Überwachungssoftware:Ungeklärte Fragen der Staatstrojaner-Affäre

Der Datenschutzbeauftragte Peter Schaar kommt in einem Prüfbericht offenbar zum Ergebnis, dass die eingesetzte Staatstrojaner-Software die Sicherheitsanforderungen nicht erfüllt. Doch damit sind nicht alle Fragen zur Affäre beantwortet.

Johannes Kuhn

'Staatstrojaner'

Ausgedruckter Staatstrojaner-Code in der FAS: Ist eine verfassungsgemäße Quellen-Telekommunikationsüberwachung überhaupt möglich?

(Foto: dpa)

Es ist mitten in der Acta-Aufregung beinahe untergegangen: Peter Schaar, Bundesbeauftragter für den Datenschutz, hat nach dpa-Informationen offenbar seinen Prüfbericht zum Staatstrojaner vorgelegt.

Der Bericht ging an den Innenausschuss des Bundestages und ist geheim, Schaar äußerte sich bislang offiziell nur in einer Stellungnahme. In dieser heißt es: "Bei meinen Kontrollbesuchen habe ich festgestellt, dass die technischen und organisatorischen Anforderungen des § 9 Bundesdatenschutzgesetzes zur Gewährleistung des Datenschutzes nicht erfüllt wurden. Dies habe ich gegenüber dem Bundesministerium des Innern und dem Bundesministerium der Finanzen formell beanstandet."

Schaar kritisiert laut Mitteilung und dem, was über dpa bekannt wurde, demnach vor allem folgende Punkte:

[] Den "Beifang" mitgelauschter Gespräche, also beispielsweise private Gesprächspassagen von belauschten Skype-Unterhaltungen im Rahmen der so genannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ), die sich demnach durch die Software nicht gezielt aus der Gesamtdatei löschen lassen. (Stellungnahme und dpa)

[] Die Löschung der Software vom Computer eines Nutzers. Sie ist unmöglich, wenn die Anti-Virus-Software eines Betroffenen den Trojaner erkannt hat und kein Online-Zugriff mehr möglich ist; gleichzeitig könne die gelöschte Software unter geringem Aufwand wieder hergestellt werden - zum Beispiel auch durch Dritte, die Zugang zum Computersystem haben. (so in der dpa-Meldung)

[] Die Nutzung der Quellen-TKÜ an sich, obwohl die direkte Entschlüsselung der Daten beim Provider laut Schaar ebenfalls möglich gewesen wäre - mit deutlich geringerem Eingriff in das Recht auf informationelle Selbstbestimmung. (Stellungnahme)

Schaar stellt aber auch fest, dass bislang keine Anhaltspunkte dafür gibt, dass mehr Daten als nötig abgeschöpft wurden oder Raumüberwachungen per Kamera oder Mikrofon stattfanden. Auch gebe es keine Anhaltspunkte für die Aufnahme von Screenshots.

Ist das nun eine Entlastung der Landeskriminalämter und der Zollbehörden? Nein, zumindest nicht in den Bereichen Konzeption und Prüfung: Selbst wenn man schon davon ausgeht, dass etwas wie "Beifang" nicht vermeidbar ist, sollte dieser zumindest durch die Software löschbar sein.

Und: Der mögliche Zugriff von Dritten ist eine fahrlässig zu nennende Sicherheitslücke, für die bei einem solch sensiblen Ermittlungsinstrument absolut keine Rechtfertigung gibt. Man stelle sich nur vor, die Polizei würde ihre Abhöranlagen für die herkömmliche Telefonüberwachung nach einem Einsatz nicht vor dem Zugriff Dritter schützen.

Das Bundesinnenministerium hat zumindest aus dem Fehler gelernt, den Quellcode des Digitask-Programms nicht zu besitzen und will nun einen eigenen Bundestrojaner bauen. Hierfür sind laut der Anfrage eines Linkspartei-Abgeordneten (pdf hier) 30 Planstellen vorgesehen.

Dennoch bleiben weitere Fragen offen:

[] Ist die Nachlade-Funktion rechtswidrig?

Hier erlaubt sich Schaar kein Urteil: "Ob schon das Aufbringen einer Funktion zum Nachladen von Software ein Verstoß gegen die gesetzliche Vorgabe darstellt oder erst deren unzulässige Aktivierung und Nutzung ist schwierig zu beantworten", zitiert dpa den Bericht. Der Datenschutzbeauftragte verweist darauf, dass er hierfür den Quellcode der Software benötige. Da er bald Einsicht erhalten wird, hat er einen weiteren Bericht angekündigt.

Nach Ansicht des Juristen Frank Braun von der Hochschule für öffentliche Verwaltung Nordrhein-Westfalen, der den Staatstrojaner juristisch analysiert hat, spielt eine mögliche Aktivierung sowieso überhaupt keine Rolle: "Allein die überschießende Funktionalität des eingesetzten Trojaners erhöht die Missbrauchsgefahr (die nun auch de facto nachgewiesen ist) um ein verfassungsrechtlich nicht mehr zulässiges Maß", heißt es in seinem Artikel. Das Bundesinnenministerium argumentiert, die Nachladefunktion sei für Updates notwendig.

[] Was passiert mit der Screenshot-Praxis?

Auch wenn Schaar keine Bildschirmaufnahmen fand: Das bayerische LKA hat nachgewiesenermaßen den Staatstrojaner dafür verwendet, Zehntausende Screenshots vom Rechner überwachter Personen aufzunehmen. Deshalb klagte ein Mann gegen eine Screenshot-Aktion des LKA aus dem Jahr 2009. Sein Rechner wurde infiziert, seine Festplatte gehört zu den Datenträgern, auf denen der Chaos Computer Club den Staatstrojaner fand. Das Landgericht Landshut gab ihm recht und erklärte die Bildschirmfoto-Aktion im Januar 2010 für rechtswidrig (pdf des Urteils hier).

Das bayerische Justiz- und Innenministerium nahm das Urteil allerdings nicht zum Anlass, die umstrittene Praxis einzustellen, da dieses nur "Rechtmäßigkeit der Maßnahme im konkreten Einzelfall" betroffen hätten. Kurz: Nur bei einem Grundsatzurteil will man in München auf diese Maßnahmen verzichten. Nun ist die Frage: Wird die Screenshot-Funktion trotz mutmaßlicher Rechtswidrigkeit auch in die neu zu entwickelnde Software eingebaut und von Ländern wie Bayern weiter genutzt, bis die Angelegenheit höchstinstanzlich geklärt wird?

[] Gibt es personelle Konsequenzen?

Die beiden sichtbaren Konsequenzen der Enthüllung sind operativer Natur: Der aktuelle Staatstrojaner wird vorerst nicht weiter genutzt, die Entwicklungshoheit liegt künftig bei den Behörden. Doch die Konzipierung und Verwendung eines offensichtlich gegen das Datenschutzgesetz verstoßenden, ohne Quellcode für Behörden intransparenten und möglicherweise grundgesetzwidrigen Programms hatte bislang keine bekannten personellen Folgen. Wird sich dies ändern?

[] Wer überwacht die Überwacher?

Die Staatstrojaner-Affäre wäre ohne die Analyse des CCC nicht in Gang gekommen, weil bislang Gerichte nur Einzelfälle prüfen, nicht aber die Systeme an sich. Dies bemängelte vor einigen Monaten auch Ulrich Sieber, Direktor am Max-Planck-Institut für ausländisches und internationales Strafrecht in Freiburg. In der FAZ forderte er: "Die Einzelfallkontrolle von Überwachungsmaßnahmen durch technisch wenig spezialisierte Richter wird dem Schutzauftrag der Justiz in einer komplexen informatikbasierten Welt allein nicht mehr gerecht. Wenn die Exekutive ihre Überwachungskompetenz in einem Abhörzentrum bündelt, dann muss es auch ein solches Kompetenzzentrum bei der Justiz geben. Die bisherige Einzelprüfung der Überwachungsmaßnahmen ist deswegen durch Systemprüfungen zu ergänzen."

[] Ist eine verfassungskonforme Quellen-TKÜ überhaupt möglich?

Das Bundesverfassungsgericht hat die Quellen-TKÜ unter bestimmten Voraussetzungen für zulässig erklärt. Grundsätzlich ist derzeit der Einsatz des Staatstrojaners von § 100a gedeckt, im BKA-Gesetz durch § 20l BKAG, im Zollfahndungsdienstgesetz durch § 23 (a und folgende). Einige Juristen bezweifeln, dass der Schutz der bestimmter Teile der Privatsphäre technisch überhaupt möglich ist, da der Zugang zum Computer auch den Zugriff auf Steuerungselemente wie Webcam oder Mikrofon ermöglicht.

Andere Juristen glauben, dass eine verfassungsgemäße Umsetzung in der Praxis überhaupt nur möglich wäre, wenn der Gesetzgeber konkreten Vorgaben zur Funktionalität der Software macht. Diese fehlen in den betreffenden Gesetzen - die Folgen zeigen sich in den Unzulänglichkeiten des vom CCC analysierten Programms.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: