hat.[24]

Dem entgegen merkt Weidmann zutreffend an, dass es „unklar und sehr zweifelhaft“ sei, ob alleine durch die Bezugnahme auf § 53 StPO neue Betätigungsfelder zur Meinungsbildung wie beispielsweise Blogger, Podcaster und Whistleblower- Plattformen mit einem etwaigen redaktionellen Bezug vom Tatbestandsausschluss erfasst sind oder an dieser Stelle nicht vielmehr eine nicht unerhebliche Beschränkung der Pressefreiheit zu befürchten ist.[25]

D. Kritik und rechtliche Einschätzung

Der Tatbestand der Datenhehlerei nach § 202d StGB hat seit seinem Inkrafttreten Ende 2015 für viel Wirbel gesorgt. Der Gesetzgeber musste sich schon seit dem Bekanntwerden des Gesetzesvorhabens mit ihm gegenüber stark entgegengebrachter Kritik auseinandersetzen.

Kritiker befürchten durch die neue Regelung eine Bedrohung der grundrechtlich geschützten Presse- und Wissenschaftsfreiheit (Art. 5 Abs. 1 S. 2 GG).[26]

Daneben wird die „geschaffene Rechtsunsicherheit“ bemängelt.[27] Blogger, Twitter-User und Whistleblower sowie Personen, die im IT-Bereich tätig sind, fühlen sich durch den Straftatbestand in ihrer Tätigkeit eingeschränkt.[28] Auch wird die Bezugnahme auf den Ankauf von „Steuer- CDs“ kritisiert. Der Gesetzgeber hat hier möglicherweise nur gehandelt, um eben jenes Verhalten eindeutig straffrei zu stellen. Kargl sieht hierin eine „kaum verhohlenen Absicht, einen Privilegierungstatbestand zu schaffen.“[29]

Gegen die Vorschrift des § 202d StGB, die durch das das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten aus 2015 geschaffen wurde, ist bereits Verfassungsbeschwerde eingelegt worden. Beschwerdeführer ist ein Verbund aus Journalisten, Freiheitsorganisationen und Juristen.[30] Im Rahmen der Verfassungsbeschwerde wird primär die Verletzung der Pressefreiheit gerügt. Beim Umgang mit Daten unbekannter oder unklarer Herkunft besteht für Journalisten die Gefahr einer Strafbarkeit. Des Weiteren kommt dem Tatbestand eine allgemeine Einschüchterungswirkung zu, da sich Journalisten der Gefahr von repressiven Ermittlungseingriffen wie einer Durchsuchung von Redaktionsräume ausgesetzt sehen.[31]

Fußnoten

[1] MüKoStGB/ Graf § 202d Rn. 2a.

[2] BeckOK StGB/ Weidemann § 202d Rn. 2; NK- StGB/ Kargl, § 202d Rn. 5;

MüKoStGB/ Graf § 202d Rn. 2a.

[3] NK- StGB/ Kargl, § 202d Rn. 5.

[4] MüKoStGB/ Maier § 259 Rn. 3.

[5] NK- StGB/ Kargl, § 202a, Rn. 4.

[6] BT-Drucks. V/4094; Fischer § 268 Rn. 4; MüKoStGB/ Graf § 202a Rn. 8.

[7] BeckOK StGB/Weidemann § 202d Rn. 4.

[8] BR-Drs. 249/15; MüKoStGB/ Graf Rn. 12; NK-StGB/ Kargl Rn. 6.

[9] BeckOK StGB/ Weidemann, § 202d Rn. 6;

[10] Berghäuser, JA 2017, S. 247; MüKoStGB/ Graf Rn. 13; NK-StGB/ Kargl Rn. 8.

[11] BeckOK StGB/ Weidemann, § 202d Rn. 7.

[12] BT-Drucks. 18/5088; NK-StGB/ Kargl Rn. 8.

[13] MüKoStGB/ Graf, § 202d Rn. 24.

[14] BeckOK StGB/ Weidemann, § 202d Rn. 12 (f.).

[15] BR- Drs. 249/15.

[16] NK-StGB/ Kargl, Rn. 10.

[17] NK- StGB/ Kargl, § 202d Rn. 2.

[18] BT-Drucks. 18/5088, S. 47.

[19] Nk- StGB/ Kargl, Rn. 13.

[20] MüKoStGB/ Graf, § 202d Rn. 31.

[21] BeckOK StGB/ Weidemann, § 202d Rn. 16.

[22] BT-Drucks. 12/4883, S. 8.

[23] BT-Drucks. 18/5088, S. 48.

[24] MüKoStGB/ Graf, § 202d Rn. 34.

[25] BeckOK StGB/ Weidemann, § 202d Rn. 17; Stam, StV 2017, S. 490.

[26] Stuckenberg, ZIS 8/2016, S. 530.

[27] Franck, RDV 2015, S. 182.

[28] Nk- StGB/ Kargl, Rn. 18.

[29] Nk- StGB/ Kargl, Rn. 18.

[30] https://netzpolitik.org/2017/netzpolitischer-wochenrueckblick-kw-2-wir-klagen-gegen-die-datenhehlerei/

[31]Verfassungsbeschwerde gegen die „Datenhehlerei“ vom 16.12.2016

Posted by Dr. Mathias Grzesiek in Cybercrime, Glossar, IT-Strafrecht
Was ist das Darknet?

Was ist das Darknet?

1. Darknet – Das unsichtbare WWW kurz erklärt

Im Internet wird zwischen zwei Bereichen unterschieden.[1] Auf der einen Seite existiert das offene World Wide Web.[2] Das als Visible Net (auch Clearnet, Surface Web, etc.) bezeichnete Web ist weitläufig als “Internet” bekannt. Es kann mit gewöhnlichen Browsern (Bsp.: Firefox, Chrome oder Edge) angesteuert werden und ist durch Suchmaschinen wie Google, Bing etc. einfach und intuitiv zu handhaben.[3] Das sogenannte “Deep Net” (oder Deep Web, Invisible Web oder Hidden Web) wird von den Suchmaschinen dagegen nicht indiziert.[4] Das Deep Net kennt keine zentralen Server. Stattdessen schließen sich viele einzelne Computer zu eigenen Netzwerken zusammen. So entsteht ein eigenes exklusives Netz.[5] Im Deep Net sind etwa 400 Mal so viele Informationen zu finden wie im Visible Net, dementsprechend ist es erheblich umfangreicher.[6]

Das sog. Darknet ist ein Teilbereich dieses Deep Nets und umfasst bspw. Blogs , Wikis und Foren mit unterschiedlichen rechtlich unbedenklichen Zielrichtungen sowie kriminelle/inkriminierte Kommunikations-und Handelsplattformen.[7] Zweck des Darknets ist die stetige Anonymität.[8] Das bekannteste Darknet ist das sogenannte TOR-Netzwerk, welches mit dem TOR-Browser erreicht werden kann (s.u.).[9] Das Darknet ermöglicht mittels des TOR-Netzwerks eine unzensierte Kommunikation, die nur schwerlich abgefangen werden kann.[10] Dies geschieht durch eine stets verschlüsselte Datenübertragung zwischen den teilnehmenden Rechnern.[11] Zudem werden die IP- Adressen verschleiert. [12]  Mittels einer mehrfachen Weiterleitung des Datenverkehrs soll verhindert werden, dass festgestellt werden kann, von wem die Daten ursprünglich gesendet worden sind. Der User kann mithin weitestgehend anonym im Netzwerk surfen bzw. agieren.[13] Diese starke Anonymisierung führt dazu, dass das Darknet als Umschlagplatz für den Online-Drogen- oder Waffenhandel fungiert oder als Quelle für den Austausch von Hacking-Tools dient.[14] Jedoch wird das Darknet nicht nur für illegale Zwecke genutzt. Auch finden sich Chaträume oder soziale Netzwerke im Darknet, die für eine sichere und anonyme Kommunikation genutzt werden.[15] Beispielsweise nutzt auch Facebook teile des Deep Nets.[16]

2. Der Ursprung des Darknets – Ein Projekt des US-Militärs

Die TOR-Technologie wurde ab 1995 vom Mathematiker Paul Syverson im Naval Research Laboratory entwickelt, einer der Marine zugehörigen Forschungsabteilung des US Verteidigungsministeriums.[17] Etwa um das Jahr 2000 entstand der Code, der heute die Basis für das „Darknet“ bildet. Das Projekt wurde primär vom US-Militär gefördert (DARPA und dem NRL).[18] Es diente der Schaffung eines abhörsicheren Netzwerks, das von amerikanischen Behörden und dem Militär genutzt werden sollte. Zudem war das Netzwerk als Forschungsprojekt für die anonyme Kommunikation bei der amerikanischen Marine gedacht.[19] 2003 wurde das TOR -Netzwerk für externe Knoten und der Quellcode der Software über eine Open-Source-Lizenz freigegeben. Seitdem ist die Software öffentlich einsehbar und frei verwendbar.[20] In der gesamten Zeit waren diverse Institutionen an der Finanzierung und Entwicklung von TOR beteiligt. Im Jahr 2012 fielen etwa 60% der Finanzierung der US-Regierung zu und weitere 40% resultierten aus privaten Spenden.[21] Der Primärzweck des Netzwerks bestand immer darin, die Identität der User zu verschleiern und die Kommunikation unsichtbar zu machen.[22] Ursprünglich war das Darknet also zur digitalen Kommunikation ohne Möglichkeit einer Nachverfolgung gedacht.[23] Es sollte ein nichtöffentliches “Gegeninternet” erschaffen werden.[24]

3. Zugang zum Darknet – Wie komme ich rein?

In der heutigen Zeit, in der das Nutzerverhalten im Internet zunehmend durch verschiedene Analysedienste aufgezeichnet und analysiert wird, weichen immer mehr Nutzer auf anonymisierende Proxies oder anonyme Browser aus. Unter einen solchen anonymen Browser fällt auch das TOR-Projekt[26], auf dessen Grundlage unter anderem das Darknet betrieben wird.[27] Der TOR-Browser ist dabei der bekannteste Browser, der einen Zugang ermöglicht.[28] TOR, als Abkürzung für “The Onion Router”, ist ein aus ca. 5.000 Servern bestehendes Netzwerk, das über eine im Internet frei und legal erhältliche Software angesteuert werden kann und dessen Zweck darin besteht, die Identität desjenigen zu verhüllen, der Datenpakete mit einem Zielserver austauscht.[29] Im TOR-Netzwerk kann dabei jeder legal surfen, sofern er hierbei keiner strafbaren Tätigkeit nachgeht. [30]

Technik der TOR-Software – So kommt die anonyme Verbindung zustande

Die TOR-Software besteht aus sog. Relays (Webservern), welche eine spezielle Software installiert haben. Die Liste aller TOR-Relays ist öffentlich zugänglich.[31] Bei der Verbindung über das TOR-Netzwerk sucht sich der TOR-Browser zufällig drei der weltweit betriebenen  TOR-Server aus, über die er Daten mit den Webservern austauschen möchte. Der erste Server (Entry-Node) verschafft den Zugang zum Netzwerk, der zweite Server (Middle-Node) leitet die Pakete weiter und der dritte Server (Exit-Node/ Exit-Node-Server) greift auf die Zielseite zu.[32] Somit wird die eigentliche Nachricht beim „Onion Routing“ demgemäß dreimal verschlüsselt. Jeder der drei Relays kann die für ihn erzeugte Schicht dieser Verschlüsselung entfernen und gibt das verbleibende Datenpaket an den nächsten Server weiter. Nur der letzte Relay-Server kennt damit die Adresse des Nutzers.[33] Um nun den Zugang in das Darknet zu ermöglichen und dabei die Anonymität der Nutzer als auch der aufgerufenen Webserver zu wahren, werden sog. TOR-Hidden-Services benötigt. Diese ermöglichen es, eine Verbindung von Servern mit dem TOR-Netzwerk herzustellen, bei der die Adresse und damit auch der Betreiber anonym bleiben.[34] Die Liste dieser Server sind in einem „Hidden Service Directory“ auffindbar und auch über Suchmaschinen öffentlich zugänglich.[35] Um eine Verbindung aufzubauen einigen sich der TOR-Browser und der versteckte Dienst auf einen neutralen Server als Treffpunkt über welchen dann die eigentliche Verbindung aufgebaut wird, ohne dass die beiden Seiten ihre Adressen kennen.[36] Mithin ist es durch das Verwenden des Onion Routers für einen Beobachter nicht mehr einfach erkennbar, welcher Nutzer welche Dienste verwendet und welche Daten übermittelt werden, wodurch die Anonymität des Darknets gewahrt bleibt.[37] Das TOR-System, welches aufgrund der beschriebenen Anonymisierungstechnik für die Verschleierung illegaler Tätigkeiten nützlich ist,[38] wird im Schnitt von etwa 2 bis 4 Millionen Usern gleichzeitig genutzt.[39]

4. Bitcoins – Das gängigste Zahlungsmittel im Darknet

Als prominentestes Zahlungsmittel im Darknet werden, neben anderen gängigen Kryptowährungen, Bitcoins verwendet. Bei Bitcoins handelt es sich um ein dezentrales organisiertes Zahlungssystem mit digitalen „Geld“-Einheiten. Bitcoins sind dabei keine gegenständliche Währung, sondern vielmehr kryptografische sowie sich kontinuierlich erweiternde Daten,[40] die bereits seit dem Jahr 2009 existieren.[41] Sie werden in einem „Peer to Peer“-Netzwerk zwischen den beteiligten Nutzern übertragen. „Peer to Peer“ steht dabei für „Gleichberechtigung zu Gleichberechtigung“, wobei mit Gleichberechtigung die Computer der jeweiligen Nutzer gemeint sind, die sich in einem „Peer to Peer“-Netzwerk befinden.[42] Dieses Netzwerk löst alle anfallenden Aufgaben innerhalb des Netzwerks selbst.[43] Das Netzwerk beruht auf einer von den Teilnehmern gemeinsam mit Hilfe einer Bitcoin-Software verwalteten dezentralen Datenbank, der Blockchain. In ihr sind alle Transaktionen gelistet.[44] Dabei erfolgt die Übertragung durch eine Software, dem Bitcoin-Client. Die Bitcoin-Adressen werden in eine so genannte „Wallet-Datei“ angelegt und enthalten ein aus einem öffentlichen und einem privaten Teil bestehendes kryptografisches Schlüsselpaar.[45] Der öffentliche Schlüssel fungiert als eine Art Kontonummer und kann zum Empfang von Beträgen weitergegeben werden, wohingegen der private Schlüssel zur Autorisierung von Transaktionen dient.[46] Weder die Durchführung von Transaktionen noch die Schöpfung neuer Bitcoins erfordert eine dritte zentrale Stelle, welche die Menge der Bitcoins kontrollieren könnte.[47] Einen Vermögenswert haben die Bitcoins dabei ausschließlich in der Form eines Markwerts, welcher mehr oder weniger starken Schwankungen unterliegt.[48]

Aber nicht nur im Darknet wird mit Bitcoins bezahlt, sondern auch immer mehr Onlinehändler greifen auf diese Zahlungsmethode zurück. Es lockt der Vorteil der geringen Transaktionskosten im Bitcoin-System.[49] Außerdem können weltweit Transaktionen vorgenommen werden, demnach auch in Staaten, in welchen die Bürger über kein Bankkonto verfügen und somit die international etablierten Zahlungsinfrastrukturen nicht nutzen können. Ein weiterer Vorteil ist, dass die Zahlungsvorgänge schnell und transparent ablaufen, das Risiko der Zahlungsunfähigkeit eines Kunden ist nicht gegeben.[50]

Das Darknet ist dagegen ein Beispiel für die Nachteile, die die virtuelle Währung mit sich bringt. Da die Transaktionen anonym vorgenommen werden können, werden Bitcoins häufig mit illegalen Aktivitäten in Verbindung gebracht. [51] Zudem fehlt es bislang an einer verbindlich rechtlichen Einordung.[52] Obwohl die Nutzung von Bitcoins als Zahlungsmittel viele Vorteile mitsichbringt und die Nutzung von Bitcoins uneingeschränkt legal ist, leidet ihr Ruf unter der Beliebtheit im kriminellen Milieu.

5. Die Nutzer des Darknets – Plattform für Kriminelle oder Zuflucht für Verfolgte?

Grundsätzlich kann jeder, der seine Identität schützen und im Web anonym unterwegs sein will, das Darknet nutzen.[53] Die Möglichkeit, eine abhör- bzw. abfangsichere Kommunikation aufzubauen, zeigt den besondere Wert des Darknets: Die Gewährleistung von Sicherheit und Privatsphäre.[54]

Insbesondere für zwei Arte von Nutzern ist diese hohe Anonymität interessant, nämlich für Kriminelle (“die dunkle Seite”) und für Unterdrückte (“die helle Seite”).[55] Anhand dieser Nutzergruppen ist ersichtlich, dass das Darknet Fluch und Segen zugleich ist.[56]

Zur „dunklen Seite“ des Darknets gehören bspw. Terroristen, die das TOR-Netzwerk zur Kommunikation nutzen.[57] Beliebt ist das Darknet zudem bei Kriminellen, welche das Netzwerk bspw. zum Handel mit Betäubungsmitteln oder Waffen nutzen.[58]

“We shall meet in the place where there is no darkness.”

Auf der „hellen Seite“ befinden sich Personen, die auf den Schutz ihrer Privatsphäre angewiesen sind.[59] Das können Journalisten oder Whistleblower oder sein,  denen die Anonymisierung dabei hilft, ihre Quellen zu schützen oder Informationen zu verbreiten.[60] Vor allem für diese Personengruppe stellt die Anonymität des Darknets eine über den presserechtlichen Quellenschutz hinausgehende Sicherheit dar.[61] Journalisten, die über Missstände berichten wollen, können so einer möglichen Zensur entgehen.[62]

Auch nutzen das Darknet Aktivisten oder Oppositionelle in autoritären Regimen.[63] Dank derselben Verschlüsselungstechnologie können Oppositionelle, die in Staaten leben, die repressiv gegen sie vorgehen, im Verborgenen kommunizieren und ihre Meinung äußern[64] sowie an Informationen gelangen, die im Surface Web vom Staat zensiert wurden.[65] Für sie ist das Darknet oft die einzige Möglichkeit, sich politisch zu engagieren und der staatlichen Überwachung zu entkommen.[66]

Des Weiteren ist das Militär ein Nutzer des Darknets. Zum Beispiel benutzen militärische Außendienstmitarbeiter TOR, um die Orte, die sie besuchten, zu verschleiern, militärische Interessen und Operationen zu schützen sowie sich vor physischem Schaden zu schützen. [67]

Darüber hinaus bietet das Darknet auch Vorteile für Führungskräfte in unterschiedlichen Branchen. TOR ermöglicht einem Unternehmen, seinen Sektor so zu betrachten, wie es die allgemeine Öffentlichkeit sehen würde.[68] Zudem können dort die Strategien vertraulich behandelt werden. Eine Investmentbank möchte beispielsweise nicht, dass Branchenschnüffler verfolgen können, welche Websites ihre Analysten sehen.[69]

Zuletzt können auch IT-Experten einen Nutzen von dem Darknet ziehen. So überprüfen sie IP-basierte Firewallregeln. Ein Netzwerktechniker kann TOR verwenden, um im Rahmen von Betriebstests eine Remoteverbindung zu Diensten herzustellen, ohne dass ein externer Computer und ein Benutzerkonto erforderlich sind.[70] Auch kann TOR Internet-Ressourcen zur Verfügung stellen, wenn bspw. ein ISP Routing- oder DNS-Problem besteht. Dies kann in Krisensituationen von unschätzbarem Wert sein.[71]

Hinzu kommt, dass die Strafverfolgungsbehörden auch im Darknet aktiv sind. So geben sich verdeckte Ermittler im Darknet als Händler aus, die bspw. Betäubungsmittel oder Waffen zum Schein anbieten, um an die Adresse der Abnehmer zu kommen.[72] Um Straftaten im Darknet aufzudecken, müssen Ermittlungsbehörden stets dem aktuellen Stand der Technik sein und aktuelle Trends registrieren.[73]

Fußnoten
[1] Vogt in die Kriminalpolizei Nr. 2 2017, 4 (4).

[2] Mey in APuz 2017, 46 (4).

[3] Vogt in die Kriminalpolizei Nr. 2 2017, 4 (4).

[4] Rath in DRIZ 2016, 292 (292).

[5] http://www.spiegel.de/netzwelt/web/waffe-des-muenchen-amoklaeufers-was-ist-eigentlich-das-darknet-a-1104549.html

[6] Mey in APuZ 2017, 4 (4).

[7] Vogt in die Kriminalpolizei Nr. 2 2017, 4 (4).

[8] Mey in APuZ 2017, 4 (4).

[9] Rath in DRIZ 2016, 292 (292).

[10] Mey in APuZ 2017, 4 (4).

[11] Rath in DRIZ 2016, 292 (292).

[12] Vgl. Vogt in die Kriminalpolizei Nr. 2 2017, 4 (5).

[13] Mey in APuZ 2017, 4 (5).

[14] Moßbrucker in APuZ 2017, 16 (16f.).

[15] http://www.spiegel.de/netzwelt/web/waffe-des-muenchen-amoklaeufers-was-ist-eigentlich-das-darknet-a-1104549.html

[16] Vogt in die Kriminalpolizei Nr. 2 2017, 4 (4).

[17] Mey in APuZ 2017, 4 (9).

[18] http://www.klicksafe.de/themen/datenschutz/darknet/

[19] https://www.swr.de/swraktuell/darknet-software-tor-die-boesen-und-die-guten-im-zwiebel-netzwerk/-/id=396/did=16056028/nid=396/1yqapvp/index.html

[20] Mey in APuZ 2017, 4 (9).

[21] https://www.xovi.de/wiki/Tor.

[22] Moßbrucker in APuZ 2017, 16 (16).

[23] Hemel in FIPH 2017, 8 (11).

[24] Mey in APuZ 2017, 4 (9).

[25] Verfasserin: Laura Jungkurth, in der Seminararbeit gekennzeichnet durch LJ.

[26] Siehe: https://www.torprojekt.org.

[27] Wiegenstein in ITRB 2017, 89 (89).

[28] Rath in DIRZ 2016, 292 (292).

[29] https://www.torproject.org/docs/faq.html.en, vgl. auch: Thiesen in MMR 2014, 803 (803).

[30] Wiegenstein in ITRB 2017, 89 (89).

[31] https://atlas.torproject.org, siehe auch: Thiesen in MMR 2014, 803 (803).

[32] https://www.torproject.org/docs/faq.html.en.

[33] Wiegenstein in ITRB 2017, 89 (90).

[34] Wiegenstein in ITRB 2017, 89 (90).

[35] Abrufbar unter http://deepweblinks.org.

[36] Wiegenstein in ITRB 2017, 89 (90).

[37] Wiegenstein in ITRB 2017, 89 (89).

[38] Muggli, Im Netz ins Netz, S. 10.

[39] https://metrics.torproject.org/userstats-relay-country.html.

[40] Goger in MMR 2016, 431 (431).

[41] Spindler/ Bille in WM 2014, 1357 (1357); zur Funktionsweise und Historie  der Bitcoins vgl. Herzog/Hoch in StV 6/2019, 412f.;

[42] Muggli, Im Netz ins Netz, S. 7.

[43] Beck in NJW 2015, 580 (581).

[44] Schrey/ Thalhofer in NJW 2017, 1431 (1431).

[45] Beck in NJW 2015, 580 (581).

[46] Beck in NJW 2015, 580 (581).

[47] Spindler/ Bille in WM 2014, 1357 (1357).

[48] Rückert in MMR 2016, 295 (296).

[49] Boehm/ Pesch in MMR 2014, 75 (75).

[50] Boehm/ Pesch in MMR 2014, 75 (75).

[51] Boehm/ Pesch in MMR 2014, 75 (75).

[52] Boehm/ Pesch in MMR 2014, 75 (75).

[53] Vgl. Vogt in die Kriminalpolizei Nr. 2 2017, 4 (4).

[54] https://www.hiig.de/blog/das-dilemma-um-die-anonymitaet-des-darknets/.

[55] https://www.n-tv.de/panorama/So-nutzen-Kriminelle-das-Darknet-article20075295.html.

[56] Mey in APuZ 2017, 4 (4).

[57] https://www.hiig.de/blog/das-dilemma-um-die-anonymitaet-des-darknets/.

[58] Ayyash in APuZ 2017, 3 (3).

[59] Moßbrucker in APuZ 2017, 16 (16).

[60] https://www.n-tv.de/panorama/So-nutzen-Kriminelle-das-Darknet-article20075295.html; siehe auch: http://www.spiegel.de/netzwelt/web/warum-das-darknet-besser-ist-als-sein-ruf-a-1105307.html.

[61] Thiesen in MMR 2014, 803 (803).

[62] Moßbrucker in APuZ 2017, 16 (16).

[63] Moßbrucker in APuZ 2017, 16 (16).

[64] http://www.spiegel.de/netzwelt/web/warum-das-darknet-besser-ist-als-sein-ruf-a-1105307.html.

[65] http://ansichtendesdigitalen.de/?project=darknet-und-deepweb.

[66] Ayyash in APuZ 2017, 3 (3).

[67] https://www.torproject.org/about/torusers.html.en#military.

[68] https://www.torproject.org/about/torusers.html.en.

[69] https://www.torproject.org/about/torusers.html.en.

[70] https://www.torproject.org/about/torusers.html.en.

[71] https://www.torproject.org/about/torusers.html.en.

[72] http://www.3sat.de/page/?source=/ard/sendung/194262/index.html.

[73] Rath in DIRZ 2016, 292 (293).

Posted by Dr. Mathias Grzesiek in Darknet, Glossar
Die Online-Durchsuchung als „digitale Allzweckwaffe“ – Zur Kritik an überbordenden Ermittlungsmethoden

Die Online-Durchsuchung als „digitale Allzweckwaffe“ – Zur Kritik an überbordenden Ermittlungsmethoden

Hinweis auf Zeitschriftenbeitrag: Grzesiek/Kruse in Kritische Vierteljahresschrift für Gesetzgebung und Rechtswissenschaft, 4/2017, Seite 331 – 350

Zusammenfassung

Der Alltag wird zunehmend von informationstechnischen Systemen aller Art beeinflusst. Tablets und Smartphones sind zum festen Bestandteil des täglichen Lebens geworden. Sie dienen nicht nur der Kommunikation, sondern auch der Organisation der privaten und beruflichen Lebensführung.

Die Ermittlungsmaßnahme der Online-Durchsuchung nach § 100b StPO versucht nunmehr der Verlagerung von Kommunikationswegen und der Erfassung und Aufbewahrung von Daten auf informationstechnische Systeme zu begegnen und wirft damit einerseits Fragen zur technischen Möglichkeiten sowie zur konkreten Umsetzung auf. Anderseits steht § 100b StPO im Fokus der Rechtsprechung des Bundesverfassungsgerichts, welches sich bereits zu den Grenzen der Zulässigkeit einer Online-Durchsuchung positionierte. Dabei steht nicht nur die generelle Erhebung von Kommunikationsdaten im Mittelpunkt der Betrachtung.

Mit der Online-Durchsuchung soll der vollständige Zugriff auf informationstechnische Systeme ermöglicht werden. Neben dem mit dem Abschöpfen und Auslesen von persönlichen Daten verbundenen Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme droht ein unkontrollierbarer Eingriff in den Kernbereich privater Lebensgestaltung, da informationstechnische Systeme unter anderem auch die audiovisuelle Wahrnehmung der Umgebung ermöglichen. Darüber hinaus sind die Hürden für eine Online-Durchsuchung im Lichte der Rechtsprechung des Bundesverfassungsgerichts kritisch zu würdigen.

Vollständigen Beitrag ansehen

Abstract

Information technologies increasingly influence our everyday lives. Tablets and smartphones have become an integral part of our daily lives. They do not only serve as means of communication but are also used to organize private and professional lives. The remote search as an investigative measure under section 100b of the German Code of Criminal Procedure now tries to address the shift of communication as well as data collection and retention towards information technology. On the one hand, it thereby raises questions concerning the technical possibilities and the concrete application. On the other hand the jurisprudence of the German Constitutional Court focuses on section 100b of the German Code of Criminal Procedure and has already taken a view regarding the admissibility of remote searches. The focus is not only on the general collection of communication data. The remote search aims at enabling full access to information technology systems. Besides the infringement of the fundamental right to confidentiality and probity in information technology systems caused by the collecting and retrieving of personal data, the threat of an uncontrollable infringement to the core area of a person’s private life exists due to information technology systems among other things enabling audiovisual perception of the environment. Furthermore, the obstacles to remote search are to be critically evaluated in the light of the jurisprudence of the German Constitutional Court.

Posted by Dr. Mathias Grzesiek in IT-Strafrecht, Literaturempfehlung