Zwangsweise Entschlüsselung des Smartphones durch Fingerabdruck

Ermächtigt § 81b 1. Alt. StPO zur zwangsweisen Entschlüsselung des Smartphones durch Fingerabdruck?
von Lina Irscheid[1]

I. Einleitung

Auf Smartphones befinden sich eine Vielzahl persönlicher Daten des Nutzers wie z.B. Bilder, Kontakte oder E-Mails, die als Beweismittel im Strafverfahren relevant sein können. Zwar kann das Smartphone gem. § 94 StPO[2] von den Ermittlungsbehörden sichergestellt werden, die darauf gespeicherten Daten sind aber in der Regel verschlüsselt. Nach Auffassung der „Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen“ (ZAC NRW) stellt § 81b 1. Alt. StPO eine Befugnisnorm dar, die zum Entschlüsseln der Daten des Smartphones des Beschuldigten mittels Fingerabdrucks ermächtige, um der Ermittlungsbehörde den Zugriff auf die Daten zu ermöglichen.[3]

Nach § 81b StPO dürfen, „soweit es für die Zwecke der Durchführung des Strafverfahrens oder für die Zwecke des Erkennungsdienstes notwendig ist, (…) Lichtbilder und Fingerabdrücke des Beschuldigten auch gegen seinen Willen aufgenommen und Messungen und ähnliche Maßnahmen an ihm vorgenommen werden“.

Dieser Beitrag zeigt, dass demgegenüber § 81b 1. Alt. StPO[4] tatsächlich keine taugliche Ermächtigungsgrundlage für Grundrechtseingriffe darstellt, die mit einer Entschlüsselung einhergehen. Ein solches staatliches Handeln würde somit gegen den Vorbehalt des Gesetzes verstoßen und wäre verfassungswidrig.

Um das zu begründen, sind zunächst die durch eine solche Maßnahme entstehenden Grundrechtseingriffe zu bestimmen (unter I.). In einem zweiten Schritt wird untersucht, ob auf Grundlage des § 81b 1. Alt. StPO diese Eingriffe gerechtfertigt werden können (unter II.).

II. Grundrechtseingriffe durch das Entsperren der Daten

1. Das Fernmeldegeheimnis, Art. 10 Abs. 1 GG

Tangiert ist zunächst das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG. Primär umfasst sein Schutz laufende Kommunikationsvorgänge.[5] Allerdings sind auf dem Smartphone selbst oder zumindest auf der eingelegten SIM-Karte Verkehrsdaten wie z.B. Zeitpunkt und Dauer eines Anrufs sowie die Rufnummer gespeichert, die über vergangene Kommunikationsvorgänge Auskunft geben.[6] Der Aussagegehalt des stattgefunden habenden Fernmeldeverkehrs gehört auch zu den durch Art. 10 Abs. 1 GG gegen staatliche Kenntnisname abgeschirmten Kommunikationsumständen.[7] Mit Verwendung dieser entsperrten Daten wird somit in Art. 10 Abs. 1 GG eingegriffen.

2. Das Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Eingegriffen wird sodann auch in das Recht auf informationelle Selbstbestimmung,[8] nach dem jedermann grundsätzlich autonom über Preisgabe und Verwendung eigener, persönlicher Daten bestimmen kann.[9] Es umfasst u.a. den Schutz vor Erhebung und Verwendung personenbezogener Daten.[10] Bei einem Fingerabdruck handelt es sich um ein personenbezogenes biometrisches Merkmal, sodass dessen Abnahme und Verwendung in das Recht auf informationelle Selbstbestimmung eingreift.[11]

Wird der Beschuldigte zum Auflegen seines Fingerabdrucks auf den Scanner gezwungen, liegt in der Preisgabe seines Fingerabdrucks selbst schon ein eigenständiger Eingriff in die informationelle Selbstbestimmung. Zugleich führt die damit verbundene Entsperrung seiner Daten mit deren anschließender Verwendungsmöglichkeit zu einem weiteren Eingriff in dieses Grundrecht.

Schon die Festplatte vieler Computer bildet die persönlichen Interessen und Neigungen des Nutzers sowie dessen Verhaltensweisen, physische und psychische Befindlichkeit oder seine ökonomische Situation ab.[12] Hieraus lässt sich ableiten, dass ein Smartphone, dem der Nutzer durch den großen Funktionsumfang zumindest in gleicher Weise eine Fülle hochsensibler Daten anvertraut, ebenso betroffen ist.[13]

Im Übrigen wird dadurch, dass das Smartphone in Chats, Kontakten, Bildern, Sprachnachrichten, E-Mails u.Ä. personenbezogene Daten Dritter enthält, auch in das Recht auf informationelle Selbstbestimmung Dritter eingegriffen.[14] Diese Streuweite des Grundrechtseingriffs erhöht seine Intensität.[15]

3. Das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme, Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

Das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme[16] ist schutzlückenfüllend konzipiert worden.[17] Dieses sog. IT-Grundrecht soll den persönlichen und privaten Lebensbereich der Grundrechtsträger gegen staatlichen Zugriff im Bereich der Informationstechnik abschirmen. Geschützt wird das Nutzerinteresse an der Vertraulichkeit, der vom informationstechnischen System erzeugten, verarbeiteten und gespeicherten Daten.[18]

Zwar ist der Schutzbereich des noch verhältnismäßig jungen Grundrechts nicht klar konturiert. Dennoch lässt sich anhand des Urteils des BVerfG vom 27.02.2008[19] ein Eingriff in das IT-Grundrecht durch die Entschlüsselung und Verwendung der Daten eindeutig festmachen. Denn nach Maßgabe des BVerfG umfasst der Schutz des IT-Grundrechts auch Mobiltelefone, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können.[20] Da sich auf Smartphones typischer Weise Kommunikationsvorgänge, Bilder und Positionsdaten des Nutzers befinden und aus dem Nutzerverhalten wiederum auf dessen persönliche Eigenschaften und Vorlieben geschlossen werden kann,[21] ist die Verwendung der Daten an sich schon grundrechtsrelevant. Ein Schutz des informationstechnischen Systems kann dabei aber nicht schon um seiner selbst Willen angenommen werden,[22] sondern nur insoweit, als es Persönlichkeitsrelevanz hat.[23]

Technische Sicherungen sind insbesondere dann von grundrechtlicher Relevanz, wenn sie erforderlich sind, um Persönlichkeitsschutz zu gewährleisten,[24] daher steigert die Überwindung der Sicherung durch Entschlüsselung mittels Fingerabdrucks die Eingriffsintensität.

4. Die Selbstbelastungsfreiheit, Art. 6 EMRK, §§ 136, 136a Abs. 1 StPO

Aufgrund der Selbstbelastungsfreiheit, sog. nemo-tenetur-Grundsatz,[25] steht dem Beschuldigten ein Verweigerungsrecht bezüglich der Preisgabe seiner PIN zu, die nicht erzwungen werden darf.[26] Die Eingabe der PIN und das Auflegen des Fingers auf den Fingerabdruckscanner haben dieselbe Wirkungsrichtung: Beide führen ihrerseits zur Entsperrung der Daten und eröffnen dadurch der Ermittlungsbehörde die Möglichkeit der Zugriffname.

Allerdings bewahrt der nemo-tenetur-Grundsatz den Beschuldigten lediglich vor dem Zwang zur aktiven Selbstbezichtigung.[27] Da der Finger des Beschuldigten von der Ermittlungsbehörde auch ohne sein aktives Mitwirken auf dem Scanner platziert werden könnte, liegt im Auflegen des Fingers im Gegensatz zur aktiven Nennung der PIN eine passive Duldungspflicht, wie sie in den §§ 81 ff. StPO normiert ist.[28] Somit stellt das bloße Auflegen des Fingers auf den Scanner keinen Eingriff in die Selbstbelastungsfreiheit dar.

5. Zusammenfassung

Werden die Kommunikationsumstände des Beschuldigten eingesehen, ist das ein Eingriff in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG. In seiner informationellen Selbstbestimmung ist der Beschuldigte gleich auf zwei Ebenen eingeschränkt, einerseits durch die Verwendung seines Fingerabdrucks zur Entschlüsselung des Smartphones, da sein Fingerabdruck ein personenbezogenes biometrisches Merkmal ist. Andererseits, weil das Entsperren der Daten den Ermittlungsbehörden die Möglichkeit der Zugriffname auf die Daten eröffnet. Des Weiteren wird aufgrund der Verwendung der Daten auch in das IT-Grundrecht eingegriffen. Dieser Eingriff wird dadurch intensiviert, dass die Verschlüsselung in ihrer Funktion als Sicherung der persönlichkeitsrelevanten Daten überwunden wird.

Hingegen stellt das Auflegen des Fingerabdrucks auf den Scanner lediglich eine Duldungspflicht dar, die von § 81b 1. Alt umfasst ist, sodass durch das Auflegen nicht in die Selbstbelastungsfreiheit des Beschuldigten eingegriffen wird.

III. § 81b 1. Alt. StPO als taugliche Ermächtigungsgrundlage

Allein aus der Tatsache, dass das Auflegen des Fingers auf den Scanner im Gegensatz zur Nennung der PIN eine Duldungspflicht darstellt und damit durch das Entsperren der Daten nicht in die Selbstbelastungsfreiheit des Beschuldigten eingriffen wird, kann nicht auf § 81b 1. Alt StPO als taugliche Ermächtigungsgrundlage für eine entsprechende Maßnahme geschlossen werden. Vielmehr ist fraglich, ob sich auch hinsichtlich der mit einer Entsperrung einhergehenden Verwendungsmöglichkeit der Daten und den daraus resultierenden Grundrechtseingriffen eine Ermächtigung aus § 81b 1. Alt StPO herleiten lässt. Denn auch für die herausgearbeiteten Eingriffe in das Fernmeldegeheimnis, das Recht auf informationelle Selbstbestimmung und das Recht auf Vertraulichkeit und Integrität informationstechnischer Systeme müsste sich das Handeln der Ermittlungsbehörde auf eine gesetzliche Grundlage stützen können, die den Anforderungen des Vorbehalts des Gesetzes genügt.

Zunächst sprechen systematische Erwägungen gegen eine erweiterte Auslegung des § 81b 1. Alt. StPO und gegen seine Tauglichkeit als Ermächtigungsgrundlage für eine entsprechende Maßnahme. Denn in § 100a StPO, in dem die Telekommunikationsüberwachung geregelt ist und der in das Fernmeldegeheimnis eingreift, wird deutlich, dass strenge Voraussetzungen an einen Eingriff in Art. 10 Abs. 1 GG geknüpft sind. Es kann daher darauf geschlossen werden, dass die Entschlüsselung mittels Fingerabdrucks und die Verwendung der Daten nicht in § 81b 1. Alt. StPO geregelt ist.

Darüber hinaus spricht die Tatsache, dass Art. 10 Abs. 1 GG nicht in der Norm genannt ist, dafür, dass von § 81b 1. Alt. StPO die Ausspähung von Kontaktumständen nicht umfasst ist. Andernfalls läge ein Verstoß gegen das Zitiergebot aus Art. 19 Abs. 1 S. 2 GG vor. Das Zitiergebot greift jedoch bei dem IT-Grundrecht und dem Recht auf informationelle Selbstbestimmung schon deshalb nicht, weil es sich bei § 81b StPO um vorkonstitutionelles Recht handelt, das vom Zitiergebot ausgenommen ist.[29]

Schließlich spricht gegen § 81b 1. Alt. StPO als taugliche Ermächtigungsgrundlage die folgende Argumentation der ZAC NRW selbst.[30] Demnach stelle die Entschlüsselung eine zweigliedrige Maßnahme dar. Einerseits werde durch das Auflegen des Fingers auf den Scanner der Fingerabdruck mit den auf dem Smartphone hinterlegten Schlüsselmerkmalen abgeglichen, andererseits würden dadurch die Daten entsperrt mit der Folge, dass diese für das Strafverfahren verwendet werden könnten.[31]

Zwar ist der erste Schritt – das Auflegen des Fingers auf den Fingerabdruckscanner – von § 81b 1. Alt. StPO umfasst,[32] da hierin lediglich ein Abgleich des Fingerabdrucks des Beschuldigten mit den auf dem Smartphone hinterlegten Schlüsselmerkmalen im Sinne einer erkennungsdienstlichen Zuordnung liegt.[33] Die Auffassung der ZAC NRW ist aber insoweit nicht mit einer verfassungskonformen Auslegung des § 81b 1. Alt. StPO vereinbar,[34] als der zweite Schritt, nämlich die Entsperrung der Daten zum Zwecke ihrer Verwendung im Strafverfahren, im Vordergrund der Maßnahme steht.

Denn nach dieser erlaubt § 81b StPO lediglich die Abnahme und Verwendung zum Zwecke erkennungsdienstlicher Maßnahmen,[35] also solcher Maßnahmen, die zwar nicht allein, aber vorrangig dem Ziel dienen, die personenstandsmäßige Identität des Beschuldigten festzustellen.[36] § 81b 1. Alt. StPO ist dabei auf die Feststellung äußerer, dauerhafter Merkmale einer Person zwecks Abgleichs mit oder Zuordnung zu Tatortspuren und Beweismitteln gerichtet,[37] nicht aber auf die Ausforschung der Persönlichkeitssphäre des Beschuldigten.[38]

Aus den genannten Gründen kann eine entsprechende Ermächtigung zur zwangsweisen Öffnung des Smartphones nicht auf Grundlage des § 81b 1. Alt. StPO hergeleitet werden. Im Gegenteil würde das Auflegen des Fingers zwecks Datenentsperrung und Verwendung gegen den Vorbehalt des Gesetzes und damit gegen das Rechtsstaatsprinzip aus Art. 20 Abs. 3 GG verstoßen, da keine gesetzliche Grundlage für ein entsprechendes staatliches Handeln vorliegt.

IV. Fazit

Technische Neuerungen stellen das Strafverfahrensrecht vor neue Herausforderungen. Mit dem Strafverfahrensrecht muss flexibel auf derartige Neuerungen reagiert werden können, sodass eine effiziente Strafverfolgung gewährleistet ist. Gleichwohl ist darauf zu achten, dass bestehende Befugnisse im Einzelfall nicht zu Lasten der Rechte des Beschuldigten angewandt und in unzulässiger Weise überdehnt werden.

Die Entwicklung des neuen IT-Grundrechts verdeutlicht die Schutzwürdigkeit von auf Smartphones befindlichen Daten. Smartphones sind durch ihren großen Funktionsumfang für die Lebensführung vieler Bürger von zentraler Bedeutung,[39] da sie persönlichkeitsrelevante Daten speichern und verarbeiten. Durch die zwangsweise Öffnung des Smartphones mittels Fingerabdrucks zwecks Entsperrung der Daten wird neben dem IT-Grundrecht und dem Recht auf informationelle Selbstbestimmung, die aus dem allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abgeleitet werden, auch in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG eingegriffen.

Eingriffe müssen aber auf einer verfassungsmäßigen gesetzlichen Grundlage beruhen. § 81b 1. Alt. StPO stellt mit Blick auf den Vorbehalt des Gesetzes eben keine solche dar – die Schaffung einer entsprechenden Norm wäre mit Blick auf die Vereinbarkeit mit der Selbstbelastungsfreiheit jedoch grundsätzlich möglich. Der Gesetzgeber ist nun gefordert, Klarheit zu schaffen.

[1] Studentin der Rechtswissenschaft an der Universität Potsdam, LL.B. und Praktikantin der Kanzlei Nadeborn. Für die kritische Durchsicht des Textes danke ich Herrn Prof. Dr. Georg Steinberg.

[2]Zu den Erfordernissen für die Sicherstellung von körperlichen Gegenständen und Daten siehe Karlsruher Kommentar-StPO/Greven, 8. Aufl. 2019, § 94 Rn. 3 ff.; explizit zur Sicherstellung von Daten Löwe-Rosenberg-StPO/Menges, 27. Aufl. 2018, § 94 Rn. 14.

[3]Bäumerich NJW 2017, 2718 (2720 f.).

[4]Allgemein zur 1. Alt. als Identifizierungsmaßnahme L/R-StPO/Krause (Fn. 3), § 81b Rn. 2, 13 ff., speziell zur Abnahme von Fingerabdrücken L/R-StPO/Krause (Fn. 3), § 81b Rn. 16; zu den Grundprinzipien des § 81b StPO SK-StPO/Rogall, 5. Aufl. 2016, § 81b Rn. 31 ff.; vgl. zu den zulässigen Maßnahmen auch Münchener Kommentar-StPO/Trück, 2014, § 81b Rn. 9 u. KK-StPO/Hadamitzky (Fn. 2), § 81b Rn. 3.

[5]Siehe Gurlit NJW 2010, 1035 (1037), der den Schutzbereich des Art. 10 Abs. 1 GG eng fasst; zur Beschränkung des Schutzbereichs auch Sachs-GG/Pagenkopf, 8. Aufl. 2018, Art. 10 Rn. 14b; zum Schutzbereich allg. v. Mangoldt/Klein/Starck-GG/Chr. Gusy, 7. Aufl. 2018, Bd. 1, Art. 10 Rn. 19 ff.

[6]Ausführlich zu von Art. 10 Abs. 1 GG erfassten Kommunikationsvorgängen BVerfG Beschl. v. 04.02.2005 – 2 BvR 308/04, Rn. 22 = StV 2005, 483 (486).

[7]BVerfG Beschl. v. 04.02.2005 – 2 BvR 308/04, Rn. 22 = StV 2005, 483 (485).

[8]Siehe zum Eingriff durch staatliche Datenerhebung und -verarbeitung Sachs-GG/Murswiek/Rixen (Fn. 5), Art. 2 Rn. 88, 121 ff.; vgl. hierzu auch Maunz/Dürig-GG/Di Fabio, 85. EL. 2018, Art. 2 Rn. 176.

[9]BVerfGE 65, 1 (43) = NJW 1984, 419 (422); zum Schutzbereich auch Jarass/Pieroth-GG/Jarass, 15. Aufl. 2018, Art. 2 Rn. 37.

[10]BVerfGE 65, 1 (43) = NJW 1984, 419 (422); Eifert NVwZ 2008, 521.

[11]SK-StPO/Rogall (Fn. 4), § 81b Rn. 6; vgl. BVerfGE 65, 1 ff. = NJW 1984, 419 ff.

[12]Vgl. Krutscha NJW 2008, 1042 (1043); ebenso Hoffmann-Riem JZ 2008, 1009 (1012).

[13]Vgl. Gurlit NJW 2008, 1035 (1037).

[14]Krutscha NJW 2008, 1042 (1043); vgl. BVerfGE 120, 274 (323) = NJW 2008, 882 (830).

[14]BVerfGE 120, 274 (323) = NJW 2008, 882 (830); vgl. Krutscha NJW 2008, 1042 (1043).

[15]Kurz auch als Computer-Grundrecht (so bspw. Krutscha NJW 2007, 1042 ff.) oder IT-Grundrecht (so bspw. Gurlit NJW 2008, 1035 ff.) bezeichnet, wobei letztere Bezeichnung mit Blick auf die Vielzahl informationstechnischer Systeme treffender scheint; zum Verhältnis des IT-Grundrechts zu anderen Grundrechten siehe J/P-GG/Jarass (Fn. 9), Art. 2 Rn. 38.

[16]Gurlit NJW 2010, 1035 (1037); kritisch Volkmann DVBl 2008, 590 (592).

[18]BVerfGE 120, 274 (314) = NJW 2008, 822 (827); zum Schutzziel ausführlich Britz DÖV 2008, 411 (412 ff.)

[19]BVerfGE 120, 274 ff. = NJW 2008, 822 ff.

[20]BVerfGE 120, 274 (314) = BVerfG, NJW 2008, 822 (827); vgl. Gurlit NJW 2008, 1035 (1037).

[21]BVerfGE 120, 274 (314) = BVerfG, NJW 2008, 822 (827).

[22]Dabei wird die Gefahr der Entwicklung hin zu einem apersonal konstruierten, technikorientierten Grundrecht gesehen, Eifert NVwZ 2008, 521 (522); Lepsius Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan [Hrsg.], Online Durchsuchungen, 2008, S. 21 (32 ff.). Problematisch wird der nur mittelbare und instrumentelle Persönlichkeitsbezug bewertet, Eifert NVwZ 2008, 521 (522); zum mittelbaren und unmittelbaren Zugriff auf persönliche Daten siehe Volkmann DVBl 2008, 590 (592); hierzu kritisch Hoffmann-Riem JZ 2008, 1009 (1012).

[23]BVerfGE 120, 274 (314) = NJW 2008, 822 (827); Das informationstechnische System sei insoweit schützenswert, als seine Vertraulichkeit und Integrität Persönlichkeitsrelevanz entfalten, Hoffmann-Riem JZ 2008, 1009 (1012), vgl. auch Gurlit NJW 2010, 1035 (1037); zum Verhältnis des Funktionsschutzes zum Schutz der persönlichen Daten siehe Volkmann DVBl 2008, 590 (592); zum Verhältnis des Integritätsschutzes zu Art. 14 GG siehe Volkmann DVBl 2008, 590 (592).

[24]Vgl. Hoffmann-Riem JZ 2008, 1009 (1012).

[25]Ausführlich zur verfassungsrechtlichen Herleitung des nemo-tenetur-Grundsatzes Bosch Aspekte des nemo-tenetur-Prinzips aus verfassungsrechtlicher und strafprozessualer Sicht, 1998, S. 27 ff.; vgl. M/D-GG/Di Fabio (Fn. 8), Art. 2 Rn. 187.

[26]Kritisch zu legislativen Ansätzen einer Offenbarungsverpflichtung bei technischen Verschlüsselungen Gercke MMR 2008, 291 (298); vgl. auch M/D-GG/Di Fabio (Fn. 8), Art. 2 Rn. 187 m.w.N.

[27]Gerhards, (Grund-)recht auf Verschlüsselung?, 2010, S. 294 ff.; SK-StPO/Rogall (Fn. 4), Vor. § 133 ff. Rn. 142.

[28]Explizit zur Reichweite des Schutzes der Selbstbelastungsfreiheit im Rahmen der §§ 81 ff. StPO siehe Gerhards (Fn. 27), S. 294 ff. u. MüKo-StPO/Trück (Fn. 4), § 81a Rn. 22; zur Duldungspflicht i.R.d. § 81b StPO siehe SK-StPO/Rogall (Fn. 4), § 81b Rn. 37, 38.

[29]Zur Besonderheit des Zitiergebots beim allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG siehe Werkmeister BRJ 2012, 41 (43 f.).

[30]Bäumerich NJW 2017, 2718 (2721).

[31]Bäumerich NJW 2017, 2718 (2721).

[32]Bäumerich NJW 2017, 2718 (2720 f.).

[33]Bäumerich NJW 2017, 2718 (2721).

[34]Vgl. zur verfassungskonformen Auslegung BVerfGE 47, 239 (244, 252) = DVBl 1978, 343 (344).

[35]SK-StPO/Rogall (Fn. 4), § 81b Rn. 1, 2; L/R-StPO/Krause (Fn. 3), § 81b Rn. 2.

[36]BVerfGE 47, 239 (244, 252) = DVBl 1978, 343 (344); SK-StPO/Rogall (Fn. 4), § 81b Rn. 2, 3.

[37]SK-StPO/Rogall (Fn. 4), § 81b Rn. 31; so auch KK-StPO/Hadamitzky (Fn. 4), § 81b Rn. 3.

[38]L/R-StPO/Krause (Fn. 3), § 81b Rn. 2; SK-StPO/Rogall (Fn. 4), § 81b Rn. 1.

[39]Vgl. BVerfGE 120, 274 (303 ff.) = NJW 2008, 822 (824).