a) Beantragung des Durchsuchungs- und Beschlagnahmebeschlusses
Gesetzliche Grundlage: Dass durch die Strafprozessordnung (§§ 94 ff. 110 StPO) die Sicherstellung und Beschlagnahme von Datenträgern und hierauf gespeicherten Daten erlaubt wird, hat das BVerfG bereits mit Beschluss vom 12.4.2005 geklärt (s. BVerfG v. 12.4.2005 – 2 BvR 1027/02, BVerfGE 113, 29 = wistra 2005, 295). Im Rahmen von steuerstrafrechtlichen Ermittlungsverfahren haben somit auch die Straf- und Bußgeldsachenstellen der Finanzämter staatsanwaltschaftliche Funktionen (§ 399 AO). Die Steuerfahndung hat als Ermittlungspersonen – bei vorliegendem Durchsuchungs- und Beschlagnahmebeschluss (§§ 94, 98 102 f., 105 StPO) – auch das Recht Papiere und elektronische Speichermedien zu sichten und ggf. die Hardware, auf der sich die Daten befinden zu beschlagnahmen.
Daten: Hinsichtlich der elektronischen Daten bezieht sich die Sichtungs- und spätere Beschlagnahmebefugnis auf Daten (= Dateien, die menschliche Gedankeninhalte beinhalten), die auf internen (z.B. RAM, ROM) und externen Speichermedien (z.B. Festplatten, USB-Sticks, DVDs, Blu-rays, Speicherkarten, etc.) von den Beschuldigten gesichert bzw. archiviert werden. Dabei soll der Zugriff auf Daten, die für das Verfahren bedeutungslose Informationen enthalten, im Rahmen des Vertretbaren vermieden werden (s. BVerfG v. 12.4.2005, s.o.).
Hardware: Soweit die Hardware (z.B. PC, Laptop, Handy, etc.) zur Sichtbarmachung der Dateien als Beweismittel erforderlich ist, beziehen sich die in der Praxis von der Steuerfahndung beantragten Beschlagnahmebeschlüsse auch auf diese entsprechenden Geräte.
Speicherdateien, auf die von der am Durchsuchungsort vorhandenen Hardware aus zugegriffen werden kann, dürfen auch dann gesichtet und beschlagnahmt werden, wenn diese auf räumlich getrennten Speichermedien abgelegt werden (§ 110 Abs. 3 StPO). Dies gilt insb. für Dateien, die in Cloud-Speichern, E-Mail-Postfächern, sozialen Netzwerken (Facebook, Instagram, etc.), anderen Plattformen (eBay, digitales Bankschließfach, etc.) oder auf anderen externen Servern abgelegt werden.
Formulierungen in Durchsuchungs- und Beschlagnahmebeschlüssen: Auf diese Problemantik wird bereits durch die Formulierungen in den Durchsuchungs- und Beschlagnahmebeschlüssen eingegangen.
Beispiele:
"Von elektronisch magnetisch oder optisch gespeicherten Daten auf DV-Geräten, Speichermedien und/oder Mobiltelefonen sollen vor Ort – soweit möglich – Kopien der Speicherinhalte bzw. Images erstellt werden."
"Die Beschlagnahme bzw. Sicherstellung bezieht sich auf Daten, vor oder nach dem Ermittlungszeitraum, soweit sie zur Tataufklärung relevant sein könnten."
"Speicherdaten, die von der vor Ort vorhandenen Hardware aus zugegriffen werden kann, dürfen auch dann gesichert werden, wenn diese auf räumlich getrennten Speichermedien gespeichert sind."
Sollte vor Ort im Rahmen der Durchsuchung eine Datensicherung nicht in angemessener Zeit möglich sein, kann es in seltenen Fällen vorkommen, dass die Hardware zur weiteren Sicherung und Sichtung beschlagnahmt und mitgenommen wird.
b) Am Tag der Durchsuchung
Erkunden der DV-Systeme, der Speicherorte, der Zugangsvoraussetzungen und der IT-Verantwortlichen: Zunächst einmal wird durch die IT-Fahndung überprüft, welche DV-Systeme am Durchsuchungsort vorgefunden werden. Auch müssen die Speicherorte verfahrensrelevanter Daten festgestellt werden und wie der Zugriff auf diese Daten erfolgen kann. In Unternehmen mit entsprechenden IT-Richtlinien und -Sicherheitskonzepten sind hierfür oftmals bestimmte Benutzer- oder Administratorrechte erforderlich. Teilweise sind auch Schnittstellen (z.B. USB-Ports) aus Sicherheitsgründen gesperrt oder das Ausführen externer Anwendungen (somit z.B. auch die Sicherungssoftware der IT-Fahnder*innen) ist nur mit gesonderten Benutzerrechten möglich. Daher werden direkt zu Beginn einer Durchsuchungsmaßnahme die IT-Verantwortlichen (z.B. in einem Unternehmen) durch die IT-Fahnder*innen ermittelt, aufgesucht und befragt, um schnell und gezielt mit der Datensichtung und Sicherung beginnen zu können.
Beschlagnahme bei großen Datenmengen: In der Praxis ergeben sich am Tag der Durchsuchung dahingehend Probleme, dass häufiger eine Vielzahl von Dateien, E-Mails, etc., vor Ort gesichtet werden müssten, die teilweise in Terabyte-Bereiche – bei Großunternehmen auch mehr (Peta-Bereiche) – hineinreichen. Dies ist im Rahmen von Durchsuchungsmaßnahmen vor Ort menschlich nicht möglich, auch wenn dies von der Rechtsprechung gefordert wird, denn elektronische Daten können nur gesichtet werden, indem man jede einzelne Datei öffnet, betrachtet bzw. durchliest und wieder schließt. Dabei besteht die Gefahr, dass dadurch die einzelne Datei geändert wird. Ein solcher Vorgang wäre sehr zeitintensiv und würde ggf. auch betriebliche Prozesse einschränken.
Beachten Sie: Das Recht der Beschuldigten bzw. der Verteidigung bei der Sichtung anwesend zu sein, wird dadurch nicht eingeschränkt. Vielmehr kann dieses dann im Rahmen der Sichtung an Amtsstelle nachgeholt werden. In der Praxis wird der Verteidigung ein Besichti...