CGM-System Dauerbrenner Cloud: Sicherheit der Daten vor behördlichem Zugriff

diatec journal Interview Autor: Redaktion diatec journal

RA Daniel Lindenberg ist sich sicher, dass hiesige Behörden bei Verkehrsdelikten in der Praxis keinen Zugriff auf in Clouds gespeicherte Messdaten von CGM-Systemen haben. RA Daniel Lindenberg ist sich sicher, dass hiesige Behörden bei Verkehrsdelikten in der Praxis keinen Zugriff auf in Clouds gespeicherte Messdaten von CGM-Systemen haben. © lassedesignen – stock.adobe.com

Im Interview widerspricht Rechtsanwalt Daniel Linden­berg, München, den erneuten Ausführungen ­seines Kollegen Oliver Ebert zur Herausgabe von Clouddaten von Messsystemen.

Herr Lindenberg, Sie sind Mitautor des Artikels „Verkehrsunfall: Müssen cloudbasierte Glukosemess­daten herausgegeben werden?“ (diatec journal 03/2022). In Heft 11/2022 des Diabetes-Journals wirft Ihnen Herr RA Ebert vor, dass Sie die Rechtslage unzutreffend darstellen. Unter anderem sollen Sie bei Ihrer Bewertung der Rechtslage eine Entscheidung des Bundesverfassungsgerichts nicht berücksichtigt haben. Was sagen Sie dazu?

RA Daniel Lindenberg: Ich war überrascht über den Vorwurf des Kollegen, da mein Mitautor und ich selbstverständlich die zum Thema einschlägige Rechtsprechung einschließlich der vom Kollegen genannten Entscheidung des Bundesverfassungsgerichts berücksichtigt haben. Wir haben unseren Fokus im Beitrag allerdings – entsprechend des begrenzten Umfangs – auf die praktische Rechtslage gerichtet. Insoweit sind Konstellationen, in denen ein Anbieter von cloudbasierten Glukosemesssystemen seine Daten nicht mittels Passwörtern und sonstigen IT-Vorrichtungen vor dem Zugriff Dritter schützt, nur theoretischer Natur. Wichtig ist deshalb in der strafrechtlichen Praxis allein die Frage, ob der Hersteller zur Herausgabe von Passwörtern etc. verpflichtet werden kann. Die Beschlagnahme von Daten, die ungeschützt auf Servern liegen, ist jedenfalls für Hersteller cloudbasierter Glukosemesssysteme praktisch nicht relevant. 

Was bedeutet das konkret?

Lindenberg: Die Beschlagnahme und Sichtung von Daten bei Dritten ist zwar grundsätzlich zulässig, unterliegt aber in mehrfacher Hinsicht entscheidenden Beschränkungen, die gerade im Falle von Herstellern cloudbasierter Messsysteme wichtig sind. Befinden sich – so wie bei cloudbasierten Systemen – Daten auf einem räumlich getrennten Speichermedium, ist zunächst zu beachten, dass eine Durchsicht und dementsprechend eine Beschlagnahme nicht in Betracht kommen, wenn sich die Daten im Ausland befinden, d.h. Daten in einer ausländischen Cloud können von deutschen Ermittlungsbehörden schon aus Rechtsgründen nicht gesichtet und beschlagnahmt werden. An entsprechende Daten können die deutschen Behörden nur über das äußerst komplizierte Verfahren der Amtshilfe kommen. Daneben ist zu beachten, dass es keine Verpflichtung für den von der Durchsuchung Betroffenen (hier: der Hersteller) bzw. den Provider gibt, den Ermittlungsbehörden den Zugriff zu ermöglichen, etwa durch Herausgabe von Passwörtern. Da Hersteller von cloudbasierten Glukosemesssystemen allein schon aus Datenschutz- und Informationssicherheitsgründen ein Interesse an ausreichendem Schutz vor dem Zugriff Dritter haben, sind die Messdaten in aller Regel mittels IT-Vorrichtungen wie bspw. Bitlocker, Passwortschutz etc. geschützt. Die Ermittlungsbehörden müssen diese Vorrichtungen deshalb „knacken“, um an entsprechende Daten zu kommen. Dies ist für die Behörden mit einem hohen Aufwand verbunden und dürfte angesichts der hohen Schutzstandards nur in den seltensten Fällen gelingen.

Bedeutet das, dass ein Zugriff auf die cloudbasierten Messdaten in der Praxis eher unwahrscheinlich ist?

Lindenberg: Genau! Insbesondere bei einfachen Straftaten scheuen die Behörden bereits aufgrund der Zugangshindernisse den entsprechenden Aufwand. Der Gesetzgeber hat die Proble­matik der Sicherheitsvorrichtungen und der fehlenden Verpflichtung zur Herausgabe der entsprechenden Zugangsschlüssel selbst erkannt. Er hat deshalb eine Regelung (§ 100j Abs. 1 S. 2, 3 StPO) geschaffen, die den Zugangsprovider bei Vorliegen bestimmter Voraussetzungen wie bspw. einer besonders schweren Straftat mittels gerichtlichem Beschluss zur Herausgabe auch der Zugangskennung zwingen kann. In der Praxis werden die Ermittlungsbehörden ihre Ermittlungsarbeit deshalb nur bei besonders schweren Straftaten auch auf die Hersteller richten. Ansonsten bleibt es dabei, dass sich die Ermittlung auf den Beschuldigten und die Durchsuchung sowie Beschlagnahme von Daten/Unterlagen in dessen Wohn- und Arbeitsräumen konzentriert.

Welche Rolle spielt die angesprochene Entscheidung des Bundesverfassungsgerichts?

Lindenberg: Die Entscheidung des Bundesverfassungsgerichts betraf die Beschlagnahme von E-Mails: Für die Beschlagnahme der E-Mails sind die allgemeinen Beschlagnahmebestimmungen anzuwenden, sodass die betreffenden E-Mails beim Mail-Provider auf einem Datenträger abgeholt werden konnten, ohne dass eine Grundrechtsverletzung vorlag. Der Fall lag also gänzlich anders, da die E-Mails nicht auf einem ausländischen Server lagen und zudem auch nicht speziell gegen den Zugriff Dritter geschützt waren. Insofern ist es gerade auch unter Berücksichtigung der vorgenannten Entscheidung allgemein anerkannte Meinung, dass die deutschen Ermittlungsbehörden keinen Zugriff auf ausländische Server haben und eine Verpflichtung zur Herausgabe von Zugangskennungen nur bei besonders schweren Straftaten besteht. Für den interessierten Leser sei hier nur beispielhaft auf das bereits in der 5. Auflage erschienene Standardwerk „Durchsuchung und Beschlagnahme“ vom deutschlandweit anerkannten Rechtsanwalt und Strafverteidiger Prof. Dr. Tido Park verwiesen (Randnummer 894 ff.).