Die Begründung des Senats ist klar und überzeugend: Durchsicht von Daten ist zumindest ein Eingriff in das Grundrecht auf informationelle Selbstbestimmung, der einer gesetzlichen Ermächtigungsgrundlage bedarf. Die Durchsuchung von Computern und Beschlagnahme von Datenträgern und Dateien ist an sich nach allgemeinen Regeln (§§ 102 ff. StPO; Durchsicht gem. § 110 StPO) zulässig. Die Besonderheit an der beantragten Online-Durchsuchung ist, dass sie verdeckt stattfinden soll: der Beschuldigte soll gerade nicht bemerken, dass seine Daten durchforstet werden – sonst könnte er die Maßnahme vereiteln. Verdeckte Durchsuchungen sieht nach Ansicht des BGH die Strafprozessordnung aber nicht vor: Die Regelung der §§ 102 ff. StPO geht von einer „offenen“ Maßnahme aus, wie sich daran zeigt, dass der Beschuldigte, hilfsweise eine andere Person (§ 106 I StPO), sowie der anordnende Richter oder Staatsanwalt, hilfsweise 2 Gemeindebeamte (§ 105 II 1 StPO) anwesend sein sollen. Diese Vorschriften sind keine bloßen Ordnungsvorschriften, wie bisweilen angenommen, sondern zwingendes Recht. Eine Durchsuchung, die von vornherein darauf zielt, diese dem Schutz des Betroffenen dienenden Vorschriften zu umgehen, darf der Richter nicht anordnen. Verdeckte Maßnahmen erschweren den Rechtsschutz und sind regelmäßig eingriffsintensiver als offene; sie sind in §§ 100a bis 100i StPO besonders geregelt und haben höhere Anforderungen; eine verdeckte Durchsuchung ist jedoch nicht vorgesehen.
Auf andere Vorschriften wie die Überwachung der Telekommunikation gemäß § 100a StPO kann die Online-Durchsuchung nicht gestützt werden: Zwar findet Telekommunikation bei der Installation eines Trojaners auf dem Rechner des Betroffenen und beim Übersenden der ermittelten Daten statt, wozu der Betroffene online sein muss, doch ist sie nur ein Mittel, an die statischen Daten des Betroffenen zu gelangen, nicht Gegenstand der Ermittlungsmaßnahme (wie Telefongespräche oder Emails). Dass die Voraussetzungen für die Anordnung der Überwachung der Telekommunikation im Fall vorlagen, ist gleichgültig: Die Ermittlungsbehörden können sich eine Ermächtigungsgrundlage nicht aus verschiedenen Vorschriften der StPO „zusammenbauen“.
Bis zu einer gesetzlichen Regelung bleiben verdeckte Online-Durchsuchungen mithin unzulässig, was auch die Ermittlungsarbeit gegen Phishing und Pharming erschweren dürfte. Der im November 2006 vorgelegte Referentenentwurf für ein Gesetz zur Neuregelung u.a. der verdeckten Ermittlungsmaßnahmen dürfte daher noch zu ergänzen sein. Die dort in § 110 Abs. 3 E-StPO vorgesehene Regelung, dass die Durchsicht elektronischer Speichermedien „auf räumlich getrennte [vernetzte] Speichermedien, zu denen der Betroffene zugangsberechtigt ist, erstreckt“ werden darf, scheint auf solche Online-Durchsuchungen zu zielen, erfüllt aber kaum die vom BGH angemahnten Anforderungen an „Normenklarheit und Tatbestandsbestimmtheit von strafprozessualen Eingriffsnormen“.
PD Dr. Carl-Friedrich Stuckenberg, Arbeitsgruppe Identitätsschutz im Internet e.V.