Prüfbericht zur Überwachungssoftware Pannenprodukt Bayerntrojaner

Hat Bayern unzulässige Schnüffelsoftware eingesetzt? Der jetzt vorgestellte Prüfbericht des Landesdatenschutzbeauftragten Thomas Petri kommt zu einem zwiespältigen Ergebnis.

Von Mirjam Hauck und Johannes Kuhn

Haben bayerische Sicherheitsbehörden ein Computer-Ausspähprogramm eingesetzt, dessen Funktionen weit über das Erlaubte hinausgehen? Im Oktober 2011 bekam der Chaos Computer Club eine Festplatte zugespielt, die genau dies vermuten ließ.

Die Software besitze, so die damalige Analyse der CCC-Experten, jene Spionagefunktionen, die vom Bundesverfassungsgericht verboten wurden. Über ihn ließen sich Programme nachladen, mit deren Hilfe sich die Kontrolle über einen Computer übernehmen lasse - und damit theoretisch die Fälschung von Beweisen ermöglichten. Auch könne der PC eines Verdächtigen komplett durchsucht oder zur Raum-Überwachung genutzt werden. Zudem sei das Anfertigen von Screenshots möglich - und damit das Eindringen in die Privatsphäre eines Nutzers.

Weil der Staatstrojaner sich schnell als Bayerntrojaner herausstellte, den das bayerische Landeskriminalamt eingesetzt hatte, kam Innenminister Joachim Herrmann (CSU) unter Druck - und versprach, die Software dem bayerischen Datenschutzbeauftragten zur Prüfung zu übergeben.

Nach einem dreiviertel Jahr und kurz nach Beginn der bayerischen Sommerferien hat nun der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, seinen Prüfbericht vorgestellt. Dabei zieht er ein gemischtes Fazit:

[] 23-mal führten die bayerischen Strafververfolgungsbehörden mit Hilfe des Programms eine sogenannte "Quellen-Telekommunikationsüberwachung" (Quellen-TKÜ) durch, bei der die Computer-Kommunikation von Verdächtigen abgehört wird. Allen Fällen ging eine richterliche Anordnung hinaus. Beim Aufspielen der Software habe das Landeskriminalamt alle Sorgfaltspflichen beachtet.

[] Die Beschaffung der Software hingegen war "in mehrfacher Hinsicht mängelbehaftet": Der Auftrag an die Software war schlecht dokumentiert, das LKA verzichtete zudem darauf, die Firma zu verpflichten, keine "überschießenden Überwachungsfunktionalitäten zu liefern". Die Behörde bestand auch nicht darauf, zumindest in Stichproben Einblick in den Quellcode der Software zu erhalten, kritisiert Petri.

[] Der Bayerntrojaner selbst enthielt keine zuverlässige technische Begrenzung auf bestimmte Überwachungsfunktionen. Die Software wäre um Funktionen erweiterbar, die weit über die gesetzlich zugelassenen Überwachungsmethoden hinausgingen. So sei es laut Petri "wohl einfach" gewesen, über die Installation eines Lizenzschlüssels Programme auf dem Rechner eines Nutzers zu starten, statt nur der Kommunikation zu lauschen. Allerdings gibt es keine Hinweise darauf, dass solche Funktionen genutzt und das LKA über das erlaubte Maß hinaus geschnüffelt hat.

[] Die im Raum stehende Frage nach dem Gebrauch und der Zuläsigkeit der Screenshots lässt Petri unbeantwortet. Er könne keine Aussage treffen, ob das LKA diese Funktion benutzt habe, und um die rechtliche Beurteilung müsse sich der Gesetzgeber kümmern. Grundsätzlich sei sie aber vorhanden gewesen - und biete die Möglichkeit, ganze Bildschirme und nicht nur Chat-Fenster zu fotografieren. Dies geht über das zulässige Maß der Quellen-TKÜ hinaus. Petri spricht bei der Screenshot-Funktion von einem "Graubereich". Das Landgericht Landshut hatte in einem Fall Screenshots für rechtswidrig erklärt.

[] Zu weiteren technischen Mängeln der Software, die Petri auflistet, gehören zum Beispiel fehlende Sicherheitsupdates und eine mangelhafte Protokollierung der Firewall.