Netzpolitik-Interview: Ulf Buermeyer über den Staatstrojaner

Ich hab dem Berliner Richter und Verfassungsrechtler Ulf Buermeyer einige Fragen rund um den Staatstrojaner und den rechtlichen Grundlagen gestellt, die dieser freundlicherweise beantwortet hat. Ulf Buermeyer ist u.a. Mitverfasser des Fachaufsatzes „Zur Rechtswidrigkeit der Quellen-Telekommunikationsüberwachung auf Grundlage des § 100a StPO“.

netzpolitik.org: Was ist der Unterschied zwischen einer Onlinedurchsuchung und einer Quellen-TKÜ?

Ulf Buermeyer: Der technische Unterschied ist relativ gering – aus rechtlicher Sicht muss man aber beides auseinander halten:

In beiden Fällen wird ein Trojaner eingespielt, der im Prinzip die volle Kontrolle über den Rechner erlaubt. Digital hat der Staat dann also „den Fuß in der Tür“ – er kann durch bloßes Nachladen von Modulen alles Mögliche mit dem Zielrechner anstellen. Daher sind beide Maßnahmen technisch auf das engste verwandt.

Der Unterschied liegt nur in der exakten Funktion: Bei der Quellen-TKÜ darf lediglich Kommunikation „abgeschnorchelt“ werden, um den schönen Begriff von Constanze Kurz zu zitieren – also all das, was man auch bei einer „normalen“ TKÜ über den Provider / Telefonanbieter mitlesen könnte. Screenshots oder der Zugriff auf die Festplatte sind nicht erlaubt.

Eine Online-Durchsuchung hingegen bedeutet grundsätzlich vollen Zugriff auf den Computer – also all das, was der CCC bei den nun analysierten Trojanern gefunden hat. Beide Funktionen – Online-Durchsuchung und Quellen-TKÜ – sind nach der Entscheidung des Bundesverfassungsgerichts nach dem Grundgesetz zwar möglich. Man braucht dann aber unbedingt eine spezielle rechtliche Grundlage. Die gibt es bislang z.B. im BKA-Gesetz. Für strafrechtliche Ermittlungen – um die es hier geht – gibt es aber bisher kein Gesetz; die Polizeigesetze erlauben die Eingriffe nur zur Abwehr von zukünftigen Gefahren, aber nicht zur Verfolgung vergangener Straftaten.

netzpolitik.org: Der Chaos Computer Club hat auf verschiedenen Festplatten einen Trojaner gefunden, der sehr wahrscheinlich von Sicherheitsbehörden eingesetzt wurde. Ist der Einsatz eines solchen Trojaners legal?

Ulf Buermeyer: Eindeutig Nein; solche Software darf es niemals geben, und zwar weil sie auch das Einspielen von Daten auf dem Zielsystem erlaubt. Das ist unter Geltung des Grundgesetzes stets unzulässig, wie das Bundesverfassungsgericht entschieden hat: Selbst eine Online-Durchsuchung darf eben nur durchsuchen und nicht manipulieren.

Aus informationstechnischer Sicht ist diese juristische Differenzierung aber wenig sinnvoll: Die Integrität eines Systems ist stets verletzt, sobald Software eingespielt wird – egal ob die dann nur lesen oder auch schreiben kann. Insofern kann man mit guten Gründen bezweifeln, ob es überhaupt einen rechtmäßigen Fernzugriff durch Einspielen von Software geben kann.

netzpolitik.org: Was sind die klaren Grenzen, die das BVerfg beim IT-Grundrecht zugelassen hat, um möglicherweise eine Onlinedurchsuchung durchzuführen?

Ulf Buermeyer: Das Bundesverfassungsgericht hat die großen Gefahren gesehen, die vom Einsatz einer staatlich gesteuerten Überwachungssoftware ausgehen. Es hat daher sehr hohe Hürden aufgestellt: Nur bei einer konkreten Gefahr für „ein überragend wichtiges Rechtsgut“ sind solche Maßnahmen möglich, das bedeutet Leib, Leben, Freiheit der Person oder „solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt“ – also zB wenn jemand einen Bombenanschlag auf ein AKW plant. Zur Strafverfolgung ist eine solche Maßnahme verfassungsrechtlich zwar auch zulässig, aber wohl nur bei Straftaten, die mindestens so schwer wiegen wie die genannten Gefahren.

netzpolitik.org: Ist Ihnen Trojaner-Software bekannt, womit man rechtlich einwandfrei eine Quellen-TKÜ durchführen könnte?

Ulf Buermeyer: Nein; bisher nicht. Vor allem aber fehlt es an einer Rechtsgrundlage, um sie im Strafverfahren einsetzen zu können. Wenn der Bundestag der Meinung ist, die mit jedem Trojaner verbundenen Gefahren in Kauf nehmen zu wollen, ob nun für Online-Durchsuchung oder Quellen-TKÜ, dann muss er die Strafprozessordnung entsprechend ändern und dort Regelungen vorsehen, wie man so etwas durchführen kann. Das hat das Bundesverfassungsgericht ausdrücklich so verlangt.

Unverständlicherweise werden derzeit aber gelegentlich bereits Quellen-TKÜ-Maßnahmen mittels Trojaner angeordnet, und zwar nach denselben Regeln, die für „normales“ Telefon-Abhören gelten – gerade so, als gäbe es die besonderen Gefahren von Trojanern nicht, vor denen sogar das Bundesverfassungsgericht warnt und die der CCC nun wieder aufgedeckt hat. Diese Rechtsansicht ist verfassungsrechtlich unhaltbar und wird auch nur von einigen wenigen Richtern geteilt, während die Rechtswissenschaft diese Anordnungen einhellig als Bruch der Entscheidung zur Online-Durchsuchung kritisiert. Es scheint, als hätten die Verantwortlichen die enormen Risiken von Trojanern völlig unterschätzt.

Die Konsequenz der Erkenntnisse des CCC kann jedenfalls aus meiner Sicht nur lauten: Quellen-TKÜ-Maßnahmen darf es zukünftig allenfalls dann geben, wenn der Gesetzgeber das ausdrücklich so vorsieht. Eine Quellen-TKÜ ist etwas völlig anderes als eine normale Telefonüberwachung. Die Justiz darf sich ihre Rechtsgrundlagen nicht selbst zurechtbasteln – und sie kann offensichtlich auch gar nicht effektiv kontrollieren, was die Polizei mit ihren Beschlüssen letztlich anstellt.

netzpolitik.org: Hans-Peter Uhl verkündete in einer Pressemitteilung, dass die Justizministerin Schuld sei, dass es keine Rechtsgrundlage geben würde. Kann es eine solche Rechtsgrundlage für den jetzt entdeckten Trojaner geben, wenn das BVerfg klare Vorgaben gibt?

Ulf Buermeyer: Es gibt klare Vorgaben des BVerfG, und z.B. im BKA-Gesetz sind sie auch schon umgesetzt – wenn auch eventuell nicht ganz zutreffend; die entsprechende Verfassungsbeschwerde liegt derzeit noch in Karlsruhe. Richtig ist jedenfalls, dass es keine Rechtsgrundlage für Quellen-TKÜ oder Online-Durchsuchung für die Strafverfolgung gibt. Richtig ist aber auch, dass sich Teile der Justiz die fehlende Rechtsgrundlage einfach selbst schaffen, indem sie die Regeln für „normale“ Telefonüberwachungen für anwendbar erklären. Insofern hat Herr Uhl durchaus Recht, wenn er eine saubere Rechtsgrundlage fordert: Immerhin würde dann der Trojaner-Einsatz im verfassungsrechtlichen Abseits gestoppt. Ein entsprechendes Gesetz müsste aber sehr strenge technische Vorgaben machen, um Exzesse wie bei den nun aufgedeckten Trojanern wirksam auszuschließen.

netzpolitik.org: In dem jetzt aufgedeckten Fall in Bayern geht es nicht um Terrorismus, sondern um Betäubungsmittel. Zählt dies zur Definition „schwerster Kriminalität“, wonach laut BMI der Einsatz einer Quellen-TKÜ gestattet sei? Oder gibt es andere Rechtsgrundlagen, um in einem solchen Fall eine Quellen-TKÜ durchzuführen?

Ulf Buermeyer: Wie gesagt, es gibt derzeit gar keine Rechtsgrundlage für strafrechtliche Quellen-TKÜ-Maßnahmen. Eine klassische Telefonüberwachung kann man wegen „Drogenhandels“ durchaus anordnen. Im konkreten Fall kenne ich die Akten nicht, insofern ist das schwer einzuschätzen. Das LG Landshut jedenfalls hielt dies für zulässig.

netzpolitik.org: Wieso hat die Staatsanwaltschaft in diesem einen Fall in Bayern die Ermittlungen nicht gestoppt? Gibt es ausreichend Kontrollmöglichkeiten in solchen Fällen (Was müsste gemacht werden, wenn nicht?)

Ulf Buermeyer: Wir müssen abwarten, welche Details ans Licht kommen. Nach meinen Informationen hat die Staatsanwaltschaft in Landshut zwar – insoweit auch schon zu Unrecht – eine Quellen-TKÜ beantragt. Dass der konkret verwendete Trojaner noch viel mehr konnte, haben die Verantwortlichen bei der Staatsanwaltschaft aber vermutlich selbst nicht gewusst. Was das LKA genau wusste, wird allerdings noch zu klären sein, nicht zuletzt durch die Staatsanwaltschaft: Die LKA-Beamten könnten sich ja selbst strafbar gemacht haben – schließlich war das offenbar staatliches Hacking ohne rechtliche Grundlage.

netzpolitik.org: Vielen Dank für das Interview.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

28 Ergänzungen

  1. Erstaunt hat mich in diesem Zusammenhang die Rechtsauffassung von Anwalt C. Solmecke, der im Interview verlautbart: „Es muss deutlich zwischen den technischen Möglichkeiten des Trojaners und dem tatsächlichen Einsatz in der Praxis unterschieden werden.“ Aber ich vermute mal, er hat es einfach nicht verstanden.

    http://www.golem.de/1110/86937.html

  2. Sehr geehrter Herr Buermeyer, lieber Markus, vielen Dank für dieses sehr interessante Interview!
    (Wenn nur jedes Interview so gut wäre wie dieses.)

  3. Hm.. „Gefahr für Leib.. der Person“, das könnte man auch als REchtsgrundlage nehmen, Tabak-, Spirituosenhändler oder z.B. McDonalds zu Quellen-TKÜen…

  4. Schönes Interview, das beleuchtet einige Punkte, die für Laien nicht unbedingt verständlich sind.

    Generell entwickelt sich bei mir mit der Zeit ein Gefühl des Überwacht-Werdens. Meine Webcam habe ich inzwischen zugeklebt; selbst wenn mich kein deutscher Staatstrojaner ausspioniert, wer weiß, welche Trojaner andere Staaten entwickelt haben?!
    Vielleicht ist es Zeit, auf Linux umzusteigen. Die Trojaner scheinen alle für Windows entwickelt worden zu sein. Wobei es nur noch eine Frage der Zeit sein dürfte, bis der Trojaner auch auf anderen Systemen läuft.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.