Der Staatstrojaner: Überwachung von Smartphones direkt beim Nutzer
Seit einigen Tagen wird in den Medien darüber berichtet, dass das Bundeskriminalamt Überwachungssoftware einsetzt, um Smartphones oder Computer zu überwachen und dort gespeicherte Informationen auszulesen.
Während die klassische Telefonüberwachung bei TK-Anbietern wie Telekom oder Vodafone ansetze und dort Telefonate belauschte, tritt im Zeitalter der internetgestützten Telekommunikation an deren Stelle ein Instrumentarium, das man gerne verharmlosend als Quellen-TKÜ bezeichnet. Die Überwachung findet hier an der Quelle, also direkt beim Nutzer statt. Für diese Form der Telekommunikationsüberwachung ist es allerdings grundsätzlich erforderlich, das Computersystem des Gesprächsteilnehmers heimlich mit einer speziellen Überwachungssoftware zu infiltrieren, die anschließend die Kommunikation überwacht und die Kommunikationsinhalte an die Strafverfolgungsbehörden übermittelt.
In technischer Hinsicht eng verwandt ist die sog. Online-Durchsuchung, bei der es ebenfalls erforderlich ist, auf dem Rechner des Betroffenen heimlich eine Spionagesoftware zu installieren. Diese Software überwacht dann allerdings nicht nur die laufende Kommunikation, sondern durchsucht die Festplatte des Betroffenen oder erfasst andere Kommunikationsvorgänge, wie beispielsweise die Nutzung des WWW.
Um zu verstehen, warum auch die neugeschaffene gesetzliche Regelung zur sog. Quellen-TKÜ in § 100a Abs. 1 S. 2 StPO nicht den verfassungsrechtlichen Anforderungen genügt, reicht die Lektüre folgender Passage aus der Entscheidung des BVerfG zur Onlinedurchsuchung:
Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. Insbesondere können auch die auf dem Personalcomputer abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen. Erfasst werden können beispielsweise das Verhalten bei der Bedienung eines Personalcomputers für eigene Zwecke, die Abrufhäufigkeit bestimmter Dienste, insbesondere auch der Inhalt angelegter Dateien oder – soweit das infiltrierte informationstechnische System auch Geräte im Haushalt steuert – das Verhalten in der eigenen Wohnung.
Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist. In der Folge besteht für den Betroffenen – anders als in der Regel bei der herkömmlichen netzbasierten Telekommunikationsüberwachung – stets das Risiko, dass über die Inhalte und Umstände der Telekommunikation hinaus weitere persönlichkeitsrelevante Informationen erhoben werden. Den dadurch bewirkten spezifischen Gefährdungen der Persönlichkeit kann durch Art. 10 Abs. 1 GG nicht oder nicht hinreichend begegnet werden.
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.
Die Quellen-TKÜ ist in technischer Hinsicht also eine Online-Durchsuchung, die vom Gesetzgeber im Käfig der Telefonüberwachung gehalten werden muss, um rechtmäßig sein zu können. Dies hat der Gesetzgeber durch die Abs. 5 und 6 von § 100a StPO versucht. Juristisch interessant ist hierbei u.a. die Frage, was bei einer Kommunikation mittels eines Messenger wie WhatsApp konkret unter laufender Kommunikation verstanden werden soll. Bei der Sprachtelefefonie ist die laufende Kommunikation klar durch den Anfang und das Ende eines Telefonats begrenzt. In einem Messenger erfolgt die Kommunikation nicht in Echtzeit, so dass allein hierdurch eine massive qualitative Ausweitung erfolgt. Ist eine Unterhaltung via WhatsApp, die sich über Tage hinweg fortsetzt und immer wieder durch längere Pausen unterbrochen wird, noch laufend?
Den Vorgaben des BVerfG hätte der Gesetzgeber auch nur dann gerecht werden können, wenn er konkrete Vorgaben an die Anforderungen der einzusetzenden Software definiert hätte. Dies wird stattdessen den Ermittlungsbehörden überlassen, so dass faktisch kein Unterschied zwischen Quellen-TKÜ und Onlinedurchsuchung besteht. Der Einsatz multifunktionaler Programme wird vom Gesetzgeber gerade nicht unterbunden. Das Gesetz macht keinerlei Vorgaben zur Qualitätssicherung und Überprüfung der eingesetzten Software.
Die vom BVerfG vorgegebene Differenzierung zwischen Online-Überwachung und Quellen-TKÜ wird vom Gesetzgeber nicht nachvollzogen. Es stellt sich aber auch ganz generell die Frage, ob dies in technischer Hinsicht überhaupt trennscharf und zuverlässig möglich ist, denn die Quellen-TKÜ ist in technischer Hinsicht stets eine Onlinedurchsuchung. Der Begriff des Staatstrojaners erscheint daher mehr als passend.
Schwer wiegt auch der Umstand, dass die gesetzliche Regelung die Ermittlungsbehörden ermutigt, vorhandene Sicherheitslücken auszunutzen, um fremde informationstechnischen Systeme mit Schadsoftware zu infiltrieren. Der Staat verhält sich also wie ein Cyberkrimineller. Das schafft, wie Ulf Buermeyer in seiner sachverständigen Stellungnahme für den Bundestag beklagt, fatale Fehlanreize, weil die Behörden damit ein erhebliches Interesse daran haben, Sicherheitslücken in informationstechnischen Systemen nicht an die Hersteller zu melden, sondern sie vielmehr gezielt aufrecht zu erhalten. Das läuft dem Allgemeininteresse an möglichst sicheren informationstechnischen System zuwider und begründet eine Gefährdung der IT-Sicherheit, die sich auf allen Ebenen (Staat, Unternehmen, Bürger) auswirkt und insgesamt eine Gefahr gerade für sicherheitskritische Infrastrukturen begründet. Aufgabe des Staates wäre es freilich, derartige Gefahren zu vermeiden und abzuwehren. Wer die Fortsetzung der GroKo für vernünftig hält, sollte auch derartige Gesetze in seine Betrachtung einbeziehen.