Was ist SkyECC?
SkyECC war eine Ende-zu-Ende-verschlüsselte Kommunikationsplattform, betrieben durch die kanadische Firma Sky Global. Der Dienst stellte modifizierte Smartphones mit vorinstallierter SkyECC-App bereit, auf denen Kameras, Mikrofon und GPS deaktiviert waren, um maximale Vertraulichkeit zu garantieren. Die Nutzer kommunizierten über anonyme Nutzernamen und selbstzerstörende Nachrichten, ähnlich wie bei EncroChat oder üblichen Messengern wie Signal und WhatsApp. Insgesamt nutzten schätzungsweise rund 170.000 Geräte weltweit diese Plattform. SkyECC bewarb seine App als „die sicherste Kommunikationsplattform, die man kaufen kann“.
Wie gelangten Ermittlungsbehörden an die SkyECC-Nachrichten?
Die Inhalte der SkyECC-Chats galten lange als absolut sicher – dennoch gelang es internationalen Strafverfolgern, dieses Netzwerk zu infiltrieren. Offiziell sind viele Details noch unklar, doch Berichte und Leaks lassen den Ablauf der Geheimoperation in etwa rekonstruieren:
· 2018: Erste Ermittlungen in Europa liefen an. Man identifizierte SkyECC-Server im Rechenzentrum OVH in Roubaix (Frankreich).
· November 2018: Ein Ermittlungsrichter in Amsterdam lehnt das Begehren der niederländischen Behörden, den gesamten Traffic aller SkyECC-Geräte abzufangen ab, weil es keinen konkreten Tatverdacht gegen die einzelnen Nutzer bezüglich einer Straftat gab und die Maßnahme somit unverhältnismäßig wäre.
· Juni 2019: Auf Antrag französischer Behörden, dem eine niederländische Europäische Ermittlungsanordnung zugrunde liegt, genehmigte ein französisches Gericht das Abfangen des gesamten SkyECC-Datenverkehrs auf diesen Servern. Von da an wurden sämtliche Nachrichten, Notizen und Standorte mitgeschnitten – ein beispielloser Schritt. Über 21 Monate (Juni 2019 bis März 2021) überwachten die Ermittler auf diesem Weg den Nachrichtenverkehr von weltweit ca. 170.000 Geräten, indem der gesamte Server-Datenstrom heimlich abgegriffen und umgeleitet wurde.
· Dezember 2020: Zunächst fielen nur verschlüsselte Daten an. Ende 2020 gelang es niederländischen Technikern schließlich, einen Weg zu finden, die einzelnen Telefone so zu manipulieren, dass sie den Behörden ihren Privaten "Schlüssel" übermittelten. Damit konnten die Behörden rückwirkend die auf Vorrat gespeicherten Daten öffnen.
· Februar 2021: Mit den von den Telefonen gewonnenen Schlüsseln startete die Live-Überwachung: Über 70.000 SkyECC-Telefone konnten nun in Echtzeit mitgelesen werden. Innerhalb der Operation wurden etwa eine Milliarde Nachrichten insgesamt abgefangen – ein enormes Datenvolumen, das den Ermittlern tiefe Einblicke in die kriminelle Unterwelt gab.
· März 2021: Am 9. März schlugen Polizei und Europol im Rahmen von „Operation Argus“ zu. In Belgien, den Niederlanden und anderen Ländern fanden gleichzeitig Razzien statt, Dutzende Verdächtige wurden festgenommen, und die SkyECC-Infrastruktur wurde abgeschaltet. Kurz darauf erhoben US-Behörden zudem Anklage gegen den kanadischen Betreiber (CEO Jean-François Eap) wegen Beihilfe zu kriminellen Geschäften. SkyECC war damit zerschlagen.
Diese internationale Kooperation von Belgien, den Niederlanden, Frankreich (unter Koordination von Europol) führte also dazu, dass die Ermittler monatelang ungestört alle SkyECC-Chats mitlesen konnten. Für die Nutzer kam die Aufdeckung völlig überraschend, da sie bis zuletzt auf die Sicherheit der Plattform vertrauten.
Gibt es Beweisverbote für SkyECC-Daten vor Gericht?
Die entscheidende Frage für laufende Strafverfahren ist, ob die aus SkyECC abgefangenen Chats als Beweismittel verwertbar sind – oder ob ein Beweisverwertungsverbot greift. Die Ermittlungsmaßnahmen rund um SkyECC sind beispiellos und rechtlich anders gelagert als etwa beim vorherigen EncroChat-Fall. Während bei EncroChat die französischen Behörden mittels einer infiltrierenden Software (Malware) einige Wochen lang Daten erheben konnten, erfolgte der SkyECC-Zugriff als längerfristige Massenüberwachung ohne individuellen Tatverdacht.
Aus Sicht des deutschen Rechts spricht vieles dafür, dass ein solcher Massenangriff auf private Kommunikation unzulässig ist. Die SkyECC-Operation erfasste hunderttausende Unbeteiligte und glich eher einer nachrichtendienstlichen Maßnahme ins Blaue hinein. Ohne konkrete Verdächtige über einen so langen Zeitraum Daten abzugreifen, verstößt gegen fundamentale Prinzipien – etwa das Fernmeldegeheimnis und das IT-Grundrecht auf Vertraulichkeit und Integrität informationeller Systeme. Eine derart ungerechtfertigte Vorratsdatenspeicherung und Online-Durchsuchung „durch die Hintertür“ hätte in Deutschland keine Rechtsgrundlage und wäre verfassungsrechtlich unzulässig.
Daraus ergibt sich ein starker Ansatz für die Verteidigung: Möglicherweise unterliegen die SkyECC-Daten einem Beweisverwertungsverbot, da sie auf rechtswidrige Weise erlangt wurden. Sollte ein deutsches Gericht dies so sehen, dürften die Chat-Inhalte nicht als Beweis verwendet werden.
Wie läuft eine Verteidigung in SkyECC-Fällen ab?
In SkyECC-Verfahren steht für die Verteidigung viel auf dem Spiel – zugleich bieten die unklaren Umstände auch Chancen. Da weitergehende Beweismittel außer den Chat-Nachrichten oft fehlen, hängt das Verfahren meist komplett an der Verwertbarkeit der SkyECC-Daten sowie der Integrität und Authentizität der vorliegenden Daten. Eine erfolgreiche Verteidigungsstrategie konzentriert sich deshalb darauf, diese Daten rechtlich in Frage zu stellen und die Herkunft der Daten kritisch zu hinterfragen. Konkret kann die Verteidigung wie folgt vorgehen:
· Aufklärung erzwingen: Zunächst muss der Verteidiger Licht ins Dunkel bringen, wie die Daten erhoben wurden. Viele Gerichte neigen dazu, die Herkunft der Beweise nicht von sich aus aufzuklären – hier ist es Aufgabe der Verteidigung, aktiv nachzuhaken. Das bedeutet, Einsicht in ausländische Ermittlungsakten zu beantragen, offizielle Rechtshilfeersuchen und Beschlüsse anzufordern und die Legalität der Datenerhebung prüfen zu lassen.
· Beweisverwertungsverbot geltend machen: Sobald Anhaltspunkte vorliegen, dass die SkyECC-Überwachung gegen Rechtsgrundsätze verstieß (z.B. fehlender konkreter Tatverdacht gegen die einzelnen Nutzer, Verstoß gegen EU-Datenschutzrecht), kann dies zu einem Beweisverwertungsverbot führen.
· Argumentation im Detail: In diesem Kontext sind technische und rechtliche Gutachten hilfreich. Zum Beispiel kann argumentiert werden, dass die grundlegende EU-Rechtsprechung zur Vorratsdatenspeicherung durch das Vorgehen der französischen Behörden verletzt wurde. All dies untermauert die Forderung, die Beweise nicht zuzulassen.
· Einsichtnahme in die Rohdaten: Um die Integrität und Authentizität der SkyECC-Daten im Einzelfall überprüfen zu können, muss Einsicht in die Rohdaten genommen werden. Nur so kann gewährleistet werden, dass die vorliegenden Daten tatsächlich authentisch sind.
· Identifizierung hinterfragen: Die Identifizierung des jeweiligen Nutzers muss hinterfragt und überprüft werden. Lassen sich Angaben aus den Daten mit anderen Beweisen widerlegen? Kann ein Alibibeweis mit den GEO-Daten geführt werden? Hat sich der Beschuldigte nachweislich zu einem Zeitpunkt irgendwo aufgehalten, wo das ihm vermeintlich zugeordnete SkyECC-Telefon gerade nicht war?
· Beschwerden vor ausländischen Gerichten: In bestimmten kann es sinnvoll sein, dass im Namen des Betroffenen Beschwerde in Frankreich und den Niederlanden gegen die Datenerhebung eingelegt wird. Sollte dort festgestellt werden, dass die Datenerhebung auf den einzelnen Nutzer bezogen rechtswidrig war, kann das zu einem Ausschluss der Beweise in einem deutschen Verfahren führen.
Wichtig ist: Die Verteidigung muss proaktiv sein. In SkyECC-Fällen reicht es nicht, nur auf die vorliegenden Akten zu reagieren. Vielmehr müssen Verteidiger selbst Nachforschungen anstellen und den Gerichten die Problematik vor Augen führen. Jeder Aspekt der Datengewinnung – von der Zuständigkeit der ausländischen Behörden bis zur Datenübermittlung nach Deutschland – sollte hinterfragt werden. Eine engagierte und kenntnisreiche Verteidigung hat hier die Möglichkeit, neue Rechtsfragen zu stellen und im Sinne des Mandanten zu nutzen.
Fazit: SkyECC-Fälle sind eine neue Herausforderung für die Strafjustiz. Noch ist vieles ungeklärt, doch genau darin liegt auch eine Chance für die Verteidigung. Mit den richtigen Fragen, fundierten Rechtsargumenten und einem versierten Experten an der Seite bestehen durchaus Möglichkeiten, erfolgreich gegen eine auf SkyECC-Daten gestützte Anklage vorzugehen. Die Entwicklung bleibt spannend – und es gilt, die Rechte der Beschuldigten in diesem neuartigen Bereich entschlossen zu verteidigen.