Oberlandesgericht Köln: Zollkriminalamt und DigiTask-Software wegen rechtswidriger Schnüffelei verurteilt

Kann eine staatliche Überwachungsmaßname besonders geschützte Kommunikation nicht unverzüglich löschen, darf diese nicht eingesetzt werden. Das hat das Oberlandesgericht Köln letzte Woche entschieden. Das Zollkriminalamt hatte Kommunikation mit einem Anwalt mitgeschnitten, aber ihre veraltete DigiTask-Software hatte noch keine Funktion zum selektiven Löschen.

Netzpolitik.org liegt ein Beschluss des Oberlandesgerichts Köln mit dem Aktenzeichen „16 Wx 16/12“ vor, in dem das Zollkriminalamt wegen rechtswidriger Schnüffelei verurteilt wird.

Im Jahr 2011 führte das Zollkriminalamt eine „präventive Telekommunikationsüberwachung“ durch, also eine „normale“ Überwachung eines Telefon- und Internet-Anschlusses. In so einem Fall leitet der Anschluss-Provider Telefongespräche als Audio und den Internet-Datenstrom im pcap-Format an die Behörde weiter. Dabei wurde aber auch Kommunikation eines Beschuldigten mit seinem Anwalt mitgeschnitten, „und zwar sowohl Telefonate als auch sog. IP-basierte Kommunikation, zu der jedenfalls E-Mails gehörten“. Das ist aber „besonders geschützte Kommunikation“:

Werden Daten erhoben, welche die Kommunikation des Betroffenen mit seinem Verteidiger betreffen, dann sind diese Daten zu löschen, sobald erkennbar ist, dass es sich um geschützte Kommunikation handelt. Eine inhaltliche Auswertung der Daten ist in diesen Fällen unzulässig.

Die aufgezeichneten Telefongespräche wurden deshalb zwei Monate später gelöscht. Aber die Internet-Überwachung nicht:

Die Löschung der Internetkommunikation war zunächst nicht erfolgreich. Vielmehr wurden diese Daten erst im Juli 2012 gelöscht.

Das Problem:

Das Zollkriminalamt macht geltend, dass aus technischen Gründen eine Löschung nur der geschützten Kommunikation nicht früher möglich gewesen sei. Die Internet- basierten Kommunikationsdaten würden in einem Rohdatenstrom übermittelt, der in der Folge dekodiert und damit in E-Mails, VoIP-Daten, Internet-Surfsessions u.ä. aufgeteilt werden. Erst mit der Dekodierung würden die Daten sichtbar bzw. auswertbar. Das Löschen bestimmter Teile des Rohdatenstroms sei nicht möglich. Der Löschung des gesamten Rohdatenstroms stehe entgegen, dass hierdurch auch andere, für die Maßnahme erforderliche Daten gelöscht würden.

Der technische Grund war: Die eingesetzte Software aus dem Hause DigiTask hatte keine Funktion zum selektiven Löschen. DigiTask hat diese Funktion zwar in einer neuen Version nachgerüstet, die läuft aber auf dem alten Betriebssystem des Zollkriminalamts (wohl Windows 2000 Server) nicht. Diesen Grund lassen die Richter/innen nicht gelten:

Es handelt sich um behebbare Schwierigkeiten, wie der Umstand zeigt, dass nach Angaben des Zollkriminalamts die Daten inzwischen gelöscht worden sind. Auch das vom Zollkriminalamt vorgelegte Schreiben des Softwareherstellers DigiTask vom 22.7.2011 zeigt, dass es technisch möglich wäre, die geschützte Kommunikation zu löschen und das Problem in der Hardware- und Software-Ausstattung des Zollkriminalamts liegt. Nach diesem Schreiben setzen – Stand Juli 2011 – die „fachlichen Anforderungen des Zollfahndungsdienstgesetzes zur Kernbereichsbehandlung die Version 1.90 der TKÜ-Auswertsoftware voraus.“ Diese Software könne (nur) deshalb nicht installiert werden, weil die vom Zollkriminalamt eingesetzten „betagten“ Server und das dort installierte Betriebssystem von der Software nicht unterstützt würden.

Soweit für die Löschung eine andere technische Ausstattung (Hardware, Betriebssystem, aber auch Software) als beim Zollkriminalamt vorhanden erforderlich ist, rechtfertigt dies nicht die Speicherung der geschützten Daten. Vielmehr muss das Zollkriminalamt, um den Anforderungen des Gesetzes und der Verfassung nachzukommen, notfalls auf andere Hard- oder Software zurückgreifen. Insoweit ergibt die Abwägung den Vorrang der Interessen des Beschwerdeführers am Schutz der Verteidigerkommunikation vor rein fiskalischen Erwägungen. Die technische Ausstattung muss den (verfassungs)rechtlichen Vorgäben entsprechen. Verwaltungsinterne Probleme bei der Beschaffung der erforderlichen Hard- und Software rechtfertigen keinen Grundrechtseingriff.

Auf deutsch: Es gibt keinen Grundrechtsschutz nach Kassenlage. Entweder kann die eingesetzte Software die rechtlichen Anforderungen erfüllen, oder sie darf eben nicht eingesetzt werden.

Diese Entscheidung ist nicht nur relevant, weil die DigiTask GmbH auch die vom Chaos Computer Club zerlegten Staatstrojaner produziert hat. Trojaner können grundsätzlich den gesetzlich geschützten Kernbereich privater Lebensgestaltung nicht erkennen, was auch das Bundeskriminalamt in der Leistungsbeschreibung ihrer Trojaner zugibt:

Automatisierte Verfahren zur Erkennung kernbereichsrelevanter Abschnitte bei der Datenerhebung entsprechen derzeit weder dem Stand der Technik noch dem der Wissenschaft.

Dumm nur, dass sich Überwachungs-Software nach dem Gesetz richten muss und nicht andersrum.

12 Kommentare
    • Andre Meister 9. Apr 2013 @ 12:57
        • Andre Meister 9. Apr 2013 @ 15:06
Wir wollen 2016 noch schlagkräftiger werden. Unterstütze unsere Arbeit durch eine Spende für mehr netzpolitik.org, damit wir weiter kritisch und unabhängig bleiben können. Spenden