Der Bundestrojaner und der alltägliche Verfassungsbruch

20l Abs. 2 BKAG bestimmt, dass das Bundeskriminalamt die Telekommunikation ohne Wissen des Betroffenen auch dann überwachen und aufzeichnen darf, wenn zu diesem Zweck mit technischen Mitteln in das von dem Betroffenen genutzte informationstechnische Systeme eingegriffen werden muss. Die Voraussetzungen sind, dass mittels technischer Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird (Nr. 1) und dass der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen (Nr. 2).

Insbesondere das bislang nicht gewährleiste Erfordernis, dass mittels technischer Maßnahmen sicherzustellen ist, dass im Rahmen der sog. Quellen-Telekommunikationsüberwachung nicht unbeabsichtigt oder beabsichtigt eine sog. Online-Durchsuchung stattfindet, hat dazu geführt, dass das Bundeskriminalamt selbst einen Trojaner für die Telekommunikationsüberwachung „an der Quelle“ entwickelt hat. Dieser soll nunmehr auch zum Einsatz kommen. Dass im Rahmen der Infiltration eines informationstechnischen Systems mit einem Trojaner ausgeschlossen werden kann, dass überschießende Daten (also mehr als reine Kommunikationsdaten) erhoben oder verändert werden, wird aktuell etwa von Gerhard Baum angezweifelt. Die Realisierbarkeit eines solchen technischen Vorhabens ist in der Tat äußerst zweifelhaft.

Insoweit haben sich Sebastian Dienst und ich bereits vor Jahren wie folgt geäußert:

„Ob es technisch überhaupt realisierbar ist, den Überwachungsvorgang im Sinne einer reinen Quellen-TKÜ auf Daten aus dem laufenden Telekommunikationsvorgang zu beschränken, erscheint indes fraglich. Voraussetzung dafür, dass die Maßnahme nur den Schutzbereich des Art. 10 GG betrifft und damit ausschließlich diese Norm den Prüfungsmaßstab darstellt, wäre die Verwendung einer speziell gestalteten Überwachungssoftware, die sich einerseits ausschließlich bei Kommunikationsvorgängen aktiviert und andererseits nur die abgehenden und ankommenden Gesprächsinhalte an die Strafverfolgungsbehörden weiterleitet, so dass ein Zugriff auf andere Daten mit Sicherheit ausgeschlossen ist. Ist die Sicherstellung einer solch restriktiven Funktionsweise der Software nicht möglich, hat die Überwachung insgesamt zu unterbleiben.

Bär setzt die Existenz einer derart restriktiv gestalteten Software offenbar stillschweigend voraus. Nach Ansicht mehrerer vor dem Bundesverfassungsgericht im Rahmen der Online-Durchsuchungs-Entscheidung angehörten Sachverständigen liegt die Implementierung derartiger technischer Vorkehrungen dagegen nicht im Rahmen des derzeit Möglichen.

Hoffmann-Riem weist […] darauf hin, dass es „praktisch unmöglich ist, ein informationstechnisches System zu infiltrieren, ohne sich ein Mindestmaß an Informationen – etwa über dessen Schwachstellen – zu verschaffen“. Mit der Kenntnis solcher Schwachstellen gingen zwangsläufig weitere Gefährdungen einher.“

Von erheblichem Interesse ist in diesem Zusammenhang allerdings auch die Frage, was überhaupt unter der „laufenden Telekommunikation“ zu verstehen ist. Auch im strafprozessualen Bereich werden nämlich die Befugnisse zur Telekommunikationsüberwachung längst genutzt, um etwa sämtliche Internetaktivitäten einer Zielperson zu erfassen. Diese Praxis ist verfassungswidrig und ggf. sogar strafbar.

Dass bspw. das Surfverhalten nicht dem Telekommunikationsbegriff unterfällt, ist eine zwingende verfassungsrechtliche Schlussfolgerung. Der verfassungsrechtliche Kommunikationsbegriff setzt nämlich voraus, dass die „laufende Kommunikation“ zwischen Personen (und nicht bloß Rechnersystemen) stattfindet. Zudem kann die Eingriffsqualität der Erfassung von Telekommunikationsdaten und sonstigen Daten, die im Rahmen der Internetnutzung entstehen, eine völlig unterschiedliche Tragweite aufweisen. Insbesondere die längerfristige Überwachung der Internetaktivitäten einer Zielperson ist ein im Vergleich zur herkömmlichen Telekommunikationsüberwachung schwerwiegenderer Eingriff, der hinsichtlich seiner Tragweite eine Online-Durchsuchung gleichkommt.

Ein rechtskonformer Bundestrojaner muss auch diesen Bedenken hinreichend Rechnung tragen, die dazu führen, dass bereits bei der „normalen“ Überwachung der IP-basierten Telekommunikation mittels geeigneter Filtersysteme (im Rahmen der Ausleitung von Rohdatenströmen durch die Diensteanbieter) gewährleistet sein muss, dass ausschließlich Telekommunikationsdaten erfasst und an die Polizei- und Sicherheitsbehörden weitergeleitet werden. Entsprechende Sicherheitsvorkehrungen müssen mithin auch bei der Quellen-Telekommunikationsüberwachung greifen.

Schlussfolgerung und Empfehlung

Der Bundestrojaner ist ganz gravierenden verfassungsrechtlichen Bedenken ausgesetzt. Es ist davon auszugehen, dass die Software über kurz oder lang von IT-Sicherheitsexperten entdeckt und analysiert wird. Der Vertrauensverlust, den unsere Sicherheitsbehörden erleiden, wenn sich wiederum herausstellen sollte, dass im Bereich der Quellen-Telekommunikationsüberwachung gegen unsere Verfassung verstoßen wird, wäre enorm.

Seitens des Bundeskriminalamts sollte daher alles unternommen werden, damit ein verfassungs- und rechtskonformer Einsatz des Bundestrojaners gewährleistet ist. Die Herstellung der in diesem Zusammenhang erforderlichen Transparenz setzt mehr voraus, als die bloße Verlautbarung, die Software sei durch die bislang wenig streitbar für den Datenschutz in Erscheinung getretene Bundedatenschutzbeauftragte geprüft worden.

Vertiefung

Albrecht/Braun, Die strafprozessuale Überwachung des Surfverhaltens, HRRS 2013, 500-508.

Albrecht/Dienst, Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme – Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ, JurPC Web-Dok. 5/2012.

Autor: Florian Albrecht


Kommentar hinterlassen