201729.06.

Die (vorläufige) Rückkehr des Staatstrojaners

Der Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens (BT-Drs. 18/11277), der vom Bundestag am 22. Juni 2017 verabschiedet wurde, sieht eine Änderung der Strafprozessordnung vor, mit der die Überwachungsmöglichkeiten des Staates erneut massiv ausgeweitet werden.

Mit der Einsatzerlaubnis für den sog. Staatstrojaner oder Bundestrojaner und andere Spionagesoftware soll der zunehmenden Verschlüsselung der Kommunikation durch die Bevölkerung entgegengewirkt werden. Der Einsatz von Software, die auf dem Gerät des Betroffenen installiert wird, erlaubt das Mitlesen und Abgreifen der Kommunikation, bevor diese verschlüsselt und an den Empfänger übertragen wird. Hierbei sollen die Geräte der Betroffenen auf Hinweise zu einer Vielzahl von Straftaten untersucht werden dürfen (z.B. Hehlerei, Geldwäsche, Bestechung) ohne dass die Betroffenen die Überwachung bemerken oder von dieser Kenntnis erlangen. Damit wird eine Maßnahme, die zuvor als Maßnahme gegen Terrorismus im Gesetz verankert wurde, zur Standardmaßnahme der Polizei erhoben, die unverhältnismäßig in das Recht auf informationelle Selbstbestimmung eingreift.

Die Bundesregierung hat die Anwendung von Spionagesoftware in dem Maßnahmenpaket “Programm zur Stärkung der Inneren Sicherheit” (PSIS, vom 9. November 2006) als Maßnahme beschrieben, um “entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein”.

Der BGH hatte sich in dem Beschluss vom 31. Januar 2007 (Az. StB 18/06) mit der Anwendung von Spionagesoftware zur verdeckten Durchsuchung eines Computers auseinandergesetzt und hohe Hürden formuliert. Kurz danach, im Februar 2008 hat auch das Bundesverfassungsgericht (Az. 1 BvR 370/07) gegen die Anwendung des Staatstrojaners in Nordrhein-Westfalen geurteilt. Es wurde festgestellt, dass das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG auch das Recht auf Gewärhleistung der Vertraulichkeit und der Integrität informationstechnischer Systeme umfasse. Das heimliche Infiltrieren von informationstechnischen Systemen zur Überwachung und Durchsuchung sei nur dann gestattet, wenn eine konkrete Gefahr für ein überragend wichtiges Rechtsgut, wie das menschliche Leben, bestehe oder allgemeine Rechtsgüter, wie die Grundlagen der Existenz der Menschen oder der Bestand des Staates bedroht seien. Es wurde zudem der Vorbehalt einer entsprechenden richterlichen Anordnung für die verfassungsrechtliche Zulässigkeit vorausgesetzt. Das zum Eingriff ermächtigende Gesetz sollte auch Vorkehrungen enthalten, um den Kernbereich der privaten Lebensgestaltung möglichst zu schützen.

Das jetzt vom Bundestag verabschiedete Gesetz ist unverhältnismäßig, da es weit über die vom Bundesverfassungsgericht geforderten überragend wichtigen Rechtsgüter hinausgeht und etwa Vermögensdelikte des Strafrechts erfasst werden. Das Gesetz wird einer verfassungsrechtlichen Kontrolle des Bundesverfassungsgericht nicht standhalten. Die Gesellschaft für Freiheitsrechte hat erfreulicherweise bereits eine entsprechende Verfassungsbeschwerde angekündigt.

Die Kritik an solchen Überwachungsgesetzen drängt sich zwingend auf. Die Heimlichkeit eines exekutiven Handelns in Form von polizeilichen Maßnahmen verstößt grundsätzlich gegen rechtsstaatliche Prinzipien. Rechtsstaatlichkeit erfordert die Kontrolle durch die Öffentlichkeit oder zumindest durch unabhängige Stellen, die wiederum der Kontrolle der Öffentlichkeit ausgesetzt sind. Dieser Wesenskern der Rechtsstaatlichkeit wird durch die Anwendung des Staatstrojaners untergraben und kann durch die vom Bundesverfassungsgericht formulierten Voraussetzungen für die Anwendung der Spionagesoftware nur teilweise abgefedert werden.

Auch das Missbrauchspotential ist nicht zu unterschätzen. Die Spionagesoftware ist auch ohne die richterliche Freigabe den Mitarbeitern der Behörden zugänglich und kann unrechtmäßig benutzt werden, wie ein im August 2007 bekannt gewordener Fall aufzeigt, in dem der BND-Mitarbeiter den Staatstrojaner zu privaten Zwecken nutzte. Dem steht gegenüber, dass die Spionagesoftware ohnehin nicht dem Verhältnismäßigkeitsgrundsatz genügen könnte. Während Beteiligte an schwerer Kriminalität immer ein gewisses Maß an Vorsicht und des organisierten Schutzes gegen bekanntermaßen angewendete Ermittlungsmöglichkeiten vorweist, sind es gerade die höchstens leicht kriminellen Menschen oder auch nur fälschlicherweise verdächtigten Bürger, die durch den Staatstrojaner ausgespäht werden können. Auch ein so bestehender Anfangsverdacht, der sich als unbegründet erweist, kann durch die Anwendung des Staatstrojaners zum Fund von Hinweisen auf Bagatelldelikte bzw. auf geringfügige Straftaten führen, für dessen Ermittlungen der Staatstrojaner gerade nicht ein verhältnismäßiges Mittel zur Beweiserhebung darstellt oder dazu dienen sollte. Es bleibt auch zu befürchten, dass der Anfangsverdacht, so unbegründet er eigentlich sein mag, mangels der rechtsstaatlichen Kontrolle und mangels der Möglichkeiten einer Entgegnung durch den Überwachten oder dessen anwaltlichen Beirat, von den Behörden auf eine Art und Weise dem zuständigen Richter glaubhaft gemacht wird, der sich, zumindest mit Rückblick auf die tatsächlichen Begebenheiten, für dessen Ermittlung die beantragende Polizei ohnehin selbst verantwortlich wäre, nicht gebietet.

Schließlich ist darauf hinzuweisen, dass der Einsatz von solchen Staatstrojanern immer auch die Ausnutzung von Sicherheitslücken voraussetzt. Dies wird dazu führen, dass der Staat in Zukunft Sicherheitslücken nicht den Softwareherstellern melden, sondern vielmehr für das eigene “Staatstrojaner-Arsenal” sammeln wird. Diese Überlegungen widersprechen dem Verständnis der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. Computergrundrecht) das vom Bundesverfassungsgericht im Grundsatzurteil 2008 formuliert wurde.

Es bleibt abzuwarten, ob der Staat wegen seiner eigenen technischen Unfähigkeit (siehe Bayerntrojaner) gezwungen sein wird, entsprechende Trojanersoftware bei Drittanbietern auf dem “Schwarzmarkt” einzukaufen und so unkalkulierbare Risiken für die Betroffenen in Kauf nehmen wird (etwa Datenabfluss an Dritte). Hintergrund dieser Überlegungen ist, dass bei solchen Drittanbietern der Quellcode typischerweise nicht offen gelegt wird, sodass Käufer nicht vollständig nachvollziehen können, welche Funktionen oder auch Sicherheitslücken die Trojanersoftware hat (z.B. Datenabfluss an Dritte, Zugriff vom Hersteller, Bugs).

RA Sebastian Schwiering
Wiss. Mit. Burak Zurel