Fahndung unter der Gürtellinie
Hinweis: Die Bilder sind aus den archivierten Hintergrund-Texten vor 2022 automatisch entfernt worden.
Bundesdatenschutzbeauftragter erhebt rechtliche und technische Einwände gegen Einsatz von „Staatstrojanern“. Telefonsex nicht ermittlungsrelevant. –
Von RALF WURZBACHER, 20. Februar 2012 –
Welcher Art von Aufklärung befleißigen sich eigentlich Strafermittler? „Kurzes erotisches Gespräch“, Austausch „übers Wetter und intime Angelegenheiten“, „danach Sexgespräch“ und „offensichtlich Selbstbefriedigungshandlungen“ – beim Ausspähen eines mutmaßlichen Drogendealers ließ sich das Bundeskriminalamt (BKA) aber auch gar nichts entgehen. Die schlüpfrigen Details hat Deutschlands oberste Polizeibehörde sowohl in vertonter als auch in Schriftform auf Lager, worüber sich der Bundesdatenschutzbeauftragte Peter Schaar ziemlich wundert. Der in „ständiger Rechtsprechung entwickelte Schutz zum Kernbereich der Lebensgestaltung“ werde dadurch „missachtet“, schreibt Schaar in einem Sonderbericht über „Maßnahmen der Quellen-Kommunikationsüberwachung“ (Quellen-TKÜ), der vom 31. Januar datiert und nicht für die Öffentlichkeit gedacht ist.
Das 68-seitige mit „VS – nur für den Dienstgebrauch“ klassifizierte Schriftstück war am vergangenen Freitag anonym auf den Seiten des linken Nachrichtenportals Indymedia.org veröffentlicht worden. Ausgangspunkt waren die Enthüllungen des Chaos Computer Club (CCC) vom Oktober des Vorjahres über den Einsatz eines sogenannten Staatstrojaners in Bayern. Dabei hatte sich herausgesellt, dass sich mit der Schnüffelsoftware auch Internettelefonate abhören und Bildschirmfotos übertragen lassen, was beides das geltende Recht nicht hergibt. Schon damals hatte der erste Datenschützer im Staat Vorbehalte geäußert, die jetzt in seiner aktuellen Stellungnahme konkretisiert sind. Für den Gebrauch von Trojanern fehlt demnach eine ausreichende Rechtgrundlage, Datenschutzvorschriften würden verletzt und der Intimbereich der Persönlichkeit unzulänglich geschützt.
Laut Sonderbericht gehören neben dem Freistaat auch das BKA, die Bundespolizei sowie das Zollkriminalamt (ZKA) zu den Kunden von DigiTask, der Herstellerfirma der umstrittenen Technik. In insgesamt 40 Fällen soll die Spionagesoftware bisher zum Einsatz gekommen sein. Das BKA soll allein 23 Quellen-TKÜs durchgeführt haben, elf zur „Gefahrenabwehr“, acht in Strafverfahren und vier in Amtshilfe für die Länder. Die Bundespolizei griff nach den Angaben einmal und die Zollfahndung 16 mal darauf zu. Über das mögliche Treiben der Geheimdienste ist nichts vermerkt, weil Schaar dafür nicht zuständig ist. Entwarnung gibt das Schreiben nur in einem Punkt: So gebe es in den Akten keine Anhaltspunkte für einen über das Abhören von Telefonaten hinausgehenden Gebrauch. Inhalte der infiltrierten Rechner sollen demnach nicht abgeschöpft worden sein, obwohl die Onlinedurchsuchung und die Aufnahme von Screenshots zum Repertoire des Trojaners gehören.
Bedenklich ist auch, was die Technik nicht kann: Von der dauerhaften Speicherung der besagten Telefonsexpassage wurde wohl deshalb nicht abgesehen, da sich Gesprächsdaten nicht abschnittsweise löschen lassen. Waren die Behörden also zum Voyeurismus verdonnert? In einem Fall ließ sich die ganze Schadsoftware wegen technischer Unzulänglichkeiten nicht per Fernzugriff abschalten. So trieb sie über einen Monat länger ihr Unwesen auf dem infiltrierten Rechner, als richterlich angeordnet war. Die Möglichkeit einer Selbstdeaktivierung des Trojaners nach Ablauf einer Frist gibt es genauso wenig wie brauchbare Handbücher. Die Behörden waren nach Schaars Verdikt demnach auch „nicht in der Lage, die Funktionalität der von ihnen eingesetzten Programme zu beurteilen“.
Teilweise ist das Ausspionieren offenbar komplett an DigiTask ausgelagert worden. „Damit wurde die Ermittlung vollständig als Auftrag an eine private Firma vergeben“, moniert der CCC in einer Stellungnahme und spricht von einem „amateurhaften DigiTask Spionageprodukt“. Gleichwohl will man dem Anbieter die Stange halten. Nach Schaars Bericht ist das Unternehmen mit technischen Erweiterungen beauftragt worden – konnte aber wohl bisher nicht liefern. Das betrifft auch den vielleicht schwerwiegendsten Programmfehler, der eine Entschlüsselung und damit eine Fremdeinwirkung auf die Software durch Unbefugte erlaubt. Schaar sieht „starke Anhaltspunkte dafür, dass die Steuerung des Zielrechners (…) nicht nur mit einem für Dritte leicht zu findenden Schlüssel verschlüsselt war“.
Schaar hat noch mehr zu beanstanden: Dazu gehört auch das Vorgehen, Telefonate abzuhören, wenn die Zielperson im Ausland weilt. Wegen des Eingriffs in fremdes Hoheitsgebiet seien in solchen Fällen die geltenden Regelungen zur Rechtshilfe zu beachten. Das BKA nahm es dabei wohl nicht so genau und redete sich in einem Fall mit der Behauptung heraus, der Auslandsaufenthalt des Verdächtigen sei wegen ungenauer IP-Informationen nicht feststellbar gewesen. Schaar zieht diese Darstellung ausdrücklich in Zweifel und bescheinigt dem aktuellen Stand der Technik „relativ hohe Zuverlässigkeit (…), soweit nicht die Stadt, sondern das Land ermittelt werden soll“. Auch die Zollfahnder des ZKA haben einmal ohne Genehmigung grenzüberschreitend geschnüffelt. Peinlich dabei: Das manipulierte Notebook wurde ausschließlich von der Verlobten der Verdachtsperson genutzt.
Abo oder Einzelheft hier bestellen
Seit Juli 2023 erscheint das Nachrichtenmagazin Hintergrund nach dreijähriger Pause wieder als Print-Ausgabe. Und zwar alle zwei Monate.
Für eine abschließende Einschätzung dessen, was die Spitzelsoftware alles kann und was nicht, bedarf es aber noch der Prüfung der sogenannten Quellcodes. Schaar soll demnächst in den Räumen von DigiTask Einsicht erhalten, meint aber, dass dies eine tatsächliche Prüfung nicht ersetzen könne. Überdies habe das ZKA seine Trojanerversion nicht einmal gespeichert. Die Rechtmäßigkeit dieses speziellen Softwareeinsatzes kann also nicht mehr überprüft werden.
Ergiebig ist die Fahndungsmethode offenbar auch nicht. So will etwa die Bundespolizei die erhobenen Daten nicht für das betreffende Verfahren genutzt haben. Und auch der bei der BKA-Sexspionage gewonnenen Daten hätte es nicht bedurft, um den Straftäter zu verurteilen. Angesichts all dieser Einwände sieht der Bundesdatenschutzbeauftragte den Gesetzgeber gefordert, rechtlich nachzubessern.