Sky ECC – Der Hack heiligt die Mittel?
In den letzten Jahren sind verschiedene Anbieter von vermeintlich abhörsicheren Mobiltelefonen – insbesondere EncroChat- und Anom-Handys – sowie kryptiere Messengerdienste von den Ermittlungsbehörden gehackt worden. Sky ECC ist ein solcher Messengerdienst, welcher von dem in Kanada ansässigen Unternehmen Sky Global betrieben wurde. Das Unternehmen bewarb den Instant Messenger damit, besonders anonym und geschützt vor Zugriffen von außen zu sein. Der Dienst wurde auf eigens dafür modifizierten Geräten als Abonnement vertrieben.
Im März 2021 wurde bekannt, dass ein Team aus belgischen, französischen und niederländischen Ermittlern ein Hack des Messengers gelungen war. Die zugrundeliegenden Ermittlungen begannen wohl bereits 2016. Davon betroffen waren laut Angaben der Ermittler etwa 170.000 Geräte, wovon eine fünfstellige Anzahl in Deutschland ansässig gewesen bzw. Bezüge nach Deutschland gehabt haben soll. Es wurden über einen Zeitraum von 21 Monaten Daten gewonnen; insgesamt handelt es sich um ca. 1 Milliarde Chatnachrichten. Es heißt, dass die Datenmenge diejenige aus dem bereits zuvor erfolgten Hack des Messengers EncroChat um das Drei- bis Vierfache übersteigt. Insbesondere wurde hier über einen weitaus längeren Zeitraum überwacht, als dies bei EncroChat der Fall war. In den Wochen vor Bekanntwerden des Hacks sollen zudem bis zu 70.000 Geräte live überwacht worden sein.
Deutsche Ermittlungsbehörden sollen an dem Hack selbst nicht beteiligt gewesen sein, sondern französische und niederländische Behörden. Das Bundeskriminalamt (BKA) leitete jedoch bereits ein Jahr vor Bekanntwerden des Hacks ein Ermittlungsverfahren gegen sämtliche Sky ECC-Nutzer in Deutschland ein. Im Nachgang des Hacks erhielt das BKA dann die Daten im Rahmen der europäischen Rechtshilfe. Die Arbeit der deutschen Ermittlungsbehörden besteht derzeit darin, die Daten auf strafbares Verhalten zu überprüfen und die Nutzer zu identifizieren.
Bei Sky ECC handelt es sich nicht einfach um „den Nachfolger“ von EncroChat. Neben der Datenmenge gibt es eine Vielzahl weiterer Besonderheiten. So sind bei Sky ECC oftmals keine vollständigen Chatverläufe durch die Ermittler erlangt worden, sondern lediglich die Chatbeiträge eines der zwei daran beteiligten Nutzer. Auch die Zuordnung der Telefone zu den jeweiligen Nutzern ist hier relevant bzw. oftmals fraglich; derartige Geräte wurden häufig von mehreren Personen genutzt und weitergegeben.
Rechtlicher Kern der Diskussion sind – wie bereits bei den über EncroChat- und Anom-Handys gewonnen Daten – Erhebungs- und Verwertungsfragen. Eine Aufbereitung und Vorsortierung der Daten wurde durch die französischen Ermittler vorgenommen, bevor diese nach Deutschland übermittelt wurden. Da es sich nicht um den vollständigen Datensatz, die sogenannten Rohdaten, sondern um gefilterte und aufbereitete Daten handelt, kann die bisherige deutsche und europäische Rechtsprechung zur Verwertung von Erkenntnissen aus dem Hack gegen den Kommunikationsanbieter EncroChat nicht ohne Weiteres auf Fälle bzw. die Daten aus dem Messenger Sky ECC übertragen werden.
Allerdings hat der BGH in einer ersten Entscheidung dazu vom 09.01.2025 (Az. 1 StR 142/24) die Auffassung vertreten, dass (auch) die Verwertung von Sky ECC-Daten nicht gegen wesentliche rechtsstaatliche Grundsätze verstoße. Denn die Überwachungen erfolgte gezielt gegen Straftäter, sodass es sich – nach Auffassung des BGH – nicht um anlasslose Massenüberwachung handele. Auch sei kein Beweisverwertungsverbot anzunehmen, weil entgegen der Vorgaben des Art. 31 der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen die deutschen Behörden nicht durch die französischen Ermittler benachrichtig wurden. Zwar diene diese normierte Unterrichtungspflicht auch den Beschuldigtenrechten, das staatliche Interesse an der Aufklärung schwerer Straftaten sei aber höher zu bewerten.
Interessanterweise sehen das die Gerichte anderer europäischer Länder aber zum Teil anders. Ein Gericht in Zürich hat am 15.08.2025 eine Entscheidung getroffen, wonach die Sky ECC-Daten nach dem Recht der Schweiz „absolut unverwertbar“ seien. Das Gericht stütze dies auch darauf, dass die Anforderungen an einen Tatverdacht, der nach schweizer Recht auf „konkreten Umständen und Erkenntnissen“ beruhen muss, zum Zeitpunkt der Überwachungsmaßnahme nicht erfüllt gewesen seien. Außerdem betonte es die Bedeutung der Einsicht in Rohdaten für die Verteidigung und hinterfragte die extraterritoriale Datenerhebung.
Es bleibt eine europaweit einheitliche Klärung der Rechtsfragen durch den EuGH abzuwarten. Bis dahin sind die Strafverfolgungsbehörden weiter mit der Auswertung der Sky ECC-Daten beschäftigt. Von den europäischen Ermittlern über das BKA sind diese mittlerweile bei den Staatsanwaltschaften bzw. dem LKA angelangt. Die Hamburger Staatsanwaltschaft hat Anfang 2025 verkündet, „im Kampf gegen den internationalen Drogenschmuggel“ ein „Länderpackage mit 570 Fällen“ zu erwarten.