Inhalt und Gegenstand der Entscheidung
Der BGH hatte sich im Rahmen der Revision mit der Verwertbarkeit von Beweismitteln zu befassen, die mittels heimlichen Zugriffs auf einen Telegram-Account gewonnen worden waren.
Der technisch von den Ermittlungsbehörden nicht genau erläuterte Zugriff erfolgte dabei ohne Einbindung des Diensteanbieters (Telegram). Die Ermittlungsbehörden, die zuvor einen Beschluss des Ermittlungsrichters nach § 100a Abs. 1 Sätze 2 und 3 StPO eingeholt hatten (Rn. 4), führten ein Log-in beim Telegram-Account durch und luden Chat-Nachrichten herunter. Dabei luden sie auch Daten herunter, die vor dem Zeitpunkt der Anordnung durch den Ermittlungsrichter versendet worden waren (Rn. 5).
Der 3. Strafsenat führte zunächst aus, dass der durchgeführte Zugriff auf den Telegram-Account als Eingriff in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme (fortan: IT-Grundrecht) einzustufen ist (Rn. 9 ff.). Dabei betonte der 3. Strafsenat, dass der „Telegram-Dienst“, der vom Beschuldigten genutzt wurde, selbst als informationstechnisches System einzustufen ist (Rn. 12). Der Zugriff ohne Einbindung des Diensteanbieters sei zudem besonders schwerwiegend, da das Risiko von Datenveränderung durch staatliche Behörden bestehe, welches bei der Weitergabe von Daten durch Diensteanbieter nicht in dieser Form bestehe (Rn. 12).
Der 3. Strafsenat führt ferner aus, dass der durchgeführte Eingriff nicht auf § 100a Abs. 1 Sätze 2 und 3 StPO gestützt werden könne, weil dieser nur ein Zugriff auf die laufende Kommunikation erlaube. Dies ergebe sich eindeutig aus der Entstehungsgeschichte der Vorschrift (Rn. 14 ff.). Ein rückwirkender Zugriff sei nur unter den Voraussetzungen des § 100b StPO möglich (Rn. 16).
Im vorliegenden Fall sei daher ein Verwertungsverbot zu bejahen. Die gesetzgeberische Wertung sei eindeutig (Rn. 20). Es handle sich zudem um einen gewichtigen Grundrechtseingriff (Rn. 21). Darüber hinaus bestünde für den Fall der Verneinung eines Beweisverwertungsverbots die Gefahr der Begünstigung rechtswidriger Beweiserhebungen (Rn. 22). Das konkrete Verfahren habe zudem nicht die Verfolgung besonders schwerer Straftaten zum Gegenstand gehabt (Rn. 23).
Kontext der Entscheidung
Die begrüßenswerte und äußerst facettenreiche Entscheidung des 3. Strafsenats verdient genauere Betrachtung.
I. Anwendung des IT-Grundrechts
Zunächst stellt der 3. Strafsenat klar, dass der Telegram-Account als solcher ein informationstechnisches System (dazu unter 1.) und der Zugriff ohne Einbindung des Diensteanbieters einen Eingriff in das IT-Grundrecht darstellt (dazu unter 2.). Dies führt nach Auffassung des 3. Strafsenats grundsätzlich zur Anwendbarkeit der Regelungen zur Quellen-TKÜ (dazu unter 3.). Insoweit sind die Wertungen der „Trojaner II“-Entscheidung des BVerfG in den Blick zu nehmen (dazu unter 4.).
1. Informationstechnisches System
Als informationstechnisches System im Sinne des IT-Grundrechts kommt sowohl die lokale Hardware des Beschuldigten (z.B. Smartphone oder Computer) als auch externe Datenspeicher, wie z.B. eine Serverinfrastruktur, in Betracht (vgl. dazu auch Rückert in: MünchKomm StPO, 2. Aufl. 2023, § 100b Rn. 39a). Der 3. Strafsenat verweist insoweit auch auf das BVerfG, welches darauf hingewiesen hat, dass auch Clouds als informationstechnische Systeme in Betracht kommen (vgl. BVerfG, Urt. v. 20.04.2016 - 1 BvR 966/09 u.a. Rn. 209; zur Frage, ob es sich bei lokalen Speichermedien mit Zugriffsmöglichkeit auf die Cloud um ein einheitliches informationstechnisches System handelt, vgl. Rückert in: MünchKomm StPO, § 100a Rn. 215).
2. Eingriff in das IT-Grundrecht
Der 3. Strafsenat betont ferner, dass der Zugriff auf den Telegram-Account einen Eingriff in das IT-Grundrecht darstelle.
Unstreitig dürfte insoweit sein, dass es sich bei dem in Rede stehenden informationstechnischen System um ein qualifiziertes informationstechnisches System handelt, welches dem Schutzbereich des IT-Grundrechts unterfallen kann. Die Anzahl und Vielfalt der dort üblicherweise gespeicherten Daten erfordert typischerweise einen besonderen Schutz vor staatlichen Eingriffen (vgl. zum Schutzgegenstand BVerfG, Beschl. v. 24.06.2025 - 1 BvR 2466/19 Rn. 97 m.w.N.; „Trojaner I“; BVerfG, Beschl. v. 24.06.2025 - 1 BvR 180/23 Rn. 173 „Trojaner II“).
Ebenfalls überzeugend ist, dass der 3. Strafsenat klarstellt, dass der in Rede stehende Telegram-Account – auch wenn die Daten von der Serverinfrastruktur des Betreibers und nicht vom Endgerät des Nutzers heruntergeladen werden – ein vom Beschuldigten genutztes informationstechnisches System darstellt und als solches dem Schutzbereich des IT-Grundrechts unterfällt (vgl. dazu auch Rückert, Digitale Daten als Beweismittel im Strafverfahren, 2023, S. 180, sowie BVerfG, Beschl. v. 24.06.2025 - 1 BvR 180/23 Rn. 173 „Trojaner II“). Es ist gerade der Accountinhaber, der ein Interesse an der Vertraulichkeit der dort für ihn gespeicherten Daten hat (vgl. dazu bereits Rückert in: MünchKomm StPO, § 100b Rn. 39a).
3. Anwendung von § 100a Abs. 1 Sätze 2 und 3 StPO
Es ist insoweit folgerichtig, dass der 3. Strafsenat für den heimlichen Zugriff auf den Telegram-Account ohne Mitwirkung des Diensteanbieters einen Rückgriff auf die Regelungen zur Quellen-TKÜ für erforderlich erachtet (vgl. zur zeitlichen Grenze sogleich unter II.). Zwar erfolge keine technische Infiltration mittels eines Trojaners. Allerdings bestehe beim heimlichen „Aufschalten“ auf den Account ohne Einbindung des Diensteanbieters eine unkontrollierte Möglichkeit der Datenveränderung, vor der die Verfahrensregelungen zur Quellen-TKÜ gerade schützen sollen (vgl. dazu auch OLG Stuttgart, Beschl. v. 19.05.2021 - 2 Ws 75/21 - NStZ-RR 2021, 313, 315).
Insoweit vollzieht der 3. Strafsenat auch eine ausdrückliche Abkehr von einer Entscheidung des Ermittlungsrichters des BGH (BGH, Beschl. v. 09.07.2020 - 2 BGs 468/20 Rn. 25; vgl. dazu bereits kritisch Rückert in: MünchKomm StPO, § 100b Rn. 39a). Dieser hatte in der in Bezug genommenen Entscheidung auf die Gesetzesbegründung rekurriert und die Ansicht vertreten, ein „Aufschalten“ auf einen Account sei zulässig. Allerdings adressiert die Gesetzesbegründung an der besagten Stelle (
BT-Drs. 16/5846, S. 47) nicht das „Aufschalten“ durch die Ermittlungsbehörden, sondern das eigenständige Überwachen der Telekommunikation. Dabei handelt es sich allerdings um etwas qualitativ anderes. Dies hat der 3. Strafsenat völlig zu Recht betont.
Unklar ist allerdings, ob der Rückgriff auf § 100a Abs. 1 Sätze 2, 3 StPO in der Praxis überhaupt in Betracht kommen kann. So verweist der 3. Strafsenat richtigerweise darauf, dass auf Nachrichten, die vor dem Erlass der ermittlungsrichterlichen Anordnung versendet oder empfangen wurden, gerade nicht nach § 100a Abs. 1 Sätze 2, 3 StPO zurückgegriffen werden darf. Sofern allerdings mittels Account-Clonings aus technischen Gründen nur ein vollständiger Download der Nachrichten in Betracht kommt, wäre dies mit den gesetzlichen Vorgaben nicht vereinbar (Rückert in: MünchKomm StPO, § 100b Rn. 39, 39a). Sofern bei einem derartigen Zugriff hingegen technisch sichergestellt wäre, dass ein retrograder Datenzugriff ausgeschlossen ist, käme eine Anwendung der Regelungen zur Quellen-TKÜ (theoretisch) in Betracht.
4. Verfassungsrechtliche Implikationen
Der 3. Strafsenat hatte sich mangels fehlender Rechtsgrundlage für einen retrograden Zugriff nicht mit den verfassungsrechtlichen Implikationen eines Rückgriffs auf § 100a Abs. 1 Sätze 2, 3 StPO auseinanderzusetzen. Insoweit sei an dieser Stelle nur kurz in Erinnerung gerufen, dass das BVerfG in der „Trojaner II“-Entscheidung (BVerfG, Beschl. v. 24.06.2025 - 1 BvR 180/23) festgestellt hat, dass eine Quellen-TKÜ grundsätzlich nur zur Verfolgung besonders schwerer Straftaten zulässig ist (vgl. zur Entscheidung allgemein Rückert, JR 2026, 72; Hiéramente, jurisPR-StrafR 16/2025 Anm. 1). Zwar deutet das BVerfG insoweit Ausnahmekonstellationen an (vgl. BVerfG, Beschl. v. 24.06.2025 - 1 BvR 180/23 Rn. 218). Eine solche Ausnahmekonstellation dürfte (vgl. zur Unklarheit der Ausführungen Rückert, JR 2026, 72, 82) allerdings hier nicht vorliegen. Im Übrigen kann die Eingriffstiefe eines Zugriffs auf einen Messenger-Account, selbst bei einer zeitlichen Beschränkung auf einen Zeitraum nach richterlicher Anordnung, durchaus erheblich sein, was für eine Anwendung der strengen verfassungsrechtlichen Maßstäbe streitet.
II. Zeitlicher Anwendungsbereich des § 100a Abs. 1 StPO
Aufschlussreich sind auch die Ausführungen des 3. Strafsenats zum zeitlichen Anwendungsbereich des § 100a Abs. 1 StPO. So stellt der 3. Strafsenat nicht nur klar, dass eine Quellen-TKÜ auf die „laufende Kommunikation“ zu beschränken ist. Der 3. Strafsenat macht darüber hinaus auch Ausführungen, die für die Auslegung des § 100a Abs. 1 Satz 1 StPO von Bedeutung sind. So betont der 3. Strafsenat:
„Die verletzte Vorschrift dient dazu, ein funktionales Äquivalent zur herkömmlichen Ausleitung der Telekommunikation zu schaffen (s.
BT-Drs. 18/12785, S. 51 f.). Der Gesetzgeber hat ausdrücklich die Möglichkeit einer retrograden Überwachung in den Blick genommen und diese in jedem Fall ausschließen wollen.“ (Rn. 20)
Die Betonung des gesetzgeberischen Willens ist deshalb von besonderem Interesse, weil der 5. Strafsenat aus dem Wortlaut des § 100a Abs. 1 Sätze 2, 3 StPO – mittels Umkehrschluss – herleiten wollte, dass im Anwendungsbereich des § 100a Abs. 1 Satz 1 StPO keine Beschränkung auf die laufende Kommunikation zu erfolgen habe (vgl. BGH, Beschl. v. 14.10.2020 - 5 StR 229/19 m. krit. Anm. Grözinger, NStZ 2021, 358; Hiéramente, WiJ 2021, 19) – dies, obwohl der Gesetzgeber in der Gesetzesbegründung wiederholt kundtat, ein funktionales Äquivalent schaffen zu wollen (vgl. z.B.
BT-Drs. 18/12785, S. 53).
Auswirkungen für die Praxis
Die Entscheidung des 3. Strafsenats dürfte in verschiedenen Fallkonstellationen Bedeutung erlangen. Neben dem Account-Cloning bei Messenger-Diensten können auch vergleichsweise alltägliche Anwendungsfälle der Rechtsprechung unterfallen. Die Entscheidung ist daher von großer praktischer Bedeutung.
Wird beispielsweise bei der Sichtung von vorläufig sichergestellten Daten bekannt, dass ein Beschuldigter über eine zuvor unbekannte E-Mail-Adresse verfügt, und finden sich in den Daten Erkenntnisse zu (mutmaßlichen) Passwörtern, könnten die Ermittlungsbehörden auf die Idee kommen, sich – ohne vorherige Abstimmung mit dem Beschuldigten – auf dem E-Mail-Account einzuloggen, um die gespeicherten E-Mails zu sichten und zukünftige E-Mails mitzulesen. Ein solcher Direktzugriff ohne Einbindung des Providers ist mit der hier entschiedenen Fallkonstellation vergleichbar.
Dies dürfte auch gelten, wenn Ermittlungsbehörden beispielsweise im Rahmen einer Durchsuchung ein mobiles Endgerät vorläufig sicherstellen und einige Wochen oder gar Monate nach der Durchsuchung (heimlich) auf die in der Cloud gespeicherten und erst nach der Durchsuchung entstandenen Daten zugreifen (vgl. hierzu allg. auch Hauschild in: MünchKomm StPO, § 110 Rn. 17; Zerbes/El-Ghazi, NStZ 2015, 425, 432; Brodowski/Eisenmenger, ZD 2014, 119, 124 f.). Denn auch insoweit nehmen Behörden in Unkenntnis des Betroffenen und des Providers Zugriff auf Daten, die auf einem externen informationstechnischen System gespeichert sind.
