Mit Beschluss vom 31. Oktober 2025 setzte das Bundesgericht im Eastern District of New York (EDNY) einen juristischen Schlussstrich unter die jahrelange Debatte über die Verwertbarkeit von SkyECC-Daten. Im Verfahren United States v. Goran Gogic (22-CR-493) lehnte das Gericht die Verwendung  der europäischen Kryptodaten als Beweismittel ab – nicht aus politischen Gründen, sondern aufgrund fehlender technischer Authentifizierung.

Die Staatsanwaltschaft ließ daraufhin ihre SkyECC-Beweisführung freiwillig fallen. Die Entscheidung zeigt, wie hoch die Hürden für die Einführung digitaler Auslandsbeweise nach dem US-Recht tatsächlich sind. Damit wird aber auch deutlich: Was in Europa als digitaler Ermittlungserfolg gefeiert wird, ist in den USA kein gültiger Beweis, solange nicht nachvollziehbar ist, wie die Kryptodaten entstanden sind.

SkyECC: Eine Plattform für verschlüsselte Kommunikation

SkyECC entstand 2013 als Produkt der kanadischen Firma Sky Global. Dabei handelte es sich ursprünglich um eine hochsichere Kommunikationsplattform für Personen, die besonderen Wert auf Verschlüsselung legten: Managerinnen, Celebrities, Politiker und Sicherheitsunternehmerinnen.

Spätestens nach den prominenten Leaks rund um gehackte Star-Smartphones in den USA ("The Fappening") entstand ein Markt, auf dem Privatsphäre als Luxusgut gehandelt wurde. Für rund 200 Euro im Monat versprach SkyECC Zugang zur "sichersten Messenger-Plattform der Welt". Der Dienst lief auf speziell modifizierten Smartphones ohne Kamera, GPS oder Browser. Die Smartphones waren ausgestattet mit verschlüsselten SIM-Karten, selbstzerstörenden Nachrichten und einem versteckten Messenger hinter einer Taschenrechner-App. Das Versprechen war klar: absolute Diskretion und Schutz vor neugierigen Blicken – sei es vor Paparazzi, Wirtschaftsspionage oder staatlichen Eingriffen.

Diese Architektur machte SkyECC allerdings auch für die organisierte Kriminalität attraktiv. Drogen- und Geldwäschekartelle nutzten die Plattform zunehmend für die interne Kommunikation – was schließlich die Strafverfolgungsbehörden auf den Plan rief. Als die Zahl der kriminellen Nutzerinnen und Nutzer stieg, geriet der Dienst global ins Visier der Ermittlerinnen und Ermittler.

Das JIT und der "Hack"

Mehrere europäische Staaten gründeten daraufhin ein Joint Investigation Team (JIT) – federführend waren dabei Frankreich, Belgien und die Niederlande. Das Ziel war die Infiltration der SkyECC-Strukturen. 2021 verkündeten die französischen Behörden in Paris, es sei gelungen, die Kommunikationsstrukturen des Dienstes teilweise zu infiltrieren und Millionen verschlüsselter Nachrichten zu entschlüsseln oder zumindest lebensnah zu rekonstruieren. Die genauen technischen Methoden – ob es sich um einen vollständigen "Hack", um Netzwerk-Infiltration, um Servermanipulation oder um Client-Schwachstellen handelte – wurden jedoch nie öffentlich nachvollziehbar dokumentiert. Stattdessen stützten sich die Ermittlungen auf vertrauliche technische Berichte, interne Abläufe des JIT sowie nicht offengelegte Werkzeuge zur Datenextraktion.

Bemerkenswert ist aber weniger, dass die Behörden die Methode geheim hielten, sondern wie die europäischen Gerichte damit umgingen: Sie akzeptierten die Datensätze nahezu ausnahmslos nach dem Grundsatz der "gegenseitigen Anerkennung". Damit ist gemeint: Was Frankreich für rechtmäßig erklärt, gilt automatisch in Deutschland, Österreich oder den Niederlanden als verwertbar – ohne technische Prüfung, ohne forensische Transparenz, ohne Belastbarkeit der Herkunft.

Damit entwickelte sich eine Art europäische "Beweisautomatik". Fehlende Metadaten, unlogische Nachrichtenfolgen oder Hinweise auf nachträgliche Verarbeitung wurden in den europäischen Gerichtsverfahren deswegen nur selten thematisiert.

Der Profiboxer und das Kokain: SkyECC-Daten nicht verwertbar

Die europäischen SkyECC-Daten wurden später im Fall gegen den ehemaligen Profiboxer Goran Gogic vorgelegt, der 2022 am Flughafen von Miami verhaftet und vom US-Justizministerium angeklagt worden war. Der Vorwurf: Er soll 22 Tonnen Kokain geschmuggelt haben. Bei der Kommunikation soll SkyECC zum Einsatz gekommen sein. Als die europäischen SkyECC-Daten im Fall United States v. Gogic einem US-Bundesgericht vorgelegt wurden, prallten zwei Welten aufeinander: die europäische Tradition der Anerkennung und das amerikanische Bedürfnis nach nachvollziehbarer Authentizität.

In den USA reicht es nicht aus, dass ein ausländischer Ermittlungsbericht behauptet, Daten seien rechtmäßig erhoben worden. Rule 901 der Federal Rules of Evidence verlangt klare technische Nachweise, Zeuginnen und Zeugen mit eigener Kenntnis des Vorgangs und Prozesse, die überprüfbar sind. Das Problem: Die SkyECC-Datensätze wiesen strukturelle Inkonsistenzen auf. Unter anderem fehlende Metadaten, doppelte Nachrichten, unplausible Zeitfolgen, Formatierungsbrüche und Hinweise auf post-seizure-processing, also eine Verarbeitung der Daten, nachdem sie als Beweismittel erlangt worden waren. Die Daten sind also nicht das unveränderte Original einer forensischen Extraktion – und damit nicht authentifizierbar.

Das Gericht folgte in seiner Entscheidung in wesentlichen Teilen dieser Argumentation. Da weder die europäischen Behörden noch die US-Staatsanwaltschaft erklären konnten, wie genau die Daten erlangt worden waren, scheiterte die Authentifizierung in den USA an Rule 901(b)(9). Ausschlaggebend war dabei, dass die Behörden den zugrundeliegenden technischen Prozess, durch den die SkyECC-Daten angeblich gewonnen und entschlüsselt worden waren, nicht nachvollziehbar dokumentiert hatten. Damit fehlte genau der Nachweis, den Rule 901(b)(9) zwingend verlangt: eine transparente, überprüfbare Beschreibung des Systems oder Verfahrens, das die fraglichen Daten erzeugt hat.

Warum Europa die Daten (bisher) weiter nutzt…

In Europa verlassen sich die Gerichte bei Kryptomessenger-Verfahren regelmäßig auf Ermittlerberichte und interne Dokumente, ohne die technischen Erhebungsmethoden im Detail offenzulegen.

Das europäische Gegenmodell erklärt sich aus der Struktur des EU-Justizraums. Das Konzept der gegenseitigen Anerkennung entlastet nationale Gerichte davon, Beweise anderer EU-Staaten nachzuprüfen. Was in Frankreich entstanden ist, soll in anderen EU-Ländern nicht erneut hinterfragt werden. Was ursprünglich zur Vereinfachung grenzüberschreitender Verfahren gedacht war, führt im Zeitalter digitaler Beweise jedoch zu einem systemischen Problem: Europäische Gerichte verwenden Daten, deren technische Herkunft sie nicht kennen und nicht prüfen können – selbst dann nicht, wenn Spuren nachträglicher Bearbeitung offensichtlich wären.

Anders die Schweiz. Als Nicht-EU-Staat ist sie an die Anerkennungslogik nicht gebunden und prüft ausländische Maßnahmen nach eigenem Recht. Mit Beschluss der 2. Strafkammer des Obergerichts Zürich vom 15. August 2025 (SB240422-O/Z19/hb-nk) kam die Schweiz zu einem bemerkenswert klaren Ergebnis: Die französische Operation sei völkerrechtswidrig gewesen.

Die Begründung: Frankreich hatte SkyECC-Endgeräte (nicht nur den Server, wie bisher von den französischen Behörden behauptet) auf Schweizer Boden infiltriert – ein verdeckter Zugriff, der funktional einem staatlichen Trojaner gleichzusetzen ist. Da eine solche hoheitliche Maßnahme ohne Wissen oder Genehmigung der Schweiz durchgeführt worden war, verletzte sie das Territorialitätsprinzip. Für die Folgefrage – die Verwertbarkeit der gewonnenen Daten – blieb dem Gericht kaum ein Spielraum. Art. 141 Abs. 1 StPO (Schweiz) verlangt, dass Beweise, die unter Verletzung grundlegender Verfahrensregeln oder völkerrechtlicher Normen erhoben wurden, absolut unverwertbar sind. Das Schweizer Gericht ordnete ihre Entfernung aus den Akten an.

Damit zeigte die Schweiz ein Maß an rechtsstaatlicher Souveränität, das in der EU selten geworden ist. Sie vertraut weder auf fremde Behörden noch auf internationale Ermittlungsverbünde, sondern prüft selbst, ob digitale Beweise die Mindeststandards erfüllen.

… und wieso das ein Problem ist

Während US-Gerichte die technische Integrität längst als rechtliches Mindestkriterium begreifen, halten deutsche und viele europäische Gerichte noch immer an der Logik der gegenseitigen Anerkennung fest. So entstehen Urteile auf Grundlage von digitalen Beweisen, deren Entstehung weder transparent dokumentiert noch forensisch nachvollziehbar ist.

Die SkyECC-Entscheidungen aus New York und Zürich offenbaren eine einfache Wahrheit: Digitale Beweise sind nur so glaubwürdig wie ihre Herkunft. Die USA verlangen bei ihren Beweismitteln eine technische Nachvollziehbarkeit. Die Schweiz verlangt eine völkerrechtskonforme Erhebung.  Das sollte Europa zu denken geben.

Je digitaler die Welt wird, desto größer die Gefahr, dass Gerichte über Daten urteilen, deren Herkunft sie nicht verstehen und deren Integrität sie nicht prüfen können. Es ist höchste Zeit für klare, europaweit einheitliche Regeln im Umgang mit digitalen Beweismitteln. Regeln, die Transparenz einfordern, technische Erläuterungen verlangen und die Herkunft der Daten tatsächlich überprüfbar machen. Die Welt wird immer digitaler und wenn Gerichte beginnen, blind auf digitale Beweise zu vertrauen, statt sie zu prüfen, wird nicht die Technik zum Risiko, sondern der Rechtsstaat selbst.

Andreas Milch ist Rechtsanwalt und Fachanwalt für Strafrecht in Gießen. Zudem ist er zertifizierter IT-Forensik-Spezialist  (CERT/ITFS) und Host des Podcasts „Kein Wort ohne meinen Anwalt“, in dem er ebenso über Kryptoverfahren, Datenschutz und Europarecht spricht. Seit April 2024 unterstützt er die New Yorker Kanzlei Rubinstein & Corozzo im vorbezeichneten US-Fall als Freelancer.

Transparenzhinweis: Andreas Milch wurde vom U.S. District Court for the Eastern District of New York (EDNY, Brooklyn) als Experte für SkyECC zugelassen und verfasste den Bericht über die SkyEcc-Daten, welcher Grundlage der vorbezeichneten Entscheidung des US-Bundesgerichts war.