Eine aktuelle Entscheidung des Oberlandesgerichts Köln (11 W 15/24) befasst sich mit der Vollstreckung der Herausgabe von Kryptowährungen aus einer Wallet, die treuhänderisch verwahrt wurden. Die Entscheidung wirft interessante rechtliche Fragen zur Durchsetzbarkeit von Urteilen im Zusammenhang mit digitalen Assets auf, insbesondere angesichts der technischen Herausforderungen und der mangelnden Verfügbarkeit von notwendigen Zugangsdaten.
Vollstreckung der Herausgabe von Kryptowährungen aus Wallet weiterlesenSchlagwort: IT-Forensik
EUGH zu Encrochat 2024: Effektive Verteidigung muss in Deutschland sichergestellt sein
Encrochat beim EUGH – die Zeichen stehen auf Wechsel in deutschen Strafprozessen, die Verwertung ist jedenfalls kein Selbstläufer! Heute richtet sich die Aufmerksamkeit der juristischen Welt erneut auf den Europäischen Gerichtshof (EuGH), wo die wegweisende Entscheidung zur Verwertung der EncroChat-Daten in deutschen Strafprozessen verkündet wurde, wobei die Pressemitteilung recht schwammig ist – aber einen wesentlichen und von mir erhofften Aspekt aufgreift:
Das nationale Strafgericht muss in einem Strafverfahren gegen eine Person, die der Begehung von Straftaten verdächtig ist, Beweismittel unberücksichtigt lassen, wenn die betroffene Person nicht in der Lage ist, zu ihnen Stellung zu nehmen, und wenn sie geeignet sind, die Würdigung der Tatsachen maßgeblich zu beeinflussen.
Die Rechtsprechung des EUGH konturiert sich damit, muss aber differenziert betrachtet werden. Wobei ein weiterer Punkt überrascht. Dazu auch der Bericht bei Heise-Online.
Bitte beachten Sie, dass dieser Beitrag sehr zeitnah auf Basis der Pressemitteilung hier im Blog veröffentlicht wurde, um dem Informationsbedürfnis der vielen Betroffenen und hiesigen Mandanten gerecht zu werden. Es wird Tage dauern, bis ich die Entscheidung wirklich vollständig aufgearbeitet habe, sehen Sie daher später noch einmal hier hinein, es wird mit hoher Sicherheit eine tiefergehende Besprechung von mir geben. Rufen Sie nicht an, senden Sie keine Mail, haben Sie Geduld: Qualität braucht Zeit! Beachten Sie auch den LinkedIn-Beitrag dazu.
EUGH zu Encrochat 2024: Effektive Verteidigung muss in Deutschland sichergestellt sein weiterlesenModerne Herausforderungen digitaler Forensik
In diesem Blog-Beitrag mlchte ich kurz auf die aktuelle Studie „Cybercrime and the Law: Addressing the Challenges of Digital Forensics in Criminal Investigations“ von Naeem Allah Rakha eingehen.
Die Studie befasst sich mit den Herausforderungen der digitalen Forensik in strafrechtlichen Ermittlungen und hebt die wachsende Bedeutung digitaler Beweismittel im Zuge der Zunahme von Cyberkriminalität hervor.
Moderne Herausforderungen digitaler Forensik weiterlesenZugriff auf Fahrzeugreparatur- und ‑wartungsinformationen
In mehreren Entscheidungen zur Information über Ersatzteile und Reparatur von Personenkraftwagen konnte sich der EuGH zu relevanten Fragen äußern. Dabei spielt die Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge eine erhebliche Rolle.
Der EuGH (C-319/22) konnte nun klarstellen, dass die hier in Art. 61 Abs. 1 Satz 2 vorgesehene Verpflichtung, die dort genannten Informationen in leicht zugänglicher Form in maschinenlesbarer und elektronisch verarbeitbarer Form zur Verfügung zu stellen, für alle „Reparatur- und Wartungsinformationen“ im Sinne des Art. 3 Nr. 48 der Verordnung gilt und nicht nur für Ersatzteilinformationen nach Anhang X Nr. 6.1 der Verordnung!
Der EuGH hob hervor, dass Fahrzeughersteller nicht verpflichtet sind, Fahrzeugreparatur- und -wartungsinformationen über eine Datenbankschnittstelle zugänglich zu machen, die eine maschinengesteuerte Abfrage und das Herunterladen der Ergebnisse ermöglicht. Sie sind jedoch verpflichtet, diese Informationen unabhängigen Marktteilnehmern in Dateien zur Verfügung zu stellen, deren Format eine unmittelbare elektronische Weiterverarbeitung der in diesen Dateien enthaltenen Datensätze ermöglicht. Darüber hinaus sind die Fahrzeughersteller verpflichtet, eine Datenbank einzurichten, die es ermöglicht, nicht nur anhand der Fahrzeug-Identifizierungsnummer (FIN), sondern auch anhand der in der letztgenannten Bestimmung vorgesehenen zusätzlichen Merkmale nach allen Teilen zu suchen, mit denen das Fahrzeug vom Hersteller ausgestattet ist.
Art. 61 Abs. 1 i.V.m. Art. 61 Abs. 4 und Anhang X Nr. 6.1 begründet für die Fahrzeughersteller zudem eine „rechtliche Verpflichtung“ i.S.d. Art. 6 Abs. 1 Buchst. c der Verordnung, die FIN der von ihnen hergestellten Fahrzeuge unabhängigen Wirtschaftsbeteiligten als „Verantwortlichen“ im Sinne von Art. 4 Nr. 7 der Verordnung zur Verfügung zu stellen.
Der EuGH (C-296/22) hat zudem klargestellt, dass Art. 61 Abs. 1 und 4 in Verbindung mit Anhang X der Verordnung (EU) 2018/858 über die Genehmigung und Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge dahin auszulegen ist, dass sie dem entgegensteht, dass ein Fahrzeughersteller den Zugang unabhängiger Marktteilnehmer zu Fahrzeugreparatur- und -wartungsinformationen sowie zu Informationen des On-Board-Diagnosesystems, einschließlich des Rechts auf Zugang zu diesen Informationen in schriftlicher Form, von anderen als den in dieser Verordnung vorgesehenen Bedingungen abhängig macht:
Zunächst ist darauf hinzuweisen, dass bei der Auslegung einer Vorschrift des Unionsrechts nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 9. Juni 2022, IMPERIAL TOBACCO BULGARIA, C‑55/21, EU:C:2022:459, Rn. 44 und die dort angeführte Rechtsprechung). Auch die Entstehungsgeschichte einer solchen Vorschrift kann relevante Anhaltspunkte für deren Auslegung liefern (vgl. in diesem Sinne Urteil vom 10. Dezember 2018, Wightman u. a., C‑621/18, EU:C:2018:999, Rn. 47 und die dort angeführte Rechtsprechung).
Was die wörtliche Auslegung der fraglichen Bestimmungen angeht, so sind gemäß Art. 61 Abs. 1 der Verordnung 2018/858 die Fahrzeughersteller verpflichtet, unabhängigen Wirtschaftsakteuren uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen im Sinne von Art. 3 Nr. 49 der Verordnung, Diagnose- und anderen Geräten und Instrumenten sowie zu Fahrzeugreparatur- und ‑wartungsinformationen im Sinne von Art. 3 Nr. 48 der Verordnung zu gewähren. Die Angaben sind leicht zugänglich in Form von maschinenlesbaren und elektronisch verarbeitbaren Datensätzen darzubieten.
Nach Art. 61 Abs. 4 der Verordnung sind „[d]ie Einzelheiten der technischen Anforderungen an den Zugang zu den Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, insbesondere technische Angaben über die Art und Weise der Bereitstellung von Fahrzeug-OBD‑Informationen und Fahrzeugreparatur- und ‑wartungsinformationen, … in Anhang X im Einzelnen festgelegt“. Nr. 2.9 dieses Anhangs schreibt vor, dass „[f]ür die Zwecke der Fahrzeug-OBD sowie der Fahrzeugdiagnose, ‑reparatur und ‑wartung … der direkte Fahrzeugdatenstrom über einen seriellen genormten Datenübertragungsanschluss … bereitzustellen“ ist. Abs. 2 dieser Bestimmung stellt außerdem klar, dass dann, wenn sich das Fahrzeug in Bewegung befindet, auf die Daten nur im Lesemodus zugegriffen werden darf.
Daraus ergibt sich zum einen, dass die Verpflichtung der Fahrzeughersteller aus Art. 61 Abs. 1 der Verordnung 2018/858, einen uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen bereitzustellen, die Verpflichtung einschließt, unabhängigen Wirtschaftsakteuren zu erlauben, diese Informationen zu verarbeiten und zu verwerten, ohne dass für sie andere als die in der Verordnung bestimmten Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 29). Zum anderen ergibt sich aus Anhang X Nr. 2.9 Abs. 2 der Verordnung, dass diese Wirtschaftsakteure, wenn sich das Fahrzeug nicht in Bewegung befindet, einen weiter gehenden Zugang haben müssen als den in dieser Bestimmung genannten Lesemodus.
Was die systematische Auslegung der fraglichen Bestimmungen betrifft, so werden in Anhang X Nrn. 6.2 und 6.4 der Verordnung 2018/858 zum einen die Vorgaben für den Zugang zu Sicherheitsmerkmalen des Fahrzeugs und zum anderen die Anforderungen an die Reprogrammierung der Steuerungsgeräte festgelegt. Wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, sind in diesen Nummern die Fälle bestimmt, in denen der Zugang zu OBD‑Informationen sowie zu Fahrzeugreparatur- und ‑wartungsinformationen aufgrund ihrer Bedeutung für die Sicherheit an bestimmte Bedingungen geknüpft werden kann. Liegt keiner dieser Fälle vor, müssen unabhängige Wirtschaftsakteure daher ein Recht auf Zugang zu diesen Informationen haben, ohne dass für sie andere als die in der Verordnung vorgesehenen Bedingungen gelten (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 32).
Die Auslegung in Rn. 29 des vorliegenden Urteils wird durch das in den Erwägungsgründen 50 und 52 der Verordnung 2018/858 genannte Ziel bestätigt, einen wirksamen Wettbewerb auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste zu ermöglichen, damit die unabhängigen Wirtschaftsakteure auf dem Markt der Fahrzeugreparatur und ‑wartung mit Vertragshändlern konkurrieren können (vgl. in diesem Sinne Urteil vom 27. Oktober 2022, ADPA und Gesamtverband Autoteile-Handel, C‑390/21, EU:C:2022:837, Rn. 30).
Die unabhängigen Wirtschaftsakteure müssen somit uneingeschränkten Zugang zu den Informationen erhalten, die für die Erfüllung ihrer Aufgaben in der Lieferkette auf dem Markt der Fahrzeugreparatur und ‑wartung erforderlich sind. Würde der Zugang zu den in Art. 61 Abs. 1 der Verordnung 2018/858 genannten Informationen an Bedingungen geknüpft, die in der Verordnung nicht vorgesehen sind, bestünde die Gefahr, dass sich die Anzahl der unabhängigen Werkstätten, die Zugang zu diesen Informationen haben, verringert, was möglicherweise zu einem Rückgang des Wettbewerbs auf dem Markt für Fahrzeugreparatur- und Fahrzeugwartungsinformationsdienste und damit zu einem verringerten Angebot für Verbraucher führt. Könnten die Hersteller den Zugang zum direkten Fahrzeugdatenstrom im Sinne von Nr. 2.9 des Anhangs X der Verordnung nach Belieben beschränken, stünde es ihnen zudem frei, den Zugang zu diesem Datenstrom von Bedingungen abhängig zu machen, die ihn praktisch vereiteln könnten.
EUGH, C-296/22
Hinweis: Dazu siehe auch Ferner in BeckOK-StPO, §2 TTDSG, Rn. 22-26.4 (Stichwort „Car-Forensik“).
Prozessrecht: Befangenheit des Sachverständigen
Wann ist ein Sachverständiger im IT-Prozess bzw. Zivilprozess befangen? Die Ablehnung eines Sachverständigen wegen Befangenheit ist prozessual nicht leicht zu bewerkstelligen. Grundsätzlich gilt, dass ein Sachverständiger entsprechend § 406 Abs. 1 Satz 1 ZPO i.V.m. § 42 Abs. 2 ZPO wegen Besorgnis der Befangenheit abgelehnt werden kann, wenn ein Grund vorliegt, der geeignet ist, Misstrauen gegen seine Unparteilichkeit zu rechtfertigen.
Bei ungünstigen Gutachten gehen die Betroffenen dabei gerne (vorschnell) von einem solchen Misstrauen aus. Es gilt aber, dass es sich dabei um Tatsachen oder Umstände handeln muss, die vom Standpunkt des Ablehnenden aus bei vernünftiger Betrachtung die Befürchtung wecken können, der Sachverständige stehe der Sache nicht unvoreingenommen und damit nicht unparteiisch gegenüber.
Prozessrecht: Befangenheit des Sachverständigen weiterlesenHaftung der Geschäftsführung für IT-Sicherheitslücken
Wie stellt sich die Haftungssituation im Themenkomplex der IT-Sicherheit, insbesondere für Geschäftsleitung (Geschäftsführer und Vorstand), dar? In meinem Vortrag zur Haftung bei IT-Sicherheitslücken, zugeschnitten auf Geschäftsführung und Vorstände, gehe ich auf die relevanten Umstände ein: Nach einer Darstellung allgemeiner Haftungsfragen werden, hierauf aufbauend, konkrete Haftungsfragen für Arbeitnehmer & Vorstand aufgezeigt sowie abschließend, in aller Kürze, Wege der Haftungsbegrenzung dargestellt – bis hin zur Frage, ob es nicht ein Haftungsgrund ist, wenn man als Unternehmen nicht vorsorglich Bitcoin kauft. Im Folgenden stelle ich wesentliche Teile des Vortrags zur Haftung des Vorstands bei IT-Sicherheitslücken vor.
Die IT-Sicherheit ist das Kernthema moderner Informationstechnologie und zunehmend im Fokus auch politischer Entwicklungen – gleichwohl fehlt es bis heute an einem differenzierten verbindlichen Regelwerk; zwar gibt es auf EU-Ebene Vorgaben und erste gesetzliche Regelungen auf nationaler Ebene. Doch gerade im Bereich originärer Probleme, speziell bei der Entwicklung und dem Einsatz von Software oder der Haftung eines Unternehmensvorstands, ergeben sich sofort unklare Haftungssituationen. In der rechtlichen Praxis scheint die IT-Sicherheit als solche zu verkümmern und auf die praktische Anwendung von Teilbereichen der DSGVO hinauszulaufen – tatsächlich aber gibt es unmittelbare Haftungs-Szenarien.
Haftung der Geschäftsführung für IT-Sicherheitslücken weiterlesenEinziehung von Hardware bei Cybercrime
In IT-Strafsachen spielt die Einziehung von Hardware eine herausragende Rolle – die Staatsanwaltschaften und Gerichte sind hier häufig sehr interessiert, entsprechende Hardware dem Betroffenen zu entziehen; nicht selten hat man dabei das Gefühl, dass auf dem Weg noch eine zusätzliche Strafwirkung erzielt werden soll. Dabei sieht das Gesetz vor, dass gerade Werkzeuge der Tat aber eben auch gezogene Früchte der Tat zwingend einzuziehen sind.
Tatsächlich aber ist die Einziehung keineswegs ohne weiteres möglich, insbesondere ist regelmäßig die Verhältnismäßigkeit zu wahren. Da geht es dann darum, um nicht eine (teilweise) Löschung ausreicht oder ob man aus einem PC nicht lediglich die Festplatte ausbauen kann.
Dazu bei uns: Einziehung im Strafverfahren
Encrochat – Einordnung des staatlichen Hackangriffs
Am 21.11.2021 durfte ich im Rahmen des Strafverteidiger-Tages 2021 dazu vortragen, was möglicherweise technisch bei Encrochat aufseiten der französischen Ermittler gelaufen ist, wie man dies juristisch einordnet und warum das IT-Forensisch alles Grütze ist, was da in deutsche Prozesse eingeführt wird. Dazu habe ich erstmals einen Blick auf meine Arbeitsunterlage zu den umfangreichen Ermittlungsinstrumenten deutscher Ermittler gegeben, was ein mitunter erschreckendes Ausmaß offenbart. Die Folien stelle ich nun hier zur Einsicht zur Verfügung.
Mehr zu Encrochat? In unserem Blog finden sich unter dem Schlagwort Encrochat die wichtigsten Entscheidungen, vor allem der Oberlandesgerichte, zum Thema. Mit Rücksicht auf meine Mandanten sehe ich von aktuellen Berichten aus laufenden Verfahren mit Encrochat-Bezug ebenso ab, wie von Berichten über das, was mit Kollegen berichten, die ich (im Hintergrund) IT-forensisch berate.
Encrochat – Einordnung des staatlichen Hackangriffs weiterlesenDigitale Beweismittel
Digitale Beweismittel: Wie geht man mit digitalen Beweismitteln (richtig) um? Diese Frage ist allgegenwärtig und leider kaum Gegenstand juristischer Auseinandersetzungen: Es gibt nur eine extrem überschaubare Anzahl von Aufsätzen zum Thema, gerichtliche Entscheidungen sind noch seltener. Dabei drängt sich gerade mit der zunehmenden Digitalisierung des Prozesswesens diese Frage auf.
Vor allem eine Frage ist inzwischen ebenso drängend wie vollkommen aus dem Fokus geraten: Was ist ein digitales Beweismittel? In diesem Beitrag gehe ich auf die wesentlichen Problembereiche rund um digitale Beweismittel ein, ich widme dabei einen wesentlichen Teil meines Alltags rund um technische und rechtliche Fragen von IT-Forensik und digitaler Beweismittel.
Digitale Beweismittel weiterlesenAngriff auf Cellebrite
In einem beachtlichen Blog-Posting teilen die Macher hinter Signal mit, man habe die IT-Forensische Software von Cellebrite gehackt. Doch man belässt es nicht dabei, sondern formuliert einen durchdachten und mehr oder minder subtilen Angriff auf Cellebrite, der nicht ignoriert bleiben dürfte.
Angriff auf Cellebrite weiterlesen