Unter diesem Hashtag machte am vergangenen Freitag ein bemerkenswerter und vermutlich auch bislang einzigartiger Vorgang in der Twitter-Gemeinde die Runde:
In den Räumen der Fa. aixIT GmbH in Offenbach am Main fand eine Durchsuchung statt. Grundlage war ein entsprechender Beschluss des Amtsgerichts Darmstadt vom 19.05.2011, der neben der Durchsuchung die Beschlagnahme einer nicht näher definierten Anzahl von Festplatten unbekannter Speichergröße zur Domain „piratenpad.de“ sowie den dort gespeicherten Daten zu einer bestimmten IP anordnete. Verantwortlicher Betreiber der besagten Domain: die Piratenpartei Deutschland. In Ausführung dieses Beschlusses waren Polizeibeamte am Freitag bei der aixIT GmbH aufgeschlagen und hatten sämtliche dort gehosteten Server der Piratenpartei – und nicht nur die, auf denen das Piratenpad läuft – vom Netz genommen.
Anlass für diese Aktion soll laut besagtem Durchsuchungsbeschluss ein Vorfall aus der Zeit vom 20. bis 23. April – also exakt einen Monat zuvor – sein, bei dem Unbekannte einen 14-stündigen sog. DDoS-Angriff auf die Website des französischen Elektrizitätsgesellschaft Électricité de France (EDF) gefahren haben sollen, in Folge dessen diverse Subdomains der Hauptseite für die Zeit des Angriffes nicht erreichbar gewesen sein sollen.
Durch „open-source-Recherchen“ hätten die französischen Ermittler dann Hinweise auf die Seite „http://piratenpad.de“ der Piratenpartei Deutschland erhalten, wo das Bundeskriminalamt Wiesbaden zahlreiche Links zu weiteren Seiten mit Erläuterungen zur Gruppe der Angreifer, Darstellungen mit Aufforderungen zu weiteren solcher Angriffe auf andere Websites und Informationen zur EDF gesichtet habe. Man vermutete nun auf dem Server „piratenpad.de“ weitere Informationen, die u.a. zur Identifizierung der Tätern führen könnten.
Aufgrund einer unterstellten Flüchtigkeit von Daten im Internet und der daraus abgeleiteten Gefahr des Verlustes der für die französischen Ermittler eventuell wichtigen Daten, sah es das Gericht zudem für erforderlich an, aufgrund eines lediglich angekündigten aber noch nicht vorliegenden justiziellen Rechtshilfeersuchens der französischen Behörden eine Vorabsicherung vorzunehmen und die Speichermedien zu beschlagnahmen. Abgerundet wurde das ganze mit dem Hinweis, dass in Deutschland keine rechtliche Verpflichtung eines Providers bestehe, eine solche Vorabsicherung ohne richterlichen Beschluss vorzunehmen.
Mit Schriftsatz vom 20. Mai 2011 habe ich für die Piratenpartei Deutschland Beschwerde gegen diesen Durchsuchungsbeschluss eingelegt mit dem Ziel, den Beschluss für unzulässig erklären, die Löschung der so gewonnenen Daten anordnen und die Rechtswidrigkeit des Beschlusses feststellen zu lassen.
Der gesamte Beschluss ist aus meiner Sicht schon deshalb ein starkes Stück, weil hier sehenden Auges ein Großteil der Kommunikations- und Arbeitsinfrastruktur einer Partei komplett lahmgelegt wurde, ohne dass sich das anordnende Gericht auch nur mit einem einzigen Satz mit dem besonderen Schutz, den Art. 21 GG Parteien und damit auch der Piratenpartei Deutschland gewährt, auseinandersetzt. Was für mich bedeutet: Das Amtsgericht Darmstadt hat sich vor bzw. bei Erlass des Beschlusses mit dieser Frage auch überhaupt nicht befasst. Dass sich diese Rechtsfrage indes aufdrängen musste, hat der Kollege Vetter in seinem Lawblog sehr gut dargestellt.
Was die Frage aufwirft: Was genau hat das Amtsgericht denn geprüft, bevor es den beantragten Beschluss erlassen hat? Hat es überhaupt etwas geprüft oder den Antrag im Vertrauen, dass das wohl alles seine Ordnung haben wird, unterschrieben?
Eine schlimme Vorstellung, aber der gesamte Beschluss lässt genau dies fürchten.
Schon der Umfang der angeordneten Beschlagnahme müsste im Rahmen einer Prüfung dem Gericht doch Anlass zum Nachdenken geben. Nach der Rechtsprechung muss eine Beschlagnahmeanordnung so genau formuliert sein, dass zweifelsfrei erkennbar ist, was beschlagnahmt werden soll. Eine nur allgemein gehaltene Anordnung wie z.B. „alle aufgefundenen Beweismittel“ reicht danach nicht aus. Der Beschluss des AG Darmstadt ist aber bedenklich allgemein gehalten, weil er anordnet, dass eine unbekannte Anzahl von Festplatten mit unbekannter Speichergröße beschlagnahmt werden sollen. Theoretisch lässt der Beschluss damit zu, dass die gesamte dort gehostete IT der Piratenpartei beschlagnahmt werden könnte.
In Folge dessen steht zu fürchten, dass es nun zu einem „Beschlagnahmeexzess“ gekommen ist. Was leider kein Einzelfall sein dürfte, über das gleiche Problem hatte ich schon einmal berichtet.
Bemerkenswert ist auch, mit welchem Selbstverständnis sich das Gericht über den Umstand hinwegsetzt, dass noch nicht einmal ein offizielles Rechtshilfeersuchen der französischen Behörden vorlag. In vorauseilendem Gehorsam konstruiert man eine Art Gefahr im Verzug und behauptet lapidar, die Daten seien im Netz flüchtig. Wohlgemerkt: Der Beschluss datiert fast taggenau einen Monate nach dem verfahrensgegenständlichen DDoS-Angriff! Aufgrund welcher konkreten Erkenntnisse man zu fürchten glaubt, gerade jetzt würden die Daten verschwinden, wird nicht erwähnt. Vermutlich, weil es sie nicht gibt. Auch hier drängen sich Zweifel auf, ob das Gericht seiner gesetzlichen Prüfungspflicht nachgekommen ist.
Zudem frage ich mich, warum man den Vorstand der Piratenpartei nicht um die gewünschten Daten gebeten hat. Erkennbar besteht weder gegen die Piratenpartei noch gegen die Mitglieder des Vorstandes der Verdacht, an den Attacken beteiligt gewesen zu sein. Als demokratische Partei mit den Kernzielen „Erhalt der Bürgerrechte und des Rechtsstaates“ kann die Partei auch nicht unter dem Generalverdacht stehen, sie stünde polizeilichen Ermittlungen derart negativ gegenüber, dass man diese gezielt behindern würde. Statt einer Erörterung dieses Problems findet sich sinnigerweise lediglich der Hinweis auf die in Deutschland fehlende Verpflichtung des Providers, ohne gerichtlichen Beschluss die begehrten Daten herauszugeben.
Spätestens hier reibt sich jeder mit urheberrechtlichen Streitigkeiten nicht ganz unvertraute Jurist die Augen: In den Massenabmahnverfahren ist es an der Tagesordnung, dass Provider per einstweiliger Verfügung verpflichtet werden, IP-Daten nicht zu löschen sondern Wochen später aufgrund weiterer gerichtlicher Verpflichtung zusammen mit den angeblichen Inhaberdaten herauszugeben. Sollte tatsächlich den Staatsanwaltschaften verwehrt sein, was der Rechteverwerter tagtägliches und tausendfaches Brot ist? Ein einfacher Beschluss, der die Piratenpartei verpflichtet hätte, die besagten Daten nicht zu löschen und anschließend in aller Ruhe und ohne dass es des Abschaltens sämtlicher Server bedurft hätte herauszuverlangen, soll nach deutschem Recht nur rechteverwertenden Großkanzleien nicht aber den Staatsanwaltschaften möglich sein?
Es zeigt sich: Der Beschluss ist im wahrsten Sinne des Wortes „maßlos“ und verstößt gegen das Übermaßverbot. Jede Ermittlungsmaßnahme muss im Verhältnis zum angestrebten Ziel stehen. Die Ermittlungsbehörden durften nicht auf Millionen von Daten und Dateien zugreifen, nur um ein vorher wohl schon bekanntes Pad und die dazugehörigen Daten zu erhalten.
Oder hat man auch hier wieder auf „Zufallsfunde“ spekuliert?
Mit der Erlaubnis von Emanuel Schach aus dessen Blog recht-merkwuerdig.blogspot.com kopiert.