Zwangsweise Entschlüsselung des Smartphones durch Fingerabdruck

Kann der Beschuldigte nach geltendem Strafverfahrensrecht gezwungen werden, durch Auflegen des Fingers auf den Fingerabdruckscanner des Smartphones seine Daten zu entschlüsseln, um den Ermittlungsbehörden damit den Zugriff zu ermöglichen?

von Lina Irscheid[1]

Auf Smartphones befinden sich eine Vielzahl von für ein Strafverfahren potenziell relevanter Beweismittel, wie z.B. Chats, Kontakte, Bilder, Sprachnachrichten und E-Mails des Nutzers. Das Smartphone kann zwar gem. § 94 StPO sichergestellt werden, allerdings sind die darauf gespeicherten Daten inzwischen in der Regel verschlüsselt. Der Beitrag untersucht, ob der Beschuldigte nach geltendem Strafverfahrensrecht gezwungen werden kann, durch Auflegen des Fingers auf den Fingerabdruckscanner des Smartphones seine Daten zu entschlüsseln, um den Ermittlungsbehörden damit den Zugriff zu ermöglichen.

In den letzten Jahren wurde der Handlungsspielraum zur Gefahrenabwehr der Ermittlungsbehörden durch den Gesetzgeber stetig ausgeweitet, wie es beispielweise in der Reform des bayerischen Polizeigesetzes sichtbar wird (präventiv).[2] Gegenstand der Betrachtung ist die Erweiterung des Handlungsspielraumes durch die Annahme der Rechtmäßigkeit der Öffnung eines verschlüsselten Smartphones mittels Fingerabdrucks auf Grundlage des § 81b 1. Alt StPO (repressiv). Insbesondere wird geklärt, ob § 81b StPO eine taugliche Ermächtigungsgrundlage für entsprechende Grundrechtseingriffe darstellt.

I. Ausgangssituation

Nach § 81b StPO dürfen,

soweit es für die Zwecke der Durchführung des Strafverfahrens oder für die Zwecke des Erkennungsdienstes notwendig ist, (…) Lichtbilder und Fingerabdrücke des Beschuldigten auch gegen seinen Willen aufgenommen und Messungen und ähnliche Maßnahmen an ihm vorgenommen werden.

§ 81b 1. Alt. StPO regelt explizit die Abnahme von Fingerabdrücken zum Zwecke der Durchführung des Strafverfahrens. Nach Auffassung der „Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen“ (ZAC NRW) stelle § 81b 1. Alt. StPO damit eine Befugnisnorm dar, die zum Entsperren der Daten des Smartphones des Beschuldigten mittels Fingerabdrucks auch gegen dessen Willen ermächtige.[3]

Die folgenden Ausführungen werden zeigen, dass § 81b 1. Alt. StPO gerade keine taugliche Ermächtigungsgrundlage darstellt, sodass ein entsprechendes staatliches Handeln gegen den Vorbehalt des Gesetzes verstoßen würde und damit verfassungswidrig wäre.

II. Mögliche Grundrechtsverletzungen durch Öffnung des Smartphones zwecks Entsperrung der Daten

Durch die Entschlüsselung des Smartphones mit Auflegen des Fingers und insbesondere den nachgelagerten Zugriff auf die dadurch entsperrten Daten wird maßgeblich in folgende Grundrechte des Beschuldigten eingegriffen:

Betroffen sind das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG (zu 1.) sowie das Recht auf informationelle Selbstbestimmung (zu 2.) einerseits und das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme (zu 3.) andererseits, die aus dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abgeleitet werden. Nicht tangiert ist hingegen die Selbstbelastungsfreiheit aus Art. 6 EMRK (zu 4.).

1. Das Fernmeldegeheimnis, Art. 10 Abs. 1 GG

Primär umfasst der Schutz des Art. 10 Abs. 1 GG laufende Kommunikationsvorgänge.[4] Allerdings sind auf dem Smartphone selbst oder zumindest auf der eigelegten SIM-Karte Verkehrsdaten wie z.B. Zeitpunkt und Dauer eines Anrufs und Rufnummer gespeichert, die über vergangene Kommunikationsvorgänge Auskunft geben.[5] Der Aussagegehalt über den stattgefundenen Fernmeldeverkehr gehört auch zu den durch Art. 10 Abs. 1 GG gegen staatliche Kenntnisname abgeschirmten Kommunikationsumständen,[6] sodass mit der Verwendung der entsperrten Daten in Art. 10 Abs. 1 GG eingegriffen wird.

2. Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Das Recht auf informationelle Selbstbestimmung statuiert, dass jedermann grundsätzlich autonom über Preisgabe und Verwendung eigener, persönlicher Daten bestimmen kann.[7] Es umfasst u.a. den Schutz vor Erhebung und Verwendung personenbezogener Daten.[8] Bei einem Fingerabdruck handelt es sich um ein personenbezogenes biometrisches Merkmal, sodass dessen Abnahme und Verwendung gem. § 81b StPO in das Recht auf informationelle Selbstbestimmung eingreift.[9]

Wird der Beschuldigte zum Auflegen seines Fingerabdrucks auf den Scanner gezwungen, liegt in der Preisgabe seines Fingerabdrucks selbst schon ein eigenständiger Eingriff in die informationelle Selbstbestimmung. Zugleich und darüber hinausgehend führt die damit verbundene Entsperrung seiner Daten zu einem weiteren Eingriff in die informationelle Selbstbestimmung.

Denn verwendet werden soll hier nicht nur der Fingerabdruck selbst, sondern die auf dem Smartphone befindlichen Daten. Schon die Festplatte vieler Computer ist spiegelbildlich für die persönlichen Interessen und Neigungen des Nutzers sowie für dessen Verhaltensweisen, physische und psychische Befindlichkeit oder seine ökonomische Situation,[10] sodass bei einem Smartphone, dem der Nutzer zumindest in gleicher Weise eine Fülle hochsensibler Daten anvertraut, ebenfalls von einer Betroffenheit auszugehen ist.[11] Da Chats, Kontakte, Bilder, Sprachnachrichten, E-Mails u.Ä. auch personenbezogene Daten Dritter enthalten, wird nicht nur in die informationelle Selbstbestimmung des Beschuldigten, sondern auch Dritter eingegriffen.[12] Die Streuweite des Grundrechtseingriffs erhöht dessen Intensität.[13]

3. Insbesondere das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme[14] wurde schutzlückenfüllend konzipiert.[15] Das sog. IT-Grundrecht soll den persönlichen und privaten Lebensbereich der Grundrechtsträger gegen staatlichen Zugriff im Bereich der Informationstechnik abschirmen. Geschützt wird das Nutzerinteresse an der Vertraulichkeit der vom Schutzbereich erfassten informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten.[16]

Zwar ist der Schutzbereich des noch jungen Grundrechts nicht klar konturiert. Anhand des Urteils des BVerfG vom 27.02.2008[17] ist ein Eingriff in das IT-Grundrecht durch den Abgleich des Fingerabdrucks und die Verwendung der Daten durch die Ermittlungsbehörde dennoch eindeutig festzumachen. Denn nach Maßgabe des BVerfG umfasse der Schutz des neuen Grundrechts auch Mobiltelefone, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können.[18]

Zum einen ist der Zugriff auf die Daten grundrechtsrelevant. Auf Smartphones befinden sich typischer Weise Kommunikationsvorgänge, Bilder und Positionsdaten des Nutzers. Aus dem Nutzerverhalten kann wiederum regelmäßig auf dessen persönliche Eigenschaften und Vorlieben geschlossen werden.[19] Ein Schutz des informationstechnischen Systems kann jedoch nicht um seiner selbst Willen angenommen werden,[20] sondern nur insoweit, als es Persönlichkeitsrelevanz hat.[21]

Zum anderen steigert die Überwindung der technischen Sicherung durch Fingerabdruck die Eingriffsintensität. Denn Sicherungen sind insbesondere dann von grundrechtlicher Relevanz, soweit sie erforderlich sind, um Persönlichkeitsschutz zu gewährleisten.[22]

4. Selbstbelastungsfreiheit, Art. 6 EMRK, §§ 136, 136a Abs. 1 StPO

Aufgrund der Selbstbelastungsfreiheit, sog. nemo-tenetur-Grundsatz,[23] steht dem Beschuldigten ein Verweigerungsrecht bezüglich der Preisgabe seiner PIN zu, die insbesondere nicht erzwungen werden darf.[24] Die Eingabe der PIN und das Auflegen des Fingers auf den Fingerabdruckscanner haben dieselbe Wirkungsrichtung – beide führen ihrerseits zur Entsperrung der Daten und eröffnen dadurch der Ermittlungsbehörde die Möglichkeit der Zugriffname.

Allerdings bewahrt der nemo-tenetur-Grundsatz den Beschuldigten lediglich vor dem Zwang einer aktiven Selbstbezichtigungsleistung.[25] Im Auflegen des Fingers hingegen liegt eine passive Duldungspflicht, wie sie in den §§ 81 ff. StPO normiert ist.[26] Die Selbstbelastungsfreiheit ist damit nicht tangiert.

III. § 81b 1. Alt. StPO als taugliche Ermächtigungsgrundlage

Allein aus der Tatsache, dass sich aus § 81b StPO eine Duldungspflicht zur Abnahme des Fingerabdrucks ergibt, kann nicht auf seine Tauglichkeit als Ermächtigungsgrundlage für die Entschlüsselung eines Smartphones geschlossen werden. Vielmehr muss sich das Handeln der Ermittlungsbehörde auf eine gesetzliche Grundlage stützten können, die den Anforderungen des Vorbehalts des Gesetzes genügt.

§ 81b 1. Alt. StPO ermächtigt zwar explizit zur Abnahme von Fingerabdrücken zum Zwecke der Durchführung des Strafverfahrens. Nach verfassungskonformer Auslegung des BVerfG[27] erlaube § 81b StPO jedoch lediglich die Abnahme und Verwendung zum Zwecke erkennungsdienstlicher Maßnahmen.[28] Bei diesen handelt es sich um Maßnahmen, die zwar nicht allein, aber vorrangig dem Ziel dienen, die personenstandsmäßige Identität des Beschuldigten festzustellen.[29]

Die „Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen“ (ZAC NRW) vertritt die Auffassung, die Verwendung der Daten sei von § 81b 1. Alt. StPO umfasst.[30] Die Entschlüsselung stelle eine zweigliedrige Maßnahme dar, bei der das Auflegen des Fingers auf den Fingerabdruckscanner zur Entsperrung der Daten führe, was die Möglichkeit ihrer Verwendung eröffne.[31]

Zuzustimmen ist insoweit, als der erste Schritt – das Auflegen des Fingers auf den Fingerabdruckscanner – von § 81b 1. Alt. StPO umfasst ist. Denn darin liegt lediglich ein Abgleich des Fingerabdrucks des Täters mit den auf dem Smartphone hinterlegten Schlüsselmerkmalen im Sinne einer erkennungsdienstlichen Zuordnung.[32] Doch wird nicht vordergründig die Zuordnung des Beschuldigten zu seinem Smartphone bezweckt. Im Vordergrund steht vielmehr die Entsperrung der Daten und eben nicht die Feststellung der personenstandsmäßigen Identität. Damit würde die Annahme einer entsprechenden Befugnis auf Grundlage des § 81b StPO der verfassungskonformen Auslegung des BVerfG zuwiderlaufen. Denn typischer Weise werden die nach § 81b StPO erhobenen Daten eben für einen Abgleich mit oder Zuordnung zu Tatortspuren und Beweismitteln verwendet und nicht zur Ausforschung der Persönlichkeitssphäre.[33] Eine entsprechende Ermächtigung kann auch nicht durch Bezugnahme auf § 94 StPO hergeleitet werden, im Gegenteil würde das Auflegen des Fingers zwecks Datenentsperrung gegen den Vorbehalt des Gesetzes und damit gegen das Rechtsstaatsprinzip aus Art. 20 Abs. 3 GG verstoßen, da keine gesetzliche Grundlage für ein entsprechendes Handeln vorliegt.

IV. Fazit

Technische Neuerungen stellen das Strafverfahrensrecht vor neue Herausforderungen. Mit dem Strafverfahrensrecht muss flexibel auf derartige Neuerungen reagiert werden können, sodass weiterhin eine effiziente Strafverfolgung gewährleitet ist. Gleichwohl ist darauf zu achten, dass bestehende Befugnisse im Einzelfall nicht zu Lasten der Rechte des Beschuldigten angewandt und in unzulässiger Weise überdehnt werden – das gilt insbesondere, wenn durch das staatliche Handeln in Grundrechte des Beschuldigten eingegriffen wird. Durch die zwangsweise Öffnung des Smartphones zwecks Entsperrung der Daten wird in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG und das allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG eingegriffen.

Gerade die Entwicklung neuer Grundrechte, wie die des IT-Grundrechts, verdeutlichen die Schutzwürdigkeit von auf Smartphones befindlichen Daten. Denn Smartphones sind für die Lebensführung vieler Bürger von zentraler Bedeutung,[34] da sie eine Menge persönlichkeitsrelevanter Daten speichern und verarbeiten. Allerdings ist auch das IT-Grundrecht nicht schrankenlos gewährt. So können beispielsweise Eingriffe zum Zwecke der Strafverfolgung gerechtfertigt sein.[35] Diese müssen aber auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen. § 81b 1. Alt. StPO stellt mit Blick auf den Vorbehalt des Gesetzes eben keine solche dar – die Schaffung einer entsprechenden Norm wäre mit Blick auf die Vereinbarkeit mit der Selbstbelastungsfreiheit jedoch grundsätzlich möglich.


[1] Lina Irscheid ist Studentin der Rechtswissenschaft an der Universität Potsdam und absolvierte nach Abschluss des Bachelor of Law (LL.B.) mit Schwerpunkt Wirtschafts-, Steuer- und Umweltstrafrecht ein Praktikum in der Kanzlei Nadeborn.

[2] Polizeiaufgabengesetz (PAG) in der Fassung vom 15.05.2018; siehe zu den neuen Befugnissen der bayerischen Polizei Müller, BayVBl 2018, 109 ff.

[3] Bäumerich, NJW 2017, 2718, 2720 f.

[4] Siehe Gurlit, NJW 2010, 1035, 1037, der den Schutzbereich des Art. 10 Abs. 1 GG eng fasst.

[5] BVerfG Beschl. v. 4.2.2005 – 2 BvR 308/04, Rn. 22 = StV 2005, 483, 486.

[6] BVerfG Beschl. v. 4.2.2005 – 2 BvR 308/04, Rn. 22 = StV 2005, 483, 485.

[7] BVerfGE 65, 1, 43 = BVerfG, NJW 1984, 419, 422.

[8] Eifert, NVwZ 2008, 521; BVerfGE 65, 1, 43 = BVerfG, NJW 1984, 419, 422.

[9] Rogall, in: SK-StPO, 2018, § 81b, Rn. 6; siehe BVerfGE 65, 1 ff. = BVerfG, NJW 1984, 419 ff.

[10] Vgl. Krutscha, NJW 2008, 1042, 1043; ebenso HoffmannRiem, JZ 2008, 1009, 1012.

[11] Vgl. Gurlit, NJW 2008, 1035, 1037.

[12] Krutscha, NJW 2008, 1042, 1043; vgl. BVerfGE 120, 274, 323 = BVerfG, NJW 2008, 882, 830 [233].

[13] BVerfGE 120, 274, 323 = BVerfG, NJW 2008, 882, 830 [233]; vgl. Krutscha, NJW 2008, 1042, 1043.

[14] Kurz auch als Computer-Grundrecht (so bspw. Krutscha, NJW 2007, 1042 ff.) oder IT-Grundrecht (so bspw. Gurlit, NJW 2008, 1035 ff.) bezeichnet, wobei letztere Bezeichnung mit Blick auf die Vielzahl informationstechnischer Systeme treffender scheint.

[15] Gurlit, NJW 2010, 1035, 1037; kritisch Volkmann, DVBl 2008, 590, 592.

[16] BVerfGE 120, 274, 314 = BVerfG, NJW 2008, 822, 827 [204]; zum Schutzziel ausführlich Britz, DÖV 2008, 411, 412 ff.

[17] BVerfGE 120, 274 ff. = BVerfG, NJW 2008, 822 ff.

[18] BVerfGE 120, 274, 314 = BVerfG, NJW 2008, 822, 827 [203]; vgl. Gurlit, NJW 2008, 1035, 1037.

[19] BVerfGE 120, 274, 314 = BVerfG, NJW 2008, 822, 827 [203].

[20] Dabei wird die Gefahr der Entwicklung hin zu einem apersonal konstruierten, technikorientierten Grundrecht gesehen (Eifert, NVwZ 2008, 521, 522; Lepsius, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan [Hrsg.], Online Durchsuchungen, 2008, S. 21, 32 ff.). Problematisch wird der nur mittelbare und instrumentelle Persönlichkeitsbezug bewertet, Eifert, NVwZ 2008, 521, 522; zum mittelbaren und unmittelbaren Zugriff auf persönliche Daten siehe Volkmann, DVBl 2008, 590, 592; hierzu kritisch HoffmannRiem, JZ 2008, 1009, 1012.

[21] BVerfGE 120, 274, 314 = BVerfG, NJW 2008, 822, 827 [203]; Das informationstechnische System sei insoweit schützenswert, als seine Vertraulichkeit und Integrität Persönlichkeitsrelevanz entfalten (HoffmannRiem, JZ 2008, 1009, 1012; vgl. Gurlit, NJW 2010, 1035, 1037); zum Verhältnis des Funktionsschutzes zum Schutz der persönlichen Daten siehe Volkmann, DVBl 2008, 590, 592; Zum Verhältnis des Integritätsschutzes zu Art. 14 GG siehe Volkmann, DVBl 2008, 590, 592.

[22] Vgl. HoffmannRiem, JZ 2008, 1009, 1012.

[23] Zur verfassungsrechtlichen Herleitung des nemo-tenetur-Grundsatzes siehe Bosch, Aspekte des nemo-tenetur-Prinzips aus verfassungsrechtlicher und strafprozessualer Sicht, 1998, S. 27 ff.

[24] Kritisch zu legislativen Ansätzen einer Offenbarungsverpflichtung bei technischen Verschlüsselungen Gercke, MMR 2008, 291, 298.

[25] Gerhards, (Grund-)recht auf Verschlüsselung?, 2010, S. 294 ff.; Rogall, in: SK-StPO, 2016, Vor. § 133 ff., Rn. 142.

[26] Explizit zur Reichweite des Schutzes der Selbstbelastungsfreiheit im Rahmen der §§ 81 ff. StPO siehe Gerhards, (Grund-)recht auf Verschlüsselung?, 2010, S. 294 ff.

[27] BVerfGE 47, 239, 244.

[28] Rogall, in: SK-StPO, 2018, § 81b Rn. 1, 2.

[29] BVerfGE 47, 239, 244 u. 252 = BVerfG, DVBl 1978, 343, 344; Rogall, in: SK-StPO, 2018, § 81b Rn. 2, 3.

[30] Bäumerich, NJW 2017, 2720 f.

[31] Bäumerich, NJW 2017, 2718, 2721.

[32] Bäumerich, NJW 2017, 2718, 2721.

[33] Krause, in: Löwe-Rosenberg, StPO, 2008, Bd. 2, § 81b, Rn. 2, 5, 16; Rogall, in: SK-StPO, 2018, § 81b, Rn. 1.

[34] Vgl. BVerfGE 120, 274, 303 ff. = BVerfG, NJW 2008, 822, 824 [171 ff.].

[35] BVerfGE 120, 274, 315 = BVerfG, NJW 2008, 822, 827 [207].