Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat bereits Ende Januar einen Bericht zum Staatstrojaner aus dem Hause DigiTask vorgelegt, der später bei Indymedia Linksunten geleakt wurde. Mitte August hat er seine „datenschutzrechtliche Kontrolle“ abgeschlossen, wie er in einem Brief an den Innenausschuss des Bundestages schreibt, den jetzt der Chaos Computer Club veröffentlicht hat.
Darin widerspricht er Innen- und Finanzministerium, die zwar die Kritikpunkte des CCC anerkennen, aber keine Konsequenzen ziehen wollen:
Das BMI hält das eingesetzte Verschlüsselungsverfahren für ausreichend im Sinne des § 9 BDSG, sieht allerdings Optimierungsbedarf. Einen Verstoß gegen die Pflicht, Inhalte aus dem Kernbereich privater Lebensgestaltung zu löschen, sieht das BMI nicht in dem Fehlen einer Funktion zur abschnittsweisen Löschung kernbereichsrelevanter Inhalte.
Dazu Schaar trocken:
Zu den Ausführungen des BMI merke ich an, dass ich an meinen im Prüfbericht festgestellten Positionen festhalte.
Peter Schaar bestätigt in dem Brief, dass Bundesbehörden auch Staatstrojaner anderer Hersteller zumindest evaluiert haben. Ole Reißmann auf Spiegel Online:
Das Zollfahndungsamt gab in sieben Fällen für DigiTask-Trojaner rund 119.000 Euro aus, die Firma ERA IT Solutions bekam für drei Maßnahmen im Jahr 2007 rund 30.000 Euro.
Und Peter Schaar:
Soweit anfänglich in einem Fall eine Software der Firma ERA genutzt worden sei, habe das ZKA lediglich die Markterkundung betrieben sowie handelsübliche Hardware beigestellt‚ Für die Quellen-TKÜ-Maßnahmen, die mit ERA durchgeführt wurden, sei die Auswahl, Vertragsabwicklung und Beschaffung durch die jeweils ermittelnde Behörde ohne Beteiligung des ZKA erfolgt.
Interessant, dass deutsche Behörden für Überwachungsaufgaben die Software einer Schweizer Firma nutzen.
In seinem Brief betont Schaar erneut, dass er den Zugriff auf den Quelltext braucht:
Ich halte an meiner Position fest, dass § 9 BDSG in verfassungskonformer Auslegung die Dokumentation des Quellcodes bei Maßnahmen der Quellen-Telekommunikationsüberwachung fordert.
Das ging jedoch nicht:
Das Bundeskriminalamt hat sich auf meine Bitte hin bemüht, die Einsichtnahme in den Quellcode zu ermöglichen. Es teilte mir jedoch mit, dass die Firma DigiTask GmbH die Einsichtnahme in den Quellcode nur unter der Voraussetzung ermöglichen werde, dass der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eine Geheimhaltungsvereinbarung unterzeichne. Darüber hinaus werde die Firma zum Ausgleich der entstehenden Kosten Ansprüche auf Kostenerstattung geltend machen. Der Tagessatz für „Consulting-Dienstleistungen“ betrage 1.200,00 EUR pro Tag und Mitarbeiter zuzüglich der gesetzlichen Mehrwertsteuer. Das Bundeskriminalamt sieht sich nicht zur Tragung dieser Kosten verpflichtet, man werde sich allenfalls anteilig beteiligen. Die von mir vorgeschlagenen Termine waren seitens der DigiTask GmbH nicht realisierbar.
Solche Bedingungen kann der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nicht eingehen, da seine „Prüfungskompetenz nur aufgrund gesetzlicher Grundlage eingeschränkt werden“ kann, nicht durch Verträge mit privaten Firmen.
In seiner Pressemitteilung kommentiert der CCC treffend:
Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.
Trotzdem macht das Innenministerium weiter Geschäfte mit DigiTask, in Millionenhöhe.