Oberlandesgericht KölnZollkriminalamt und DigiTask-Software wegen rechtswidriger Schnüffelei verurteilt

Kann eine staatliche Überwachungsmaßname besonders geschützte Kommunikation nicht unverzüglich löschen, darf diese nicht eingesetzt werden. Das hat das Oberlandesgericht Köln letzte Woche entschieden. Das Zollkriminalamt hatte Kommunikation mit einem Anwalt mitgeschnitten, aber ihre veraltete DigiTask-Software hatte noch keine Funktion zum selektiven Löschen.

Netzpolitik.org liegt ein Beschluss des Oberlandesgerichts Köln mit dem Aktenzeichen „16 Wx 16/12“ vor, in dem das Zollkriminalamt wegen rechtswidriger Schnüffelei verurteilt wird.

Im Jahr 2011 führte das Zollkriminalamt eine „präventive Telekommunikationsüberwachung“ durch, also eine „normale“ Überwachung eines Telefon- und Internet-Anschlusses. In so einem Fall leitet der Anschluss-Provider Telefongespräche als Audio und den Internet-Datenstrom im pcap-Format an die Behörde weiter. Dabei wurde aber auch Kommunikation eines Beschuldigten mit seinem Anwalt mitgeschnitten, „und zwar sowohl Telefonate als auch sog. IP-basierte Kommunikation, zu der jedenfalls E-Mails gehörten“. Das ist aber „besonders geschützte Kommunikation“:

Werden Daten erhoben, welche die Kommunikation des Betroffenen mit seinem Verteidiger betreffen, dann sind diese Daten zu löschen, sobald erkennbar ist, dass es sich um geschützte Kommunikation handelt. Eine inhaltliche Auswertung der Daten ist in diesen Fällen unzulässig.

Die aufgezeichneten Telefongespräche wurden deshalb zwei Monate später gelöscht. Aber die Internet-Überwachung nicht:

Die Löschung der Internetkommunikation war zunächst nicht erfolgreich. Vielmehr wurden diese Daten erst im Juli 2012 gelöscht.

Das Problem:

Das Zollkriminalamt macht geltend, dass aus technischen Gründen eine Löschung nur der geschützten Kommunikation nicht früher möglich gewesen sei. Die Internet- basierten Kommunikationsdaten würden in einem Rohdatenstrom übermittelt, der in der Folge dekodiert und damit in E-Mails, VoIP-Daten, Internet-Surfsessions u.ä. aufgeteilt werden. Erst mit der Dekodierung würden die Daten sichtbar bzw. auswertbar. Das Löschen bestimmter Teile des Rohdatenstroms sei nicht möglich. Der Löschung des gesamten Rohdatenstroms stehe entgegen, dass hierdurch auch andere, für die Maßnahme erforderliche Daten gelöscht würden.

Der technische Grund war: Die eingesetzte Software aus dem Hause DigiTask hatte keine Funktion zum selektiven Löschen. DigiTask hat diese Funktion zwar in einer neuen Version nachgerüstet, die läuft aber auf dem alten Betriebssystem des Zollkriminalamts (wohl Windows 2000 Server) nicht. Diesen Grund lassen die Richter/innen nicht gelten:

Es handelt sich um behebbare Schwierigkeiten, wie der Umstand zeigt, dass nach Angaben des Zollkriminalamts die Daten inzwischen gelöscht worden sind. Auch das vom Zollkriminalamt vorgelegte Schreiben des Softwareherstellers DigiTask vom 22.7.2011 zeigt, dass es technisch möglich wäre, die geschützte Kommunikation zu löschen und das Problem in der Hardware- und Software-Ausstattung des Zollkriminalamts liegt. Nach diesem Schreiben setzen – Stand Juli 2011 – die „fachlichen Anforderungen des Zollfahndungsdienstgesetzes zur Kernbereichsbehandlung die Version 1.90 der TKÜ-Auswertsoftware voraus.“ Diese Software könne (nur) deshalb nicht installiert werden, weil die vom Zollkriminalamt eingesetzten „betagten“ Server und das dort installierte Betriebssystem von der Software nicht unterstützt würden.

Soweit für die Löschung eine andere technische Ausstattung (Hardware, Betriebssystem, aber auch Software) als beim Zollkriminalamt vorhanden erforderlich ist, rechtfertigt dies nicht die Speicherung der geschützten Daten. Vielmehr muss das Zollkriminalamt, um den Anforderungen des Gesetzes und der Verfassung nachzukommen, notfalls auf andere Hard- oder Software zurückgreifen. Insoweit ergibt die Abwägung den Vorrang der Interessen des Beschwerdeführers am Schutz der Verteidigerkommunikation vor rein fiskalischen Erwägungen. Die technische Ausstattung muss den (verfassungs)rechtlichen Vorgäben entsprechen. Verwaltungsinterne Probleme bei der Beschaffung der erforderlichen Hard- und Software rechtfertigen keinen Grundrechtseingriff.

Auf deutsch: Es gibt keinen Grundrechtsschutz nach Kassenlage. Entweder kann die eingesetzte Software die rechtlichen Anforderungen erfüllen, oder sie darf eben nicht eingesetzt werden.

Diese Entscheidung ist nicht nur relevant, weil die DigiTask GmbH auch die vom Chaos Computer Club zerlegten Staatstrojaner produziert hat. Trojaner können grundsätzlich den gesetzlich geschützten Kernbereich privater Lebensgestaltung nicht erkennen, was auch das Bundeskriminalamt in der Leistungsbeschreibung ihrer Trojaner zugibt:

Automatisierte Verfahren zur Erkennung kernbereichsrelevanter Abschnitte bei der Datenerhebung entsprechen derzeit weder dem Stand der Technik noch dem der Wissenschaft.

Dumm nur, dass sich Überwachungs-Software nach dem Gesetz richten muss und nicht andersrum.

12 Ergänzungen

      1. Und was ist mit Linux?
        Ich bezweifel mal dass Digitask auch dafür einen Trojaner auf Lager hat.

      2. Sorry, hier geht s also um Datenstrom Mitschnitte,
        war etwas verwirrt weil unten noch Trojaner erwähnt wurden.
        Bringt HTTPS da etwas bei E-Mails, oder lässt sich trotzdem mitlesen?

        1. Wenn es richtig eingesetzt wird, hilft SSL/TLS gegen diese Art Man-in-the-Middle. Wenn man Ziel einer TKÜ ist, können die Behörden aber auch ganz einfach zum Mail-Anbieter und sich von dem die Daten geben lassen. Oder eben mit Staatstrojaner direkt von deinem Rechner holen.

      3. Sofern dieser in Deutschland sitzt und sich durch die Behörden beeindrucken lässt ;)
        Danke für die Aufklärung.

  1. Verstehe ich das jetzt richtig ?
    Das Grundgesetz hat Vorrang vor klammen Polizeikassen.
    Wenn also eh viel viel Geld nötig wäre um das oben beschriebene Privatsphärenproblem noch so gerade Grundgesetzkonform zu umschiffen. (Ich stell mir vor, der Beamte müsste wenn er private Daten sieht die sofort unwiederruflich vergessen.)
    Frage wie lange dauert es, bis beim BKA zur Einsicht kommt, dass man lieber mehr Ermittler einsetzt und die eh schon vorhandenen Privatsphärenenschnitte (Finanzüberwachung, klassische Telefonüberwachung etc.) mal ausnutzt, auch ein Schläfer muss sein Geld irgendwo her bekommen und Miete etc. zahlen.

    1. Ich glaube ja, dass dies der eigentliche Knackpunkt bei der ganzen Geschichte ist. Der Grund, dass die Polizei so vehement auf technische Überwachungsmaßnahmen pocht, der ist, dass sie nicht genug Personal haben, um ihre Aufgaben auf „herkömmliche“ Weise durchzuführen.

      Tatsächlich sind die ganzen Grundrechtseingriffe vor allem ein Zeichen dafür, dass nicht genügend Geld da ist, um auf herkömmliche, analoge Weise gute Polizeiarbeit zu leisten.

      Der Ausweg ist dann auch klar: weniger Geld für Banken und dafür mehr für die Polizei. Und zwar nicht für die neuesten Technik-Gadgets, sondern für mehr und besser ausgebildete Polizisten.

      Und mit dem Gedanken könnte ich mich sogar anfreunden: mit dem „besser ausgebildet“ zumindest… :-)

      ag

  2. Da steht aber nirgendwo, dass das gesamte Material jetzt nicht verwendet werden durfte. Ich kann mir gut vorstellen, dass der Richter da ein Auge zugedrückt hat und das entsprechende Beweismaterial trotzdem zugelassen hat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.