Das nunmehr neu gefasste UN-Übereinkommen zur Bekämpfung von Cyberkriminalität regelt im Kern die internationale Zusammenarbeit zur Verhinderung und Verfolgung von Straftaten, die mithilfe von Informations- und Kommunikationstechnologien begangen werden.
Es zielt darauf ab, Straftaten wie illegale Zugriffe auf IT-Systeme, Dateninterferenzen, die Verbreitung von schädlicher Software, Identitätsdiebstahl, Kinderpornografie, und andere Formen von Cyberkriminalität zu verhindern und zu bestrafen. Weiterhin – und hier liegen ganz besondere Gefahren – fördert es den Austausch von elektronischen Beweismitteln und stärkt die internationale Zusammenarbeit bei Ermittlungen, einschließlich der gegenseitigen Rechtshilfe und Auslieferung. Das Übereinkommen legt großen Wert auf den Schutz von Opfern und auf Maßnahmen zur Beschlagnahme und Einziehung von Vermögenswerten, die durch Cyberkriminalität erlangt wurden.
Encrochat beim EUGH – die Zeichen stehen auf Wechsel in deutschen Strafprozessen, die Verwertung ist jedenfalls kein Selbstläufer! Heute richtet sich die Aufmerksamkeit der juristischen Welt erneut auf den Europäischen Gerichtshof (EuGH), wo die wegweisende Entscheidung zur Verwertung der EncroChat-Daten in deutschen Strafprozessen verkündet wurde, wobei die Pressemitteilung recht schwammig ist – aber einen wesentlichen und von mir erhofften Aspekt aufgreift:
Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.
Die Rechtsprechung des EUGH konturiert sich damit, muss aber differenziert betrachtet werden. Wobei ein weiterer Punkt überrascht. Dazu auch der Bericht bei Heise-Online.
Bitte beachten Sie, dass dieser Beitrag sehr zeitnah auf Basis der Pressemitteilung hier im Blog veröffentlicht wurde, um dem Informationsbedürfnis der vielen Betroffenen und hiesigen Mandanten gerecht zu werden. Es wird Tage dauern, bis ich die Entscheidung wirklich vollständig aufgearbeitet habe, sehen Sie daher später noch einmal hier hinein, es wird mit hoher Sicherheit eine tiefergehende Besprechung von mir geben. Rufen Sie nicht an, senden Sie keine Mail, haben Sie Geduld: Qualität braucht Zeit!Beachten Sie auch den LinkedIn-Beitrag dazu.
Die Studie befasst sich mit den Herausforderungen der digitalen Forensik in strafrechtlichen Ermittlungen und hebt die wachsende Bedeutung digitaler Beweismittel im Zuge der Zunahme von Cyberkriminalität hervor.
In mehreren Entscheidungen zur Information über Ersatzteile und Reparatur von Personenkraftwagen konnte sich der EuGH zu relevanten Fragen äußern. Dabei spielt die Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge eine erhebliche Rolle.
Der EuGH (C-319/22) konnte nun klarstellen, dass die hier in Art. 61 Abs. 1 Satz 2 vorgesehene Verpflichtung, die dort genannten Informationen in leicht zugänglicher Form in maschinenlesbarer und elektronisch verarbeitbarer Form zur Verfügung zu stellen, für alle „Reparatur- und Wartungsinformationen“ im Sinne des Art. 3 Nr. 48 der Verordnung gilt und nicht nur für Ersatzteilinformationen nach Anhang X Nr. 6.1 der Verordnung!
Der EuGH hob hervor, dass Fahrzeughersteller nicht verpflichtet sind, Fahrzeugreparatur- und -wartungsinformationen über eine Datenbankschnittstelle zugänglich zu machen, die eine maschinengesteuerte Abfrage und das Herunterladen der Ergebnisse ermöglicht. Sie sind jedoch verpflichtet, diese Informationen unabhängigen Marktteilnehmern in Dateien zur Verfügung zu stellen, deren Format eine unmittelbare elektronische Weiterverarbeitung der in diesen Dateien enthaltenen Datensätze ermöglicht. Darüber hinaus sind die Fahrzeughersteller verpflichtet, eine Datenbank einzurichten, die es ermöglicht, nicht nur anhand der Fahrzeug-Identifizierungsnummer (FIN), sondern auch anhand der in der letztgenannten Bestimmung vorgesehenen zusätzlichen Merkmale nach allen Teilen zu suchen, mit denen das Fahrzeug vom Hersteller ausgestattet ist.
Art. 61 Abs. 1 i.V.m. Art. 61 Abs. 4 und Anhang X Nr. 6.1 begründet für die Fahrzeughersteller zudem eine „rechtliche Verpflichtung“ i.S.d. Art. 6 Abs. 1 Buchst. c der Verordnung, die FIN der von ihnen hergestellten Fahrzeuge unabhängigen Wirtschaftsbeteiligten als „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 der Verordnung zur Verfügung zu stellen.
Der EuGH (C-296/22) hat zudem klargestellt, dass Art. 61 Abs. 1 und 4 in Verbindung mit Anhang X der Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge dahin auszulegen ist, dass sie dem entgegensteht, dass ein Fahrzeughersteller den Zugang unabhängiger Marktteilnehmer zu Fahrzeugreparatur- und -wartungsinformationen sowie zu Informationen des On-Board-Diagnosesystems, einschließlich des Rechts auf Zugang zu diesen Informationen in schriftlicher Form, von anderen als den in dieser Verordnung vorgesehenen Bedingungen abhängig macht:
Zunächst ist darauf hinzuweisen, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 9. Juni 2022, IMPERIAL TOBACCO BULGARIA, C‑55/21, EU:C:2022:459, Rn. 44 und die dort angeführte Rechtsprechung). Auch die Entstehungsgeschichte einer solchen Vorschrift kann relevante Anhaltspunkte für deren Auslegung liefern (vgl. in diesem Sinne Urteil vom 10. Dezember 2018, Wightman u. a., C‑621/18, EU:C:2018:999, Rn. 47 und die dort angeführte Rechtsprechung).
Was die wörtliche Auslegung der fraglichen Bestimmungen angeht, so sind gemäß Art. 61 Abs. 1 der Verordnung 2018/858 die Fahrzeughersteller verpflichtet, unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen im Sinne von Art. 3 Nr. 49 der Verordnung, Diagnose- und anderen Geräten und Instrumenten sowie zu Fahrzeugreparatur- und ‑wartungsinformationen im Sinne von Art. 3 Nr. 48 der Verordnung zu gewähren. Die Angaben sind leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen darzubieten.
Nach Art. 61 Abs. 4 der Verordnung sind „[d]ie Einzelheiten der technischen Anforderungen an den Zugang zu den Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, insbesondere technische Angaben über die Art und Weise der Bereitstellung von Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, … in Anhang X im Einzelnen festgelegt“. Nr. 2.9 dieses Anhangs schreibt vor, dass „[f]ür die Zwecke der Fahrzeug-OBD sowie der Fahrzeugdiagnose, ‑reparatur und ‑wartung … der direkte Fahrzeugdatenstrom über einen seriellen genormten Datenübertragungsanschluss … bereitzustellen“ ist. Abs. 2 dieser Bestimmung stellt außerdem klar, dass dann, wenn sich das Fahrzeug in Bewegung befindet, auf die Daten nur im Lesemodus zugegriffen werden darf.
Daraus ergibt sich zum einen, dass die Verpflichtung der Fahrzeughersteller aus Art. 61 Abs. 1 der Verordnung 2018/858, einen uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen bereitzustellen, die Verpflichtung einschließt, unabhängigen Wirtschaftsakteuren zu erlauben, diese Informationen zu verarbeiten und zu verwerten, ohne dass für sie andere als die in der Verordnung bestimmten Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 29). Zum anderen ergibt sich aus Anhang X Nr. 2.9 Abs. 2 der Verordnung, dass diese Wirtschaftsakteure, wenn sich das Fahrzeug nicht in Bewegung befindet, einen weiter gehenden Zugang haben müssen als den in dieser Bestimmung genannten Lesemodus.
Was die systematische Auslegung der fraglichen Bestimmungen betrifft, so werden in Anhang X Nrn. 6.2 und 6.4 der Verordnung 2018/858 zum einen die Vorgaben für den Zugang zu Sicherheitsmerkmalen des Fahrzeugs und zum anderen die Anforderungen an die Reprogrammierung der Steuerungsgeräte festgelegt. Wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, sind in diesen Nummern die Fälle bestimmt, in denen der Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen aufgrund ihrer Bedeutung für die Sicherheit an bestimmte Bedingungen geknüpft werden kann. Liegt keiner dieser Fälle vor, müssen unabhängige Wirtschaftsakteure daher ein Recht auf Zugang zu diesen Informationen haben, ohne dass für sie andere als die in der Verordnung vorgesehenen Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 32).
Die Auslegung in Rn. 29 des vorliegenden Urteils wird durch das in den Erwägungsgründen 50 und 52 der Verordnung 2018/858 genannte Ziel bestätigt, einen wirksamen Wettbewerb auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste zu ermöglichen, damit die unabhängigen Wirtschaftsakteure auf dem Markt der Fahrzeugreparatur und ‑wartung mit Vertragshändlern konkurrieren können (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 30).
Die unabhängigen Wirtschaftsakteure müssen somit uneingeschränkten Zugang zu den Informationen erhalten, die für die Erfüllung ihrer Aufgaben in der Lieferkette auf dem Markt der Fahrzeugreparatur und ‑wartung erforderlich sind. Würde der Zugang zu den in Art. 61 Abs. 1 der Verordnung 2018/858 genannten Informationen an Bedingungen geknüpft, die in der Verordnung nicht vorgesehen sind, bestünde die Gefahr, dass sich die Anzahl der unabhängigen Werkstätten, die Zugang zu diesen Informationen haben, verringert, was möglicherweise zu einem Rückgang des Wettbewerbs auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste und damit zu einem verringerten Angebot für Verbraucher führt. Könnten die Hersteller den Zugang zum direkten Fahrzeugdatenstrom im Sinne von Nr. 2.9 des Anhangs X der Verordnung nach Belieben beschränken, stünde es ihnen zudem frei, den Zugang zu diesem Datenstrom von Bedingungen abhängig zu machen, die ihn praktisch vereiteln könnten.
EUGH, C-296/22
Hinweis: Dazu siehe auch Ferner in BeckOK-StPO, §2 TTDSG, Rn. 22-26.4 (Stichwort „Car-Forensik“).
Die Blackbos im PKW kommt: Ein PKW ist ein wahrer Datenschatz, auch für Ermittler. Mit dem 6. Juli 2022 kommt ein neues besonderes Detail dazu: die „Blackbox“, die ab dann in allen neuen Fahrzeugen vorhanden sein muss. Strafrechtliche Ermittlungen werden damit nicht nur, aber speziell bei verkehrsbezogenen Delikten ganz neue Wege gehen können.
Der Bundesgerichtshof (III ZR 195/20) konnte sich zu den Hinweispflichten im Rahmen des Zivilprozesses äußern: Möchte ein Gericht von ihm dem Internet entnommene Tatsachen als offenkundig im Sinne des § 291 ZPO seinem Urteil zugrunde legen, muss es den Parteien durch einen Hinweis die Möglichkeit zur Stellungnahme geben.
Dieser Hinweis ist auch von Bedeutung, denn es ist davon auszugehen, dass das Gericht eine offenkundige Tatsache entsprechend §291 ZPO auch ohne entsprechende Behauptung durch die Parteien in den Prozess einführen und seiner Entscheidung zugrunde legen darf (dazu OLG Zweibrücken, 3 W 147/13).
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar?In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
Der Bundesgerichtshof (3 StR 518/19) konnte klarstellen, dass mitgebrachte Ausdrucke einer ansonsten nur digital vorhandenen E-Mail präsente Beweismittel im Sinne des § 245 Abs. 2 StPO darstellen. Die Entscheidung ist wegweisend – zeigt aber auch, womit man sich bei Landgerichten immer noch als Verteidiger herumärgern muss.
