Das BKA zerschlägt die Infrastruktur von Emotet: Mit welcher Rechtsgrundlage?
Gespeichert von Prof. Dr. Dennis-Kenji Kipker am
Dr. Dennis-Kenji Kipker/Michael Walkusz
Zahlreichen Berichten konnte man seit dem 27. Januar 2021 entnehmen, wie das BKA und die Generalstaatsanwaltschaft Frankfurt am Main in Kooperation mit ausländischen Strafverfolgungsbehörden die Schadsoftware „Emotet“ unbrauchbar gemacht hat. So überragend dieser Erfolg auch ist, stellt sich die Frage nach einer tauglichen Rechtsgrundlage für das Handeln des BKA. Denn als Eingriff in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (IT- bzw. Computer-Grundrecht) bedarf dieses Handeln einer verfassungsrechtlichen Rechtfertigung.
Grundsätzlich ist festzustellen: Beim Beseitigen einer Schadsoftware handelt es sich um eine Maßnahme der Gefahrenprävention, somit scheiden vorerst Rechtsgrundlagen für repressive Strafverfolgung, wie die der StPO oder der EU Europol-Verordnung, aus. Als taugliche Rechtsgrundlage kommt jedoch das BKA-Gesetz (BKAG) in Betracht.
Im BKAG finden sich zahlreiche, vor allem auf die Datenerhebung abzielende Befugnisnormen. Nur hat der vorliegend zu beurteilende Fall nicht wie so häufig die rechtmäßige Datenerhebung, sondern die Übernahme und die Zerschlagung der Infrastruktur einer Schadsoftware zum Gegenstand. Dabei muss nicht nur in IT-Systeme der Täter, sondern auch in Systeme der Opfer eingedrungen und die betreffenden Daten dergestalt verändert werden, bis diese unschädlich sind. Ein solches behördliches Handeln geht mithin weit über die bloße Datenerhebung hinaus, weshalb auch die entsprechenden Befugnisnormen wie z.B. §§ 9, 49 BKAG nicht als taugliche Ermächtigungsgrundlage herangezogen werden können.
Wird die Verbreitung und Verwendung der Schadsoftware Emotet unter Berücksichtigung, dass auch staatliche Stellen angegriffen wurden, unter den Begriff des „internationalen Terrorismus“ subsumiert, so steht dem BKA die allgemeine Generalklausel der Gefahrenabwehr gem. § 38 Abs. 1 BKAG zur Verfügung. Hiernach ist das BKA ermächtigt, alle „notwendigen Maßnahmen“ zu treffen, um eine Gefahr des internationalen Terrorismus abzuwehren. Für Eingriffe und Veränderungen in IT-Systemen des Täters ist diese Norm eine taugliche Rechtsgrundlage. Allerdings erfolgten auch Eingriffe in IT-Systeme der Opfer, um die Schadsoftware weltweit zu beseitigen. Hier stellt sich die Frage, ob die Opfer auch die richtigen Adressaten dieses Eingriffs sind. Zunächst wäre anzudenken, dass die Opfer gem. § 38 Abs. 1 S. 2 BKAG, § 18 BPolG Zustandsstörer sind, da aus ihren IT-Systemen, die mit der Schadsoftware infiziert sind, weiterhin eine Verbreitungsgefahr besteht. Sieht man die Opfer aber nicht als Zustandsstörer an, so ist hilfsweise auch ein Rückgriff auf die Inanspruchnahme des „Nicht-Störers“ aus § 20 Abs. 1 BPolG möglich. Die Vorschrift erlaubt es, bei erheblichen Gefahren auch in die Rechte der nicht verantwortlichen Personen einzugreifen, soweit eine effektive Inanspruchnahme anderer Störer nicht in Betracht kommt.
Neben der Tatbestandsseite ist für das Handeln des BKA auch die Rechtsfolgenseite zu betrachten. Zwar wird dem BKA hier ein behördliches Ermessen eingeräumt, das Handeln muss aber dennoch dem verfassungsrechtlichen Verhältnismäßigkeitsgrundsatz entsprechen. Ein Eingriff in die IT-Systeme der Täter mag sicherlich angemessen sein, beim Eingriff in die Systeme der Opfer bedarf es aber näherer Betrachtung. Denn auch wenn die Schadsoftware großen Schaden anzurichten droht, darf nicht außer Acht gelassen werden, dass der Eingriff in das Computer-Grundrecht nicht nur schwerwiegend ist, sondern auch hohen verfassungsrechtlichen Maßstäben genügen muss. Soweit bekannt, wurde im vorliegenden Fall durch das BKA nicht nur in unzählige IT-Systeme von nicht verantwortlichen Personen eingegriffen, sondern es wurden in diesen Systemen auch Daten verändert. Der Eingriff beschränkte sich folglich nicht auf einen lesenden Zugriff. Bei der juristischen Bewertung dieses Eingriffs in die Opfer-IT-Systeme kommt es sicherlich in erheblichem Maße auf die einzelnen Umstände an. Die Rechtmäßigkeit eines generell weiträumigen Eingriffs, bei dem eine große Zahl nicht verantwortlicher Personen betroffen ist, dürfte für die Schadensbegrenzung unter Verhältnismäßigkeitsgesichtspunkten aber zweifelhaft sein – unabhängig vom erzielten Ergebnis.