Online-Durchsuchung - Historie

1-1 von 1
Sortieren:
  • Online-Durchsuchung

    von iljabraun, angelegt

    Beitrag Fraktion DIE LINKE und SV Constanze Kurz.

    Onlinedurchsuchungen wurden in Deutschland spätestens seit 2005 durchgeführt. Dies bestätigte der Parlamentarische Staatssekretär im Bundesinnenministerium, Peter Altmaier (CDU) im Jahr 2007 vor dem Innenausschuss des Deutschen Bundestags. Eine entsprechende Dienstvorschrift sei seinerzeit vom damaligen Bundesinnenminister Otto Schily (SPD) unterzeichnet worden. Eine Rechtsgrundlage für derartige Maßnahmen gab es nicht. Am 30. Dezember 2006 wurde erstmals auf Länderebene eine gesetzliche Legitimation für Online-Durchsuchungen beschlossen. In Nordrhein-Westfalen, wo das Innenministerium von der FDP geführt wurde, trat eine Änderung des Verfassungsschutzgesetzes in Kraft, die dem Dienst ein „heimliches Beobachten und sonstiges Aufklären des Internets“ erlaubte, wobei zur Informationsbeschaffung der „heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ genehmigt wurde. Wenig konkret wurde in dem entsprechenden Paragraphen darauf verwiesen, dass entsprechende Maßnahmen „nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig seien“. Nachdem 2007 bereits der Bundesgerichtshof festgestellt hatte, dass die „verdeckte Online-Durchsuchung“ mangels einer besonderen Ermächtigungsgrundlage unzulässig sei, hatte 2008 eine Verfassungsbeschwerde gegen das nordrhein-westfälische Gesetz Erfolg. Am 27.02.2008 erklärte das Bundesverfassungsgericht den entsprechenden Abschnitt des Gesetzes für nichtig. Das Urteil hat über diesen Umstand hinaus eine grundlegende Bedeutung, weil mit ihm ein neues Grundrecht konkretisiert wurde, nämlich das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Dieses betrachteten die Richter als besondere Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG), was eine rechtsdogmatische Bedeutung hat, insofern ein Grundrecht nicht mit anderen, einfachgesetzlichen Rechtsgütern abgewogen werden darf. Ausdrücklich betonten die Richter zudem, das erwähnte Grundrecht schütze auch dort vor Eingriffen, wo dieser Schutz durch andere Grundrechte, etwa jenes der informationellen Selbstbestimmung, nicht gewährleistet sei (Ziffer 167). Es bedürfe vielmehr einer „lückenschließenden Gewährleistung“, um „neuartigen Gefährdungen zu begegnen, zu denen es im Zuge des wissenschaftlich-technischen Fortschritts und gewandelter Lebensverhältnisse“ kommen könne (Ziffer 169). „Der Einzelne ist darauf angewiesen, dass der Staat die mit Blick auf die ungehinderte Persönlichkeitsentfaltung berechtigten Erwartungen an die Integrität und Vertraulichkeit derartiger Systeme achtet“, führten die Richter aus (Ziffer 181). Das Grundrecht sei stets dann anzuwenden, „wenn die Eingriffsermächtigung Systeme erfasst, die allein oder in ihren technischen Vernetzungen personenbezogene Daten des Betroffenen in einem Umfang und in einer Vielfalt enthalten können, dass ein Zugriff auf das System es ermöglicht, einen Einblick in wesentliche Teile der Lebensgestaltung einer Personen zu gewinnen oder gar ein aussagekräftiges Bild der Persönlichkeit zu erhalten. Eine solche Möglichkeit besteht etwa beim Zugriff auf informationstechnische Systeme, einerlei ob sie fest installiert oder mobil betrieben werden. Nicht nur bei einer Nutzung für private Zwecke, sondern auch bei einer geschäftlichen Nutzung lässt sich aus dem Nutzungsverhalten regelmäßig auf persönliche Eigenschaften oder Vorlieben schließen. Der spezifische Grundrechtsschutz erstreckt sich ferner beispielsweise auf solche Mobiltelefone oder elektronische Terminkalender, die über einen großen Funktionsumfang verfügen und personenbezogene Daten vielfältiger Art erfassen und speichern können.“ (Ziffer 203) Die Richter kamen zum Schluss, es handle sich bei den vorgesehenen Maßnahmen um „derart intensive Grundrechtseingriffe, dass sie zu dem öffentlichen Ermittlungsinteresse […] außer Verhältnis stehen.“ In den Leitsätzen des Urteils heißt es: „Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“ Das Urteil ist nicht ohne Einfluss auf die Gesetzgebung des Bundes geblieben. Dies wird an der Formulierung der Neufassung des Bundeskriminalamtsgesetzes deutlich, die 2008 für erheblichen Wirbel sorgte. Das BKA-Gesetz ist im Bundestag mit der Mehrheit von CDU/CSU und SPD verabschiedet und zum 1. Januar 2009 in Kraft getreten. War in dem nordrhein-westfälischen Gesetz, entstanden unter Federführung des FDP-geführten Innenministeriums, noch unspezifisch die Rede davon gewesen, dass Eingriffe in das Post- und Fernmeldegeheimnis „nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz“ zulässig seien, so hängt im BKA-Gesetz die Hürde höher. Der Formulierung in §20k zufolge darf ein verdeckter Eingriff in informationstechnische Systeme per Onlinedurchsuchung nur erfolgen, „wenn bestimmte Tatsachen die Annahme rechtfertigen, dass eine Gefahr vorliegt für 1. Leib, Leben oder Freiheit einer Person oder 2. solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.“ Hiermit wird dem Ansinnen des Bundesverfassungsgerichts entsprochen, dass die Regelung hinreichend klar die Abwehr einer konkreten Gefahr für ein überragend wichtiges Rechtsgut (Ziffer 247) zum Inhalt haben müsse. Auch der vom Gericht geforderte Richtervorbehalt ist berücksichtigt. Dennoch wurden wichtige Maßgaben des Bundesverfassungsgerichts außer Acht gelassen. Erkennbar wollte der Bund mit dem BKA-Gesetz eine Regelung schaffen, die den vom Bundesverfassungsgericht gelassenen Spielraum voll ausschöpft. Ob dies gelang oder ob doch die Grenze zur Verfassungswidrigkeit überschritten ist, darüber gehen die Meinungen auseinander. Gegen das Gesetz liegen mehrere Verfassungsbeschwerden vor. Als Erste reichte am 27.01.2009 die Journalistin Bettina Winsemann ihre Beschwerde ein, die bereits erfolgreich gegen das nordrhein-westfälische Gesetz geklagt hatte. Ihrem Beispiel folgten neben anderen der damalige Herausgeber der ZEIT, Michael Naumann , sowie der Vorsitzender der Humanistischen Union, Dr. Fredrik Roggan. Auch der Innenminister a.D. Gerhart R. Baum, der Vorsitzende des Landesverbands Berlin des Deutschen Anwaltsvereins Ulrich Schellenberg und einige weitere Beschwerdeführer wandten sich an das Bundesverfassungsgericht. Eine Befassung steht noch aus. Mutmaßlich wegen des negativen Echos auf das Gesetz hat das Bundeskriminalamt in Sachen Onlinedurchsuchung zunächst zurückhaltend agiert. Nach Auskunft der Bundesregierung hat das BKA bis zum 20.05.2010 keine einzige Maßnahme der Online-Durchsuchung gemäß §20k des BKA-Gesetzes durchgeführt, wenngleich bis zu dem genannten Zeitpunkt 101.581,84 Euro an Sachkosten in die Bereitstellung der technischen Mittel zur Durchführung solcher Maßnahmen investiert wurden. Auch das Bundesamt für Verfassungsschutz führte zumindest seinerzeit nach Auskunft der Bundesregierung keine Online-Durchsuchungen durch, weil dafür keine Rechtsgrundlage bestehe. Auf neuere Anfragen verweigert die Bundesregierung allerdings unter Verweis auf Geheimhaltungsgründe die Antwort. Mag dies im Fall von Ermittlungen zum Ziel der Terrorismusbekämpfung begründbar sein, so ist kaum verständlich, warum auch im Hinblick auf sonstige Online-Durchsuchungen die Auskunft verweigert wird, während sie im Mai 2010 noch erteilt werden konnte. Es lässt darauf schließen, dass seit dem 20.05.2010 durchaus Online-Durchsuchungen auf Basis des BKA-Gesetzes durchgeführt worden sein könnten. Auch auf Länderebene gibt es, dem Bundesverfassungericht zum Trotz, nach wie vor Befugnisse zu Online-Durchsuchungen. So ist in Bayern das Landesamt für Verfassungsschutz zu Online-Durchsuchungen ausdrücklich berechtigt. Art. 6e des Bayerischen Verfassungsschutzgesetzes regelt seit dem 27.7.2009 die „Verdeckte Online-Datenerhebung“. Und im rot-grün regierten Rheinland-Pfalz sind seit dem 23.02.2011 Online-Durchsuchungen möglich, nachdem der Landtag im Januar 2011 die im neuen Polizei- und Ordnungsbehördengesetz festgeschriebene Regelung gebilligt hat. Ende 2013 soll hier der Erfolg des Landestrojaners evaluiert werden. Weit häufiger sprechen die Ermittlungsbehörden im Zusammenhang mit der Infiltration informationstechnischer Systeme nicht mehr von Online-Durchsuchungen, sondern von „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ). Sie betrachten dafür nicht das BKA-Gesetz als Grundlage, sondern berufen sich auf die Möglichkeit der Telekommunikationsüberwachung, für die verschiedene gesetzliche Grundlagen herangezogen werden, vor allem §100a der Strafprozessordnung. Mit dem Ausdruck „Quellen-TKÜ“ soll angedeutet werden, dass nicht eine herkömmliche Leitung abgehört wird, sondern die Telekommunikation über einen Computer, etwa ein per Internettelefonie geführtes Gespräch. Da bei Internettelefonaten die Daten verschlüsselt übertragen werden können, soll in diesem Fall ein Abhören vor der Verschlüsselung der Übertragung, also an der Quelle, stattfinden. Statt wie bei Telefonüberwachungen üblich den Anbieter über die gesetzlich vorgeschriebenen Abhörschnittstellen zur Ausleitung der Telefonate in Anspruch zu nehmen, wird ei der Quellen-TKÜ das auszuspähende informationstechnische System infiltriert und eine Spionagesoftware aufgebracht. Aus Sicht mancher Ermittlungsbehörden und politisch Verantworlichen ist hierfür keine zusätzliche gesetzliche Grundlage erforderlich, da es sich um einen Sonderfall der üblichen Telekommunikationsüberwachung handele. Auch handelt es sich nach Angaben der Bundesregierung aus der 16. Wahlperiode bei einer Quellen-TKÜ nicht um dieselbe Software wie bei einer Onlinedurchsuchung. Der Zollfahndungsdienst arbeite beispielsweise nicht mit der vom Bundeskriminalamt verwendeten „Remote Forensic Software“ (RFS), sondern mit einer anderen, die zwar zur Quellen-TKÜ, nicht jedoch zur Onlinedurchsuchung eingesetzt werden könne. Zwischen Onlinedurchsuchung und Quellen-TKÜ bestehen demnach sowohl juristische als auch technische Unterschiede. Beide sind mittlerweile in Fachkreisen ausgiebig diskutiert worden. Die Verfassungsrechtler Ulf Buermeyer und Matthias Bäcker haben 2009 die Fachliteratur zum Thema gesichtet und dabei keine einzige Stimme gefunden, die die Sichtweise der Regierung und Ermittlungsbehörden bestätigen würde. Vielmehr herrscht in der Fachwelt Übereinstimmung darüber, dass die Vorgaben des Bundesverfassungsgerichtsurteils auch die Quellen-TKÜ berührt und insbesondere die Infiltration der Systeme als kritisch hervorhebt. Die Autoren ziehen daraus den Schluss: „§100a StPO ist keine taugliche Grundlage für eine Quellen-TKÜ, sofern dazu Software auf dem betroffenen Endgerät installiert werden soll. So begreiflich der Wunsch der Sicherheitsbehörden sein mag, VoIP-Gespräche ebenso abhören zu können wie Festnetz- und Mobilfunktelefonate – im Rechtsstaat des Grundgesetzes trifft allein der Gesetzgeber die Entscheidung, in welche Grundrechte unter welchen Voraussetzungen eingegriffen werden darf. Sofern der politische Wille besteht, auch die Überwachung der Telefonie über das Internet zu repressiven Zwecken zuzulassen, müsste also der Bund eine spezifische Ermächtigungsgrundlage schaffen, die insbesondere den Vorgaben der OD-Entscheidung des BVerfG Rechnung zu tragen hätte.“ Nach Analyse der Veröffentlichungen des CCC fällt die juristische Bewertung noch deutlicher aus: „Die Nutzung von Staatstrojanern zur Durchführung einer Quellen-TKÜ oder einer Online-Durchsuchung zu Zwecken der Strafverfolgung ist nach geltendem Recht unzulässig. Für derart intensive Grundrechtseingriffe bedarf es einer ausreichend klaren und eindeutig formulierten bereichsspezifischen Rechtsgrundlage, die den Anforderungen, die das BVerfG zu den genannten Eingriffsmaßnahmen formuliert hat, umfassend entspricht. Die in diesem Zusammenhang in der Praxis bemühten §§100a, 100 b StPO werden dem nicht gerecht.“ Auch aus technischer Sicht lassen sich prinzipielle Unterschiede zwischen Onlinedurchsuchung und Quellen-TKÜ nicht bestätigen. In beiden Fällen wird auf dem Rechner des Betroffenen eine Spionage-Software aufgespielt, ein sogenannter Trojaner, der eine Fernsteuerung des fremden Rechners ermöglicht. So wird es beispielsweise möglich, einen Keylogger aufzuspielen, der die Tastatureingaben des Nutzers mitschneidet. Auch eröffnet sich die Möglichkeit, in regelmäßigen Abständen Screenshots vom Bildschirm des Geräts aufzunehmen und diese, ohne dass der Nutzer es bemerkt, an die Ermittler weiterzuleiten. Grundsätzlich sind die technischen Möglichkeiten nicht weniger begrenzt als bei anderen Trojanern. Die Ermittler können eine umfassende Kontrolle über die fremden Rechner erlangen, Daten löschen, platzieren oder manipulieren, neue Software aufspielen etc. Die Analyse des Chaos Computer Clubs, der in den Besitz der Binärdateien von durch die Ermittlungsbehörden eingesetzte Trojaner gelangte und diese veröffentlicht hat, konnte dies nachdrücklich zeigen. Die Enthüllungen des CCC gehen unter anderem auf einen bereits vor dem Landgericht Landshut verhandelten Fall zurück. Bei diesem hatte das Bayerische Landeskriminalamt auf dem Computer des Betroffenen eine Software aufgebracht, welche über Überwachungsfunktionen verfügte: „Die Überwachung und Ausleitung der verschlüsselten Skype-Kommunikation (Voice-over-IP sowie Chat) vor der Ver- bzw. nach der Entschlüsselung sowie des Internet-Browsers Firefox im Intervall von 30 Sekunden zur Überwachung der über https geführten Telekommunikation“. Die Richter kamen zum Schluss, dass eine Quellen-TKÜ insofern legitim sei, als es den Ermittlungsbehörden ermöglicht werden müsse, „bereits vor der Verschlüsselung und somit vor der Absendung auf die Audiodaten zuzugreifen“. Die Maßnahme sei jedoch rechtswidrig gewesen, da „im zeitlichen Abstand von 30 Sekunden Screenshots von der Bildschirmoberfläche gefertigt wurden, während der Internet-Browser aktiv geschaltet war“. Hierfür gebe es keine gesetzliche Grundlage. Auf die Darstellung des CCC folgte eine öffentliche Diskussion, welche sich darum drehte, welche Landesbehörden welche Überwachungssoftware von welchen Anbieter mit welchen Funktionalitäten eingesetzt hatten und ob darin ein Verstoß gegen das Urteil des Landsgerichts Landshut oder gegen die Vorgaben des Verfassungsgerichts zu sehen sei. Der Piratenpartei war bereits 2008 ein Schreiben des bayerischen Justizministeriums zugespielt worden, welches ein Angebot der Digitask GmbH zum Abhören von Skype-Telefonaten beinhaltete. Der Mietpreis für die Software sollte 3.500 Euro pro Monat betragen. Digitask erhielt nach Angaben der Frankfurter Rundschau im Jahr 2008 von deutschen Behörden fünf Millionen Euro für entsprechende Überwachungssysteme, was auf einen Einsatz in mehreren Verfahren hindeutet. Diese Vermutung wurde in der auf die Initiative des CCC folgende Berichterstattung durch die bayerischen Behörden bestätigt. Offenbar wird Überwachungssoftware tatsächlich von Landeskriminalämtern und Polizeibehörden bundesweit eingesetzt.
    Unumstritten ist aufgrund des Urteils des Landgerichts Landshut, dass mit der aufgedeckten Praxis des tausendfachen Fotographierens des Bildschirms gegen die Vorgaben des Verfassungsgerichts verstoßen wurde. Auch die durch die Analyse des CCC öffentlich gemachten zusätzlichen Funktionen des Trojaners, die ein Nachladen weiterer Codes auf den infiltrierten Rechner erlauben, sind klar rechtswidrig, da die Quellen-TKÜ ausschließlich für das Abhören von Kommunikation erlaubt ist, jedoch nicht für eine beliebige Fernsteuerung des Computers oder für das Nachladen weiterer Funktionalitäten im laufenden Einsatz der Spionagesoftware. Ob aber die in den Ländern und im Bund verwendeten Trojaner rechtswidrige Funktionen aufweisen, ist bisher ungeklärt. Während die Sprecher der Ermittlungsbehörden und der Ministerien beteuerten, sie hätten bei der Durchführung der Maßnahmen die Vorgaben des Verfassungsgerichts beachtet, werden diese Angaben vielfach in Zweifel gezogen. Eine Software, die das Nachladen von Programmcode ermögliche, verstoße schon allein aufgrund der in ihr enthaltenen Möglichkeiten gegen die Vorgaben des Verfassungsgerichts, wird argumentiert, auch wenn die konkrete Verwendung der Zusatzfunktionen sich nicht nachweisen lasse. Bundesinnenminister Hans-Peter Friedrich sieht das anders: „Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können“, bekräftigt der Minister gegenüber der FAS. Unklar ist derzeit noch, welche die Ermittlungsbehörden dieselbe Software eingesetzt haben, die in dem vor dem Landgericht Landshut verhandelten Fall verwendet und später vom CCC analysiert worden ist, und eine welche Behörden Trojaner bei anderen Anbietern bestellt haben. Unklar ist auch, in welchem Ausmaß und in welcher konkreten Form Bundesbehörden bei der Durchführung der Maßnahmen auf Länderebene geholfen haben. Hiervon abgesehen ist fragwürdig, inwiefern auf Grundlage der geltenden Gesetze überhaupt eine Onlinedurchsuchung bzw. eine Quellen-TKÜ stattfinden kann, sofern dies in den Polizeigesetzen der Länder nicht gesetzlich verankert und, wie vom Bundesverfassungsgericht gefordert, konkret geregelt sowie im Einsatz technisch abgesichert und kontrolliert ist.

    Handlungsempfehlungen

    Die Enquetekommission empfiehlt - den Kernbereich privater Lebensgestaltung unter den digitalen Bedingungen stärker gesetzlich zu schützen, - die Befugnis der Ermittlungsbehörden der Länder zu Online-Durchsuchungen aufzuheben und gänzlich darauf zu verzichten, informationstechnische Systeme mittels Infiltration zu durchsuchen, - den Quellcode der Trojaner, die im Rahmen der Quellen-TKÜs verwendet wurden, zu veröffentlichen sowie für künftige Einsätze den Quellcode für die Prüfung vor, während und nach dem Einsatz durch die berechtigten Stellen zu ermöglichen, - Infiltrationen von informationstechnischen Systemen ohne spezifische gesetzliche Grundlage und wirksame technische Prüfung zukünftig zu unterlassen, - die Befugnis des Bundeskriminalamts zum verdeckten Eingriff in informationstechnische Systeme (§20k des Bundeskriminalamtgesetzes) und zur Verwendung und Übermittlung solcher Daten (§ 20v BKAG) aufzuheben, - die Öffentlichkeit in transparenter Weise über die finanzielle Förderung und Erforschung und die Anschaffungskosten von Spionage- und Überwachungssoftware sowie verwandter Technik zu informieren. Zu diesem Zweck sollen auch das Sicherheitsforschungsprogramm der Bundesregierung und die Tätigkeit der neu geschaffenen, verfassungsrechtlich problematischen Gremien wie „Nationales Cyber-Abwehrzentrum“ und Nationaler Cyber-Sicherheitsrat transparenter gestaltet und einer wirksamen unabhängigen Kontrolle unterworfen werden. - in wirksamer Weise dafür zu sorgen, dass deutsche Firmen keine Überwachungstechnik an autoritäre und undemokratische Regime verkaufen, entsprechende Überwachungstechnik Rüstungsgütern gleichzusetzen, ihre Ausfuhr entsprechend zu regeln und darüber dem Parlament zu berichten. [Stand 18.10.2011]