Internet-Law

Das Bundesverfassungsgericht hat in einer neuen Entscheidung (Beschluss vom 08.12.2011, Az.: 1 BvR 927/08) erneut klargestellt, dass die für eine Bildberichterstattung über eine Person geltenden Kriterien nicht ohne weiteres auf eine bloße Wortberichterstattung zu übertragen sind.

Ob ein Vorgang von allgemeinem Interesse ist oder ein zeitgeschichtliches Ereignis betrifft, sind Kriterien die der Rechtsprechung zur Bildberichterstattung entstammen und die für eine Wortberichterstattung nicht (allein) maßgeblich sind.

Das Gericht führt hierzu aus:

Der Schutz des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG reicht hinsichtlich der Veröffentlichung von Bildern einerseits und der Berichterstattung durch Wortbeiträge andererseits verschieden weit. Während die Veröffentlichung eines Bildes von einer Person grundsätzlich eine rechtfertigungsbedürftige Beschränkung ihres allgemeinen Persönlichkeitsrechts begründet, die unabhängig davon ist, ob die Person in privaten oder öffentlichen Zusammenhängen und in vorteilhafter oder unvorteilhafter Weise abgebildet ist (vgl. BVerfGE 97, 228 <268>; 101, 361 <381>; 120, 180 <198>), ist dies bei personenbezogenen Wortberichten nicht ohne weiteres der Fall. Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG bietet hier nicht schon davor Schutz, überhaupt in einem Bericht individualisierend benannt zu werden, sondern nur in spezifischen Hinsichten. Dabei kommt es vor allem auf den Inhalt der Berichterstattung an. Das allgemeine Persönlichkeitsrecht schützt insoweit freilich insbesondere auch vor einer Beeinträchtigung der Privat- oder Intimsphäre. Des Weiteren schützt es vor herabsetzenden, vor allem ehrverletzenden Äußerungen oder davor, dass einem Betroffenen Äußerungen in den Mund gelegt werden, die er nicht getan hat (vgl. BVerfGE 54, 148 <155>). Ein von dem Kommunikationsinhalt unabhängiger Schutz ist im Bereich der Textberichterstattung hingegen nur unter dem Gesichtspunkt des Rechts am gesprochenen Wort anerkannt, das die Selbstbestimmung über die unmittelbare Zugänglichkeit der Kommunikation – etwa über die Herstellung einer Tonbandaufnahme oder die Zulassung eines Dritten zu einem Gespräch – garantiert (vgl. BVerfGE 54, 148 <154 f.>; 106, 28 <41>).

Interessant ist auch der weitere Hinweis des Bundesverfassungsgerichts, dass die personenbezogene Wortberichterstattung privater Presseorgane nicht ohne weiteres das Recht auf informationelle Selbstbestimmung beeinträchtigt. Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG gewährleistet insbesondere nicht, dass der Einzelne nur so dargestellt und nur dann Gegenstand öffentlicher Berichterstattung werden kann, wenn und wie er es wünscht (BVerfG, Beschluss der 1. Kammer des Ersten Senats vom 14. September 2010 – 1 BvR 1842/08 u.a. -, NJW 2011, S. 740).

Damit ist auch eine wesentliche verfassungsrechtliche Vorgabe für das Verhältnis Berichterstattung und Datenschutz gemacht.

Die aktuelle Diskussion über die Morde der sog. Zwickauer Zelle haben den Blick wieder einmal auf die Verfassungsschutzbehörden des Bundes und der Länder gelenkt. Obwohl der Verfassungsschutz ersichtlich versagt hat, wird auf politischer Ebene über eine Abschaffung der Verfassungsschutzbehörden noch nicht einmal ernsthaft diskutiert. Die weitestgehende Forderung dürfte die von Justizministerin Leutheusser-Schnarrenberger nach Zusammenlegung der Landesbehörden sein.

Wir müssen uns aber nicht nur die Frage stellen, ob die Verfassungsschutzbehörden effizienter arbeiten könnten, sondern vor allen Dingen, ob sie aus rechtsstaatlicher Sicht noch tragbar sind. Muss eine moderne Demokratie vielleicht gar auf derartige Inlandsgeheimdienste verzichten, weil sie eine Bedrohung für den Rechtsstaat darstellen?

Vor der Beantwortung dieser Frage, möchte ich einen kurzen Blick auf die Struktur der Verfassungsschutzbehörden werfen und ihren gesetzlichen Auftrag umreißen.

In Deutschland gibt es neben dem Bundesamt für Verfassungsschutz 16 Landesämter. Die Verfassungsschutzbehörden sind sog. Nachrichtendienste oder plastisch ausgedrückt Inlandsgeheimdienste. Aufgabe der Verfassungsschutzbehörden ist es, Informationen über solche Bestrebungen zu sammeln, die gegen die freiheitlich demokratische Grundordnung gerichtet sind sowie die Spionagebekämpfung. Einigen Landesbehörden hat man zudem die Aufgabe übertragen, die organisierte Kriminalität zu beobachten.

Nachdem die Verfassungsschutzbehörden diejenigen sind, die unsere Verfassung vor den Feinden der freiheitlich-demokratischen Grundordnung schützen sollen, möchte man eigentlich annehmen, dass die Tätigkeit dieser Behörden in höchstem Maße rechtsstaatlichen Anforderungen genügen muss und eine penible Kontrolle ihrer Tätigkeit stattfindet. Beides ist in der Praxis allerdings nicht der Fall.

Eine rechtswissenschaftliche Studie der Uni Freiburg belegt, dass sämtliche zwischen 2005 und 2008 veröffentlichten Verfassungsschutzberichte von Bund und Ländern, mit Ausnahme der von Berlin und Brandenburg, rechtswidrig waren. Besonders schwer wiegt hierbei, dass die große Mehrzahl der Verfassungsschutzbehörden auch ganz gezielt die vom Bundesverfassungsgericht aufgestellten Anforderungen missachtet hat.

Obwohl dies bekannt ist, sind hieraus politisch keinerlei Konsequenzen gezogen werden. Die Verfassungsschutzbehörden können ihre als rechtswidrig erkannte Tätigkeit ungehindert fortsetzen und tun dies auch. Ein anschauliches und aktuelles Beispiel liefert das bayerische Landesamt für Verfassungsschutz, das sich – freilich mit Rückendeckung der Staatsregierung – auch von gerichtlichen Entscheidungen wenig beindruckt zeigt.

Man muss also zunächst konstatieren, dass das Kontrollsystem, das primär parlamentarischer Natur ist, nicht ansatzweise funktioniert. Wenn aber die parlamentarische Kontrolle keine und die gerichtliche Kontrolle nur sehr eingeschränkte Wirkung zeigt, dann besteht die Gefahr der Entstehung eines Staats im Staat oder neudeutsch eines Deep States. Und diese Gefahr besteht nicht nur, sie hat sich bereits realisiert.

Einen anschaulichen Beleg dafür liefert der Fall des Rechtsanwalts und Bürgerrechtlers Rolf Gössner, der 38 Jahre lang vom Bundesamt für Verfassungsschutz überwacht worden ist. Nachdem Gössner Klage eingereicht hatte, um die rechtswidrige Dauerüberwachung seiner Person gerichtlich feststellen zu lassen, hat das Amt sehr schnell mitgeteilt, dass es die Überwachung eingestellt hat. Das Verwaltungsgericht Köln hat der Klage Gössners Anfang des Jahres stattgegeben und die Rechtswidrigkeit der Überwachung seiner Person festgestellt.  Wie das Bundesamt in diesem Fall gearbeitet hat, konnte der betroffene Bürgerrechtler Gössner über eine Akteneinsicht zumindest in Teilen rekonstruieren. Interessanter ist daran, dass 85 % der über 2.000 Seiten umfassenden Akte nur geschwärzt übermittelt worden sind. Begründet wurde dies pauschal mit drohenden Nachteilen für das Wohl des Bundes oder eines Landes und der Beeinträchtigung der Funktionsfähigkeit des Verfassungsschutzes. Vielleicht fürchtet man aber auch nur tiefe Einblicke in ein System, das sich als systematischer Verfassungsbruch erweisen könnte und damit exakt als das Gegenteil dessen, was die Behörden vorgeben zu tun und nach dem Gesetz tun müssen.

Der Fall Gössner zeigt, dass die Verfassungsschutzbehörden dazu neigen, kritische Demokraten zu überwachen, obwohl sich über Jahrzehnte hinweg keine ausreichenden tatsächlichen Anhaltspunkte für verfassungsfeindliche Aktivitäten ergeben. Es steht zu befürchten, dass dies kein Einzelfall ist, sondern, dass wir wegen der systemimmanenten Geheminiskrämerei bislang nur die Spitze eines riesigen Eisbergs sehen können.

Das Problem liegt in dem System Verfassungsschutz begründet und wird sich auch durch Reformen nicht lösen, sondern bestenfalls abmildern lassen. Wenn man Behörden gestattet im Verborgenen zu agieren und keine ausreichende Kontrolle im Einzelfall ausgeübt wird, dann ist der Machtmissbrauch vorprogrammiert. Die systematische Überwachung kritischer Demokraten wie Gössner oder des Münchener Vereins a.i.d.a. gefährdet den Rechtsstaat. Dass Gössner den Verfassungsschutz mit der Stasi vergleicht, mag auf den ersten Blick übertrieben erscheinen und ist es vermutlich in quantitativer Hinsicht auch. Im Einzelfall ist der Vergleich aber berechtigt und meines Erachtens sogar instruktiv, weil er deutlich macht, dass sich die Methoden und Mechanismen nicht mehr so stark unterscheiden, sobald man als Betroffener das Pech hat, in den Fokus des Verfassungsschutzes gerückt zu sein. Die Verfassungsschutzbehörden sind eine Art Stasi light mit demokratischem Anstrich.

Man muss sich deshalb ganz generell die Frage stellen, ob sich ein demokratischer Rechtsstaat weiterhin derartige Organistationen leisten kann und darf.

Zumal das Frühwarnsystem, als das sich die Verfassungsschutzbehörden gerne selbst sehen, erkennbar nicht funktioniert. Der aktuelle Fall der Zwicker Terrorzelle lehrt uns, dass sämtliche Verfassungsschutzbehörden über 10 Jahre hinweg vollständig versagt haben und keinerlei Erkenntnisse über Hintergründe und Zusammenhänge zusammengetragen haben, obwohl die Taten bereits seit Jahren von Nazi-Rock-Bands besungen werden. Was in weiten Teilen der rechten Szene bekannt war, ist den Verfassungsschutzbehörden trotz hunderter V-Leute komplett entgangen. Es mehren sich mittlerweile sogar die Hinweise darauf, dass die Verfassungsschutzbehörden die Arbeit der Polizei behindert haben.

Das gesamte System Verfassungsschutz gehört vorbehaltlos auf den Prüfstand und ich neige dazu, den Verfassungsschutz insgesamt für verzichtbar zu halten, zumal aus rechtsstaatlicher Sicht.

Ein Amtsgericht hatte eine Wohnungsdurchsuchung angeordnet, wegen des Verdachts der Verletzung von Unterhaltspflichten. Das einzige Argument bestand darin, dass der Betroffene angeblich Erwerbseinkünfte erzielt, weil er auf der Homepage eines Unternehmens porträtiert worden ist.

Dem auch von dem Unternehmen bestätigten Einwand, die Tätigkeit hätte nur in einem unentgeltlichen Praktikum bestanden, schenkte weder das Amtsgericht noch das Landgericht als Beschwerdegericht Glauben.

Es widerspreche der Lebenswirklichkeit, dass Praktikanten, die in der Regel nur kurzfristig innerhalb der Firma tätig seien, mit eigenem Foto im Internet vorgestellt würden, so das Landgericht. Dem stehe auch nicht entgegen, dass das Unternehmen angegeben habe, der Beschwerdeführer habe als Praktikant kein Geld erhalten.

Das hat das BVerfG nicht für ausreichend gehalten und der Verfassungsbeschwerde des Betroffenen stattgegeben. Das BVerfG führt in seinem Beschluss vom 26.10.2011 (Az.: 2 BvR 15/119) hierzu aus:

Die Annahme eines ausreichenden Tatverdachts ist von Verfassungs wegen nicht haltbar. Der Verdacht der Verletzung der Unterhaltspflicht (§ 170 Abs. 1 StGB) beinhaltet als ungeschriebenes Tatbestandsmerkmal die Leistungsmöglichkeit des Täters, denn dieser muss tatsächlich zu einer mindestens teilweisen Leistung imstande sein (vgl. Fischer, StGB, 58. Aufl. 2011, § 170 Rn. 8). In den angegriffenen Entscheidungen finden sich schon keine Angaben darüber, in welcher Höhe eine Unterhaltspflicht bestand und welche Einkünfte der Beschwerdeführer erzielt haben soll. Der Tatverdacht wird allein auf die pauschale Behauptung weiterer Einkünfte in der Strafanzeige der von dem Beschwerdeführer getrennt lebenden Ehefrau und den Internetauftritt eines Unternehmens gestützt, in welchem der Beschwerdeführer als Praktikant im Rahmen einer Umschulungsmaßnahme beschäftigt war. Hierbei handelt es sich indes nicht um zureichende tatsächliche Anhaltspunkte dafür, dass der Beschwerdeführer über dem notwendigen Selbstbehalt liegende Einkünfte erzielt. Allein aus dem Internetauftritt der >Firma P… kann nicht auf das Zahlen einer Vergütung geschlossen werden, zumal die Verantwortlichen des Unternehmens der Staatsanwaltschaft gegenüber mitgeteilt haben, dass dem Beschwerdeführer im Rahmen seines Praktikums gerade kein Entgelt gezahlt worden sei. Tatsachenfundierte Anhaltspunkte dafür, dass das Landgericht an den Angaben des Beschwerdeführers und der Firma P… hinsichtlich der fehlenden Entlohnung zweifeln durfte, zeigt das Landgericht nicht auf. Der pauschale Verweis auf die Lebenswirklichkeit reicht dafür nicht aus. Die Annahme einer Unterhaltspflichtverletzung beruhte daher auf bloßen Vermutungen, die den schwerwiegenden Eingriff in die grundrechtlich geschützte persönliche Lebenssphäre nicht zu rechtfertigen vermögen.

Die juristische Fachzeitschrift K&R hat einen ganz aktuellen Aufsatz (K&R 2011, 681) von Frank Braun online veröffentlicht, der sich mit der Frage beschäftigt, ob ein rechtmäßiger Einsatz von Trojanern zum Zwecke der Strafverfolgung überhaupt in Betracht kommt und ob die Vorschriften der §§ 100a, 100b StPO eine ausreichende Grundlage für eine sog. Quellen-TKÜ darstellen.

Das Fazit des Autors ist eindeutig:

Die Rechtslage war stets klar: Die Nutzung von Staatstrojanern und der damit verbundene Grundrechtseingriff sind unzulässig, solange nicht 1. eine rechtskonforme Software und 2. eine den Vorgaben des BVerfG entsprechende Ermächtigungsnorm existiert.

Braun betont, dass technisch gewährleistet werden müsse, dass die Funktionen des Trojaners auf eine Quellen-TKÜ beschränkt bleiben, dass aber ungeachtet dessen, die §§ 100a, 100b StPO in ihrer jetzigen Ausgestaltung keine ausreichende Rechtsgrundlage für eine solche Quellen-TKÜ darstellen.

Diese Ansicht deckt sich mit der herrschenden Meinung in der juristischen Literatur, auch wenn einige Gerichte das anders entschieden haben, viele Staatsanwaltschaften dies anders praktizieren und auch in der politischen Diskussion Gegenteiliges behauptet wird.

Im Auftrag der Piratenpartei Bayern habe ich heute Strafanzeige gegen Staastminister Joachim Herrmann, den Präsidenten des LKA sowie gegen verantwortliche Beamte des Innenminsteriums und des Landeskrimalamts erstattet.

Die Strafanzeige stützt sich darauf, dass der gezielte Einsatz des Behördentrojaners zum Zwecke einer grundgesetzwidrigen Onlinedurchsuchung gegen die Strafvorschriften der §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten) und 202c StGB (Vorbereiten des Ausspähens und Abfangens von Daten) verstößt.

Weil die Analyse des CCC zudem ergeben hat, dass der Trojaner auch eine Fernsteuerung des Rechners des Beschuldigten ermöglicht und den Zugriff auf die dort gespeicherten Datenbestände, ist sogar die Annahme einer Datenveränderung und einer Computersabotage nach §§ 303a, 303b StGB naheliegend.

Es besteht ein erheblicher Tatverdacht dahingehend, dass diejenigen Personen, die am Einsatz des Trojaners mitgewirkt haben, diejenigen die ihn angeordnet haben sowie diejenigen, die den Erwerb der Software angeordnet haben, sich strafbar gemacht haben.

Pressemitteilung der Piratenpartei Bayern

Aus einer eher unscheinbaren Meldung aus dem Bayernteil der gestrigen Ausgabe der Süddeutschen Zeitung (SZ vom 13.10.2011, S. R 17) ergibt sich, dass das bayerische Landeskriminalamt mittlerweile eingeräumt hat, den „Bayerntrojaner“ seit Anfang 2009 in insgesamt 22 Fällen eingesetzt zu haben, wobei 12 Fälle allein auf das laufende Jahr entfallen.

Das bedeutet zunächst, dass es weit mehr als die fünf Fälle gibt, die die Staatsregierung zunächst gegenüber dem Landtag zugegeben hat. Hier zeigt sich zunächst, dass die Staatsregierung eine parlamentarische Anfrage der Grünen vom 25.03.2011, woraufhin zunächst nur vier Fälle eingeräumt wurden, unzutreffend beantwortet hat. Die Staatsregierung hatte dann im Juni 2011 fünf Fälle eingeräumt, was sich ebenfalls nicht mit den jetzigen Auskünften des LKA deckt. Entweder hat also die Staatsregierung die Öffentlichkeit und den Landtag falsch informiert oder ist selbst vom LKA falsch informiert worden. Beides ist nicht akzeptabel.

Die jetzt eingeräumten 22 Fälle beziehen sich nach dem Bericht der SZ auf solche Ermittlungen, bei denen zusätzlich zur Quellen-TKÜ alle paar Sekunden heimlich Browser-Screenshots angefertigt und an das LKA geschickt wurden.

Das ist besonders pikant, da das Landgericht Landshut genau diese Praxis bereits mit Beschluss vom 20.01.2011 für rechtswidrig erklärt hat. Es ist auch juristisch evident, dass es sich hierbei um eine rechtswidrige Onlinedurchsuchung handelt, für die es keine Rechtsgrundlage gibt und die nach der Entscheidung des BVerfG die Grundrechte verletzt.

Die bayerischen Behörden haben also den Beschluss des Landgerichts Landshut bewusst ignoriert und in voller Kenntnis der Rechts- und Verfassungswidrigkeit den Bayerntrojaner im Jahre 2011 weiterhin zum Einsatz gebracht und zwar in mindestens 12 Fällen.

Die Behörden können sich hierfür auch dann nicht auf eine richterliche Gestattung berufen, und zwar selbst dann nicht, wenn ein Ermittlungsrichter eine sog. Quellen-TKÜ angeordnet haben sollte. Wie der Beschluss des Landgerichts Landshut – der den Wortlaut der richterlichen Anordnung des Amtsgerichts Landshut wiederholt – nämlich zeigt, ist die richterliche Anordnung explizit auf die Internettelefonie beschränkt. Im Beschluss heißt es wörtlich:

„Unzulässig sind (…) das Kopieren und Übertragen von Daten von einem Computer, die nicht die Telekommunikation des Beschuldigten über das Internet mittels Voice-Over-IP betreffen.“

Hierüber setzen sich das bayerische Landeskriminalamt und auch die Staatsanwaltschaften, die immerhin als sog. Herren des Ermittlungsverfahrens gelten, weiterhin gezielt hinweg.

Diese bewusste Verletzung der Grundrechte ist von einer neuen Qualität und in dieser Form neu. Es war also keineswegs übertrieben, als Heribert Prantl in der SZ unlängst von einer neuen Form der Staatskriminalität sprach.

In der aktuellen Diskussion um den Einsatz eines „Staatstrojaners“ durch Landeskriminalämter verschiedener Bundesländer wird seitens der Sicherheitsbehörden immer damit argumentiert, dass man lediglich eine sog. Quellen-TKÜ durchführe, die richterlich genehmigt worden sei.

Was hat es also mit dieser Quellen-TKÜ auf sich? Die Quellen-Telekommunikationsüberwachung zielt auf das Abhören von IP-Telefonaten (Skype) ab. Die simple juristische Grundüberlegung dahinter ist die, dass in den Fällen, in denen eine Überwachung der herkömmlichen Telefonie nach der Strafprozessordnung zulässig ist, auch das Abhören von Internet-Telefonaten zulässig sein muss, weil es sich in beiden Fällen um Sprachtelefonie handelt, auch wenn sie technisch grundlegend unterschiedlich sind.

Das leuchtet zwar auf den ersten Blick ein, aber bereits bei der Frage der technischen Umsetzung zeigt sich, dass die Überwachung der IP-Telefonie eine ganz andere Eingriffsintensität erfordert als die der herkömmlichen Sprachtelefonie.

Schon an diesem Punkt stellt sich allerdings auch die Frage, warum man sich insbesondere im Fall von Skype nicht direkt an den Anbieter wenden kann, wie man das bei der herkömmlichen TKÜ auch macht. Hier wird seitens der deutschen Justiz immer behauptet, den Ermittlungsbehörden würde die Möglichkeit eines Zugriffs direkt über den Anbieter Skype nicht zur Verfügung stehen. Das wird beispielsweise vom Richter am Oberlandesgericht Wolfgang Bär in einer aktuellen Urteilsbesprechung ausdrücklich wieder betont (MMR 2011, 691 f.). Demgegenüber deutet die Formulierung in den Datenschutzbedingungen von Skype an, dass das Unternehmen Verkehrsdaten und Kommunikationsinhalte auf Aufforderung an die „zuständigen Behörden“ übermittelt. Andere europäische Staaten nutzen diese Möglichkeit nach Medienberichten auch.

Sollte dies tatsächlich möglich sein, wäre eine Quellen-TKÜ in jedem Fall unzulässig, weil ein Abgreifen von Gesprächsinhalten direkt bei Skype das mildere Mittel darstellt und die Quellen-TKÜ damit unverhältnismäßig wäre. Ein Aspekt den Ulf Buermeyer im „Küchenradio“ anspricht. Buermeyer, der Richter am Landgericht Berlin ist und früher wissenschaftlicher Mitarbeiter am BVerfG war, erläutert in diesem hörenswerten Format die juristischen Zusammenhänge in lockerem Plauderton.

Die Quellen-TKÜ setzt zwingend voraus, dass die Polizei auf dem Computer bzw. Endgerät des Betroffenen (heimlich) eine Software installiert, die dort vor der Verschlüsselung – also an der Quelle – die Gesprächsinhalte anzapft. Diese heimliche Infiltration eines Computers stellt einen deutlich schwerwiegenderen Eingriff dar, als die klassische Telefonüberwachung. Bereits deshalb ist die Gleichsetzung beider Arten der Telefonie problematisch. Denn man muss die verfassungsmäßige Rechtfertigung nach der Schwere des Eingriffs beurteilen und nicht danach, ob es sich in beiden Fällen um vergleichbare Formen von Telefonie handelt. Hierin liegt eines der Grundprobleme der Betrachtungsweise der Sicherheitspolitiker und Polizeibehörden.

Das Bundesverfassungsgericht hat klargestellt, dass eine Onlinedurchsuchung nur in extremen Ausnahmefällen zulässig sein soll. In der gleichen Entscheidung hat man aber die sog. Quellen-TKÜ zugelassen, wenn sichergestellt ist, dass keine weiterreichenden Überwachungsmaßnahmen durchgeführt werden.

Diese Differenzierung ist hochproblematisch, weil sich die Onlinedurchsuchung und die Quellen-TKÜ in technischer Hinsicht zunächst nicht unterscheiden, nachdem in beiden Fällen die Installation von Software auf einem Computer/Endgerät des Betroffenen erforderlich ist.

Außerdem verfügt das Strafprozessrecht bislang über keine eigenständige Rechtsgrundlage für die sog. Quellen-TKÜ, weshalb sich einige Gerichte (zuletzt beispielsweise das Landgericht Hamburg und das Landgericht Landshut) mit einer großzügigen Ausweitung des geltenden Rechts behelfen und die Maßnahme nach § 100a StPO zulassen. Hiergegen sind in der juristischen Literatur durchgreifende Bedenken vorgebracht worden, u.a. von Albrecht und Buermeyer/ Bäcker.

Es muss hier auch die Frage gestellt werden, ob die juristisch nachvollziehbare Differenzierung zwischen Onlineüberwachung und Quellen-TKÜ in technischer Hinsicht überhaupt trennscharf möglich ist. Wenn das nämlich nicht der Fall ist – und dafür sprechen die Analysen des CCC – dann ist das BVerfG in tatsächlicher Hinsicht von unzutreffenden Annahmen ausgegangen.

Update vom 13.10.11:
Ulf Buermeyer hat ein kleines Einmaleins der Quellen-TKÜ (nicht nur) für Ermittlungsrichter verfasst.

Immer mehr Bundesländer räumen ein, den Behördentrojaner einzusetzen. Der niedersächsische Innenminister Schünemann betont laut NDR, der Einsatz erfolge „nur, soweit es die gesetzlichen Vorgaben erlauben“. Sein bayerischer Amtskollege Herrmann behauptet, dass man den Trojaner lediglich für die Quellen-TKÜ und ausschließlich im Rahmen der Vorgaben des BVerfG einsetze.

Die Aussage Herrmanns ist allein deshalb falsch, weil ein rechtswidriger Einsatz des Bayerntrojaners bereits gerichtlich festgestellt worden ist.

Für den Einsatz eines Trojaners mit einer Funktionalität wie sie der CCC beschrieben hat, besteht zumindest im Bereich der Strafprozessordnung keinerlei Rechtsgrundlage. Eine Onlinedurchsuchung ist in der StPO nicht vorgesehen. Nach den Vorgaben des BVerfG wäre eine solche Maßnahme auch nur dann zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Das sind Leib, Leben und Freiheit einer Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Die bayerische Staatsregierung hatte aber bereits eingeräumt, dass mithilfe des Bayerntrojaners Straftaten wie banden- und gewerbsmäßiger Betrug oder Handel mit Betäubungs- und Arzneimitteln aufgeklärt werden sollen. Damit steht aber auch der Rechtsverstoß des LKA fest, denn in diesen Fällen sind die erheblichen Einschränkung des BVerfG missachtet worden.

Auch der Hinweis auf die ohnehin äußerst umstrittene Quellen-TKÜ verfängt übrigens nicht. Denn die heimliche Installation eine Software, die Browser-Screenshots machen und andere Daten des Nutzers erfassen und übermitteln kann, infiltriert ein informationstechnisches System.

Die Innenminister Herrmann und Schünemann, die diese Praxis sehenden Auges rechtfertigen, haben den Boden unseres Grundgesetzes verlassen.

Die Gerichte müssen sich gut überlegen, ob sie künftig Anträgen auf Anordnung einer sog. Quellen-TKÜ überhaupt noch stattgeben können, denn diese gehen augenscheinlich regelmäßig mit einer unzulässigen Onlinedurchsuchung Hand in Hand.

Eine Erläuterung der Rechtslage bietet der Richter am Landgericht Ulf Buermeyer  in einem Interview mit rechtspolitik.org. Lesen!

Während sich eine ganze Reihe von Politikern angesichts der Enthüllungen des Chaos Computer Clubs (CCC) beunruhigt zeigen – natürlich hat wieder einmal niemand etwas gewusst – fordert der innenpolitische Hardliner der CDU Wolfgang Bosbach Beweise vom CCC. Warum er das tut, bleibt aber unklar, weil Bosbach sogleich ergänzt, dass er auf heimlich installierte Computerprogramme nicht generell verzichten will.

Das Bundesverfassungsgericht hat hierzu entschieden, dass die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig ist, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Vor diesem Hintergrund ist für heimlich installierte Software verfassungsmäßig wenig Raum, Trojaner wie sie der CCC vorgefunden hat, können verfassungskonform überhaupt nicht eingesetzt werden.

Dass die Rechtspraxis ganz anders aussieht, beweist der Einsatz des Bayerntrojaners durch das bayerische LKA. Man muss jetzt nur eins und eins zusammenzählen, um zu erkennen, dass dies einer der Fälle ist, die der CCC untersucht hat.

In solchen Fällen werden übrigens auch die Gerichte belogen, bei denen die zuständige Staatsanwaltschaft die notwendige richterliche Anordnung einholt. Weil es für eine Onlinedurchsuchung keine rechtliche Grundlage gibt, wird eine „Quellen-TKÜ“ nach § 100a StPO beantragt, um die Telefonie mittels Skype zu überwachen. Dass anschließend allerdings ein Trojaner installiert wird, der noch weit mehr macht, muss den Gerichten natürlich verschwiegen werden. Damit wird allerdings der Richtervorbehalt, dessen Effizienz ohnehin stark überschätzt wird, vollkommen ad absurdum geführt.

Vielleicht findet ja jetzt eine parlamentarische Aufarbeitung in den Landtagen und im Bundestag statt. Das wäre in Bayern freilich nach dem Bekanntwerden des Einsatzes des Bayerntrojaners ohnehin nötig gewesen, zumal das bayerische Justizministerium längst eingeräumt hatte, dass der Trojaner mindestens in fünf Fällen zum Einsatz gekommen ist. Die bayerische Staatsregierung scheint mit diesem evident rechtswidrigen Vorgehen des LKA und der Staatsanwaltschaften offenbar aber keine Probleme zu haben.

Update:
Es ist jetzt auch bekannt, dass zumindest einer der Fälle des CCC in Bayern spielt und der Trojaner vom bayerischen LKA im Rahmen eines Ermittlungsverfahrens eingesetzt worden ist. (via vieuxrenard)

Dem Chaos Computer Club (CCC) wurde der Quellcode (Korrektur: es lagen wohl nur die Binärdateien vor) des sog. Behördentrojaners zugespielt, den man aus der öffentlichen Diskussion als Bundestrojaner und aus der Strafrechtspraxis auch als Bayern-Trojaner kennt.

Die Analyse des CCC ist ebenso erschreckend wie vorhersehbar. Das Tool ermöglicht eine umfassende Onlinedurchsuchung, die weit über das hinausgeht, was bislang offiziell bekannt war.

Man wusste bereits aus einer Entscheidung des Landgerichts Landshut, dass das bayerische LKA das Programm einem Verdächtigen während der Sicherheitsüberprüfung am Münchener Flughafen auf sein Notebook gespielt hatte und, dass das Tool immer dann, wenn der Verdächtige mit seinem Browser online war, alle 30 Sekunden einen Screenshot angefertigt hat, der dann an das LKA geschickt wurde. Im konkreten Fall waren es über 60.000 Screenshots, die das bayerische Landeskriminalamt auf diese Weise erlangt hat.

Die Analyse des CCC zeigt nun, dass die Software neben der Überwachung der Skype-Telefonie und der Aufzeichnung und Weiterleitung von Browser-Screenshots noch eine Reihe weiterer Überwachungsfeatures enthält. In der Pressemitteilung des CCC heißt es hierzu:

So kann der Trojaner über das Netz weitere Programme nachladen und ferngesteuert zur Ausführung bringen. Eine Erweiterbarkeit auf die volle Funktionalität des Bundestrojaners – also das Durchsuchen, Schreiben, Lesen sowie Manipulieren von Dateien – ist von Anfang an vorgesehen. Sogar ein digitaler großer Lausch- und Spähangriff ist möglich, indem ferngesteuert auf das Mikrophon, die Kamera und die Tastatur des Computers zugegriffen wird.

Zusätzlich bedenklich ist es, dass der Staatstrojaner die ausgespähten Daten zunächst an einen Server eines kommerziellen Providers in Ohio (USA) übermittelt. Offenbar ist den deutschen Behörden die Rechtswidrigkeit ihres Tuns bewusst, weshalb man es vermeidet, den Datenaustausch über einen deutschen, evtl. sogar behördlichen Server abzuwickeln.

Wenn man immer wieder hört – z.B. vom BKA – dass dieser Behördentrojaner nicht zum Einsatz kommt, sollte man dem keinen Glauben schenken. Die Strafverfolgung ist in Deutschland Ländersache, weshalb auf das BKA vermutlich tatsächlich die niedrigste Anzahl von Einsätzen entfallen dürfte. Demgegenüber scheinen die Landeskriminalämter und damit auch die Staatsanwaltschaften durchaus regelmäßigen Gebrauch von diesem Programm zu machen. In Bayern hat die Staatsregierung eingeräumt, dass der Trojaner in fünf Fällen zu Zwecken der Strafverfolgung eingesetzt worden ist. Man darf annehmen, dass die Situation in anderen Bundesländern ähnlich ist.

Die rechtliche Bewertung ist übrigens sehr eindeutig. Für eine (heimliche) Onlinedurchsuchung existiert in Deutschland derzeit überhaupt keine Rechtsgrundlage – und es wäre auch fraglich ob eine solche verfassungskonform ausgestaltet werden könnte – weshalb der Einsatz des Behördentrojaners evident rechtswidrig ist.

Lediglich im Bereich der Überwachung der IP-Telefonie sind einige Gerichte der Ansicht, dass sich eine sog. Quellen-TKÜ auf § 100a StPO stützen lässt. Aber auch insoweit ist in der juristischen Literatur überzeugend dargelegt worden – vgl. z.B. Albrecht und Buermeyer/ Bäcker – dass § 100a StPO keine tragfähige Grundlage für eine derartige Maßnahme bietet und auch die Quellen-TKÜ nach geltendem Recht rechtswidrig ist.

Aber selbst wenn man das anders sieht, ist der Einsatz des Tools, das der CCC analysiert hat, für Zwecke der Überwachung von Voice-Over-IP rechtswidrig, denn das Programm ist ja nicht auf derartige Maßnahmen beschränkt, sondern ermöglicht vielmehr eine umfassende und weitreichende Überwachung, für die unstreitig noch nicht einmal eine formelle Rechtsgrundlage besteht.

Die Analyse des CCC zeigt, dass sich die Polizeibehörden und Staatsanwaltschaften gerade im Bereich der Telekommunikationsüberwachung wenig darum schweren, ob ihre Maßnahmen rechtswidrig sind oder nicht und vielmehr die Neigung besteht, alles zu praktizieren, was technisch möglich ist.

Besonders bedenklich ist aber auch die Erkenntnis des CCC, dass das Programm keineswegs von fähigen Experten programmiert worden ist und deshalb Fehler und Sicherheitslücken enthält, die es ermöglichen, dass ein beliebiger Dritter die Kontrolle über einen von deutschen Behörden infiltrierten Computer übernehmen kann.

Die ausführliche Analyse des CCC war eines der meistdiskutierten Themen im Netz in den letzten 24 Stunden und zahlreiche Medien, u.a. die FAS in einem Leitartikel von Frank Schirrmacher, haben sich des Themas angenommen.

Und weil ich auf tagesschau.de folgendes lese,

Doch es ist unklar, ob tatsächlich deutsche Ermittlungsbehörden oder Nachrichtendienste – oder überhaupt staatliche Stellen – hinter dem Programm stecken.

noch eine ergänzende Anmerkung zur Seriosität der Enthüllung des CCC. Es sollte gerade Journalisten klar sein, dass der CCC schlecht mitteilen kann, aus welchem Verfahren die Software stammt, die dem CCC zugespielt worden ist, weil man sonst den Informanten ans Messer liefern würde. Man darf allerdings getrost annehmen, dass die Information nicht aus obskuren Quellen stammt, sondern aus einem polizeilichen Verfahren.