Bundestrojaner, Online-Durchsuchung und das Verfassungsrecht: vom "Stand der Technik"

Während die neue Bundesregierung sich mit der Vorratsdatenspeicherung befasst, erfährt auch die Überwachung von Computern durch staatliche Trojaner-Software neuen Auftrieb. Im Rahmen des CAST-Workshops Forensik und Internetkriminalität untersuchte der Jurist Matthias Bäcker, welche technischen Aussagen im Urteil des Bundesverfassungsgerichtes zur "Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" die konkrete Ausgestaltung des Trojaners beeinflussen. Bäcker nannte das Urteil "ein gelungenes aber auch fragwürdiges Beispiel für eine verfassungsrechtliche Techniksteuerung".

Als fragwürdig wertete Bäcker den Paragraphen 20k des BKA-Gesetzes, der den verdeckten Eingriff in informationstechnische Systeme zum Inhalt hat. Im Gesetz heißt es, dass das eingesetzte Mittel nach dem Stand der Technik gegen unbefugte Nutzung zu schützen sei und dass kopierte Daten nach dem Stand der Technik gegen Veränderung, unbefugte Löschung und unbefugte Kenntnisnahme ebenfalls zu schützen seien. Hier delegiere der Gesetzgeber eine entscheidende Frage in der Ausgestaltung des Bundestrojaners an die IT-Fachöffentlichkeit, meinte Bäcker. Diese müsse den Stand der Technik definieren und entscheide damit praktisch über Instrumente, über die nur der Staat verfügen dürfe. Dies sei eine fragwürdige Konstruktion. Der Jurist, der an der Universität Mannheim Juniorprofessor für öffentliches Recht ist, machte darauf aufmerksam, dass der Quellcode des Staatstrojaners verfügbar sein muss, damit die Fachöffentlichkeit wie die zuständigen Datenschützer die Eingriffstiefe des Programmes bewerten können. Eine Software, die aus wettbewerbsrechtlichen Gründen (wie im Fall des Bayern-Trojaners) nicht eingesehen werden darf, würde klar gegen die Vorgaben des Bundesverfassungsgerichts verstoßen.

Zudem bedarf es nach Ansicht des Juristen einer Diskussion darüber, wann genau der "Einsatz des technischen Mittels" beginnt und damit die Protokollpflicht anläuft. Protokolliert werden müsse nicht allein, wann welche Software von welcher Behörde auf welchem informationtechnischen System eines Verdächtigen eingesetzt wird, sondern auch auch im Detail, welche nicht flüchtigen Veränderungen im ausgespähten Rechner erfolgen. Nur so habe ein zu Unrecht Verdächtigter die Chance, die Vertraulichkeit und Integrität seines IT-Systems wiederherzustellen.

Bäcker führte weiter aus, dass die "Online-Durchsuchung" mit einem Bundestrojaner nicht wirklich von der verfassungsrechtlich privilegierten "Quellen-TKÜ" (dem Abhören etwa von VoIP vor der Ver- bzw. nach der Entschlüsselung durch Trojaner) abgegrenzt werden kann. Die TKÜ-Maßnahme, bei der eine laufende Kommunikation mit Software wie Skype "an der Quelle" in Analogie zur Wohnraum-Überwachung abgehört wird, könne ebensogut auf Instant Messenger oder gar auf den Versand verschlüsselter E-Mails ausgedehnt werden, wenn diese als "laufende Kommunikation" definiert würden. "All das, was früher eine flüchtige Kommunikation war, kann heute als IT-Vorgang gesehen und gespeichert werden." Hier müsse ausgehend vom Fernmeldegeheimnis vom Gesetzgeber ein übergreifender Schutz digitaler Privatheit ins Auge gefasst werden.

In der anschließenden Diskussion betonte Bäcker, dass die strafrechtliche Verurteilung einer Person allein auf den Ergebnissen einer "Quellen-TKÜ" nicht vorstellbar sei. Sie sei immer nur eine ergänzende Maßnahme. Ob dies auch für Ermittlungsergebnisse gelten könnte, die ein kommender Bundestrojaner abspeichert, ließ er offen. (jk)