24. Oktober 2022

Cybercrime,

Financial Crime,

Forensics & Investigation,

Wirtschaftsrecht

Zugriff auf Datenträger nach Siegelung

Zugriff auf Datenträger nach Siegelung

Von lic. iur. David Zogg

Wenn bis zum Entsiegelungsverfahren, also dem Entscheid des Gerichts über die Zulässigkeit der Verwendung des Beweismittels durch die Strafverfolgungsbehörden, jeder Zugriff auf einen gesiegelten Datenträger untersagt wäre, blieben Beweismittel und Vermögenswerte über längere Zeit der Manipulation ausgesetzt. Der Zugriff muss daher in diversen Konstellationen weiterhin zulässig sein.

Da staunte man erstmal nicht schlecht, als das Bundesgericht in Urteil 1B_432/2021 vom 28. Februar 2022 kurzerhand entschied, die von einer Drittbehörde im Auftrag der Untersuchungsbehörde vorgenommene Spiegelung, das heisst die Anfertigung einer identischen Kopie eines Datenträgers, sei unzulässig gewesen und die so erhaltenen Beweise seien zu vernichten. Der Entscheid erging im Wesentlichen mit der Begründung, die Spiegelung stelle einen unberechtigten Zugriff der Untersuchungsbehörde auf die vorgängig gesiegelten Daten dar. Dieses Recht komme lediglich dem Zwangsmassnahmengericht als Entsiegelungsbehörde zu. Damit stellt sich das Bundesgericht nicht nur gegen vielerorts etablierte Abläufe, sondern auch gegen international anerkannte Standards der Datenforensik. Nur eine möglichst umgehende Spiegelung bietet Gewähr dafür, dass die sichergestellten Daten nicht – bewusst oder unbewusst – nachträglich gelöscht oder manipuliert werden. Das Bundesgericht setzt bereits bei der rechtlichen Bedeutung der Siegelung falsch an, denn diese dient der Durchsetzung von Beschlagnahmeverboten. Eine Vorwirkung auf die Beweiserhebung selbst ist gesetzlich nicht vorgesehen. Einwände gegen diese sind mit Beschwerde oder im Hauptverfahren zu erheben.

Moderne Datenträger sind heterogen und dynamisch

Entgegen der bundesgerichtlichen Auffassung haben digitale Datenträger heute praktisch nichts mehr mit ihren analogen Vorbildern zu tun. Im fraglichen Entscheid ging es nicht etwa um eine externe Harddisk mit einem statischen Backup, die sich mit fortschreitender Zeit nicht verändert, sondern – wie in der Praxis heute praktisch immer – um Mobiltelefone und ein Tablet. Solche Geräte sind heute nicht mehr unbewegliche Beweisträger mit Informationen, sondern Datenverarbeitungsmaschinen mit einer Vielzahl unterschiedlicher Inhalte, welche sich teilweise laufend verändern. Aus diesen Besonderheiten ergeben sich diverse Anforderungen an die Beweissicherung, welche regelmässig einen Zugriff auf die betroffenen Datenträger erfordern.

Ausnahme 1: Grobtriage und Vermögenssicherung

Unbestritten ist, dass selbst bei erklärter Siegelung die Behörden im Rahmen der Grobtriage eine oberflächliche Sichtung der Beweismittel vornehmen dürfen, wie das Bundesgericht festhielt. Diese ist einerseits angezeigt, um festzustellen, ob sich auf dem Datenträger Kryptovermögen oder «Seeds», also Wiederherstellungscodes für Krypto-Wallets, befinden, welche unmittelbar gesichert werden müssen. Als Vermögenswerte beziehungsweise Zugangsschlüssel zu solchen sind diese gemäss Bundesgerichtsurteil der Siegelung gar nicht zugänglich. Andererseits ist die oberflächliche Sichtung des Datenträgers im Rahmen der Grobtriage notwendig und angezeigt, um festzustellen, ob sich darauf flüchtige oder manipulationsanfällige Beweise befinden.

Ausnahme 2: Auf Antrag/Aus Verhältnismässigkeit

Es liegt auf der Hand, dass eine Spiegelung, welche nach der Siegelung auf Antrag oder im Einverständnis mit der berechtigten Person erfolgt, rechtlich unproblematisch ist. Die betroffene Person kann dadurch die Herausgabe eines benötigten Datenträgers beschleunigen. Die Spiegelung kann aber auch deshalb angezeigt sein, weil der durch die Siegelung notwendige Entzug des Datenträgers für eine andere betroffene Person eine unverhältnismässige Härte darstellen würde. Dies ist beispielsweise der Fall, wenn das betreffende Gerät gar nicht der Person gehört, welche die Siegelung beantragt.

Ausnahme 3: Bei drohendem Beweisverlust

Die in der Praxis wohl häufigste Ausnahme betrifft die technische Beschaffenheit von Geräten und die Einbindung von externen Speichersystemen über diese.

Hier ist zunächst an zugriffstechnische Gründe zu denken. Wenn auf einem Datenträger dynamische Cloud-Speicher betrieben werden, für die der Zugriff abgelaufen ist oder widerrufen werden kann, ist umgehend eine Spiegelung als Sicherung der vorhandenen Beweise vorzunehmen, da diese jederzeit anderweitig gelöscht oder verändert werden können.

Sodann kommen gerätetechnische Besonderheiten in Frage: Auf Smartphones, Tablets und Computern werden Daten und Spuren laufend vom Gerät selbst bewirtschaftet. Lokale Daten von Applikationen oder Papierkörbe werden periodisch geleert, Standortdaten werden überschrieben und geöffnete Daten-Container werden wieder verschlüsselt. Ohne umgehende Sicherung und Spiegelung sind diese Inhalte für immer verloren.

Schliesslich bestehen regelmässig verschlüsselungstechnische Gründe: Der Verschlüsselungsgrad eines Smartphones, Tablets oder Computers unterscheidet sich grundlegend darin, ob das Gerät bereits läuft und einmal entsperrt wurde oder nicht. Man spricht in diesem Zusammenhang vom sogenannten «After First Unlock» versus «Before First Unlock». Wird ein Datenträger in entsperrtem oder laufendem Zustand sichergestellt, ist eine Spiegelung angezeigt, da eine spätere Datensicherung aufgrund einer allfälligen Verschlüsselung faktisch unmöglich sein kann. Hochgradig verschlüsselte Daten müssen als verloren betrachtet werden, da es mit heutigen Mitteln buchstäblich mehrere Millionen Jahre dauern würde, um diese zu knacken.

In der Praxis ist vor diesem Hintergrund in der Regel insbesondere bei Mobiltelefonen, Tablets und Computern eine umgehende Spiegelung angezeigt, damit Datenverluste und Datenmanipulationen verhindert werden können.

Schonende Umsetzung

Die nähere Analyse zeigt somit, dass unter Berücksichtigung der diversen, in der Praxis sehr häufig vorkommenden Konstellationen, der Zugriff auf gesiegelte Datenträger angezeigt und zulässig ist. Sind die Voraussetzungen gegeben, ist zur Schonung allfälliger berechtigter Geheimnisrechte der Betroffenen darauf zu achten, dass der Zugriff nur so weit wie nötig und nur durch Personen erfolgt, die an den Ermittlungen nicht unmittelbar beteiligt sind. Dies dürfte aber aufgrund des notwendigen Einbezugs von Spezialdiensten ohnehin die Regel sein.

Autor: lic.iur. David Zogg

lic.iur. David Zogg ist leitender Staatsanwalt der Staatsanwaltschaft III des Kantons Zürich für qualifizierte Wirtschaftskriminalität und internationale Rechtshilfe.

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.