BKA: "Das führt nur zu unnötigen Nachfragen"
In die Verfahren rund um die staatlich gehackten Messenger Encrochat und Sky ECC ist Bewegung gekommen. Der Anwalt Johannes Eisenberg, der einige der vielen Betroffenen in einem Betäubungsmittel-Strafverfahren vertritt, konnte nach eigenen Angaben Dokumente einsehen, die eine aktive Verschleierung der Datenherkunft durch das Bundeskriminalamt (BKA) belegen.
Die Messenger sollen von französischen und belgischen Behörden gehackt worden sein. Die eigentlich verschlüsselten Nachrichten wurden ausgeleitet und mitgelesen. Auch die deutschen Strafverfolgungsbehörden haben die Daten erhalten . Laut Europol sollen sich unter den Nutzern der Messenger vornehmlich Kriminelle befunden haben, allerdings nicht nur. Die Hacks und die Datenweitergabe sind nicht nur deshalb juristisch umstritten.
Im Interview mit Golem.de erzählt Eisenberg auch von zwei Wendungen in den Encrochat-Verfahren, die ihn hoffnungsvoll stimmen. Nachdem sich die Gerichte bisher nicht für die Datenherkunft interessiert haben, stellen das Landgericht Neubrandenburg sowie der Europäische Gerichtshof für Menschenrechte (EGMR) kritische Nachfragen – letzterer sogar direkt an die französische Regierung, die letztlich für den Hack des Messengers verantwortlich sein soll. Denn weiterhin bleibt unklar, woher die Daten eigentlich stammen und ob sie auf dem Weg zu den Gerichten verändert oder manipuliert wurden und es steht fest, dass sie nicht vollständig sind.
Golem.de: Herr Eisenberg, im Dezember haben Sie über Merkwürdigkeiten in den Encrochat-Daten berichtet , die als Beweismittel in einem von Ihnen betreuten Verfahren verwendet werden. So sei beispielsweise erst nach und nach herausgekommen, dass der Ihnen vorgelegte Datensatz vom LKA Hamburg bearbeitet worden war. Nun haben Sie neue Erkenntnisse?
Johannes Eisenberg: Insgesamt gibt es drei neue Entwicklungen, welche für die Golem.de-Leser interessant sein dürften. Wir können mittlerweile sagen, dass die deutschen Ermittlungsbehörden, insbesondere das BKA, aber auch der Generalbundesanwalt gesteigerten Wert darauf legen, den Weg und die Herkunft der Encrochat- und auch der Sky-ECC-Daten zu verschleiern.
Golem.de: Das haben Sie aus einem Gerichtsdokument?
Eisenberg: Ja, im Zusammenhang mit dem ebenfalls vom BKA betrieben Verfahren wegen der Verwendung von sogenannten Sky-Telefonen wurde bei einer Akteneinsicht ein Schreiben des BKA vom 6. Juli 2021 gefunden. Dieses richtet sich an die Kontaktstellen der verschiedenen Landeskriminalämter, der Bundespolizei und des Zollkriminalamts.
Das BKA teilt den Behörden in dem Schreiben mit, dass zwingend davon abzusehen sei, einen Bezug zum sogenannten UJS-Verfahren (Ermittlungsverfahren gegen Unbekannt) der Generalstaatsanwaltschaft Frankfurt am Main herzustellen, in welchem die Europäische Ermittlungsanordnung (EEA) an die belgischen Behörden zur Herausgabe der Sky-ECC-Daten gestellt worden ist. Diese Informationen seien irrelevant und führten nur zu unnötigen Nachfragen. Auch im Falle von Encrochat wurde das so gehandhabt.
Golem.de: Was meint das BKA mit unnötigen Nachfragen?
Eisenberg: Unnötige Nachfragen von Verteidigern! Diese sagen: Wir wollen doch gerne mal die Akte sehen, die ihr geführt habt, mit der ihr angeblich gegen Unbekannt ermittelt habt. Denn erst durch diese Ermittlung konnte die Europäische Ermittlungsanordnung gestellt werden, auf deren Grundlage das BKA dann die heimlich abgefangenen Daten erhalten hat.
Wir bemühen uns, die Herkunft der Daten möglichst genau aufzuklären und nachzuvollziehen und zu überprüfen, ob die überhaupt vollständig sind. Dazu habe ich mich im letzten Interview geäußert. Und was macht die Gegenseite? Die sagt, gebt bloß nichts preis, was Anlass für Nachfragen geben kann – und so verhalten sie sich auch: Sie tun immer so, als wüssten sie überhaupt nichts von der Herkunft dieser Daten.
Und mittlerweile gehen die Gerichte auch dazu über, sich an der Verdunkelung, der Verschleierung zu beteiligen, und laden nicht einmal die deutschen Polizeibeamten beim Bundeskriminalamt und den Landeskriminalämtern vor, die sich mit diesen Daten beschäftigt haben. Denn das führt nur zu unnötigen Nachfragen. Die Gerichte gehen einfach davon aus, dass alles seine Richtigkeit hat, und verlassen sich auf abgegebene schriftliche Erklärungen der Ermittlungsbehörden, sogenannte Datenlieferungsberichte.
Golem.de: Nochmal zur Rekapitulation: Wie kamen denn die Daten nach Deutschland?
Eisenberg: Die jeweiligen Messenger wurden gehackt und im Fall von Encrochat eine Abfangeinrichtung auf 60.000 Endgeräten installiert. Genaues wissen wir allerdings in beiden Fällen nicht. Irgendwann flog die Überwachung auf und die Maßnahme wurde beendet. Dann wurde den deutschen Behörden gesagt: Ihr könnt die Daten haben, wenn ihr eine Europäischen Ermittlungsanordnung (EEA) stellt.
Daraufhin hat die Generalstaatsanwaltschaft in Frankfurt am Main besagtes Ermittlungsverfahren gegen Unbekannt (UJS) eingeleitet und im Zuge dessen die EEA gestellt. Zu diesem Zeitpunkt lagen aber Teile der Daten längst den deutschen Ermittlungsbehörden vor und wurden auch zur Strafverfolgung verwendet. Sodann wurde in Frankreich und Belgien beschlossen, die Daten aus Frankreich (Encrochat) beziehungsweise Belgien (Sky ECC) über Europol liefern zu lassen. Und zwar alle Daten, bei denen festgestellt werden konnte, dass das Smartphone auf deutschem Boden verwendet wurde.
In meinen Fällen wurden aber nicht die nach der EEA Anfang Juli 2020 (Encrochat) an Europol zur Verfügung gestellten Daten verwendet, sondern die bereits seit bis zu drei Monaten vorher den deutschen Behörden vorliegenden Daten, die die aber eigentlich nur zur Gefahrenabwehr hätten verwenden dürfen.
Golem.de: Dazu wollten die Anwälte dann natürlich mehr wissen?
Eisenberg: Ja, die Anwälte wollten wissen, was das für ein merkwürdiges UJS-Verfahren ist – denn die Verfahren gegen die konkreten Tatverdächtigen gab es ja zu dem Zeitpunkt noch gar nicht. Die Staatsanwaltschaft hat erst später, lange nachdem die Telefone ausgeforscht waren, einfach ein fiktives UJS-Verfahren eingeleitet – und erst dann per EEA die Daten angefragt und erhalten.
Was da eigentlich zwischen den Behörden abgelaufen ist, erfahren wir nicht vollständig, sondern häppchenweise und nur, soweit einzelne Dokumente ausgehändigt werden. Aber den ganzen Akten- und Verfahrensgang erfahren wir nicht. Das wird uns verweigert. Es gibt sogar Fälle, wo Gerichte die Herausgabe dieser Akte angeordnet haben und sich die Generalstaatsanwaltschaft Frankfurt am Main weigert. Ich bin mal gespannt, ob jemand bei denen einen Hausdurchsuchung anordnet und die Akte beschlagnahmt. Von Rechts wegen müsste das Gericht das jetzt anordnen.
Damit erst gar keine Nachfragen gestellt werden, gibt es die erwähnte Anweisung des BKA, in der es heißt: Erwähnt bloß dieses Verfahren nicht.
Golem.de: Was steckt hinter dieser Anweisung?
Eisenberg: Unser Verdacht ist natürlich, dass da ganz viel Mitwisserschaft der deutschen Behörden über die Hacks offenbar wird, wenn man diese Akten sehen kann. Dass es also gar nicht so ist, dass irgendwelche ausländischen Behörden irgendwas ausgeforscht haben und erst dann deutsche Behörden davon erfahren und die EEA gestellt haben. Vielmehr gehen wir davon aus, dass ganz gezielt zusammengearbeitet wurde, um an diese Daten zu gelangen.
Wir vermuten, dass die Aktion von ausländischen Behörden durchgeführt wurde, weil diese zum einen mit Geheimdiensten zusammenarbeiten können – was die hiesigen Ermittlungsbehörden wegen der seit der Nazizeit bestehenden strikten Trennung von Polizei und Geheimdienst gar nicht dürfen – und zum anderen hatten die Staaten eine weniger grundrechtssichernde Rechtsordnung und konnten entsprechend besser solche Onlinedurchsuchungen durchführen, die nach deutschem Recht unzulässig gewesen wären. Daher sind die deutschen Behörden ins Ausland ausgewichen und das soll verschleiert werden.
Golem.de: Bisher haben sich die deutschen Gerichte nicht für die Problematik der Datenherkunft interessiert und den Ermittlungsbehörden blind vertraut. In einem Verfahren sieht das jetzt aber anders aus?
Eisenberg: Das Landgericht Neubrandenburg interessiert sich jetzt für den Weg der Daten. Wie wir wissen, stammt zumindest der wesentliche Teil der Encrochat-Daten gar nicht direkt von den Franzosen, sondern wurde von Europol an das BKA weitergegeben.
Im Unterschied zu den französischen Behörden ist Europol nicht an das französische Militärgeheimnis gebunden, sondern eine europäische Behörde und deshalb auch zur Auskunft verpflichtet. Sie müsste entsprechend Fragen, wie und welche Daten sie erhalten haben, was sie mit diesen gemacht und wie diese verarbeitet und weitergereicht wurden, beantworten. Aber das interessierte bisher nur die Verteidiger und nicht die deutschen Gerichte. Entsprechend wiesen diese solche Anträge immer zurück.
Jetzt gibt es eine neue Entwicklung: Das Landgericht Neubrandenburg möchte genau diese Fragen von Europol beantwortet wissen. Das macht mir Hoffnung, dass wenigstens ein anständiges Landgericht in der Bundesrepublik existiert, das sagt: Wenn wir schon abgeschnitten werden von den Informationen darüber, wo die Daten herkommen, wie die Daten abgefangen wurden, dann wollen wir doch wenigstens wissen, was die europäischen Behörden mit den Daten gemacht haben, bevor sie zum BKA gelangten.
Golem.de: Auch der Europäische Gerichtshof für Menschenrechte (EGMR) hat jüngst kritische Nachfragen zu Encrochat gestellt. Worum handelt es sich dabei?
Eisenberg: Da geht es um eine Zwischenverfügung vom 3. Januar 2022(öffnet im neuen Fenster) . Der EGMR hat Klagen anhängig, in denen sich zwei Briten darüber beschweren, dass sie auf der Grundlage von ihnen zugerechneten Encrochat-Daten verurteilt wurden. Bei dem einen ging es um Drogenhandel, bei dem anderen zudem um dreifachen Mord. Die Verurteilungen sind rechtskräftig, alle nationalen Rechtsmittel wurden verworfen.
Beide haben nun den EGMR angerufen und sich darüber beschwert. Daraufhin wurde die besagte richterliche Zwischenverfügung veröffentlicht, die dem beklagten Land – interessanterweise Frankreich – alle möglichen Fragen stellt.
Dort wird beispielsweise gefragt, ob diese Eingriffe gesetzlich vorgesehen und notwendig im Sinne von Artikel 8 § 2 EMRK waren. Dabei wird auf ein früheres Urteil des Gerichtshofes zur Massenüberwachung durch den britischen Geheimdienst GCHQ verwiesen. Die dort festgelegten Kriterien der Rechtmäßigkeit müssten auch im Encrochat-Fall nachgewiesen werden.
Beispielsweise muss es einen wirksamen innerstaatlichen Rechtsbehelf für die Betroffenen geben und es müssen Verfahrensvorschriften etabliert sein, die jeden Missbrauch ausschließen – und das muss überprüfbar sein. Und jetzt sag mir mal einer, wo das bei Encrochat der Fall sein soll.
Golem.de: Was gibt es für weitere Fragen, die in dem Dokument aufgeworfen werden?
Eisenberg: Frankreich soll beispielsweise auch erklären, wie viele Geräte von der strittigen Datenerfassung betroffen waren oder welche Art von Daten auf diese Weise gesammelt wurden. Aber auch, ob die Menschen, die vermuten, von der Überwachung betroffen zu sein, ein Recht auf Zugang zu den sie betreffenden Daten oder darauf, über eine solche Maßnahme informiert zu werden, hatten.
Wenn man das jetzt ernst nimmt, dann müssen auch die deutschen Gerichte – die ebenfalls an die Europäische Menschenrechtskonvention gebunden sind – ihre Verfahren und Urteile an den Kriterien des EGMR in der Entscheidung zur geheimdienstlichen Massenüberwachung überprüfen. Das gilt auch für die laufenden Verfahren in Deutschland.
Dann können die Gerichte nicht einfach sagen: Uns interessiert nicht, wo die Daten herkommen und wie die gewonnen wurden und was da in der Zwischenzeit damit gemacht wurde, bis die bei unserem BKA angekommen sind.
Golem.de: Aber auch ohne den EGMR hätten die Gerichte die Datenherkunft doch prüfen müssen?
Eisenberg: Mich wundert nach wie vor, dass der Sündenfall der Massenausspähung von Kryptohandys durch Geheimdienste und die strafrechtliche Verwertung unter Verschleierung der Herkunft ohne Aufstand der Zivilgesellschaft von den Gerichten in Deutschland durchgewunken wird: Der deutsche Gesetzgeber hat aus guten Gründen derartige Ermittlungen nicht erlaubt.
Die deutschen Strafverfolgungsbehörden weichen unter Ausnutzung der europäischen Ermittlungszusammenarbeit einfach ins Ausland aus und entziehen auf diese Weise die Maßnahmen gerichtlicher Kontrolle. Diesmal richtet es sich gegen Straftatverdächtige. Das nächste Mal gegen Oppositionelle? Was wäre gewesen, wenn ich als Anwalt Encrochat zur Kommunikation mit meinen Mandanten genutzt hätte?
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.