Gutachten der Bundesanwaltschaft: Keine Rechtsgrundlage für Quellen-Telekommunikationsüberwachung

Quelle: netzpolitik
Von | Veröffentlicht am: 23.01.2013 um 13:12h

Die Quellen-Telekommunikationsüberwachung darf derzeit nicht eingesetzt werden, da es keine erforderliche Rechtsgrundlage gibt. Das ist das Fazit einer rechtlichen Analyse des Generalbundesanwalts beim Bundesgerichtshof, die wir hier veröffentlichen. Die Infiltration eines Rechners per Staatstrojaner verletzt das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme.

Im Dezember berichteten wir über eine Antwort der Bundesregierung zum Einsatz der Quellen-Telekommunikationsüberwachung. Dort stand unter anderem, dass der Generalbundesanwalt den Einsatz von Staatstrojanern für illegal hält. Dieses Gutachten wollten wir haben und stellten eine Anfrage bei FragDenStaat.de. Heute kam die Antwort und das Gutachten: Rechtliche Zulässigkeit der sogenannten „Quellen-TKÜ“ (PDF).

Das Fazit:

Ein Antrag auf Anordnung einer sogenannten Quellen-Telekommunikationsüberwachung kommt aus Rechtsgründen nicht in Betracht. Es fehlt an der erforderlichen Rechtsgrundlage für einen Eingriff in das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

Der Text ist eher kurz und auch für Nicht-Juristen verständlich. Daher hängen wir ihn in Volltext an und empfehlen die komplette Lektüre.

Problematisch ist, dass sich die Bundesregierung dieser Rechtsauffassung nicht eindeutig anschließt. Zwar sieht man “gewichtige Gründe” für die Entscheidung, trotzdem stoppt man diese illegale Überwachungsmethode nicht. Ulf Buermeyer, Richter am Landgericht Berlin, Mitglied des Digitale Gesellschaft e. V. und im Gutachten Zitierter, kommentiert das Gutachten wie folgt:

Der Vermerk des Generalbundesanwalts macht klar, was in der Rechtswissenschaft bereits seit längerem weitgehend Konsens ist: Es gibt derzeit keinerlei Rechtsgrundlage, um im Strafverfahren Trojaner einzusetzen – weder für eine Online-Durchsuchung noch für die sogenannte “Quellen-TKÜ”. Auch wenn der GBA keine Neuigkeiten schreibt, so verdient der Vermerk doch größten Respekt: Immerhin bekennt sich damit die oberste Strafverfolgungsbehörde des Bundes zum Vorrang von Recht und Gesetz gegenüber angeblichen “Bedürfnissen” der Polizei. Wenn es solche Notwendigkeiten im Strafverfahren tatsächlich geben sollte, so könnte allein der Bundesgesetzgeber eine Rechtsgrundlage für den Trojaner-Einsatz schaffen. Polizei und Justiz dürfen sich jedenfalls nicht selbst ermächtigen. Daher muss nun endgültig Schluss sein mit dem Trojanisieren der Systeme von Beschuldigten: Es handelt sich hier nicht um einen rechtlichen “Graubereich”. Wer als Polizeibeamter Trojaner im Strafverfahren einsetzt oder als Richter so etwas anordnet, der steht meilenweit im verfassungsrechtlichen Aus.

Auch Frank Rieger, Sprecher des Chaos Computer Clubs, meint:

Der Generalbundesanwalt hat hier klar formuliert, was sowohl das BKA als auch die Regierung ignorieren wollen: es gibt keine Rechtsgrundlage für den Staatstrojaner, auch nicht zum Abhören von Telefonaten. Wenn selbst das oberste Ermittlungsorgan klar erklärt, daß Trojaner nicht eingesetzt werden dürfen, sollte die Politik allmählich mal zuhören.

Und hier das Gutachten im Volltext:

Rechtliche Zulässigkeit der sogenannten „Quellen-TKÜ“

Karlsruhe, den 29.10.2010 Der Generalbundesanwalt beim Bundesgerichtshof

Zur Fragestellung:

Das BKA hat in dem vorgenannten Ermittlungsverfahren angeregt, einen Beschluss gemäß §§ 100a, 100b StPO zu erwirken, der „das Bundeskriminalamt ermächtigt, diejenigen Maßnahmen zu treffen, die erforderlich sind, um die Telekommunikation des Endgerätes (konkret die von der Beschuldigten genutzten „Personal Computer oder Laptops“) in unverschlüsselter Form zu überwachen und aufzuzeichnen.“ Zur Begründung hat das Bundeskriminalamt ausgeführt, die Beschuldigte nutze unter anderem die verschlüsselnden Softwareprogramme Skype (zur Internettelefonie per Voice-over-IP) und MSN (zum Austausch von Textnachrichten in Echtzeit) sowie das Verschlüsselungsnetzwerk TOR.

Unter einer Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ist die Ausleitung von zum Zeitpunkt der Überwachung erzeugten Kommunikationsinhalten noch vor ihrer Verschlüsselung unmittelbar aus einem der beteiligten Zielrechner zu verstehen. Eine Mitwirkung des Diensteanbieters ist nicht erforderlich. Nach derzeitigem Stand der Technik ist für den Zugriff auf die zur Telekommunikationsübertragung bestimmten Daten vor der Verschlüsselung und Übertragung regelmäßig ein Softwareprogramm erforderlich, das – verdeckt – auf dem Zielcomputer installiert werden muss. Das Programm greift technisch auf den Datenfluss zu, bevor dieser im Ablauf des vom Benutzer verwendeten Telekommunikationsprogramms verschlüsselt wird, zum Beispiel am Mikrofon oder der Tastatur des Rechners.

2. Zur rechtlichen Zulässigkeit der sogenannten Quellen-TKÜ:

Ein Antrag auf Anordnung einer sogenannten Quellen-Telekommunikationsüberwachung kommt aus Rechtsgründen nicht in Betracht. Es fehlt an der erforderlichen Rechtsgrundlage für einen Eingriff in das Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG.

Das BVerfG hat in seinem Urteil zur Online-Durchsuchung entschieden, dass das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG – über seine bisher anerkannte Ausprägung hinaus – auch die Integrität und Vertraulichkeit informationstechnischer Systeme gewährleistet. Der Schutzbereich dieses Grundrechts erfasst sowohl das Interesse des Nutzer an der Vertraulichkeit der erzeugten, verarbeiteten und gespeicherten Daten als auch die Integrität des geschützten Systems gegen Zugriffe Dritter, durch die die Leistungen, Funktionen und Speicherinhalte des Systems genutzt werden können. Nach der Entscheidung des BVerfG stellt die heimliche Infiltration eines informationstechnischen Systems mit einer forensischen Software einen Grundrechtseingriff von besonders hohem Gewicht dar. Ein Gesetz, das zu einem solchen Eingriff ermächtigt, muss daher besondere Anforderungen an den Eingriffsanlass vorsehen, Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen und die Maßnahme unter den Vorbehalt richterlicher Anordnung stellen.

Eine Ermächtigung zur Infiltration eines informationstechnischen Systems, die diesen Anforderungen gerecht wird, enthält die Strafprozessordnung nicht.

2.1

Nach der genannten Entscheidung des BVerfG ist eine Ermächtigung dann allein an Art. 10 GG zu messen, wenn sie sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden. Danach kommt § 100a StPO als Eingriffsgrundlage einer Quellen-TKÜ in Betracht, wenn sichergestellt werden kann, dass ein weitergehender Eingriff in die Vertraulichkeit und die Integrität des geschützten Systems unterbleibt. Eine solche Beschränkung des Eingriffs kann jedoch derzeit technisch nicht gewährleistet werden. Vielmehr ist für die Durchführung der Quellen-TKÜ die verdeckte Installation einer Software (sogenannter „Trojaner“) auf dem Endgerät des Betroffenen erforderlich, um die Inhalte vor der Kommunikationsschnittstelle abzufangen und auszuleiten. Wird jedoch Fremd-Software auf einem System installiert, so bewirkt bereits diese Infiltration einen Eingriff in die Integrität des Systems. Das BVerfG hat in diesem Zusammenhang ausgeführt:

„Nach Auskunft der in der mündlichen Verhandlung angehörten sachkundigen Auskunftspersonen kann es im Übrigen dazu kommen, dass im Anschluss an die Infiltration Daten ohne Bezug zur laufenden Telekommunikation erhoben werden, auch wenn dies nicht beabsichtigt ist.“ „… es könne (ferner) nicht ausgeschlossen werden, dass der Zugriff selbst bereits Schäden auf dem Rechner verursacht. So könnten Wechselwirkungen mit dem Betriebssystem zu Datenverlusten führen… Zudem ist zu beachten, dass es einen rein lesenden Zugriff infolge der Infiltration nicht gibt. Sowohl die zugreifende Stelle als auch Dritte, die eventuell das Zugriffsprogramm missbrauchen, können auf Grund der Infiltration des Zugriffsrechners Datenbestände versehentlich oder sogar durch gezielte Manipulationen löschen, verändern oder neu anlegen.“

Da zudem mit der Infiltration, die entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems bereits genommen ist, sind – zumindest nach derzeitigem Stand der Technik – die bestehenden Eingriffsermächtigungen in der Strafprozessordnung nicht nur am Grundrecht aus Art. 10 GG, sondern stets auch an dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme zu messen.

2.2

Hinzu tritt, dass das BVerfG in seiner Entscheidung neben technischen Vorkehrungen zur Beschränkung der Quellen-TKÜ ausdrücklich auch entsprechende „rechtliche Vorgaben“ fordert.

Dem entspricht es, dass der Gesetzgeber für den präventiv-polizeilichen Bereich in dem Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das BKA vom 25. Dezember 2008 (BGBl. l S. 3083) neben der Befugnis zur Überwachung und Aufzeichnung der Telekommunikation (§ 20l Abs. l BKAG) eine eigenständige Rechtsgrundlage für die Quellen-TKÜ (§ 20l Abs. 2 BKAG) geschaffen hat. Aus der Gesetzesbegründung, wonach § 20l Abs. 2 Satz 1 BKAG eine Rechtsgrundlage für den heimlichen, technischen Eingriff in ein informationstechnisches System schafft, ergibt sich, dass auch der Gesetzgeber von der Notwendigkeit einer ausdrücklichen gesetzlichen Ermächtigung für die Quellen-TKÜ ausgeht.

2.3

Schließlich ist die Durchführung einer Quellen-TKÜ bei verfassungskonformer Auslegung auch nicht als eine Annexkompetenz zu § 100a StPO zulässig, wenn zur Überwachung Software auf dem betroffenen Endgerät installiert werden muss. In diesem Fall ist zwischen der eigentlichen Telekommunikationsüberwachung als Primärmaßnahme und der zur Umsetzung notwendigen Installation der entsprechenden Software und damit der Infiltration des Zielcomputers als Vorbereitungs- und Begleitmaßnahme der Überwachung (Sekundärmaßnahme) zu unterscheiden. Nach der Rechtsprechung des Bundesgerichtshofs ist zwar grundsätzlich davon auszugehen, dass der Gesetzgeber mit der Primärbefugnis zu eingriffsrechtlichen Maßnahmen stillschweigend auch eine Ermächtigung für Vorbereitungs- und Begleitmaßnahmen geschaffen hat (Sogenannte Annexkompetenz). Dies gilt allerdings nur, sofern diese mit einer solchen Maßnahme typischerweise unerlässlich verbunden sind, lediglich geringfügig in den Rechtskreis des Betroffenen eingreifen oder zumindest unter Beachtung des Verhältnismäßigkeitsgrundsatzes eine notwendige Begleitmaßnahme darstellen, für die kein milderes Mittel in Betracht kommt.

Dies kann vorliegend angesichts des Gewichts des Grundrechtseingriffs, der mit einer Infiltration des Zielcomputers des Beschuldigten verbunden ist, nicht angenommen werden. Das BVerfG hat in diesem Zusammenhang ausgeführt.

„Wird ein komplexes informationstechnisches System zum Zweck der Telekommunikationsüberwachung technisch infiltriert („Quellen-Telekommunikationsüberwachung“), so ist mit der Infiltration die entscheidende Hürde genommen, um das System insgesamt auszuspähen. Die dadurch bedingte Gefährdung geht weil über die hinaus, die mit einer bloßen Überwachung der laufenden Telekommunikation verbunden ist. …

Das Gewicht des Grundrechtseingriffs ist von besonderer Schwere, wenn eine heimliche Infiltration die längerfristige Überwachung der Nutzung des Systems und die laufende Erfassung der entsprechenden Daten ermöglicht. …

Schließlich ist zu berücksichtigen, dass der geregelte Zugriff unter anderem darauf angelegt und dazu geeignet ist, den Einsatz von Verschlüsselungstechniken zu umgehen. Auf diese Weise werden eigene Schutzvorkehrungen des Betroffenen gegen einen von ihm nicht gewollten Datenzugriff unterlaufen, die Vereitelung solchen informationellen Selbstschutzes erhöht das Gewicht des Grundrechtseingriffs.“

Die Ermächtigungsnormen in §§ 100a, 100b StPO sind auf eine anschlussbasierte Telekommunikationsüberwachung zugeschnitten und enthalten daher gerade keine rechtlichen Vorgaben, um die Integrität eines infiltrierten Endgerätes unter Verhältnismäßigkeitsgesichtspunkten zu minimieren und Datenveränderungen oder Datenerfassungen über die bloße Überwachung hinaus auszuschließen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s