Internet-Law

Onlinerecht und Bürgerrechte 2.0

10.10.11

„nur soweit es die gesetzlichen Vorgaben erlauben“

Immer mehr Bundesländer räumen ein, den Behördentrojaner einzusetzen. Der niedersächsische Innenminister Schünemann betont laut NDR, der Einsatz erfolge „nur, soweit es die gesetzlichen Vorgaben erlauben“. Sein bayerischer Amtskollege Herrmann behauptet, dass man den Trojaner lediglich für die Quellen-TKÜ und ausschließlich im Rahmen der Vorgaben des BVerfG einsetze.

Die Aussage Herrmanns ist allein deshalb falsch, weil ein rechtswidriger Einsatz des Bayerntrojaners bereits gerichtlich festgestellt worden ist.

Für den Einsatz eines Trojaners mit einer Funktionalität wie sie der CCC beschrieben hat, besteht zumindest im Bereich der Strafprozessordnung keinerlei Rechtsgrundlage. Eine Onlinedurchsuchung ist in der StPO nicht vorgesehen. Nach den Vorgaben des BVerfG wäre eine solche Maßnahme auch nur dann zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Das sind Leib, Leben und Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Die bayerische Staatsregierung hatte aber bereits eingeräumt, dass mithilfe des Bayerntrojaners Straftaten wie banden- und gewerbsmäßiger Betrug oder Handel mit Betäubungs- und Arzneimitteln aufgeklärt werden sollen. Damit steht aber auch der Rechtsverstoß des LKA fest, denn in diesen Fällen sind die erheblichen Einschränkung des BVerfG missachtet worden.

Auch der Hinweis auf die ohnehin äußerst umstrittene Quellen-TKÜ verfängt übrigens nicht. Denn die heimliche Installation eine Software, die Browser-Screenshots machen und andere Daten des Nutzers erfassen und übermitteln kann, infiltriert ein informationstechnisches System.

Die Innenminister Herrmann und Schünemann, die diese Praxis sehenden Auges rechtfertigen, haben den Boden unseres Grundgesetzes verlassen.

Die Gerichte müssen sich gut überlegen, ob sie künftig Anträgen auf Anordnung einer sog. Quellen-TKÜ überhaupt noch stattgeben können, denn diese gehen augenscheinlich regelmäßig mit einer unzulässigen Onlinedurchsuchung Hand in Hand.

Eine Erläuterung der Rechtslage bietet der Richter am Landgericht Ulf Buermeyer  in einem Interview mit rechtspolitik.org. Lesen!

posted by Stadler at 21:01  

12 Comments »

  1. … netzpolitik.org …

    Comment by TES — 10.10, 2011 @ 21:12

  2. Hier ist das Transkript aus der heutigen BPK: http://wiegold.wordpress.com/2011/10/10/das-geht-an-das-vertrauen-der-burger-in-staatliches-handeln/

    Comment by vera — 10.10, 2011 @ 21:22

  3. Was verstehen Sie denn unter einer online-Durchsuchung,die nach Ihren Worten „regelmäßig“ mit der Quellen-TKÜ einhergeht?
    Bislang gibt es exakt einen publizierten Fallm(LG Landshut), bei dem screenshots gefertigt wurden und laut SPON ist das offenbar auch der Fall, den der CCC untersucht hat.
    ME wird auch bei Ihnen recht viel vermischt und dann gefolgert, dass der Boden des GG verlassen worden sei. Es müssen einige Punkte auseinandergehalten werden
    – ist der Einsatz eines Trojaners im Rahmen einer 100a-TKÜ zulässig,um etwa eine grundsätzlich zulässige TÜ auch bei Skype zu ermöglichen? Das ist strittig, aber keine Frage, mit der das BVerfG befasst war.
    – ist bereits dann, wenn dieser Trojaner seiner Funktionalität nach um andere Module erweiterbar ist(Screenshots, Webcam aktivieren, Festplatte auslesen), tatsächlich aber dies nicht geschieht, sondern „nur“ die Entschlüsselung von Skype_kommunikation, ein Verstoß gegen das neu erfundene Grundrecht auf GVIIS gegeben oder gelten die aus Karlsruhe stammenden Anforderungen nur dann, wenn tatsächlich auch eine Online_Durchsuchung praktiziert werden soll?
    Zudem: offenbar funktioniert der einfachgerichtliche Rechtsschutz, wie der Fall Landshut zeigt. Und angesichts der Schwierigkeiten, einen solchen Trojaner überhaupt erst einmal auf einen Rechner zu bekommen, den ein Tatverdächtiger nutzt, denke ich, dass die Anzahl an Fällen,in denen der Trojaner eingesetzt wurde, einigermaßen überschaubar sein dürfte (das ändert natürlich nichts an der grundsätzlichen Bedeutung der verfassungsrechtlichen Fragen, relativiert aber etwas das „wir werden alle überwacht“- Geschrei, das jetzt mancherorts wieder einsetzt). Fakt ist, dass erst einmal ein TKÜ-Beschluss nach 100a her muß, und auch den gibt es bei weitem nicht in jedem Ermittlungsverfahren.

    Comment by klabauter — 10.10, 2011 @ 21:52

  4. Hat denn mal jemand das Verfahrensverzeichnis eingesehen, in dem die zu erhebenden personenbezogenen Daten beschrieben sein müssen?

    Bayerisches Datenschutzgesetz (BayDSG)
    Vom 23. Juli 1993
    zuletzt geändert am 20. Juli 2011 (GVBl 2011, S. 307)
    Art. 27 Verfahrensverzeichnis
    „3) Das Verfahrensverzeichnis kann von jedem kostenfrei eingesehen werden. Dies gilt nicht bei Behörden der Staatsanwaltschaft, bei Justizvollzugsanstalten, bei Führungsaufsichtsstellen, bei Stellen der Gerichts- und Bewährungshilfe und bei Behörden der Finanzverwaltung, soweit sie personenbezogene Daten in Erfüllung ihrer gesetzlichen Aufgaben im Anwendungsbereich der Abgabenordnung zur Überwachung und Prüfung speichern. Art. 10 Abs. 5 gilt entsprechend.“
    http://byds.juris.de/byds/009_1.1_DSG_BY_1993_Art27.html

    Comment by Jan Dark — 10.10, 2011 @ 21:55

  5. Ich habe leider nicht viel rechtliche Kenntnisse. Dennoch tat sich mir die Frage auf, ob dieser Trojaner in die Erkennungslisten von Anti-Virensoftware gesetzt werden darf? Von wegen Behinderung der Justiz o.ä.

    Beste Grüße

    Comment by sanguis — 10.10, 2011 @ 22:03

  6. Bei Google+ ist mir eben noch ein Hinweis auf http://recht-merkwuerdig.blogspot.com/2011/10/staatstrojanische-straftaten.html begegnet. Auch da sieht es so aus, als dürften sowohl Hersteller (Digitask) als auch Nutzer(diverse LKAs) jeweils Straftaten begangen haben. hat vielleicht jemand Lust, entsprechende Anzeigen aufzugeben, um dann wenigstens eine Begründung zu erhalten, warum ausgerechnet hier keine Straftaten vorgelegen haben sollen?

    Comment by Andre — 10.10, 2011 @ 22:10

  7. @5 (sanguis): 1. Erst mal dürfte es für amerikanische Hersteller von Anti-Malware-Software ebenso zulässig sein, sich gegen deutsche Schnüffelsoftware zu wehren wie für deutsche Hersteller gegen amerikanische (Stichwort Wirtschaftsspionage). Und es verbietet niemand einem Deutschen, ein amerikanisches Schutzprogramm einzusetzen.

    2. Und was ist, wenn jemand den Trojaner auf den Rechner eines Unverdächtigen kopiert? Der wäre dann sperrangelweit offen. Schon alleine deswegen sollte man keinen Unterschied zwischen „guter“ und schlechter Malware machen.

    3. Dann gibt es auch noch diejenigen Schutzprogramme, die nicht nur signaturbasiert sondern auch nach Heuristiken vorgehen, also ein Programm anhand eines verdächtigen Verhaltens, wie z.B. dem Versuch sich zu verbergen, als Schadprogramm erkennen. Allerspätestens hier wäre §258 Strafvereitelung wegen des fehlenden Vorsatzes nicht mehr anwendbar. Und eine Verpflichtung der Hersteller, „gute“ Malware signaturbasiert auszunehmen würde zu Problem (2) führen.

    Ich bin kein Jurist, also Vorsicht mit meiner Einschätzung aus juristischer Sicht, aus technischer Sicht wäre es jedoch unverantwortbar, die Rechtsprechung so auszulegen, dass ein Schutzprogramm nicht mehr vor jeder bekannten Schadsoftware schützen darf.

    Comment by Rochus — 10.10, 2011 @ 22:49

  8. Sehr geehrter Herr Stadler,

    wie ist es ihrer Meinung nach mit dem „Hackerparagraphen“ und dem Behördentrojaner im Zusammenspiel? Ist die Herstellerfirma zu belangen? Oder etwa der CCC, fürs zugänglich machen des Trojaners? Das ist eine zugespitzte Frage, zugegeben. Oder muss sich der CCC gar Gedanken machen, da das „Produkt“ dieser Firma ja jetzt kaum noch einsetzbar sein düfte? Über ihre Meinug würde ich mich freuen!

    Comment by Kaspar — 11.10, 2011 @ 01:16

  9. Hab kurz überlegt, selbst zuzugreifen, aber ich hab die Zeit nicht. Schöner Verschreiber. rechtspolitik.org muss natürlich sofort hochgefahren werden, spätestens jetzt wird klar, daß Netzpolitik nicht ausreicht.

    Comment by raleisner — 11.10, 2011 @ 11:55

  10. Original kopiert und eingefügt der wohl maßgebliche Tatbestand betreffend Handlungen zugriffsgieriger Ordnungsverweser:

    § 303b
    Computersabotage

    (1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er
    1. eine Tat nach § 303a Abs. 1 begeht,
    2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
    3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

    wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

    (2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

    ———-

    Man beachte, dass die EDV des Zielobjekts verändert werden muss, um die Kontrolle über das System zu erlangen, und auch regelmäßig massive Performance-Verluste auftreten, und dass für eine derart extensive Bearbeitung, wie jetzt durchgesickert, keine Rechtsgrundlage existiert.

    Allerdings gilt in diesem Machtsystem immer noch , und in Zeiten der Krise erst recht: Der Zweck heiligt die Mittel.

    Zielvorgabe nun: Unterbindung der Eingabe politisch unerwünschten Materials in den Internet-Traffic. Stoßrichtung zumeist Wirtschaftsdaten, Details über strafbare Handlungen von Politikern und den Anwendungsbereich der Trojanersoftware im politischen Überlebenskampf…..

    Comment by Arne Rathjen, Rechtsanwalt — 11.10, 2011 @ 16:13

  11. @RA AR:
    Und in „diesem Machtsystem“ (Sie wurden, vermute ich, als RA sogar zumindest auf Teilbereiche „dieses Machtsystems“ vereidigt und nutzen die Privilegien, die es Ihnen gewährt?) gilt auch noch, dass man nur bestraft wird, wenn kein Rechtfertigungsgrund eingreift. Und eine auf Grundlage der StPO ergangene richterliche Anordnung dürfte rechtfertigend wirken . Im Fall Landshut also zumindest hinsichtlich des Aufspielens des Trojaners und der Quellen-TKÜ.
    Soweit ich weiß, macht sich kein Polizeibeamter wegen Hausfriedensbruchs strafbar, wenn er einen Durchsuchungsbeschluss hat.
    p.s.: da Herr Stadler darauf hinweist, dass Gesetzeszitate über dejure.org verlinkt werden, kann man sich das Pastenkopieren eigentlich auch sparen.

    Comment by klabauter — 12.10, 2011 @ 15:08

  12. @klabauter:
    Das was das LKA gemacht hat, war ja nicht von dem richterlichen Beschluss gedeckt, sondern ging erkennbar über diesen hinaus.

    Ihre Argumentation erinnert mich ein bisschen an Innenminster Herrmann. Zuerst belügt man das Gericht, um die Anordnung einer TKÜ zu bekommen und anschließend beruft man sich darauf, dass man nur das umsetzt, was der Ermittlungsrichter vorgegeben hat.

    Comment by Stadler — 12.10, 2011 @ 16:01

RSS feed for comments on this post.

Leave a comment