StaatstrojanerDigiTask verweigert Datenschutzbeauftragten Einblick in Quellcode

Die hessische Firma DigiTask verweigert dem Bundesdatenschutzbeauftragten einen Einblick in den Quellcode ihres Staatstrojaners. Das geht aus einem Brief von Peter Schaar an den Innenausschuss des Bundestages hervor. Damit ist die Untersuchung des Datenschützers abgeschlossen – er bleibt bei seiner Kritik.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar hat bereits Ende Januar einen Bericht zum Staatstrojaner aus dem Hause DigiTask vorgelegt, der später bei Indymedia Linksunten geleakt wurde. Mitte August hat er seine „datenschutzrechtliche Kontrolle“ abgeschlossen, wie er in einem Brief an den Innenausschuss des Bundestages schreibt, den jetzt der Chaos Computer Club veröffentlicht hat.

Darin widerspricht er Innen- und Finanzministerium, die zwar die Kritikpunkte des CCC anerkennen, aber keine Konsequenzen ziehen wollen:

Das BMI hält das eingesetzte Verschlüsselungsverfahren für ausreichend im Sinne des § 9 BDSG, sieht allerdings Optimierungsbedarf. Einen Verstoß gegen die Pflicht, Inhalte aus dem Kernbereich privater Lebensgestaltung zu löschen, sieht das BMI nicht in dem Fehlen einer Funktion zur abschnittsweisen Löschung kernbereichsrelevanter Inhalte.

Dazu Schaar trocken:

Zu den Ausführungen des BMI merke ich an, dass ich an meinen im Prüfbericht festgestellten Positionen festhalte.

Peter Schaar bestätigt in dem Brief, dass Bundesbehörden auch Staatstrojaner anderer Hersteller zumindest evaluiert haben. Ole Reißmann auf Spiegel Online:

Das Zollfahndungsamt gab in sieben Fällen für DigiTask-Trojaner rund 119.000 Euro aus, die Firma ERA IT Solutions bekam für drei Maßnahmen im Jahr 2007 rund 30.000 Euro.

Und Peter Schaar:

Soweit anfänglich in einem Fall eine Software der Firma ERA genutzt worden sei, habe das ZKA lediglich die Markterkundung betrieben sowie handelsübliche Hardware beigestellt‚ Für die Quellen-TKÜ-Maßnahmen, die mit ERA durchgeführt wurden, sei die Auswahl, Vertragsabwicklung und Beschaffung durch die jeweils ermittelnde Behörde ohne Beteiligung des ZKA erfolgt.

Interessant, dass deutsche Behörden für Überwachungsaufgaben die Software einer Schweizer Firma nutzen.

In seinem Brief betont Schaar erneut, dass er den Zugriff auf den Quelltext braucht:

Ich halte an meiner Position fest, dass § 9 BDSG in verfassungskonformer Auslegung die Dokumentation des Quellcodes bei Maßnahmen der Quellen-Telekommunikationsüberwachung fordert.

Das ging jedoch nicht:

Das Bundeskriminalamt hat sich auf meine Bitte hin bemüht, die Einsichtnahme in den Quellcode zu ermöglichen. Es teilte mir jedoch mit, dass die Firma DigiTask GmbH die Einsichtnahme in den Quellcode nur unter der Voraussetzung ermöglichen werde, dass der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit eine Geheimhaltungsvereinbarung unterzeichne. Darüber hinaus werde die Firma zum Ausgleich der entstehenden Kosten Ansprüche auf Kostenerstattung geltend machen. Der Tagessatz für „Consulting-Dienstleistungen“ betrage 1.200,00 EUR pro Tag und Mitarbeiter zuzüglich der gesetzlichen Mehrwertsteuer. Das Bundeskriminalamt sieht sich nicht zur Tragung dieser Kosten verpflichtet, man werde sich allenfalls anteilig beteiligen. Die von mir vorgeschlagenen Termine waren seitens der DigiTask GmbH nicht realisierbar.

Solche Bedingungen kann der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit nicht eingehen, da seine „Prüfungskompetenz nur aufgrund gesetzlicher Grundlage eingeschränkt werden“ kann, nicht durch Verträge mit privaten Firmen.

In seiner Pressemitteilung kommentiert der CCC treffend:

Damit wurde eine unabhängige Beurteilung durch den Datenschutzbeauftragten faktisch verhindert. Hier zeigt sich das Erpressungspotential durch das Outsourcen von hoheitlichen Aufgaben an private, keiner effektiven Kontrolle unterliegenden Firmen.

Trotzdem macht das Innenministerium weiter Geschäfte mit DigiTask, in Millionenhöhe.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

14 Ergänzungen

  1. Dann sollte der Datenschutzbeauftragte doch „Beugehaft“ für DigiTask anordnen können , wie Gerichte es bei jeden „Hacker“ versuchen.

  2. Es ist ein Jammer. Jeden Tag lese ich diesen Blog und frage mich manchmal wieso. Meistens füllt sich mein Bauch nur mit Wut über das was ich hier lese…

    Wo ist der Rechtsstaat der seine eigenen Gesetzte durchsetzen soll? Wofür haben wir einen Datenschutzbeauftragten, wenn ihm jede Firma unter Vorwänden die Einsicht in ihre Verfahren verwehren kann?
    Was wir bräuchten wäre ein Datenschutzbeauftragter, der in solchen Fällen schnelle Unterlassungsbescheide erwirken kann!

    Kann jemand nochmal nachvollziehen, wieso wir eine Staatstrojaner kaufen, was er kostet, wofür er wirklich eingesetzt wird und was Erfolge mit ihm zu verzeichnen sind? Es liegt Nahe, dass dort eine Menge Geld an Lobbyisten zurück fließt und einfach verbrennt.

    1. Nein man muss Hoffnung haben , denn gerade der Druck erzeugt Gegendruck , je mehr der demokratische und rechtssaatliche Weg verlassen wird umso mehr diskreditiert sich ein System und benötigt zur Kompensation nur noch mehr Überwachung und Zwangsmaßnahmen.
      Das aber selbst der größte Überwachungsapparat und das größte herbeigeredete Bedrohungszenario den Willen des Volkes nicht auf Dauer unterdrücken kann beweist das Beispiel DDR.
      So sind ca. 7% – 10+x zb. für die Piraten schon ein deutliches Zeichen für mehr Bürgerrechte und weniger Überwachung.

  3. Die Schlagzeile ist falsch.
    Sie müsste eher lauten: BKA verweigert Einblick in Quellcode.
    Schließlich ist es Aufgabe des BKA, Schaar ungehinderten Einblick in deren Datenwurschtelei zu geben. Wenn das BKA aber nun nach Belieben diese Kontrollen sabotieren darf, indem es Eintrittsgeld verlangt (mittelbar von Digitask geforderte Consulting-Entgelte), ist das dem BKA anzulasten. Welche Verträge Subunternehmer oder beauftragte Sonstwasfirmen haben, spielt keine Rolle. Solange das BKA nicht seinen Plfichten nachkommt und dem Datenschutzbeauftragten Zugang zu den zugänglichzumachenden Bereichen gewährt, ist das … Pflichtverletzung/verweigerung.

    Das vergammelte BKA hat es verbockt und versucht jetzt abzulenken.
    Natürlich verlangt Digitask für die Erbringung von vertraglich nicht zugesicherten Leistungen entsprechende Bezahlung. Bei aller Antipathie gegen diese Firma kann man ihr das sicherlich nicht voirwerfen.

  4. Da geht es schon wieder los mit der Geheimniskrämerei wie bei den Rettungsschirmen und Bankenprivatisierungen. Alles unter Auschluß der Öffentlichkeit, das schafft Vertrauen….
    Die Staats-Schnüffelware wurde von Steuerzahlern bezahlt, da darf doch wohl der zuständige Datenschutzbeauftragte mal nach dem Rechten schauen.

    1. Das Digitask allerdings die dann auftretenden Kosten natürlich gerne bezahlt haben möchte kann ich allerdings nicht kritisieren. Es ist halt eine Firma. Das BKA müsste die Kosten übernehmen.
      Der Kostensatz von 1200 pro Tag ist durchaus „branchenüblich“ also keine große Sache. Die Consultants die das BKA eingeladen hat um das Konzept für die Software zu erarbeiten werden auch kaum billiger gewesen sein.

  5. Der ganze Toolchain muss offen gelegt werden. Und die Prüfsummen müssen nachher auch stimmen. Beugehaft am besten nur für den Geschäftsführer …

    Ansonsten: Das ist alles nur albern. Letztendlich geben die Provider und Dienstanbieter eh alles an Daten weiter. Das bisschen was dann noch bleibt — naja. *schulterzuck*

  6. Hätten unsere Regierenden auch nur einen Rest von (demokratischem und rechtlich anständigem) Arsch in der Hose, würden sie jetzt dafür sorgen, dass bei dieser Firma absolut nix mehr gekauft wird. Sowas geht ja wohl gar nicht. :(

    MfG Andy

  7. Das Problem liegt doch hier:
    Warum darf ein öffentlicher Auftraggeber eine Firma für ein Projekt beauftragen ohne Auflage, dass das Ergebnis des Projekts veröffentlicht wird.

  8. Sososo. Was genau waren nochmal die Befugnisse eines staatlichen „Datenschutzbeauftragten“ gegenüber einer deutschen Firma? Brauchen wir noch mehr Beweise, dass der arme Kerl eine zahnlose Kellerratte, ein pseudo-demokratisches Feigenblättchen ist?

  9. P.S. Und was passiert jetzt? BKA und Innernministerium sehen keinen Grund, vom Einsatz einer Software abzusehen, die offenbar nicht den Richtlinien des Verfassungsgerichtsunteils zur Quellen-TKÜ entspricht und damit ILLEGAL ist. Juckt die überhaupt nicht.

    Wer macht jetzt die nächste Verfassungsklage?

  10. Könnte er nicht den für das passende Bundesland zuständigen Landesdatenschutzbeauftragten um Amtshilfe bitten sich DigiTask mal genauer an zu sehen schließlich besteht der begründete Verdacht DigiTask könnte noch personenbezogene Daten unzulässig speichern. Das könnte als Nebenwirkung Ermitllungen des BKAs gegen DigiTask nötig machen :-P.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.