S. 225XI. Strafverfahren und Ermittlungsbefugnisse

Elias Schönborn/Shirin Ghazanfari/Jan Thiel

1. Ermittlungsbefugnisse der Strafverfolgungsbehörden

In der heutigen digital vernetzten Welt stellt Cyberkriminalität eine der größten Bedrohungen für die Sicherheit von Individuen und Organisationen dar. Die Ermittlungsbefugnisse der Strafverfolgungsbehörden sind für die effektive Aufklärung von Straftaten, insb im Bereich Cybercrime, essenziell. Das vorliegende Kapitel beleuchtet die rechtlichen Rahmenbedingungen und praktischen Aspekte dieser Befugnisse, deren Ausübung stets unter Beachtung des Grundsatzes der Verhältnismäßigkeit zu erfolgen hat.

Besondere Aufmerksamkeit gilt der Sicherstellung und Beschlagnahme von Datenträgern und Daten, reflektiert durch die Entscheidung des VfGH zur Sicherstellung von Mobiltelefonen und anderen Endgeräten. Weiters werden Durchsuchungen von Orten und Gegenständen, verdeckte Ermittlungen, das Konzept des Scheingeschäfts und die Überwachung von Nachrichten dargestellt. Darüber hinaus werden die rechtlichen Grundlagen für die Beschlagnahme von Briefen, die Auskunft über Stamm- und Zugangsdaten sowie über Daten einer Nachrichtenübermittlung, die Lokalisierung technischer Einrichtungen und die Anlassdatenspeicherung erläutert, um ein vollständiges Bild der datenschutzrechtlichen und prozessualen Herausforderungen in der modernen Strafverfolgung zu vermitteln. Ziel ist es, ein Verständnis für die komplexen und regelmäßig kontroversen Aspekte der Ermittlungsbefugnisse zu entwickeln, die speziell für die Bekämpfung von im digitalen Raum begangenen strafbaren Handlungen relevant sind.

1.1. Verhältnismäßigkeitsgrundsatz (§ 5 StPO)

Die Ermittlungsbehörden haben bei jeder Maßnahme im Ermittlungsverfahren den Verhältnismäßigkeitsgrundsatz (§ 5 StPO) zu beachten. Dieser besagt, dass die Kriminalpolizei, die StA und das Gericht bei der Ausübung ihrer Befugnisse und bei der Aufnahme von Beweisen in die Rechte von Personen nur insoweit eingreifen dürfen, als dies gesetzlich ausdrücklich vorgesehen und zur Erfüllung ihrer Aufgaben erforderlich ist. Jede dadurch bewirkte Rechtsgutbeeinträchtigung muss in einem angemessenen Verhältnis zum Gewicht der Straftat, zum Verdachtsgrad und zum angestrebten Erfolg stehen.

S. 226Die Rechtssphäre, innerhalb derer § 5 Abs 1 StPO greift, wird vor allem durch die Grundrechte konstituiert. Unter ihnen spielen das Recht auf Achtung des Privat- und Familienlebens (Art 8 EMRK) und das Grundrecht auf Datenschutz (§ 1 DSG) eine bedeutende Rolle, dient doch das Strafverfahren der Aufklärung von Straftaten (§ 1 Abs 1 StPO) - und damit der Gewinnung von Informationen, an deren Geheimhaltung vielfach schutzwürdige Interessen bestehen.

Der Gesetz- und Verhältnismäßigkeitsgrundsatz ruft fundamentale rechtsstaatliche Erfordernisse an prominenter Stelle in Erinnerung und ist nicht bloß Auslegungsleitlinie, sondern enthält unmittelbar anwendbares Recht. Der Verhältnismäßigkeitsgrundsatz muss jeder Eingriffsnorm hinzugedacht werden. Unter mehreren zielführenden Ermittlungshandlungen und Zwangsmaßnahmen sind jene zu ergreifen, welche die Rechte der Betroffenen am geringsten beeinträchtigen (§ 5 Abs 2 S 1 StPO).

1.2. Sicherstellung und Beschlagnahme

Einleitend ist darauf hinzuweisen, dass die maßgeblichen Bestimmungen über die Sicherstellung (§ 110 Abs 1 und Abs 4 sowie § 111 Abs 2 StPO idF BGBl I 2004/19) vom VfGH mit Ablauf des 31.12.2024 als verfassungswidrig aufgehoben wurden. In weiterer Folge erging ein Urteil des EuGH, das in wesentlichen Punkten mit dem Erkenntnis des VfGH vom 14.12.2023 übereinstimmte - beide Entscheidungen behandelten das Spannungsverhältnis zwischen den Grundrechten auf Privat- und Familienleben (Art 8 EMRK) sowie auf Datenschutz (§ 1 DSG) einerseits und den Erfordernissen der Strafverfolgung andererseits.

Aufgrund der Novellierung der Sicherstellungs- und Beschlagnahmebestimmungen zum 1.1.2025 erscheint es sinnvoll, zunächst auf die neue Rechtslage zur Sicherstellung (§ 109 Z 1, §§ 110 ff StPO) einzugehen, um in weiterer Folge die Besonderheiten der Auswertung von Daten(trägern) zu erörtern, die vor allem im Bereich Cybercrime von zentralem Interesse sind. In diesem Zusammenhang wird die neue Rechtslage zur Beschlagnahme von Datenträgern und Daten (§§ 115f ff StPO) dargestellt.

1.2.1. Sicherstellung (§ 109 Z 1, §§ 110 ff StPO)

§ 109 Z 1 StPO enthält zwei Arten von Sicherstellungsmaßnahmen. Zunächst definiert § 109 Z 1 lit a StPO eine Sicherstellung als die vorläufige Begründung S. 227der Verfügungsmacht über Gegenstände, Vermögenswerte und Daten. Auch Datenträger können weiterhin sichergestellt werden, sofern zum Zeitpunkt der Sicherstellung keine inhaltliche Auswertung vorgesehen ist.

Darüber hinaus ermöglicht § 109 Z 1 lit b StPO Sicherstellungen durch ein (vorläufiges) Herausgabe-, Veräußerungs- und Verpfändungsverbot von Gegenständen sowie sonstigen Vermögenswerten. Dies betrifft etwa Bankguthaben und sonstige Forderungen, Geld, Wertpapiere, Inhaber- und Überbringersparbücher. Liegenschaften sind aufgrund einer speziellen Regelung nicht umfasst (§ 109 Z 2 lit b StPO).

Eine Sicherstellung ist nur zur Erreichung bestimmter Zwecke zulässig, und zwar

• aus Beweisgründen, hinsichtlich Daten jedoch nur soweit, als es sich um punktuelle Daten oder Daten, die mittels Bild- und Tonaufzeichnungen an öffentlichen oder öffentlich zugänglichen Orten aufgenommen wurden, handelt (§ 110 Abs 1 Z 1 StPO),

• zur Sicherung privatrechtlicher Ansprüche (§ 110 Abs 1 Z 2 StPO) sowie

• zur Sicherung der Konfiskation (§ 19a StGB), des Verfalls (§ 20 StGB), des erweiterten Verfalls (§ 20b StGB), der Einziehung (§ 26 StGB) oder einer anderen gesetzlich vorgesehenen vermögensrechtlichen Anordnung (§ 110 Abs 1 Z 3 StPO).

Für Ermittlungen im Bereich Cybercrime ist idZ vor allem die Sicherstellung von Vermögenswerten (§ 109 Z 1 lit a-b, § 110 Abs 1 Z 1-3 StPO) - wie etwa Krypto-Assets - relevant.

§ 111 Abs 1 und Abs 2 StPO sieht eine korrespondierende Herausgabepflicht des Betroffenen vor. Die Sicherstellung ist insofern eine den betroffenen Personen ggü offene Maßnahme. Jedermann ist verpflichtet, die erforderlichen Gegenstände, Vermögenswerte oder bestimmte Daten herauszugeben oder die Sicherstellung auf andere Weise zu ermöglichen.

Für die Anordnung einer Sicherstellung bedarf es eines Anfangsverdachts (§ 1 Abs 3 StPO). Die Anordnung der Sicherstellung ist von der StA zu begründen, S. 228wobei darzulegen ist, welche Gegenstände, Vermögenswerte oder Daten von der Sicherstellung betroffen sind und wofür diese (Beweis-)Relevanz haben könnten. Einer richterlichen Bewilligung, die etwa für eine (anschließende) Beschlagnahme (§ 115 StPO) erforderlich ist, bedarf es nicht. Die Sicherstellung ist lediglich von der StA anzuordnen und von der Kriminalpolizei durchzuführen (§ 110 Abs 2 StPO). In ausgewählten Fällen darf die Sicherstellung auch von der Kriminalpolizei aus Eigenem ohne Anordnung der StA vorgenommen werden (§ 110 Abs 3 und Abs 3a StPO).

Der Gesetzgeber verlangt keine bestimmte Schwere der Straftat, weshalb eine Sicherstellung bei Vorliegen eines Anfangsverdachts auf jedes beliebige Delikt in Frage kommt. Selbst (nicht verdächtige) Dritte müssen eine Sicherstellung dulden, wenn gegen eine (andere) Person ein Anfangsverdacht (§ 1 Abs 3 StPO) besteht und der - im Besitz des (nicht verdächtigen) Dritten stehende - Gegenstand ein relevantes Beweismittel im strafrechtlichen (Ermittlungs-)Verfahren ist.

In Konkretisierung des allgemeinen Verhältnismäßigkeitsgrundsatzes (§ 5 StPO) kommt - als gelinderes Mittel - auch die Anfertigung von Aufnahmen oder Kopien in Betracht. Demnach ist die Sicherstellung von Gegenständen oder Vermögenswerten aus Beweisgründen (§ 110 Abs 1 Z 1 StPO) „nicht zulässig und jedenfalls auf Verlangen der betroffenen Person aufzuheben, soweit und sobald der Beweiszweck durch Bild-, Ton- oder sonstige Aufnahmen oder durch Kopien schriftlicher Aufzeichnungen oder automationsunterstützt verarbeiteter Daten erfüllt werden kann und nicht anzunehmen ist, dass die sichergestellten Gegenstände selbst oder die Originale der sichergestellten Informationen in der Hauptverhandlung in Augenschein zu nehmen sein werden“ (§ 110 Abs 4 StPO).

1.2.2. Besonderheiten bei (kommunikationsfähigen) Datenträgern

Die Sicherstellung von (kommunikationsfähigen) Datenträgern und deren Auswertung sind nicht mit der Sicherstellung von sonstigen Gegenständen vergleichbar. Einer der wesentlichen Unterschiede liegt in der Möglichkeit der Auslesung und Auswertung der auf einem Datenträger gespeicherten Daten und der damit verbundenen Rückschlüsse auf die betroffene Person. Der Zugriff auf eine Vielzahl von auf einem Datenträger gespeicherten Daten verschafft den Strafverfolgungsorganen ein nicht bloß punktuelles Bild über das Verhalten des VerdächS. 229tigen oder des Betroffenen (iSd § 48 Abs 1 Z 1 und 4 StPO). Die auf einem sichergestellten Kommunikationsgerät, wie zB einem Laptop, einem PC oder einem Smartphone, (lokal oder extern) gespeicherten Daten, auf die die Strafverfolgungsorgane im Rahmen der Auswertung potenziell zugreifen können, ermöglichen den Strafverfolgungsorganen vielmehr einen umfassenden Einblick in wesentliche Teile des vergangenen und gegenwärtigen Lebens des Betroffenen. Die Strafverfolgungsorgane können Inhalts- und Verbindungsdaten aus (uU auch bereits gelöschten) Kommunikationsvorgängen ermitteln, speichern und mit anderen Daten abgleichen. Auf diese Weise können Strafverfolgungsbehörden detailreiche Rückschlüsse auf das Verhalten, die Persönlichkeit und die Gesinnung des Betroffenen ziehen. Die auf dem Datenträger gespeicherten Verbindungsdaten können auch Vermutungen über Kommunikationsinhalte nahelegen, da sie offenlegen, ob, wann, wie oft und mit wem auf welchem Weg Kontakt aufgenommen wurde.

Darüber hinaus haben Strafverfolgungsorgane - unabhängig von Kommunikationsvorgängen des Betroffenen - potenziell Zugriff auf lokal oder extern gespeicherte (sensible oder sonstige personenbezogene) Daten unterschiedlicher Art. Dies kann etwa Fotos, Videos, Standortdaten, Suchverläufe oder Gesundheitsdaten betreffen, die insgesamt den Strafverfolgungsorganen gemeinsam mit den oben erwähnten, gespeicherten Kommunikationsinhalten die Erstellung eines vollständigen Profils des Betroffenen ermöglichen.

Der VfGH orientierte sich in seinen Feststellungen zur Verfassungswidrigkeit der Sicherstellung von Endgeräten aus Beweisgründen an kommunikationsfähigen Datenträgern - also solchen, die aufgrund ihrer Internet- und Netzverbindungsfähigkeit dauerhaften Datenflüssen ausgesetzt sind. Gerade diese Subkategorie ermöglicht mitunter eine Auslagerung von Daten auf externe Speicherplätze (sog „Cloud-Speicherung“), führt zu intransparenten Speichervorgängen und erschwert die Abschätzung der Reichweite dieser Maßnahme für Betroffene hinsichtlich des Datenbestandes, der den Strafverfolgungsbehörden bei der Auslesung offenbart wird, erheblich.

1.2.3. Beschlagnahme von Datenträgern und Daten (§ 109 Z 2a-2e, §§ 115f-115l StPO)

Durch den beschlossenen IA zum StPRÄG 2024 wurde ab 1.1.2025 eine explizite Rechtsgrundlage für den bloßen Zugriff auf Daten - in Abkehr von der zuvor S. 230zwingenden Gegenstandsbezogenheit der Sicherstellung - geschaffen („Beschlagnahme von Datenträgern und Daten“). Seither ist der Zugriff auf herkömmliche analoge Gegenstände rechtlich anders zu bewerten als jener auf Datenträger zu Zwecken darauffolgender Auslesevorgänge von Daten.

1.2.3.1. Beschlagnahme von Datenträgern und Daten (§ 115f StPO)

Neu eingeführt wurde eine explizite Maßnahme zur Beschlagnahme von Datenträgern und Daten zum Zwecke der Auswertung (§ 115f StPO). Von dieser Ermittlungsmaßnahme umfasst sind

• Datenträger und darauf gespeicherte Daten (§ 109 Z 2a lit a StPO),

• Daten, die an anderen Speicherorten als einem Datenträger gespeichert sind, soweit auf sie von diesem aus zugegriffen werden kann (§ 109 Z 2a lit b StPO) sowie

• Daten, die auf Daträgern oder an anderen Speicherorten gespeichert sind (lit a und b), die zuvor nach § 109 Z 1 lit a StPO sichergestellt wurden (§ 109 Z 2a lit c StPO).

Die Beschlagnahme von Datenträgern und Daten ist von der Staatsanwaltschaft aufgrund einer gerichtlichen Bewilligung anzuordnen und von der Kriminalpolizei durchzuführen (§ 115f Abs 2 StPO). Sowohl für die Anordnung als auch für die Bewilligung hat der Gesetzgeber eine erhöhte Begründungspflicht vorgesehen. Diese haben neben formalen Angaben (Name des Beschuldigten, Umschreibung der Tat etc) auch jene Tatsachen zu enthalten, aus denen sich ergibt, dass die Ermittlungsmaßnahme zur Aufklärung der Tat erforderlich und verhältnismäßig ist. Weiters sind die zu beschlagnahmenden Datenkategorien und ‑inhalte sowie der relevante Zeitraum zu umschreiben (§ 115f Abs 3 StPO), um den Datenanfall möglichst einzuschränken.

Nur bei Gefahr im Verzug darf die Kriminalpolizei Datenträger und Daten - ohne vorherige richterliche Bewilligung - von sich aus sicherstellen (§ 115f Abs 4 StPO). Dies ist lediglich in hinreichend begründeten Eilfällen und unter Beachtung der taxaktiven Aufzählung in § 115f Abs 4 StPO zulässig. In diesem Zusammenhang ist aber zwischen der Sicherstellung des Datenträgers und der Einsicht in die Daten zu unterscheiden. Es sind durchaus Fälle denkbar, die zwar die phyS. 231sische Sicherstellung, nicht aber die (sofortige) Einsicht in die Daten rechtfertigen. Stellt die Kriminalpolizei Datenträger und Daten von sich aus sicher, so hat sie die StA unverzüglich, längestens jedoch binnen 14 Tagen zu verständigen (§ 115g Abs 3 StPO). Ist die StA - nach Berichterstattung der Kriminalpolizei - der Ansicht, dass die Voraussetzungen für eine Beschlagnahme von Datenträgern und Daten (§ 115f StPO) vorliegen, hat sie eine gerichtliche Bewilligung zu beantragen. Hält sie diese nicht für gegeben, hat sie die Aufhebung der Sicherstellung anzuordnen. Sofern das Gericht nach Überprüfung der Ansicht ist, dass die Beschlagnahme mangels Vorliegen der Voraussetzungen (§ 115f Abs 1 bis Abs 3 StPO) nicht möglich sei, haben StA und Kriminalpolizei „mit den ihnen zu Gebote stehenden rechtlichen Mitteln den der gerichtlichen Entscheidung entsprechenden Rechtszustand herzustellen und alle durch diese Ermittlungsmaßnahme gewonnenen Ergebnisse zu vernichten“ (§ 115g Abs 3 zweiter Satz StPO). Diese Vernichtungsanordnung greift hingegen nicht, wenn bei gleichzeitiger Bewilligung (bloß) festgestellt wird, dass keine Gefahr im Verzug gegeben war.

Liegen bestimmte Tatsachen oder Umstände vor, die einen erneuten Zugriff auf die Originalsicherung oder die Arbeitskopie erforderlich machen, und liegen die Voraussetzungen des § 115f Abs 1 StPO vor, so kann auf diese - nach neuerlicher gerichtlich bewilligter Anordnung - zugegriffen werden (§ 115f Abs 5 StPO). Die Beschlagnahme des Datenträgers ist nicht mehr zulässig, wenn digitale Kopien zum Zweck der Auswertung hergestellt werden können (§ 115f Abs 6 StPO). Das bedeutet, dass der Datenträger spätestens nach Erstellung einer Originalsicherung und einer Arbeitskopie wieder an den Betroffenen auzufolgen ist. Zulässig ist auch die sofortige Einsichtnahme in den Datenträger (§ 115f Abs 7 StPO). Das ist vor allem dann sinnvoll, wenn Betroffene mit den Ermittlungsbehörden kooperieren und dadurch ein reduzierter Datensatz beschlagnahmt werden kann. Nach erfolgter Beschlagnahme ist dem Betroffenen sogleich oder binnen 24 Stunden eine Bestätigung auszufolgen (§ 115f Abs 8 StPO). Erhebt ein von einer Beschlagnahme Betroffener Beschwerde (§ 87 StPO) und gibt das Rechtsmittelgericht dieser mit der Begründung Folge, dass kein Anfangsverdacht vorgelegen habe, so sind sämtliche Ergebnisse dieser Ermittlungsmaßnahme zu vernichten (§ 115f Abs 9 iVm § 89 Abs 4 StPO).

Für die Beschlagnahme von Datenträgern und Daten genügen bestimmte Anhaltspunkte, auf Grund derer angenommen werden kann, dass eine Straftat begangen worden ist (§ 1 Abs 3 StPO). Auf eine bestimmte Schwere der Straftat kommt es nicht an. Auch (nicht verdächtige) Dritte können von dieser Ermittlungsmaßnahme betroffen sein. Voraussetzung ist lediglich, dass die Beschlagnahme aus S. 232Beweisgründen erforderlich erscheint und dadurch Informationen ermittelt werden können, die zur Aufklärung einer Straftat wesentlich sind (§ 115f Abs 1 StPO).

1.2.3.2. Mitwirkungspflicht (§ 115g StPO) und Aufbereitung von Daten (§ 115h StPO)

§ 115g Abs 1 StPO (als lex specialis zu § 111 Abs 1 StPO) sieht eine Editionspflicht des Betroffenen vor. Demnach ist jede Person verpflichtet (§ 93 Abs 2 StPO), Zugang zu Datenträgern und Daten, die beschlagnahmt werden sollen, zu gewähren und auf Verlangen Daten in einem allgemein gebräuchlichen Dateiformat auszufolgen oder eine Kopie herstellen zu lassen. Überdies hat sie die Herstellung einer Originalsicherung (§ 109 Z 2c StPO) der auf den Datenträgern oder an anderen Speicherorten gespeicherten Daten zu dulden. Diese Bestimmung umfasst grds auch eine Pflicht zur Herausgabe von Passwörtern, es sei denn, der Betroffene ist Beschuldigter oder Zeuge, der zur Verschwiegenheit verpflichtet und von der Aussagepflicht befreit ist. Die Strafverfolgungsbehörden sind aber dazu berechtigt, sämtliche Sicherheitsmechanismen (etwa durch spezielle Software) zu umgehen.

Nach der physischen Beschlagnahme des Datenträgers beginnt die Aufbereitung von Daten (§ 115h StPO). Zunächst ist eine Originalsicherung - eine Kopie des gesamten Datensatzes auf dem Datenträger (§ 109 Z 2c StPO) - herzustellen; anschließend wird eine Arbeitskopie (§ 109 Z 2d StPO) erstellt, anhand derer die Daten im bewilligten Umfang aufbereitet werden. Bei der Beschlagnahme extern gespeicherter Daten sind eine gesonderte Originalsicherung und eine ArbeitsS. 233kopie zu erstellen. Die Aufbereitung erfolgt entweder durch die Kriminalpolizei oder durch die StA. In bestimmten Fällen kann die Aufbereitung aber auch durch das Gericht erfolgen (§ 101 Abs 2 zweiter Satz StPO). Konkret umfasst die Aufbereitung von Daten die Reduzierung des Datensatzes auf die bewilligten Datenkategorien und Zeiträume (§ 109 Z 2b StPO). Die Wiederherstellung von gelöschten Daten muss von der Anordnung umfasst sein. In diesem Fall sind sämtliche wiederhergestellten Daten - ohne zeitliche Beschränkung - in das Ergebnis der Datenaufbereitung aufzunehmen. Dieses soll in einem allgemein gebräuchlichen Dateiformat hergestellt werden, um eine anschließende Weiterverarbeitung der Daten zu ermöglichen.

Daran anschließend ist ein Aufbereitungsbericht zu verfassen, in dem zumindest der Ablauf der Datenaufbereitung, der Umstand einer allfällig erfolgten Wiederherstellung von Daten sowie die Kriterien für die dabei vorgenommene Einschränkung schriftlich festzuhalten sind. Dieselben Anforderungen gelten auch dann, wenn ein Vorgehen nach § 101 Abs 2 zweiter Satz oder § 103 Abs 2 StPO geboten ist.

Die StA ist verpflichtet, das Ergebnis der Datenaufbereitung (§ 109 Z 2e StPO) im Zuge der Anklageeinbringung an das Gericht weiterzuleiten (§ 115h Abs 2 erster Satz StPO). Nach rechtskräftigem Abschluss des Strafverfahrens hat das Gericht diese Ergebnisse zu löschen und auch die Vernichtung der Originalsicherung sowie der Arbeitskopie anzuordnen. Dies gilt nur dann nicht, wenn sie in einem anderen, bereits anhängigen Strafverfahren als Beweismittel dienen (§ 115h Abs 2 zweiter Satz StPO). Im Falle einer Einstellung des Verfahrens gilt dasselbe sinngemäß für die StA (§ 115h Abs 2 letzter Satz StPO).

1.2.3.3. Auswertung von Daten (§ 115i StPO)

Sobald das Ergebnis der Datenaufbereitung (§ 109 Z 2e StPO) vorliegt, beginnt die inhaltliche Auswertung (§ 115i Abs 1 StPO). In dieser Phase haben die Strafverfolgungsbehörden den auf Datenkategorien und Zeiträume reduzierten DatenS. 234satz auszuwerten. Dieser ist nach Tatsachen zu durchsuchen, die für das Verfahren von Bedeutung sind und als Beweismittel verwendet werden dürfen (§ 115j Abs 1, §§ 144, 157 Abs 2 StPO). Dies bedeutet im Umkehrschluss, dass unerhebliche Tatsachen weder ermittelt noch zu den Akten genommen oder dort belassen werden dürfen. Der vom VfGH geforderte und vom Gesetzgeber beabsichtigte Persönlichkeitsschutz ergibt sich aus § 115i Abs 4 StPO. Demnach sind die Persönlichkeitsrechte der Betroffenen soweit wie möglich zu wahren und die Auswertung auf ein unvermeidbares Maß zu beschränken.

Im Zuge der Auswertung können die Ermittlungsbehörden auf Suchparameter zurückgreifen (§ 115i Abs 1 StPO). Auch wenn die Verwendung nicht verpflichtend ist, sollte dennoch ein regelmäßiger Einsatz angedacht werden. Insbesondere bei großen Datenbeständen führt die Verwendung solcher Suchparameter häufig zu einer Effizienzsteigerung. Wird gezielt nach Begriffen gesucht, so sind diese und die dadurch erzielten Suchtreffer im Akt zu dokumentieren. Beschuldigte und Opfer haben zudem die Möglichkeit, (weitere) Suchparameter - im Form eines Beweisantrags (§ 55 StPO) - zu definieren (§ 115i Abs 2 StPO).

(Unmittelbar betroffene) Beschuldigte und Opfer dürfen - sofern ihre Datenträger beschlagnahmt wurden - Einsicht in das Ergebnis der Aufbereitung (§ 109 Z 2e StPO) nehmen (§ 115i Abs 2 StPO). Diese Einsicht erfolgt nicht elektronisch, sondern in einer „geeigneten Räumlichkeit“. Kopien dürfen dabei nicht angefertigt werden. Sonstige (Mit-)Beschuldigte oder Opfer, deren Datenträger nicht betroffen sind, haben nur die Möglichkeit, die zum Akt genommenen Auswertungsergebnisse einzusehen (§§ 51 ff StPO). Die von der Auswertung der Daten betroffenen Personen dürfen das Ergebnis der Auswertung von Daten insoweit einsehen, als ihre Daten betroffen sind. Die StA hat einen Betroffenen darüber zu informieren, sofern dessen Identität bekannt oder ohne besonderen Verfahrensaufwand feststellbar ist (§ 115i Abs 4 StPO). Schließlich sind Daten aus dem Ergebnis der Datenaufbereitung von Amts wegen oder auf Antrag des Beschuldigten oder einer betroffenen Person zu löschen, wenn sie für ein Strafverfahren nicht von Bedeutung sein können oder als Beweismittel nicht verwendet werden dürfen (§ 115i Abs 5 StPO).

Angelehnt an die Beweisverwendungsverbote in § 140 StPO dürfen Ergebnisse der Auswertung nicht als Beweismittel verwendet werden, wenn die BeschlagS. 235nahme nicht rechtmäßig angeordnet bzw bewilligt worden ist (§ 115j Abs 1 StPO). Ein Zuwiderhandeln ist folglich mit Nichtigkeitssanktion bedroht.

Sollten sich im Rahmen der Auswertung der Daten Hinweise ergeben, die auf die Begehung einer anderen strafbaren Handlung hindeuten (sog Zufallsfunde), die nicht Anlass für die Beschlagnahme von Datenträgern und Daten gegeben hat, ist - sofern die Verwendung als Beweismittel zulässig ist (§ 115j Abs 1, §§ 144, 157 Abs 2 StPO) - ein gesonderter Akt anzulegen (§ 115j Abs 2 StPO).

Sowohl die Originalsicherung als auch die Arbeitskopie sind bis zum rechtskräftigen Abschluss des Strafverfahrens auf geeignete Art und Weise zu verwahren (§ 115k StPO). Lassen konkrete Tatsachen darauf schließen, dass ein erneuter Zugriff auf Originalsicherung oder Arbeitskopie erforderlich ist und sind die gesetzlichen Voraussetzungen erfüllt (§ 115f Abs 1 StPO), ist eine neuerliche Anordnung und Bewilligung zulässig (§ 115f Abs 5 StPO).

1.2.3.4. Rechtsschutz (§ 115l StPO)

Flankierend zu den vorgenannten Bestimmungen soll der Rechtsschutzbeauftragte (RSB) der Justiz eine zusätzliche Kontrollfunktion wahrnehmen (§ 115l StPO). Der RSB hat die Anordnungen, Genehmigungen, Bewilligungen sowie die Durchführung einer Beschlagnahme von Datenträgern und Daten kritisch zu prüfen und zu kontrollieren (§ 115l Abs 1 erster Satz StPO). Wird ein Antrag nach § 115f StPO gestellt, so hat die StA den RSB ehestmöglich von diesem Antrag und der dazu ergangenen Bewilligung zu verständigen (§ 115l Abs 1 zweiter Satz StPO). Eine besondere Verpflichtung besteht darüber hinaus, sobald sich die Beschlagnahme gegen Personen richtet, die gem § 155 Abs 1 Z 1 StPO nicht als Zeugen vernommen werden dürfen oder ein Aussageverweigerungsrecht nach § 157 Abs 1 S. 236Z 2 bis 4 StPO haben (§ 115l Abs 1 dritter Satz StPO). In diesen Fällen hat die StA dem RSB zugleich mit dem Antrag auf gerichtliche Bewilligung sämtliche relevanten Aktenstücke zur Prüfung zu übermitteln und um seine Ermächtigung zur Antragstellung zu ersuchen. Eine solche Ermächtigung darf nur erteilt werden, wenn besonders schwerwiegende Gründe den Eingriff als verhältnismäßig erscheinen lassen, wobei § 144 Abs 1 und Abs 3 StPO sinngemäß gelten (§ 115l Abs 1 letzter Satz StPO).

Um seine Aufgaben erfüllen zu können, ist dem RSB jederzeit Einsicht in alle benötigten Akten, Unterlagen und Daten zu gewähren, die der Dokumentation der Maßnahme dienen. Auf sein Verlangen sind ihm Kopien oder Ausfertigungen einzelner Aktenstücke unentgeltlich auszufolgen und alle erforderlichen Auskünfte zu erteilen. Amtsverschwiegenheit darf ihm gegenüber idZ nicht entgegengehalten werden (§ 115l Abs 2 StPO).

Zudem muss dem RSB jederzeit Gelegenheit gegeben werden, die Aufbereitung von Daten (§ 115h StPO) sowie die Auswertung von Daten (§ 115i StPO) zu überwachen. Er darf sämtliche Räumlichkeiten betreten, in denen Originalsicherungen, Arbeitskopien, Datenträger und die Ergebnisse der Datenaufbereitung aufbewahrt werden oder die eigentliche Aufbereitung erfolgt. Dabei ist er insb angehalten, sicherzustellen, dass die Anordnung und die gerichtliche Bewilligung bei der Aufbereitung und Auswertung nicht überschritten werden. Die StA kann beim RSB bei Bedarf anregen, entsprechende Prüfungen vorzunehmen; ein Anregungsrecht kommt auch Beschuldigten, Opfern und sonst von der Ermittlungsmaßnahme Betroffenen zu (§ 55 StPO). Der RSB hat bekanntzugeben, ob er einer solchen Anregung nachkommt, und diese Entscheidung zu begründen (§ 115l Abs 3 StPO).

Gegen die gerichtliche Bewilligung der Beschlagnahme von Datenträgern und Daten steht dem RSB - ebenso wie dem Beschuldigten und anderen Betroffenen - ein Beschwerderecht (§ 87 StPO) zu, ebenso besteht die Möglichkeit, gegen die Anordnung und Durchführung der Maßnahme Einspruch (§ 106 StPO) zu erheben (§ 115l Abs 4 StPO). Dieses Recht steht dem RSB allerdings nur bis zum Ablauf der Rechtsmittelfrist des Beschuldigten zu. Darüber hinaus ist der RSB berechtigt, die Vernichtung von Daten (§ 115i Abs 5 StPO) zu beantragen. Beabsichtigt die StA, einem solchen Antrag nicht zu entsprechen, so hat sie unverzüglich eine gerichtliche Entscheidung darüber zu erwirken (§ 115l Abs 5 StPO).

Schließlich ist nach Abschluss der Ermittlungsmaßnahme dem RSB Gelegenheit zu geben, sowohl den Aufbereitungsbericht als auch das Ergebnis der DatenaufS. 237bereitung (§ 109 Z 2e StPO) einzusehen. Nach Beendigung des Strafverfahrens muss er sich zudem davon überzeugen können, dass Originalsicherung, Arbeitskopie und das Ergebnis der Datenaufbereitung ordnungsgemäß vernichtet wurden (§ 115l Abs 6 StPO).

1.2.3.5. Übergangsregelung (§ 516 Abs 13 StPO) und Fazit

Zeitgleich mit der Novellierung dieser Bestimmungen hat der Gesetzgeber eine Übergangsregelung geschaffen (§ 516 Abs 13 StPO). Demnach sind § 111 Abs 2 und §§ 115f bis 115l StPO idF BGBl I 2024/157 in jenen Strafverfahren anzuwenden, die ab dem 1.1.2025 beginnen (§ 1 Abs 2 StPO). Dies gilt ebenso für Sicherstellungen nach § 111 Abs 2 StPO sowie für Beschlagnahmen von Datenträgern und Daten (§ 109 Z 2a StPO), die ab dem 1.1.2025 angeordnet werden. § 115i, § 115k und § 115l StPO gelten bereits für laufende Verfahren sinngemäß.

Der Erlass des BMJ vom 11.11.2024 zur alten Rechtslage und der darin enthaltene Leitfaden sind seit Inkrafttreten der neuen Rechtslage nur noch eingeschränkt relevant. Der Gesetzgeber zielte zum damaligen Zeitpunkt darauf ab, die verfassungs- sowie unionskonforme Rechtsanwendung bei der Sicherstellung und Auswertung von Datenträgern zu gewährleisten. Unter Berücksichtigung des VfGH-Erkenntnisses sowie des EuGH-Urteils sollte mit dem Erlass bereits vor Inkrafttreten der Neuregelung am 1.1.2025 eine verfassungs- und insb unionsrechtskonforme Rechtsanwendung gewährleistet werden. Das Urteil des EuGH war für Gerichte der Mitgliedstaaten unmittelbar bindend. Die darin enthaltenen Aspekte sind lediglich für jene Personen relevant, deren Datenträger zwar sichergestellt, aber noch nicht ausgewertet wurden. Sofern Daten im Zuge der Sicherstellung nicht explizit angeführt wurden, ist zur Auswertung von Daten eine separate Anordnung der StA erforderlich. Soweit sich in einem laufenden Verfahren Gründe für eine weitere bzw erneute Auswertung von Daten ergeben, ist die neuerliche bzw erweiterte Auswertung erneut anzuordnen. Sollen durch den Zugriff potenziell sämtliche Daten eines Datenträgers gesichert werden, ist eine richterliche Bewilligung einzuholen.

Zusammenfassend ist festzuhalten, dass der Gesetzgeber im Zuge der Neuregelung der Sicherstellungs- und Beschlagnahmebestimmungen die Ausführungen des VfGH zum Anlass genommen hat, zwischen herkömmlichen Gegenständen und Datenträgern zu differenzieren. Seit 1.1.2025 bedarf es zur inhaltlichen Auswertung eines Datenträgers einer gerichtlichen Bewilligung der staatsanwaltschaftlichen Anordnung (§ 115f Abs 2 StPO). Der Gesetzgeber hat zudem klarS. 238gestellt, in welche Schritte die Beschlagnahme von Datenträgern und Daten gegliedert ist. Dadurch hat er für die bislang vermisste Transparenz gesorgt. Zwischen kommunikationsfähigen (Smartphones, Laptops, Tablets, PCs) und nicht kommunikationsfähigen (CDs, analoge Festplatten, USB-Sticks) Datenträgern wird allerdings weiterhin nicht differenziert. Wie die Praxis diese Neuregelung umsetzen wird und ob die entsprechenden Bestimmungen einer (erneuten) Prüfung des VfGH standhalten, bleibt abzuwarten.

1.2.4. Beschlagnahme (§ 109 Z 2, § 115 StPO)

Gemäß § 109 Z 2 StPO ist die Beschlagnahme eine gerichtliche Entscheidung, die entweder den Zugriff der Strafverfolgungsbehörden auf Gegenstände oder Vermögenswerte ermöglicht, eine bereits bestehende Sicherstellung bestätigt und somit deren Fortführung und langfristige Absicherung gewährleistet oder die Sicherstellung aufhebt. Sie kann sich auch auf öffentlich verbücherte Rechte beziehen (§ 109 Z 2 lit b StPO). Das Gericht entscheidet über eine Beschlagnahme auf Antrag der StA oder einer von der Sicherstellung in ihren Rechten betroffenen Person (§ 115 Abs 2 iVm § 48 Abs 1 Z 4 StPO) mit Beschluss (§ 86 StPO).

Primär dient die Beschlagnahme der Beweissicherung und der Sicherung privatrechtlicher Ansprüche. Aufgrund des engen Zusammenhangs zwischen der Beschlagnahme und der Sicherstellung sind die betroffenen Gegenstände bzw die Vermögenswerte idR identisch. Wenn die Beschlagnahme der Fortführung einer bereits vorgenommenen Sicherstellung dient, müssen die betreffenden Objekte notwendigerweise dieselben sein. Bei diesen Objekten handelt es sich idR um körperliche Gegenstände. Die Beschlagnahme von Datenträgern und Daten ist - wie oben dargestellt - in den §§ 115f ff StPO geregelt.

1.2.5. Sonderfall: Sicherung von Vermögenswerten

Im Zusammenhang mit der Sicherung von Krypto-Assets ergeben sich in der Praxis regelmäßig Herausforderungen: Um Fernzugriffe hintanzuhalten und Transaktionen durch Dritte, die über die notwendigen Schlüssel verfügen, zu verhindern, wurden Krypto-Assets regelmäßig durch die Übertragung auf behördeneigene S. 239Wallets, die eigens beim Cybercrime Competence Center (C4) des BK eingerichtet worden waren, gesichert. Zwei korrespondierende Erlässe und Leitfäden des BMJ und BMI schlugen diese Vorgehensweise gar explizit vor. Begründet wurde dies damit, dass § 111 Abs 2 StPO für ein solches Vorgehen die Rechtsgrundlage böte, weil nicht nur jene Datensätze, die auf einem IT-Gerät gespeichert seien, sondern auch die über diese Geräte verfügbaren Datenbestände von der Bestimmung erfasst seien.

Der Wortlaut des § 111 Abs 2 StPO idF BGBl I 2004/19 deckte diese Vorgehensweise allerdings nicht: Er ermöglichte durchaus den Einstieg in externe Medien und eröffnete deren anschließende Auslesung und Auswertung; er bildete allerdings nicht die Grundlage für die Verknüpfung zwischen dem Einstieg in das externe Medium und die anschließende Sicherung durch Übertragung auf Behördenkonten. Der OGH vertrat die Ansicht, dass Vermögenswerte - konkret handelte es sich um Fiatgeld -, die keine Gegenstände sind, nur durch Drittverbot gesichert werden konnten, es allerdings nicht vorgesehen war, dass sich unkörperliche Vermögenswerte in gerichtlicher Verwahrung befänden. Diese Rsp wurde bereits durch andere Gerichte auf Krypto-Assets übertragen. Das OLG Innsbruck etwa vertrat die Ansicht, dass in Ansehung dieser Rsp eine Überweisung von Kryptowährungsguthaben auf behördliche Konten unzulässig sei. Diese Rsp stand einer entsprechenden Übertragung somit entgegen.

Auch dieser Thematik hat sich der Gesetzgeber im Zuge des StPRÄG 2024 angenommen. § 109 Z 1 lit a StPO ermöglicht den Strafverfolgungsbehörden neben der Sicherstellung von Gegenständen nunmehr auch die vorläufige Sicherung von Vermögenswerten. Umfasst sind „Vermögenswerte jeder Art, ob körperlich oder unkörperlich, beweglich oder unbeweglich, einschließlich Vermögensrechte und Kryptowerte sowie Urkunden in jeder Form, die ein Recht auf solche Vermögenswerte oder Rechte daran belegen“ (§ 109 Z 1a StPO).

S. 240Dadurch wurde den Strafverfolgungsbehörden eine weitere Maßnahme zur Sicherung von Vermögenswerten eingeräumt. Um auch das Drittverbot weiterhin zu ermöglichen, enthält § 109 Z 1 lit b ebenso wie § 115 StPO konsequenterweise nunmehr ebenfalls den Begriff „Vermögenswerte“.

Für den Transfer zur Sicherung von virtuellen Vermögenswerten wurden explizite Regelungen eingeführt: § 114 Abs 1a StPO lautet: „Sichergestellte Kryptowerte sind auf behördeneigene Infrastruktur der Kriminalpolizei zu transferieren und dort zu verwahren. Soweit dies aus rechtlichen oder tatsächlichen Gründen erforderlich ist, kann die Staatsanwaltschaft anordnen, dass die Verwahrung von Kryptowerten auch nach der Berichterstattung durch die Kriminalpolizei erfolgt.“ Gemäß § 114 Abs 1 StPO ist für die Verwahrung sichergestellter Gegenstände und Vermögenswerte bis zur Berichterstattung über die Sicherstellung gem § 113 Abs 2 StPO die Kriminalpolizei, später die StA zuständig.

Novelliert wurde auch § 367 StPO. Seit 1.1.2025 kann ein sichergestellter oder beschlagnahmter Gegenstand oder Vermögenswert - vor Rechtskraft des Urteils - an das Opfer von Amts wegen oder auf Antrag des Opfers zurückgestellt werden. Voraussetzung ist, dass der Gegenstand oder Vermögenswert nicht im weiteren Verfahren als Beweismittel erforderlich ist (§ 367 Abs 2 Z 1 StPO) oder Umstände (§ 368 StPO) vorliegen, die der Ausfolgung entgegenstehen (§ 367 Abs 2 Z 2 StPO).

1.3. Durchsuchung von Orten und Gegenständen (§§ 119 ff StPO)

Die §§ 119 ff StPO regeln die Voraussetzungen für die Durchsuchung von Orten und Gegenständen. Bevor eine Sicherstellung von Gegenständen oder eine Beschlagnahme von Datenträgern und Daten erfolgt, wird zuvor idR eine Durchsuchung durchgeführt. Die §§ 119 ff StPO ermöglichen es den Strafverfolgungsbehörden, Wohnstätten oder andere Orte zu betreten und zu durchsuchen, um Beweismittel auffinden und sichern zu können. Speziell bei Delikten im Bereich Cybercrime ist häufig eine Durchsuchung von Wohnungen erforderlich, um Datenträger beschlagnahmen zu können, die beweisrelevante Daten enthalten könnten.

Die Durchsuchung kann Orte umfassen, die nicht allgemein zugänglich sind, wie bspw Wohnungen und die darin befindlichen Gegenstände (§ 117 Z 2 StPO). Eine solche Durchsuchung erfordert das Vorhandensein bestimmter Tatsachen, die darauf hindeuten, dass sich entweder eine der Straftat verdächtige Person am entsprechenden Ort verbirgt, oder dass dort Gegenstände bzw Spuren vorhanden S. 241sein könnten, die für die Ermittlungen von Bedeutung und daher sicherzustellen oder auszuwerten sind (§ 119 Abs 1 StPO). Der Verdacht, dass sich beweisrelevante Daten am Ort der Durchsuchung befinden, muss dabei bereits vor der Durchführung der Maßnahme bestehen (Ex-ante-Betrachtung). Dies könnte sich etwa aufgrund von Hinweisen aus einer IP-Adressen-Zuordnung iSv § 134 Z 1b StPO ergeben. Eine Durchsuchung darf jedenfalls nicht dazu dienen, eine Beweislage überhaupt erst zu schaffen. In diesem Zusammenhang sei auch auf die Neuregelung zur Beschlagnahme von Datenträgern und Daten (§§ 115f ff StPO) hingewiesen, die eine genauere Begründung für die Beschlagnahme von Datenträgern verlangt.

Für die Durchsuchung von Orten und Gegenständen muss eine gerichtlich bewilligte Anordnung der StA vorliegen. Bei Gefahr im Verzug ist es jedoch zulässig, dass die Kriminalpolizei die Durchsuchung vorerst eigenständig durchführt, wobei eine sofortige Berichtspflicht an die StA besteht (§ 100 Abs 2 Z 2 StPO). Werden dabei wegen Gefahr im Verzug Datenträger sichergestellt (§ 115f Abs 4 StPO), löst dies die weitere Vorgehensweise nach §§ 115f ff StPO aus.

Ebenso wie die Sicherstellung und Beschlagnahme muss die Durchsuchung aufgrund der massiven Eingriffe in Grundrechte, wie etwa das Hausrecht (Art 9 StGG), das Recht auf Unverletzlichkeit des Eigentums (Art 5 StGG) sowie das Recht auf Achtung des Privat- und Familienlebens (Art 8 EMRK), verhältnismäßig sein.

In diesem Zusammenhang wird darauf hingewiesen, dass es sich bei der Durchsuchung um eine dem Betroffenen ggü offene Maßnahme handelt. Betroffene von einer Durchsuchung sind vor der Durchführung unter Nennung der maßgeblichen Gründe aufzufordern, diese zuzulassen oder das Gesuchte freiwillig herauszugeben (§ 121 Abs 1 StPO). Von dieser Regelung darf nur bei Gefahr im Verzug abgegangen werden. Weitere Rechte der Betroffenen sind etwa das Recht auf persönliche Anwesenheit (§ 121 Abs 2 StPO) sowie das Recht, sogleich oder binnen 24 Stunden eine Bestätigung der Durchsuchung und deren Ergebnis sowie die gerichtlich bewilligte Anordnung der StA zu erhalten. Eine geheime Durchsuchung ist daher rechtswidrig. Aus diesem Grund ist es auch unzulässig, von außen auf Datenträger zuzugreifen. Eine sog Online-Durchsuchung ist nach derzeitiger Rechtslage daher nicht möglich und wäre auch grundrechtlich bedenklich.

S. 2421.4. Verdeckte Ermittlung und Scheingeschäft (§§ 129 ff StPO)

1.4.1. Verdeckte Ermittlung (§ 131 StPO)

Eine verdeckte Ermittlung ist „der Einsatz von kriminalpolizeilichen Organen oder anderen Personen im Auftrag der Kriminalpolizei, die ihre amtliche Stellung oder ihren Auftrag weder offen legen noch erkennen lassen“ müssen (§ 129 Z 2 StPO).

Sämtliche soziale Interaktionen und das Einholen von Informationen über Personen durch Polizeibeamte oder (durch beauftragte) externe Vertrauenspersonen, die im Rahmen eines Strafverfahrens darauf abzielen, Erkenntnisse zu sammeln, dürfen nur dann verdeckt, dh ohne Offenlegung ihrer eigentlichen Intention, stattfinden, wenn diese Maßnahmen unter Einhaltung der Voraussetzungen der §§ 131 und 133 StPO durchgeführt werden. Eine verdeckte Ermittlung ist nur dann zulässig, wenn sie notwendig ist, um eine Straftat aufzuklären (§ 131 Abs 1 StPO). Der verdeckte Ermittler muss unter der Führung und regelmäßigen Überwachung der Kriminalpolizei stehen (§ 131 Abs 3 StPO). Formal gesehen erfordert eine verdeckte Ermittlung nach § 131 Abs 1 StPO keine Anordnung durch die StA; die Kriminalpolizei ist befugt, diese eigenständig durchzuführen.

An systematisch angelegte, langfristig ausgeführte verdeckte Ermittlungen werden strengere Anforderungen gestellt (§ 131 Abs 2 StPO). Diese Art der Ermittlung darf nur durchgeführt werden, wenn sie zur Aufklärung einer vorsätzlich begangenen Straftat dient, die mit einer Freiheitsstrafe von mehr als einem Jahr bedroht ist, oder wenn es darum geht, eine geplante Straftat innerhalb einer kriminellen oder terroristischen Vereinigung oder kriminellen Organisation (§§ 278-278b StGB) zu verhindern, deren Aufklärung andernfalls erheblich erschwert wäre. Derartige Ermittlungen erfordern eine ausdrückliche Anordnung durch die StA (§ 133 Abs 1 StPO).

Ein typisches Bsp für eine solche systematische, über längere Zeit angelegte verdeckte Ermittlung ist die Untersuchung gegen eine kriminelle Gruppierung, bei der planmäßig und gezielt über mehrere Wochen hinweg und basierend auf mehreren Kontakten ermittelt wird. Besonders im Bereich der Cyberkriminalität, wo es oftmals nicht nur um die Aufklärung einzelner Straftaten geht, kommen solche qualifizierten verdeckten Ermittlungen gem § 131 Abs 2 StPO häufig zur Anwendung.

Verdeckte Ermittlungen können auch von Personen durchgeführt werden, die zwar keine Kriminalbeamte sind, jedoch im Auftrag der Polizei agieren; in diesem Fall spricht man von sog Vertrauenspersonen. Im IT-Sektor könnten Vertrauenspersonen eingesetzt werden, wenn die Polizei Personen nutzt, die Zugang zu geschlossenen Foren besitzen, oder wenn eine Person, die in sozialen Medien mit einer Zielperson befreundet ist, beauftragt wird, Kontakt aufzunehmen und Informationen zu sammeln. Die verdeckte Ermittlung ist technologieneutral formuliert und die Vorgehensweise nicht näher bestimmt, weshalb auch über das Internet verdeckt ermittelt werden darf. Sofern die eingesetzten Beamten oder Vertrauenspersonen lediglich beobachten, nicht aber verbal oder nonverbal in Kontakt treten, handelt es sich uU um eine Observation (heimliche Verhaltensüberwachung einer Person) iSd § 129 Z 1 und § 130 StPO, nicht aber um eine verdeckte Ermittlung.

1.4.2. Scheingeschäft (§ 132 StPO)

Unter einem Scheingeschäft ist „der Versuch oder die scheinbare Ausführung von Straftaten [zu verstehen], soweit diese im Erwerben, Ansichbringen, Besitzen, Ein-, Aus- oder Durchführen von Gegenständen oder Vermögenswerten bestehen, die entfremdet wurden, aus einem Verbrechen herrühren oder der Begehung eines solchen gewidmet sind oder deren Besitz absolut verboten ist“ (§ 129 Z 3 StPO).

Die Durchführung von Scheingeschäften ist gerechtfertigt, wenn sie der Aufklärung eines Verbrechens iSd § 17 Abs 1 StGB dient oder zur Sicherstellung von Gegenständen oder Vermögenswerten erforderlich ist, die aus einem Verbrechen stammen oder von einer Konfiskation nach § 19a StGB, einem Verfall nach § 20 StGB, einem erweiterten Verfall nach § 20b Abs 1 StGB oder von einer Einziehung nach § 26 StGB betroffen sind, und diese Maßnahmen andernfalls erheblich erschwert wären. Ein Scheingeschäft, das speziell zur Sicherstellung von Suchtgift oder Falschgeld durchgeführt wird, kann die Kriminalpolizei eigenständig S. 244durchführen. Für andere Fälle ist jedoch eine Anordnung durch die StA erforderlich (§ 133 Abs 1 StPO).

Im Kontext der Bekämpfung von Internetkriminalität kommen etwa Online-Transaktionen zum Kauf von (illegalen) Waren oder Dienstleistungen - etwa im Darknet feilgebotenes bildliches sexualbezogenes Kindesmissbrauchsmaterial, Suchtgift oder Fälschungen von Urkunden - durch die Strafverfolgungsbehörden als Scheingeschäfte in Frage.

1.5. Beschlagnahme von Briefen, Auskunft über Stamm- und Zugangsdaten, Auskunft über Daten einer Nachrichtenübermittlung, Lokalisierung einer technischen Einrichtung, Anlassdatenspeicherung und Überwachung von Nachrichten (§§ 134, 135 StPO)

Im Rahmen der strafprozessualen Ermittlungen findet sich in § 135 StPO eine zentrale Vorschrift, die die Beschlagnahme von Briefen, Auskunft über Stamm- und Zugangsdaten, Auskunft über Daten einer Nachrichtenübermittlung, Lokalisierung einer technischen Einrichtung, Anlassdatenspeicherung und Überwachung von Nachrichten ermöglicht. Der Schwerpunkt der folgenden Ausführungen wird auf jene Aspekte gelegt, die für den Bereich Cyberkriminalität besonders relevant erscheinen.

1.5.1. Beschlagnahme von Briefen (§ 134 Z 1, § 135 Abs 1 StPO)

Von der Möglichkeit einer Beschlagnahme iSd § 135 Abs 1 StPO sind verschiedene physische Gegenstände, wie Briefe, Telegramme, Postkarten und auch Pakete - unter bestimmten materiellen Voraussetzungen - umfasst, wobei vor allem Letzteres für Ermittlungen der Internetkriminalität relevant ist. Insbesondere iZm dem Online-Handel und den dabei begangenen Vermögensdelikten - man denke etwa an betrügerisch herausgelockte hohe Zahlungen für minderwertige Waren - hat die Beschlagnahme von Paketen an Bedeutung gewonnen. Weil sich nunmehr auch der Suchtgifthandel zu einem beachtlichen Teil in den digitalen Bereich verlagert hat und Suchtgift über Online-Portale bestellt und anschließend versendet wird, ist die Beschlagnahme für die Ermittlungen von hoher Relevanz. Diese Maßnahme dient der Aufklärung strafbarer Handlungen und setzt grds eine gerichtlich bewilligte Anordnung der StA voraus (§ 137 Abs 1 letzter Satz StPO).

S. 245Seit dem StRÄG 2018 wurde die Regelung dahingehend liberalisiert, dass sich der Beschuldigte nunmehr weder in Haft befinden noch seine Vorführung oder Festnahme angeordnet worden sein muss. Diese Änderung trägt dem erklärten Ziel Rechnung, insb verbotene Online-Bestellungen (zB Waffen oder Suchtmittel) effektiver abfangen zu können.

1.5.2. Auskunft über Stamm- und Zugangsdaten (§ 134 Z 1a und 1b, § 135 Abs 1a StPO)

Neben der Sicherstellung und Beschlagnahme kommt die Ausforschung der Person des Täters im Wege einer Auskunft über Stamm- und Zugangsdaten in Betracht. Da die Täter gerade im Bereich Cybercrime häufig aus dem Ausland agieren, sind als Vorfragen die inländische Gerichtsbarkeit und die Zuständigkeit zu prüfen. Voraussetzung für die inländische Gerichtsbarkeit ist ein Inlandsbezug der Tat, der vor allem dann vorliegt, wenn die Straftat in Österreich gesetzt wurde oder der strafrechtliche Erfolg in Österreich eingetreten ist bzw hätte eintreten sollen (§ 62 iVm § 67 Abs 2 StGB). Bei bestimmten Delikten ist es zudem ausreichend, wenn der Täter bzw das Opfer eine natürliche oder juristische österreichische Person ist (vgl § 64 Abs 1 StGB). Zuständig ist jene StA, in deren Sprengel die Straftat ausgeführt wurde oder ausgeführt hätte werden sollen (§ 25 Abs 1 StPO). Kann dieser Ort nicht eruiert werden oder liegt dieser im Ausland, so ist jener Ort maßgeblich, an dem der strafrechtliche Erfolg eingetreten ist bzw hätte eintreten sollen.

Angemerkt sei, dass die Auslegung der Regelungen über die inländische Gerichtsbarkeit bei Taten mit Auslandsbezug regelmäßig neue Fragen aufwirft. So stellt sich insb iZm Cybercrime-Ermittlungen oftmals die Frage, ob inländische Gerichtsbarkeit überhaupt angenommen werden kann, wenn Überweisungen über sog Exchanger abgewickelt werden. Dabei handelt es sich um Kryptowährungsbörsen, die für die Nutzer Krypto-Transaktionen durchführen können und ihren Sitz im Ausland haben. Überweist das Opfer eines Betrugs etwa zunächst eine Summe von einem inländischen Bankkonto auf einen im Ausland ansässigen Exchanger, bei dem es ein Konto eingerichtet hat, und führt dieser anschließend eine schädigende Krypto-Transaktion durch, ist fraglich, wo der effektive Verlust an Vermögenssubstanz eingetreten ist - also wo iSd Rsp der Vermögensabfluss erfolgt ist. Für die inländische Gerichtsbarkeit stellt sich daher die Frage, ob tatsächlich auf die S. 246vermögensverwaltende Filiale, mangels Filialnetzes den Sitz der Bank, bei ausländischen Exchangern auf den Ort der Transaktionsfreigabe über den Exchanger selbst bzw eine App am Smartphone des Nutzers oder - entgegen der derzeitigen Auffassung - nicht doch auf den vermögensrechtlichen Lebensmittelpunkt des Opfers abzustellen ist, sofern es sich um (Krypto-)Transaktionen handelt.

Ungeachtet dieser Vorfragen ist zusammenfassend festzuhalten, dass bei einem Erfolgseintritt in Österreich die Zuständigkeit der österreichischen Strafverfolgungsbehörden besteht. Davon zu unterscheiden ist jedoch die faktische Frage, wie effektiv die österreichischen Strafverfolgungsorgane gegen aus dem Ausland agierende, oftmals hochprofessionelle Täter(gruppen) vorgehen können.

1.5.2.1. Stammdaten (§ 134 Z 1a StPO)

Mit dem BGBl I 2023/182 wurde der bisherige § 76a StPO aufgehoben und in § 135 Abs 1a StPO eingefügt, der nunmehr die Verpflichtung für Anbieter (§ 160 Abs 3 Z 1 TKG 2001), Diensteanbieter (§ 3 Z 2 ECG) sowie Vermittlungsdiensteanbieter (§ 3 Z 3a ECG) enthält, Stammdaten an Strafverfolgungsorgane - Gerichte, StA und die Kriminalpolizei - herauszugeben. Unter Stammdaten werden gem der Legaldefinition in § 160 Abs 3 Z 5 des TKG 2021 alle personenbezogenen Daten erfasst, die notwendig sind, um eine Rechtsbeziehung zwischen Nutzer und Anbieter zu begründen, abzuwickeln, zu ändern oder zu beenden, einschließlich der Daten, die für die Erstellung von Nutzerverzeichnissen benötigt werden. Die taxative Aufzählung umfasst Namen, akademische Grade, Anschriften, Nutzernummern, Kontaktdaten, Vertragsdetails, Bonitätsinformationen und Geburtsdaten. Im Rahmen der Internetkriminalität können die Behörden Auskünfte über Stammdaten erhalten, die zu einer statischen IP-Adresse - also einer ausschließlich und fest zugewiesenen IP-Adresse - gehören. Eine Stammdatenabfrage bei dynamischen IP-Adressen ist unzulässig.

Um Auskünfte über Stammdaten können die Kriminalpolizei, die StA oder das Gericht ersuchen. Diese Anfragen müssen sich auf die Untersuchung eines konkreten Verdachts einer Straftat konzentrieren, ohne dass eine Schwelle bzgl der Schwere der Straftat oder eine Beschränkung auf Vorsatzdelikte vorgesehen ist.

Das Ersuchen hat schriftlich unter Angabe des konkreten Straftatbestands und der betreffenden Person zu erfolgen. Bei Gefahr im Verzug darf das Ersuchen zunächst auch nur mündlich erfolgen (§ 181 Abs 9 letzter Satz TKG 2001).

1.5.2.2. Zugangsdaten (§ 134 Z 1b StPO)

Das Ersuchen kann sich nicht nur auf Stamm-, sondern auch auf Zugangsdaten beziehen, was eine Anordnung der StA voraussetzt. Sie sind in § 160 Abs 3 Z 7 TKG 2021 legaldefiniert. Zu jenen personenbezogenen Daten, die an Strafverfolgungsorgane auf Anordnung der StA herauszugeben sind, zählen etwa: der Name, die Adresse und die Teilnehmerkennung eines Nutzers, dem zu einem spezifischen Zeitpunkt eine öffentliche IP-Adresse zugeordnet war, es sei denn, dass diese Zuordnung eine größere Zahl an Nutzern erfassen würde. Diese Bestimmungen erlauben es Ermittlungsbehörden, einen bestimmten Teilnehmer einer dynamischen IP- oder E-Mail-Adresse zuzuordnen, wodurch eine spezifische Auskunft über Zugangsdaten unter Auswertung von Verkehrsdaten ermöglicht wird.

Die betroffenen Personen haben das Recht, Einsicht in die erhobenen Daten zu erhalten (§ 134 Z 5 StPO) und deren Löschung zu beantragen, sofern diese für das Verfahren irrelevant sind oder nicht als Beweismittel verwendet werden dürfen (§ 139 Abs 4 StPO).

1.5.3. Auskunft über Daten einer Nachrichtenübermittlung (§ 134 Z 2, § 135 Abs 2 StPO)

Im Rahmen einer Auskunft über Daten einer Nachrichtenübermittlung ist es möglich, Auskünfte über Verkehrsdaten (§ 92 Abs 3 Z 4 TKG), Zugangsdaten (§ 92 Abs 3 Z 4a TKG) oder Standortdaten (§ 92 Abs 3 Z 6 TKG) zu erhalten.

Verkehrsdaten beziehen sich auf Informationen, die für das Übermitteln einer Nachricht innerhalb eines Kommunikationsnetzes oder für die Fakturierung dieser Übermittlung genutzt werden (§ 92 Abs 3 Z 4 TKG), zB Rufdaten.

Unter den Begriff der Zugangsdaten iSd TKG 2021 fallen jene Verkehrsdaten, die generiert werden, wenn ein Teilnehmer auf ein öffentliches Kommunikationsnetz zugreift. Zugangsdaten beinhalten somit die spezifischen Informationen, die benötigt werden, um einen Teilnehmer innerhalb einer Internetkommunikation zu identifizieren, wie etwa die IP-Adresse oder E-Mail-Daten.

S. 248Standortdaten sind spezifische Informationen, die im Rahmen eines Kommunikationsnetzes verarbeitet werden und die geografische Position des Endgeräts eines Nutzers eines öffentlichen Kommunikationsdienstes aufzeigen (§ 92 Abs 3 Z 6 TKG). Technisch kann dies durch den Einsatz von sog „stillen SMS“ oder ähnlichen Technologien realisiert werden. Bei diesem Verfahren sendet der Telekommunikationsanbieter eine Nachricht an das Mobiltelefon, die keine sichtbare Benachrichtigung für den Nutzer erzeugt. Diese stille Kommunikation ermöglicht es, eine Verbindung herzustellen und währenddessen Standortdaten zu sammeln, ohne dass der Nutzer davon Kenntnis erlangt.

Die Zulässigkeit zur Auskunft über Daten einer Nachrichtenübermittlung wird in § 135 Abs 2 StPO geregelt. Neben der Einsatzmöglichkeit bei Entführungen ist die Datenauskunft zulässig, wenn der Inhaber der technischen Einrichtung, über die die Daten erhoben werden sollen, seine ausdrückliche Zustimmung zur Überwachung gegeben hat. Außerdem muss die Datenauskunft zur Aufklärung einer Straftat, die mit einer Freiheitsstrafe von mehr als sechs Monaten bedroht ist (§ 135 Abs 2 Z 2 StPO), beitragen können.

Die Regelung für eine Datenauskunft ohne explizite Zustimmung ist in § 135 Abs 2 Z 3 StPO geregelt. Eine solche Auskunft ist zulässig, wenn sie zur Aufklärung einer vorsätzlich begangenen Straftat dient, die mit einer Mindestfreiheitsstrafe von über einem Jahr bedroht ist.

Zusätzlich ermöglicht § 135 Abs 2 Z 4 StPO die Datenerhebung zum Zweck der Lokalisierung eines flüchtigen oder abwesenden Beschuldigten, was die Nutzung von Daten zur Ermittlung des aktuellen Aufenthaltsortes des Beschuldigten umfasst.

Gemäß § 137 Abs 1 StPO muss die StA die Anordnung auf Basis einer gerichtlichen Bewilligung treffen.

1.5.4. Lokalisierung der technischen Einrichtung (§ 134 Z 2a, § 135 Abs 2a StPO)

Die mit dem StPRÄG 2018 eingeführte Lokalisierung einer technischen Einrichtung regelt den Einsatz technischer Mittel zur Erfassung des geografischen Standorts bzw der IMSI (Teilnehmeridentifikationsnummer).

Die Maßnahme erfordert keine Mitwirkung eines Anbieters oder sonstigen Diensteanbieters iSd § 134 Z 6 StPO; sie ermöglicht es den Strafverfolgungsbehörden daher, eigene Mittel zur Standortfeststellung einzusetzen. Den MateS. 249rialien ist zu entnehmen, dass trotz der grds technologieneutralen Ausgestaltung (arg: „technische Mittel“) der Einsatz von IMSI-Catchern gemeint ist.

IMSI-Catcher sind spezielle Geräte, die die Funkzelle eines Netzbetreibers simulieren. Aufgrund ihres starken Signals wählen sich die betroffenen Kommunikationsgeräte primär in diese gefälschten Funkzellen ein, wodurch mitunter die Auslesung der IMSI-Nummer eines Endgerätes ermöglicht wird.

Über IMSI-Catcher findet eine schnelle und präzise Standortfeststellung jener technischen Einrichtungen statt, die der Kommunikation über einen Dienst der Informationsgesellschaft oder einen Telekommunikationsdienst dienen - gemeint sind sämtliche Kommunikationsgeräte.

Die Bestimmung umfasst ausschließlich die Lokalisierung des Endgerätes, eine darüberhinausgehende Inhaltsüberwachung ist - auch, wenn sie technisch möglich wäre - ausschließlich unter den höheren Voraussetzungen einer Nachrichtenüberwachung iSd § 134 Z 3, § 135 Abs 3 StPO zulässig.

Der Einsatz von IMSI-Catchern ist in drei Fällen vorgesehen, nämlich bei einer Geiselnahme (§ 135 Abs 2a iVm Abs 2 Z 1 StPO), zur Förderung der Aufklärung einer Vorsatztat mit über einem Jahr Strafdrohung (§ 135 Abs 2a iVm Abs 2 Z 3), sofern anzunehmen ist, dass dadurch die Standortdaten des Beschuldigten erhoben werden, sowie zur Aufenthaltsermittlung eines flüchtigen oder sonst abwesenden Beschuldigten (§ 135 Abs 2a iVm Abs 2 Z 4 StPO). Letzterem müsste unter Berücksichtigung des Verhältnismäßigkeitsgebots (§ 5 StPO) wohl eine erfolglose Verständigung des Beschuldigten vorangehen.

1.5.5. Anlassdatenspeicherung (§ 134 Z 2b, § 135 Abs 2b StPO)

Unter „Anlassdatenspeicherung“ (§ 134 Z 2b StPO) versteht man die Unterlassung der Löschung bestimmter Datenkategorien, die in § 134 Z 2 StPO angeführt sind. Konkret handelt es sich dabei um Verkehrs-, Zugangs- und Standortdaten, deren Löschung durch die Anlassdatenspeicherung ausgesetzt wird. Diese Regelung dient dem Zweck, eine situative Verpflichtung zu schaffen, bereits angefallene Daten nicht zu löschen, um sie später im Strafverfahren zugänglich machen zu können.

S. 250Diese Vorgehensweise impliziert für Telekommunikations- und Diensteanbieter keine generelle Pflicht zur Datenspeicherung ohne spezifischen Anlass. § 99 Abs 2 TKG erlaubt das Unterbleiben der Speicherung von Verkehrsdaten, es sei denn, sie sind für die Abrechnung notwendig. In solchen Fällen müssen die Betreiber die Daten nach Abschluss des Bezahlvorgangs und einer evtl Einspruchsfrist von drei Monaten löschen oder anonymisieren.

Die Anlassdatenspeicherung, als eine der vier Ausnahmen der Grundregel nach § 99 Abs 2 Z 4 TKG, erlaubt die Speicherung von Daten bei den Telekom- bzw Diensteanbietern, solange ein spezifischer Anlass besteht. Der staatliche Zugriff auf diese vorläufig gespeicherten Daten erfolgt nach den Regeln für die Erhebung von Verkehrsdaten, nämlich iSd § 134 Z 1b und Z 2 StPO.

Die Anlassdatenspeicherung erfordert das Vorliegen eines Anfangsverdachts einer Straftat (§ 1 Abs 3 StPO) und sie muss notwendig sein, um eine bevorstehende Auskunftsanordnung über Daten einer Nachrichtenübermittlung (§ 135 Abs 2 Z 2 bis Z 4 StPO) zu gewährleisten. Diese Regelung dient der Sicherung solcher Daten, die sonst gem den Bestimmungen des TKG gelöscht werden müssten, um sie für eine zukünftige Untersuchung zugänglich zu halten.

Die materielle Schwelle für diese Maßnahme ist relativ niedrig angesetzt, sie ist erreicht, sobald aufgrund bestimmter Hinweise der Verdacht der Begehung einer Straftat besteht. Sollte jedoch die StA die Maßnahme ausschließlich zum Schutz der Maßnahmen nach § 135 Abs 2 StPO anwenden, muss es sich mindestens um eine Vorsatztat handeln, die mit einer Freiheitsstrafe von über sechs Monaten bedroht ist.

In formeller Hinsicht ist eine Anordnung der StA erforderlich (§ 137 Abs 1 StPO). Diese darf nur für jenen bestimmten Zeitraum ergehen, der zur Erreichung des Zwecks der Maßnahme erforderlich erscheint, wobei dieser maximal zwölf Monate umfassen darf. Die Festlegung der Dauer durch die StA muss mit dem Verhältnismäßigkeitsprinzip (§ 5 StPO) in Einklang stehen. Eine erneute Anordnung, die zu einer Verlängerung der Speicherfrist führen würde, ist nicht zulässig (§ 137 Abs 3 Satz 1 StPO).

1.5.6. Überwachung von Nachrichten (§ 134 Z 3, § 135 Abs 3 StPO)

Unter „Überwachung von Nachrichten“ versteht das Gesetz „das Überwachen von Nachrichten und Informationen, die von einer natürlichen Person über ein S. 251Kommunikationsnetz (§ 4 Z 1 TKG) oder einen Dienst der Informationsgesellschaft (§ 1 Abs 1 Z 2 des Notifikationsgesetzes) gesendet, übermittelt oder empfangen werden“.

Diese Maßnahme betrifft die Überwachung von „Kommunikationsinhalten im sozialen Sinn“. Darunter fallen etwa der Gesprächsinhalt eines Telefonats sowie der Inhalt von E-Mails. Der zugrunde liegende Begriff der Kommunikation geht jedoch weit darüber hinaus. Er umfasst jeden Informationsfluss, an dem mindestens eine natürliche Person beteiligt ist und der gem § 134 Z 3 StPO über ein Kommunikationsnetz oder einen Dienst der Informationsgesellschaft stattfindet - also auch „Kommunikation im technischen Sinn“.

Die „Überwachung von Nachrichten“ umfasst somit etwa auch das Aufrufen von Webseiten oder die unverschlüsselte Übertragung von Daten in eine Cloud. Diese Prozesse beinhalten die Übermittlung von Informationen durch den Nutzer auf einen externen Speicherplatz über ein Kommunikationsnetz oder einen entsprechenden Dienst. Nicht unter diese Definition fallen jedoch Datenspeicherungen auf physischen Datenträgern wie USB-Sticks oder externen Festplatten. Solche Daten werden nicht über ein Kommunikationsnetz oder einen Informationsdienst übertragen.

Jegliche Formen der Überwachung, die den Inhalt einer Kommunikation offenlegen, sind zulässig. Nicht erlaubt ist jedoch das (vollständige) Blockieren einer Kommunikation, wie bspw das Zurückhalten einer E-Mail, sodass sie den vorgesehenen Empfänger gar nicht erreicht. Solche Handlungen, die den Versand und die Zustellung von Kommunikationen vollständig unterbinden, sind de lege lata unzulässig.

Nicht von der Überwachung von Nachrichten umfasst und deshalb unzulässig sind solche Maßnahmen, die das verdeckte Infiltrieren von Endgeräten zum Gegenstand haben. End-to-End-verschlüsselte Kommunikation, die eine Verschlüsselung von Daten noch vor ihrer Übertragung bewirkt, führt die Überwachung von Nachrichten insofern ad absurdum, als diese zwar am Kommunikationsweg abgefangen werden, allerdings nicht ausgelesen werden können. Die Strafverfolgungsbehörden sprechen sich daher regelmäßig für Regelungen aus, S. 252die ein Infiltrieren von Endgeräten ermöglichen - etwa durch das Einspielen von Überwachungssoftware -, um die Nachrichten noch vor ihrer Verschlüsselung und insofern vor ihrer Übertragung abfangen zu können.

Die Maßnahme, die genau diese Vorgehensweise vorsah (und vereinfacht „Bundestrojaner“ genannt wurde, § 135a StPO aF), wurde aufgrund ihrer verfassungswidrigen Ausgestaltung noch vor ihrem Inkrafttreten vom VfGH aufgehoben. Die deutsche dStPO sieht das Ferninfiltrieren in §§ 100a und 100b vor, wobei zwischen Online-Durchsuchung einerseits (Infiltrieren von Messenger-Kommunikation) und Quellen-Telekommunikationsüberwachung andererseits (Infiltrieren des gesamten Computersystems und Beobachtung sämtlicher Vorgänge auf dem betroffenen informationstechnischen System) unterschieden wird. Beide Ermittlungsmaßnahmen ermöglichen das Ferninfiltrieren von Endgeräten.

Seit der Aufhebung der Bestimmung und anlässlich des Terroranschlags in Wien im November 2020 hat die Diskussion insb iZm der Aufklärung terroristischer Straftaten neuen Auftrieb erhalten. Es bleibt mit Spannung abzuwarten, ob der Gesetzgeber eine Rechtsgrundlage, die mit den verfassungsrechtlichen Vorgaben auch im Einklang steht, schaffen wird bzw kann. Dabei wird wiederholt ausgeführt, dass eine solche Maßnahme aufgrund der Streuwirkung - der Betroffenheit sämtlicher Kommunikationspartner - und der Eingriffsintensität wohl nur unter überaus strengen Voraussetzungen in die Strafprozessordnung Eingang finden könnte. Dahingehende Bestrebungen, die sog Quellen-Kommunikationsüberwachung im Strafprozess einzuführen - die in Wahrheit ebenso das Infiltrieren eines Systems erfordern würde und damit erneut den Einsatz von „Trojanern“ erforderte - verlangen eine eindringliche Auseinandersetzung des Gesetzgebers mit der Eingriffsintensität, Verhältnismäßigkeitserwägungen und den verfassungsrechtlich gewährleisteten Rechten des Einzelnen einerseits sowie die Einbeziehung von Fachexperten aus den Bereichen Verfassungsrecht, IT-Recht und der IT-Forensik andererseits.

Die herkömmliche Überwachung von Nachrichten iSd § 135 Abs 3 Z 1 StPO ist jedenfalls zulässig, wenn der dringende Verdacht besteht, dass die überwachte Person in eine Entführung oder eine vergleichbare widerrechtliche Bemächtigung einer anderen Person verwickelt ist.

Eine Überwachung von Nachrichten iSd § 135 Abs 3 Z 2 StPO ist außerdem zulässig, wenn erwartet wird, dass sie zur Aufklärung einer vorsätzlich begangenen Straftat beiträgt, die mit einer Freiheitsstrafe von mehr als sechs Monaten beS. 253droht ist, vorausgesetzt, der Inhaber der technischen Einrichtung, von der die Nachrichten stammen oder an die sie gesendet werden sollen, stimmt dieser Überwachung ausdrücklich zu. Die Zustimmung des Inhabers der technischen Einrichtung ist notwendig, um solche Überwachungsmaßnahmen zu legitimieren. Dies setzt voraus, dass eine hinreichende Wahrscheinlichkeit besteht, dass die Überwachung zweckdienliche Ergebnisse liefert.

Der primäre Anwendungsfall für die Überwachung von Nachrichten ohne die Zustimmung des Inhabers der technischen Kommunikationseinrichtung ist in § 135 Abs 3 Z 3 StPO festgelegt. Diese Bestimmung umfasst verschiedene Szenarien für solch einen Eingriff. Im klassischen Fall der Überwachung ist vorausgesetzt, dass die Maßnahme für die Aufklärung einer Straftat, die mit einer Freiheitsstrafe von über einem Jahr bedroht ist, notwendig erscheint. Zusätzlich muss einer der folgenden Umstände vorliegen: Entweder muss der Inhaber der Einrichtung selbst dringend tatverdächtig sein (lit a), oder es müssen konkrete Anhaltspunkte dafür vorhanden sein, dass ein dringend Tatverdächtiger die technische Einrichtung nutzen oder eine Verbindung damit herstellen wird (lit b).

§ 135 Abs 3 Z 4 StPO regelt die Überwachung von Nachrichten speziell für den Zweck, den Aufenthaltsort eines flüchtigen oder abwesenden Beschuldigten zu ermitteln. Gemäß dem Prinzip der Verhältnismäßigkeit von Grundrechtseingriffen, wie in § 5 StPO festgehalten, ist im Falle eines lediglich abwesenden Beschuldigten zunächst der Versuch einer Kontaktaufnahme angezeigt. Sollte dieser Kommunikationsversuch scheitern, kann als nächster Schritt eine intensivere Maßnahme in Form der Nachrichtenüberwachung erwogen werden. Weiterhin ist es erforderlich, dass der Beschuldigte dringend einer vorsätzlich begangenen Straftat verdächtigt wird, die mit einer Freiheitsstrafe von mehr als einem Jahr bedroht ist. Darüber hinaus muss aufgrund spezifischer und greifbarer Tatsachen anzunehmen sein, dass der Aufenthaltsort des Beschuldigten tatsächlich durch die Überwachung der Nachrichten ermittelt werden kann. Es müssen also klare und konkrete Anhaltspunkte vorliegen, die die Nachrichtenüberwachung als angemessenes Mittel zur Lokalisierung des Beschuldigten auszeichnen.

In formeller Hinsicht ist für die Überwachung von Nachrichten eine gerichtlich bewilligte Anordnung der StA notwendig (§ 137 Abs 1 StPO). Während des Hauptverfahrens obliegt die Zuständigkeit für die Bewilligung und Anordnung solcher Maßnahmen jenem Gericht, welches das Hauptverfahren führt (§ 210 Abs 3 StPO).

S. 2542. Datenschutz im Strafverfahren

In Österreich stehen bekanntlich sowohl die EMRK samt 1. Zusatzprotokoll als auch § 1 DSG im Verfassungsrang. § 1 DSG normiert ein Grundrecht auf Datenschutz. Der Gesetzgeber und die Rsp haben sich bemüht, einen Ausgleich zwischen den notwendigen Befugnissen der Strafverfolgungsbehörden und dem Schutz persönlicher Daten zu schaffen. Dies spiegelt sich in einer Reihe von Regelungen und Entscheidungen wider, die darauf abzielen, die Verarbeitung personenbezogener Daten im Rahmen strafrechtlicher Ermittlungen zu reglementieren, ohne dabei die Effektivität der Strafverfolgung zu beeinträchtigen.

Die Interessen des Datenschutzes und der Strafverfolgung stehen nicht zwangsläufig in einem Widerspruch zueinander. Vielmehr können sie sich ergänzen, indem bspw Datenschutzprinzipien zur Genauigkeit und Vollständigkeit der Daten beitragen und somit Fehlschlüsse in Ermittlungen verhindern. Dennoch bleibt die Herausforderung bestehen, eine angemessene Balance zu finden, die den Schutz der individuellen Freiheiten gewährleistet, während sie gleichzeitig effektive Mittel zur Bekämpfung von Kriminalität bereitstellt. Der fortwährende Dialog zwischen Recht, Technologie und Gesellschaft ist entscheidend, um diesen Ausgleich in einer sich ständig wandelnden digitalen Gesellschaft zu erreichen.

Cybercrime und IT-Strafrecht sind mit datenschutzrechtlichen Aspekten eng verzahnt und bieten auch in der Verteidigung im Strafverfahren Instrumente, welche in der Praxis laufend an Bedeutung gewinnen.

2.1. Rechtsgrundlagen

2.1.1. Datenschutzgesetz

Das Grundrecht auf Datenschutz zielt primär darauf ab, staatliche Eingriffe abzuwehren. In diesem Kontext definieren die grundrechtlichen Bestimmungen eine Schutzsphäre und legen fest, unter welchen Bedingungen Eingriffe in diese Sphäre stattfinden dürfen (sog materieller Gesetzesvorbehalt). So sind bspw Eingriffe in das Recht auf Geheimhaltung nur unter den spezifischen Bedingungen des § 1 Abs 2 DSG erlaubt. Auch die Ansprüche auf Auskunft, Richtigstellung und Löschung, die verfassungsmäßig verankerte Nebenrechte darstellen, dürfen nur im Rahmen allgemeiner Eingriffsvorbehalte eingeschränkt werden (§ 1 Abs 4 DSG).

S. 255Darüber hinaus verpflichtet das Grundrecht auf Datenschutz den Gesetzgeber, datenschutzrechtliche Interessen durch proaktive Maßnahmen zu fördern. Hierbei lassen sich drei Arten von staatlichen Gewährleistungspflichten unterscheiden: Schutzpflichten, Organisations- und Verfahrensgarantien sowie institutionelle Garantien.

Laut EGMR ergibt sich aus Art 8 EMRK, dass die Mitgliedstaaten „angemessene Garantien“ bereitstellen müssen, um speziell die Veröffentlichung besonders sensibler Daten zu verhindern, was den Schutz des Geheimhaltungsanspruchs selbst umfasst, etwa durch Maßnahmen zur Datensicherheit. Dazu zählt insb auch die Verpflichtung des Gesetzgebers, grundrechtlich geschützte Rechtspositionen zwischen Privaten zu gewährleisten (sog Drittwirkung des Grundrechts).

Darüber hinaus sind auch Verfahrens- und Organisationsgarantien dem Grundrecht auf Datenschutz inhärent. Deshalb erscheint es plausibel, wenn der VfGH aus § 1 Abs 3 DSG schließt, dass der Gesetzgeber verpflichtet ist, gesetzliche Regelungen zu schaffen, welche die Art und Weise der Geltendmachung und Durchsetzung der Rechte auf Auskunft, Richtigstellung und Löschung spezifizieren, was die verfahrensmäßige Durchsetzbarkeit dieser Rechte betont.

Der Konkretisierungsvorbehalt des § 1 Abs 3 DSG stellt klar, dass, während Abwehrrechte unmittelbar durch die Verfassung geschützt sind, die sog „Leistungsansprüche“, wie die Rechte auf Auskunft und Richtigstellung, nur innerhalb der gesetzlichen Bestimmungen geltend gemacht werden können. Dies bedeutet, dass der einfache Gesetzgeber die Details wie Ort, Art und Fristen dieser Ansprüche festlegt. Im Bereich des Strafprozesses werden diese Organisations- und Verfahrensvorschriften hauptsächlich in den §§ 53, 74 und 75 StPO sowie im dritten Hauptstück des DSG konkretisiert.

2.1.2. Art 8 EMRK

Art 8 EMRK umfasst vier wesentliche Garantiebereiche: die Achtung des Privatlebens, des Familienlebens, der Wohnung und des Briefverkehrs. Das Grundrecht auf Datenschutz ist in der EMRK nicht ausdrücklich verankert, sondern wird aus dem Recht auf Achtung des Privatlebens abgeleitet, weshalb die VerS. 256arbeitung personenbezogener Daten, insb solcher, die das Privatleben betreffen, als potenzieller Eingriff in den Schutzbereich von Art 8 EMRK betrachtet wird.

Bei der Prüfung, ob ein Eingriff in den Schutzbereich von Art 8 EMRK erfolgt ist, kann an dem von einer Behörde konkret vorgenommenen Verarbeitungsvorgang von Daten angeknüpft werden. Dies betrifft bspw Vorgänge wie die Beschlagnahme sowie die darauffolgende Auswertung von Datenträgern. Der EGMR hat allerdings in einigen Fällen bereits die bloße Möglichkeit der Datenverarbeitung - konkret die geheime Überwachung - als Eingriff angesehen. Diese Auffassung stützt sich ua darauf, dass bereits die gesetzliche Möglichkeit geheimer Überwachungsmaßnahmen das Verhalten potenziell Betroffener beeinflussen kann und effektive Individualbeschwerden gem Art 34 EMRK erschwert werden, da die betroffenen Personen von der Überwachung keine Kenntnis haben.

Art 8 EMRK schützt jedoch nicht die Autonomie von personenbezogenen Daten per se, sondern knüpft stärker als § 1 DSG an die Gefährdung des Privatlebens an. Der EGMR betont, dass der Begriff des Privatlebens weit zu interpretieren ist. So kann bspw das Abhören eines Telefongesprächs, das sowohl geschäftliche als auch private Inhalte umfasst, einen Eingriff in Art 8 EMRK darstellen. Auch öffentlich verfügbare Informationen fallen unter den Schutz, sofern sie systematisch gesammelt und behördlich gespeichert werden.

Der grundrechtliche Schutz erstreckt sich auf „personenbezogene Daten“, weshalb natürliche Personen jedenfalls vom persönlichen Schutzbereich umfasst sind. Zudem können in gewissem Rahmen auch juristische Personen Träger von Rechten sein, vorausgesetzt das betreffende Grundrecht ist von seiner Natur her auf juristische Personen anwendbar.

Da das Grundrecht auf Datenschutz in der EMRK nicht ausdrücklich verankert ist, sondern aus dem Recht auf Achtung des Privatlebens abgeleitet wird und juristische Personen kein Privatleben im eigentlichen Sinne führen können, wird ein direkter Schutz juristischer Personen unter diesem Grundrecht allgemein S. 257abgelehnt. Darin liegt einer der Unterschiede zum DSG, in dem auch juristische Personen geschützt werden (arg: „Jedermann“ in § 1 Abs 1 DSG; dies im Gegensatz zur DSGVO, die nur natürliche Personen schützt).

Nach der Rsp des EGMR ist der Schutz personenbezogener Daten von grundlegender Bedeutung für das nach Art 8 EMRK geschützte Recht einer Person auf Achtung ihres Privat- und Familienlebens. Besonders relevant ist der Schutz personenbezogener Daten, die einer automatischen Verarbeitung unterzogen werden, insb wenn diese zu polizeilichen Zwecken genutzt werden. Es ist sicherzustellen, dass diese Daten für die Zwecke, zu denen sie gespeichert werden, erheblich sind und nicht darüber hinausgehen und dass sie insb in einer Form aufbewahrt werden, welche die Identifizierung der Betroffenen nur so lange erlaubt, wie dies für den Zweck, zu dem diese Daten gespeichert werden, erforderlich ist.

2.2. Teilaspekte des Grundrechts auf Datenschutz

2.2.1. Geheimhaltung

Das Grundrecht auf Datenschutz gem § 1 Abs 1 DSG gewährleistet jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit er daran ein schutzwürdiges Interesse, insb im Hinblick auf die Achtung des Privatlebens, hat. Dieser Anspruch umfasst den Schutz vor jeder Form der Verwendung von personenbezogenen Daten, einschließlich unbefugter Weitergabe und Verarbeitung, sowohl in digitaler als auch in manueller Form. Die Regelung umfasst auch den Zugriff von außen, somit auch Ermittlungsmaßnahmen der Strafverfolgungsbehörden, und sieht die Speicherung von Daten als einen separaten Eingriff in das Grundrecht an.

Der Eingriff in das Grundrecht darf jedenfalls nur in der jeweils gelindesten, zum Ziel führenden Art vorgenommen werden. § 1 Abs 2 DSG enthält einen materiellen Gesetzesvorbehalt, wonach die Beschränkung des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig ist. Das Eingreifen einer staatlichen Behörde darf nur auf Grund von Gesetzen, die aus den in Art 8 Abs 2 EMRK genannten Gründen notwendig sind und die ausreichend präzise regeln, unter welchen Voraussetzungen die Ermittlung bzw Verwendung personenbezogener Daten für die Wahrnehmung konkreter S. 258Verwaltungsaufgaben erlaubt ist, erfolgen. Der Gesetzgeber muss eine materiell-spezifische Regelung vorsehen, die Fälle zulässiger Eingriffe in das Grundrecht auf Datenschutz konkretisiert und begrenzt. Für den Fall, dass besonders schutzwürdige Daten verwendet werden sollen, bedarf es wichtiger öffentlicher Interessen und angemessener Garantien für den Schutz der Geheimhaltungsinteressen.

Ein schutzwürdiges Interesse wird vom Gesetzgeber in bestimmten Fällen, wie bei der Nutzung allgemein verfügbarer oder nicht rückführbarer Daten, ausgeschlossen. Die Frage, ob in anderen Fällen ein schutzwürdiges Interesse automatisch besteht oder ob dies jeweils individuell zu prüfen ist, bleibt offen.

2.2.2. Auskunft

Auskunftsrechte bilden einen zentralen Bestandteil des Datenschutzrechts. Sie ermöglichen Betroffenen, Einblick in die Verarbeitung ihrer personenbezogenen Daten zu erhalten, um deren Rechtmäßigkeit überprüfen und ggf Rechtsmittel einlegen zu können. Diese Rechte sind auf verschiedenen Ebenen grundrechtlich verankert und unterscheiden sich in ihrer Reichweite und den Bedingungen ihrer Ausübung.

§ 1 Abs 3 Z 1 DSG räumt Betroffenen ein umfassendes Auskunftsrecht über die Verarbeitung ihrer personenbezogenen Daten ein. Im Strafprozess ist dieser Auskunftsanspruch grds gewährleistet, unterliegt jedoch den Einschränkungen des Eingriffsvorbehalts in § 1 Abs 4 DSG.

Im Rahmen des Strafprozesses, in dem Daten oft ohne Zustimmung des Betroffenen verarbeitet werden, kommt den Auskunftsrechten eine besondere Bedeutung zu. Sie ermöglichen es dem Betroffenen, die Verarbeitung seiner Daten zu verstehen und ggf prozessuale Schritte einzuleiten. Im Gegensatz dazu basiert die Datenverarbeitung durch Private häufig auf der Einwilligung des Betroffenen, der somit idR über die Verarbeitung informiert ist.

Im Strafprozessrecht sind Auskunftsrechte vor allem durch das Beschuldigtenrecht auf Akteneinsicht (§§ 51 ff StPO) geregelt, welches ähnlich wie das datenS. 259schutzrechtliche Auskunftsrecht durch Art 6 Abs 3 lit a und b EMRK grundrechtlich geschützt ist.

Art 8 EMRK sieht Auskunftsrechte nicht ausdrücklich vor. Dennoch hat der EGMR aus dem Schutz des Privatlebens ein Recht auf Einsicht in behördliche Dokumente abgeleitet, besonders im Kontext des Schutzes des Familienlebens und spezifisch datenschutzrechtlicher Interessen. Ein allgemeines Recht auf Einsicht in personenbezogene Daten lässt sich aus Art 8 EMRK jedoch nicht ableiten.

2.2.3. Löschung

Das Recht auf Löschung personenbezogener Daten ist ein essenzieller Aspekt des Datenschutzrechts, der darauf abzielt, die informationelle Selbstbestimmung und Kontrolle des Betroffenen über seine Daten zu gewährleisten, insb, wenn die ursprünglichen Voraussetzungen für deren Verarbeitung entfallen sind. Dieses Recht ist in zwei Hauptkategorien unterteilt: die Löschung aufgrund der Rechtswidrigkeit der Datenerhebung und die Löschung aufgrund der Unverhältnismäßigkeit oder Nichtrelevanz der weiteren Datenverarbeitung.

Nach § 1 Abs 3 Z 2 DSG hat jede Person das Recht auf Löschung ihrer Daten, wenn diese auf unzulässige Art und Weise verarbeitet wurden. Sobald festgestellt wird, dass Daten für den ursprünglichen Verarbeitungszweck nicht mehr benötigt werden, sind sie unabhängig vom Bestehen eines Antrags zu löschen, wobei dies als Höchstfrist für die Datenspeicherung zu verstehen ist.

Wenn eine Pflicht zur Löschung personenbezogener Daten besteht, muss der Verantwortliche die Daten so aus der Verarbeitung entfernen, dass sie endgültig nicht mehr zugänglich sind. Unter datenschutzrechtlichen Aspekten wird auch die Anonymisierung (gemeinhin auch „Schwärzung“ genannt) von Daten als Form der „Löschung“ betrachtet. Dabei werden Identifikationsmerkmale entfernt, sodass die Daten trotz Einsatzes aller technisch möglichen Mittel nicht mehr einer bestimmten Person zugeordnet werden können. Da datenschutzrechtliche Bestimmungen nicht auf Daten ohne Personenbezug anwendbar sind, ist die Anonymisierung, sofern sie technisch und kontextuell sinnvoll durchführbar ist und keine Rückschlüsse auf personenbezogene Daten zulässt, stets eine erlaubte Methode der Datenlöschung.

S. 2602.2.4. Richtigstellung

Das Recht auf Richtigstellung erlaubt es Personen, die Korrektur von Daten zu verlangen, die nicht der Wirklichkeit entsprechen, um sicherzustellen, dass die über sie gespeicherten Informationen korrekt und aktuell sind. Dabei spielt es keine Rolle, ob die unrichtige Verarbeitung der Daten konkret absehbare negative Konsequenzen für den Betroffenen hat.

Gemäß § 1 Abs 3 Z 2 DSG haben Betroffene ein Recht auf Berichtigung unrichtiger Daten, die automationsunterstützt oder in manuell geführten Dateien verarbeitet werden. Als unrichtig gelten Daten, deren Informationen nicht der Realität entsprechen. Dies umfasst objektiv überprüfbare Tatsachen wie bspw Geburtsdaten, Staatsbürgerschaft oder Einkommensangaben. Werturteile sind von einer Richtigstellung ausgeschlossen, es sei denn, sie werden unzutreffend wiedergegeben. Die Korrektur kann durch Änderung, Ergänzung oder Löschung der Daten erfolgen.

Die Verarbeitung von inhaltlich unrichtigen Daten kann bei Dritten zu einem verzerrten Bild der betroffenen Person führen und somit Nachteile für diese verursachen. Ein prominentes Bsp wäre idZ etwa eine Person, die im Rahmen eines - auf falschen Daten basierenden - automatisierten Datenabgleichs fälschlicherweise in den Fokus von Ermittlungen rückt. Das Datenschutzrecht versucht, dieses Risiko durch den Grundsatz der Datenrichtigkeit, der ebenfalls im Strafprozessrecht verankert ist, zu minimieren. Laut diesem Grundsatz müssen personenbezogene Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“ (Art 4 Abs 1 lit d JI-RL, § 37 Abs 1 Z 4 DSG). Betroffene haben zudem das subjektive „Recht auf Berichtigung“, das es ihnen ermöglicht, die Korrektheit ihrer Daten durchzusetzen.

Gemäß dem Grundsatz der Datenrichtigkeit sind nur solche Daten erfasst, die sich auf Fakten beziehen und somit objektiv auf ihren Wahrheitsgehalt hin überprüfbar sind. Beispiele hierfür sind neben allgemeinen Angaben auch IP-Adressen.

S. 2612.3. Einfachgesetzlicher Schutz in der StPO

Gemäß den Vorbehalten zu grundrechtlichen Eingriffen ist ein Eingriff in das Grundrecht auf Datenschutz nur dann gestattet, wenn dieser zur Erreichung eines legitimen Ziels erforderlich und verhältnismäßig ist. Im Folgenden werden demonstrativ wichtige einfachgesetzliche Vorschriften der StPO aufgezählt und erörtert, die primär den Datenschutz in einem Strafverfahren sicherstellen sollen.

2.3.1. Allgemeines

Bei strafprozessualen Datenverarbeitungen sind regelmäßig Abwägungsentscheidungen durch die vollziehenden Behörden erforderlich, weil die Verfahrenshandlungen vielfältige Interessen berühren, die der Gesetzgeber nicht pauschal ausgleichen kann. Die StPO verpflichtet daher die Strafverfolgungsbehörden an verschiedenen Stellen explizit zur Durchführung solcher Abwägungen, insb unter Berücksichtigung der Erforderlichkeit und Verhältnismäßigkeit der jeweiligen Handlungen. § 5 Abs 1 StPO legt allgemein fest, dass jeder Eingriff in Rechte „erforderlich“ und „in einem angemessenen Verhältnis“ zum Interesse der Strafverfolgung stehen muss. Die Erforderlichkeit wird in § 74 Abs 1 StPO speziell auf Datenverarbeitungen angewandt, während § 74 Abs 2 StPO den Grundsatz der Verhältnismäßigkeit betont.

Diese Generalklauseln sind bei sämtlichen Verarbeitungsbefugnissen, insb nach dem 2. Teil der StPO, zu beachten, sodass die Behörde vor jeder Datenverarbeitung eine entsprechende Abwägung vornehmen muss. Während „Erforderlichkeit“ sich auf die Notwendigkeit verschiedener Eingriffsalternativen bezieht, umfasst „Verhältnismäßigkeit“ das Abwägen zwischen subjektiven Rechten einerseits und dem Interesse an der Strafverfolgung oder den Rechten Dritter andererseits. Zusätzlich zu diesen grundlegenden Bestimmungen fordert die StPO explizite Abwägungsentscheidungen durch die vollziehenden Behörden in bestimmten Fällen.

2.3.2. Einschränkung der Verarbeitung personenbezogener Daten in Strafverfahren

Sowohl bei der datenschutzrechtlichen als auch bei der grundrechtlichen Beurteilung der Verhältnismäßigkeit eines konkreten Ermittlungsschrittes ist zu berücksichtigen, dass es „in einem Rechtsstaat keine Wahrheitsfindung um jeden S. 262Preis geben“ kann. Nahezu alle Ermittlungsergebnisse werden als „Daten“ dargestellt und als solche in der Folge gespeichert, ausgewertet, durchsucht, mit anderen Daten verknüpft usw. Es gibt daher auch kaum eine Ermittlungsmaßnahme, in der datenschutzrechtliche Erwägungen irrelevant wären.

Gemäß § 74 Abs 1 erster Satz StPO dürfen die Strafverfolgungsbehörden im Rahmen ihrer Aufgaben (nur) die hierfür erforderlichen personenbezogenen Daten verarbeiten. Die Bedeutung dieser Bestimmung liegt darin, die aus § 5 Abs 1 StPO resultierende Begrenzung aller Eingriffsbefugnisse auf das notwendige Maß in Bezug auf Datenverarbeitungen als subjektives Recht zu verdeutlichen.

Zudem ruft § 74 Abs 2 StPO in Erinnerung, dass Kriminalpolizei, StA und Gericht beim Verarbeiten personenbezogener Daten den Grundsatz der Gesetz- und Verhältnismäßigkeit (§ 5 StPO) zu beachten haben. Jedenfalls haben sie schutzwürdige Interessen der betroffenen Personen an der Geheimhaltung zu wahren und vertraulicher Behandlung personenbezogener Daten Vorrang einzuräumen. Bei der Verarbeitung besonderer Kategorien (§ 39 DSG) und strafrechtlich relevanter personenbezogener Daten haben sie angemessene Vorkehrungen zur Wahrung der Geheimhaltungsinteressen der betroffenen Personen zu treffen.

Die Verarbeitung von Daten umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Als weit auszulegender Auffangbegriff erfasst das Verwenden jeglichen Gebrauch oder jegliche interne Nutzung von Daten, die von den anderen Begriffen nicht bereits erfasst sind. Insbesondere die Auswertung/Durchsicht/Untersuchung von personenbezogenen Daten durch Strafverfolgungsbehörden stellt einen Verarbeitungsvorgang dar, dessen uneingeschränkte Handhabung § 74 Abs 1 erster Satz StPO einen Riegel vorschieben möchte.

Ein Aspekt der Verhältnismäßigkeit ist auch das Gebot der Datenminimierung:

Der Grundsatz der Verhältnismäßigkeit erfordert, dass so wenige Daten wie möglich verarbeitet werden. Datenschutzrechtlich wird dies als eine Ausprägung der Datenminimierung betrachtet. Die Auswertung von Datenträgern, wie zB Smartphones, Computern und Laptops, ermöglichen - wie auch der VfGH in der S. 263Entscheidung G 352/2021 betont - die Verarbeitung äußerst umfangreicher Datenmengen. Die umfängliche Beschränkung der Datenverarbeitung hat auch eine zeitliche Dimension, die zu einer zielgerichteten Ausrichtung der Auswertung von Daten verpflichtet. Dies betrifft insb die Beschränkung auf jene Zeiträume, die zur Ermittlung der Verdachtsmomente erforderlich sind.

Der EGMR betont zudem, dass die Verarbeitung bestimmter sensibler Daten im Zuge der Strafverfolgung das Privat- und Familienleben nach Art 8 EMRK dramatisch beeinträchtigen kann („may dramatically affect his or her private and family life“) und daher bei der notwendigen Abwägung besonders ins Gewicht fällt. Darunter fallen vor allem medizinische Daten oder Daten, aus denen die politische Anschauung des Einzelnen hervorgeht, die nur in engen Grenzen für die Zwecke der Strafverfolgung verwendet bzw verarbeitet werden dürfen, sich aber wiederum recht häufig auf sichergestellten bzw beschlagnahmten Datenträgern befinden.

Eingriffe in das Grundrecht auf Datenschutz wiegen zudem besonders schwer, wenn der Betroffene keinen konkreten Anlass für die Verarbeitung geliefert hat, sondern durch sozial-adäquates Verhalten ins Visier der Strafverfolgungsbehörden gerät.

Die Speicherung nicht erforderlicher Daten führt (auch) zu einer Verletzung des ua aus § 74 Abs 2 StPO folgenden subjektiven Rechts auf Wahrung der Verhältnismäßigkeit.

Die subjektiven Rechte nach § 74 StPO können Gegenstand eines Antrags an die Strafverfolgungsbehörden sein und im Bedarfsfall auch mittels Einspruchs wegen Rechtsverletzung (§ 106 Abs 1 StPO) geltend gemacht werden.

Der OGH hebt unter Bezugnahme auf § 74 Abs 1 S 1 StPO hervor, dass die Strafverfolgungsbehörden Daten, die für ihre Aufgaben nicht erforderlich sind, nicht verarbeiten dürfen und dass Verstöße dagegen gem § 5 Abs 1 und Abs 2 StPO iVm Art 8 EMRK und § 1 DSG sowie allenfalls auch § 74 Abs 1 StPO mittels Einspruchs wegen Rechtsverletzung (§ 106 Abs 1 StPO) geltend gemacht werden können.

S. 2642.3.3. Datenlöschung

Gemäß § 75 Abs 1 StPO sind unrichtige, unvollständige oder entgegen den Bestimmungen der StPO ermittelte personenbezogene Daten von Amts wegen oder auf Antrag der betroffenen Person unverzüglich richtig zu stellen, zu vervollständigen oder zu löschen.

Das Recht auf Löschung ist das zentrale datenschutzrechtliche Nebenrecht. Im Strafprozess sind prozessrechtswidrig erlangte Daten zu löschen. Auch Daten, deren weitere Verarbeitung unzulässig ist, sind zu löschen. Das ist insb dann der Fall, wenn die Verarbeitung nicht erforderlich ist, um ein legitimes Ziel zu erreichen, womit auch die mögliche zukünftige Datenverarbeitung angesprochen wird. Auch Verstöße gegen die Grundsätze für die Datenverarbeitung (§ 37 Abs 1 DSG), wie etwa Treu und Glauben (Z 1) oder Datenminimierung (Z 3) können iSv rechtswidrig ermittelten Daten nach § 75 StPO tatbestandlich sein und zu einer Löschungsverpflichtung führen.

Die Löschungsverpflichtung bezieht sich auch auf Datenkopien von sichergestellten oder beschlagnahmten Endgeräten (vgl § 115h Abs 2 StPO). Im Zuge des StPRÄG 2024 wurden vom Gesetzgeber weitere Löschungsverpflichtungen geschaffen. Wird einer Beschwerde eines von einer Beschlagnahme von Datenträgern und Daten Betroffenen Folge gegeben, weil kein Anfangsverdacht (§ 1 Abs 3 StPO) vorlag, sind die Ergebnisse der Ermittlungsmaßnahme zu vernichten (§ 115f Abs 9 iVm § 89 Abs 4 StPO). Darüber hinaus haben Betroffene einer Beschlagnahme von Datenträgern und Daten das Recht, die Vernichtung von Daten zu beantragen, die in einem Strafverfahren nicht von Bedeutung sein können oder als Beweismittel nicht verwendet werden dürfen (§ 115i Abs 5 StPO). Stellt die Kriminalpolizei einen Datenträger - bei Gefahr im Verzug - aus Eigenem sicher (§ 115f Abs 4 StPO) und wird die von der StA einzuholende Bewilligung wegen Fehlens der Voraussetzungen (§ 115f Abs 1 bis Abs 3 StPO) nicht erteilt, so sind die Ergebnisse ebenfalls zu vernichten (§ 115g Abs 3 StPO).

Die Löschung rechtswidrig ermittelter Daten kann nicht nur Gegenstand eines Antrages nach § 75 Abs 1 StPO, sondern auch eines Einspruchs wegen Rechtsverletzung (§ 106 Abs 1 StPO) sein, sofern die StA ihrer von Amts wegen wahrzunehmenden Löschungsverpflichtung nicht nachkommt.

S. 2652.3.4. Akteneinsicht

Das Recht auf uneingeschränkte Akteneinsicht (§ 51 Abs 1 StPO) ist ein verfassungsrechtlich gewährleistetes Recht jedes Beschuldigten, wie auch der OGH zu 14 Os 82/22y festgehalten hat: Das verfassungsgesetzlich gewährleistete (vgl Art 6 Abs 1 iVm Abs 3 lit a und b EMRK) Recht von Beschuldigten, in sämtliche der Kriminalpolizei, der StA und dem Gericht vorliegende Ergebnisse des Ermittlungsverfahrens Einsicht zu nehmen (§ 51 Abs 1 StPO), darf nur in den in § 51 Abs 2 StPO normierten und restriktiv auszulegenden Ausnahmefällen - also bei Bestehen einer ernsten Gefahr für Leben, Gesundheit, körperliche Unversehrtheit oder Freiheit einer gefährdeten Person iSd § 162 StPO oder (vor Beendigung des Ermittlungsverfahrens) bei der auf besondere Umstände gegründeten Befürchtung einer Gefährdung des Zwecks der Ermittlungen durch die sofortige Information eines Beschuldigten - beschränkt werden. Eine Einschränkung der Akteneinsicht zur alleinigen Wahrung der Datenschutzrechte Dritter ist nach § 51 Abs 2 StPO jedoch explizit nicht gestattet.

Im Verhältnis zu Mitbeschuldigten sieht die Strafprozessordnung in Bezug auf die Frage des Umfangs der Akteneinsicht - anders als bei Opfern, Privatbeteiligten oder Privatanklägern (§ 49 Abs 2 StPO) - keine Interessenabwägung vor.

Im Gegensatz dazu hat der Beschuldigte das Recht (§ 49 Abs 2 StPO), dass Opfern, Privatbeteiligten oder Privatanklägern Akteneinsicht (§ 68 StPO) nur insoweit gewährt wird, als dies zur Wahrung ihrer Interessen erforderlich ist. Eine Akteinsicht aufgrund eines begründeten rechtlichen Interesses (§ 77 StPO) ist generell nicht zulässig, wenn überwiegende öffentliche oder private Interessen dem rechtlich begründeten Einsichtsinteresse entgegenstehen. Bei dieser Abwägung müssen auch datenschutzrechtliche Interessen berücksichtigt werden. Da die Anonymisierung weniger einschneidend ist als eine komplette Verweigerung der Akteneinsicht, sind Daten nach § 77 StPO ggf zu anonymisieren, um eine gerechte Abwägung zwischen den Interessen zu ermöglichen.

Das (Beschuldigten-)Recht auf Akteneinsicht umfasst hingegen das gesamte im Besitz der Strafverfolgungsbehörden befindliche Beweismaterial, wobei der Beschuldigte - auch nach der Rsp des EGMR - keinen Nachweis dafür erbringen S. 266muss, dass das vorliegende Beweismaterial („evidence material“) für die Verteidigung auch tatsächlich erheblich ist („Rather, it covers all material in the possesion of the authorities with potential relevance, also if not at all considered, or not considered relevant“).

Da § 51 Abs 2 StPO - nach Maßgabe der in § 74 Abs 2 StPO normierten allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten - die zulässigen Beschränkungen der Akteneinsicht bei Beschuldigten somit abschließend regelt (lex specialis), entspricht eine unter Berufung auf § 74 Abs 2 StPO darüberhinausgehende Einschränkung derselben nicht dem Gesetz.

Dies führt zu der - vom Gesetzgeber in Kauf genommenen und von der höchstgerichtlichen Rsp gebilligten - Tatsache, dass „auch in Großverfahren mit einer Vielzahl an Beschuldigten und unterschiedlichen, teilweise nicht konnexen oder in einem sachlichen Zusammenhang stehenden Faktenkomplexen sämtliche Mitbeschuldigten de facto das Recht auf Akteneinsicht in den gesamten Strafakt“ haben.

2.3.5. Einspruch wegen Rechtsverletzung (§ 106 StPO)

Nach § 106 Abs 1 StPO hat jede Person das Recht, Einspruch zu erheben, wenn sie behauptet, im Ermittlungsverfahren durch die StA in ihren subjektiven Rechten verletzt worden zu sein. Diese Rechtsverletzung kann entweder aus der Verweigerung eines gesetzlich zugesicherten Rechts (Abs 1 Z 1 leg cit) resultieren oder durch eine Ermittlungs- oder Zwangsmaßnahme entstehen, die unter Missachtung der Vorschriften der Strafprozessordnung angeordnet oder durchgeführt wurde (Abs 1 Z 2 leg cit). Die Möglichkeit, Einspruch wegen Rechtsverletzung zu erheben, beschränkt sich somit nicht nur auf die unmittelbar am Verfahren Beteiligten, sondern steht jeder natürlichen oder juristischen Person zu, die sich durch das Ermittlungsverfahren nach der StPO in einem ihrer subjektiven Rechte verletzt sieht. Beispielsweise kann ein Opfer geltend machen, dass ihm die Einsicht in die Akten (gem § 66 Abs 1 Z 2 StPO) verwehrt wurde.

Im Kontext von Cyberkriminalität, bei deren Aufklärung digitale Beweismittel von zentraler Bedeutung sind, könnten solche Rechtsverletzungen etwa in der unangemessenen Handhabung von Beweissicherungen oder in der Überwachung ohne ausreichende rechtliche Grundlage liegen. In solchen Fällen kann ein Einspruch dazu dienen, die Rechtmäßigkeit der Datenerhebung und -verarbeitung zu überprüfen und sicherzustellen, dass die Rechte der betroffenen Personen S. 267gewahrt bleiben. Dies ist auch deshalb bedeutsam, weil digitale Daten oft sensiblere und umfassendere Informationen enthalten als traditionelle Kommunikationsformen.

Der Einspruch wegen Rechtsverletzung ist auf subjektive Rechte beschränkt, die nach der StPO eingeräumt werden. Demnach ist es grds nicht möglich, Verletzungen von verfassungsgesetzlich verankerten Rechten - etwa des Rechts auf den gesetzlichen Richter (Art 83 B-VG) oder des Rechts auf Datenschutz (§ 1 Abs 1 DSG) - auf diesem Weg geltend zu machen. Dennoch sieht die Rsp vor, dass über § 5 Abs 1 StPO die grundrechtlichen Garantien der EMRK und § 1 DSG in § 106 Abs 1 StPO fließen, weshalb diese Grundrechte über den Verhältnismäßigkeitsgrundsatz nach § 5 Abs 1 StPO durchaus mittels Einspruchs wegen Rechtsverletzung geltend gemacht werden können.

Der Einspruch wegen Rechtsverletzung ermöglicht - wie oben dargestellt - auch eine inhaltliche Durchsetzung von Datenschutzrechten.

Gegen gerichtliche Beschlüsse steht das Recht auf Beschwerde gem § 87 StPO zu, in dem ebenso datenschutzrechtliche Aspekte aufgegriffen werden können.

Die DSGVO ist, anders als das DSG, im Strafverfahren nicht anwendbar (Art 2 Abs 1 lit d DSGVO). Für den Rechtsschutz außerhalb von Strafverfahren ermöglicht Art 77 DSGVO jeder betroffenen natürlichen Person die Erhebung einer Beschwerde bei der Datenschutzbehörde (DSB). Hierfür ist ausreichend, dass die betroffene Person der Meinung ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Dieses Beschwerderecht wird in den §§ 24-26 DSG weiter konkretisiert, die spezifische Regelungen zum Beschwerdeverfahren vor der DSB als österreichische Aufsichtsbehörde enthalten.

Der VfGH hat jedoch in seiner Entscheidung G 212/2021 klargestellt, dass in einem strafrechtlichen Ermittlungsverfahren ein „doppelter Rechtsschutz“ iS des Datenschutzrechtes besteht. Demnach sieht der VfGH - neben dem Haft- und Rechtsschutzrichter - auch eine Zuständigkeit der DSB als gegeben an. Die DSB hat für die Überwachung und Durchsetzung des DSG einerseits sowie für die Kontrolle über Verstöße andererseits zu sorgen. Die DSB kann idZ auf ihre Untersuchungs- und Abhilfebefugnisse zurückgreifen. Darunter fällt zB die Anordnungsbefugnis der DSB, der StA (nicht jedoch dem Gericht) die Löschung S. 268bzw Berichtigung von Daten aufzutragen. Die DSB ist somit den Behörden im Rahmen ihrer Aufsichtsfunktion übergeordnet.

Darüber hinaus hat der OGH bestätigt, dass neben dem Beschwerderecht auch die Möglichkeit besteht, unter den in Art 79 DSGVO festgelegten Bedingungen eine zivilrechtliche Klage zu erheben, insb bei Verletzungen der Rechte der betroffenen Person.