NRW: Ablehnung der Herausgabe von Unterlagen zum Staatstrojaner hält rechtlicher Prüfung nicht stand

Die Polizeibehörden in Nordrhein-Westfalen planen, den Staatstrojaner des BKA zu nutzen. Auf unsere Informationsfreiheitsanfrage zur Spionagesoftware gibt sich das Landesinnenministerium allerdings wenig auskunftsfreudig: Es werden keinerlei Unterlagen an uns herausgegeben. Wir haben beim Informationsfreiheitsbeauftragten nachgefragt, ob das rechtens ist.

Screenshot der Schadsoftware „Locky“, die durch eine gefälschte E-Mail des BKA verteilt wurde. CC-BY-SA 2.0 Christiaan Colen

Einige Bundesländer in Deutschland erlauben ihren Polizeien den Einsatz von Staatstrojanern. Dazu gehört auch Nordrhein-Westfalen, die Befugnisnorm zum staatlichen Hacken trat am 29. Juli 2017 in Kraft. Nach den NRW-Informationsfreiheitsgesetzen haben wir im Wege einer Anfrage über Frag den Staat um Auskunft zur im Beamtendeutsch „Remote Communication Interception Software“ (RCIS) genannten Spionagesoftware gebeten. Konkret verlangten wir Einsicht in den behördlichen Schriftverkehr und in die Akten des zuständigen Landesinnenministeriums.

Schon seit 2012 betreibt das Bundeskriminalamt (BKA) die Entwicklung dieses RCIS-Trojaners. Die erste Version soll ab dem Februar 2016 in der Lage gewesen sein, Skype-Gespräche auf bestimmten Windows-Computern auszuleiten. Im Jahr 2016 wurde dann über eine neue RCIS-Version berichtet, die ab 2017 mehr Einsatzmöglichkeiten haben sollte. Die Erweiterung betraf vor allem Messenger-Dienste und weitere Betriebssysteme bei Smartphones und Tablets. Skype hatte Anfang 2018 allerdings eine neue technische Lösung zur Ende-zu-Ende-Verschlüsselung der Kommunikation angekündigt. Ob die RCIS des BKA damit umgehen kann, ist nicht öffentlich bekannt.

Die NRW-Polizeibehörden wollen jedenfalls die RCIS-Software des BKA nutzen, sie wird nicht einmal in Rechnung gestellt. Das ging aus einer Antwort auf eine Kleine Anfrage im Landtag hervor:

Die Software wird dem LKA Nordrhein-Westfalen vom BKA für die Nutzung durch die Kreispolizeibehörden kostenfrei zur Verfügung gestellt.

In ebenjener Antwort wird auch die geplante Nutzung des RCIS-Trojaners vom BKA bestätigt:

Das Land Nordrhein-Westfalen beabsichtigt derzeit, zur Umsetzung der Quellen-TKÜ die vom Bundeskriminalamt entwickelte Software „Remote Communication Interception Software“ (RCIS mobile-Version 2.0) zu nutzen. Auch für die Online-Durchsuchung wird das Land Nordrhein-Westfalen auf die hierfür vom BKA zur Verfügung gestellte spezifische Software zurückgreifen. Darüber hinaus wird das Land Nordrhein-Westfalen fortlaufend prüfen, ob auch andere Software zur Quellen-TKÜ und Online-Durchsuchung technisch und rechtlich geeignet ist.

Ob man auch auf ein „Produkt der Firma FinFisher“ zurückgreife, werde noch „geprüft“, sei aber „derzeit nicht beabsichtigt“. Konkret gemeint ist der Trojaner FinSpy, den das BKA vor mehr als fünf Jahren erworben hat, der aber noch nicht im Einsatz sein soll.

Die Kleine Anfrage hatte der grüne Abgeordnete Matthi Bolte-Richter im letzten Jahr gestellt. Sie war der Anlass für unsere IFG-Anfrage, die dazu bereits am 16. Oktober 2017 erging. Die Antwort ließ bis Januar auf sich warten: Der Bescheid des NRW-Innenministeriums (pdf) war ablehnend. Der Anspruch auf Informationsgewährung aus dem Haus von NRW-Innenminister Herbert Reul wurde gemäß § 6 a IFG NRW verwehrt, weil „das Bekanntwerden der Informationen nachteilige Auswirkungen auf Belange der inneren Sicherheit haben“ oder die öffentliche Sicherheit gefährden könnte. Auch die „Einsatzfähigkeit“ der Spionagesoftware sei gefährdet, wenn Informationen nach außen dringen würden. Die Geheimhaltung sei zulässig und sogar geboten.

Kein Recht auf Information

Diese Argumentation ist so altbekannt wie fragwürdig, wenn sie einfach auf sämtliche angefragte Akten bezogen wird. Uns wurden also keine der gewünschten Informationen herausgegeben, auch nicht in geschwärzter Form. Es stellt sich daher die Frage, ob diese pauschale Ablehnung, für die keine Kosten erhoben wurden, und ihre Begründung mit dem geltenden Recht in Einklang steht. Schließlich besteht ein Recht auf Information, dessen Ablehnung angemessen zu begründen ist.

Ganz praktisch betrachtet können die verlangten Akten übrigens noch keine Informationen zu tatsächlichen Einsätzen des Trojaners in NRW enthalten. Denn die Befugnisnorm war erst im Sommer 2017 in Kraft getreten und das Ministerium hatte im September gegenüber dem Abgeordneten Bolte-Richter die Auskunft (pdf) gegeben, dass man noch nicht sagen können, in welchem Umfang die Spionagesoftware künftig zum Einsatz kommen werde. Mittelbar geht aus dieser Aussage hervor, dass bisher noch kein Einsatz stattgefunden hat.

Rechtlich erlaubt sind in NRW sowohl die „Quellen-TKÜ“, also der Trojaner, der nur Kommunikation abhören darf, als auch die „Online-Durchsuchung“ des gesamten informationstechnischen Systems. Innenminister Reul plant aber bereits eine weitere Verschärfung der polizeilichen Möglichkeiten. In einer geharnischten Erklärung der Strafverteidigervereinigung NRW (pdf) wird sein neuer Gesetzentwurf als „rechtsstaatswidrig“ bezeichnet und auch der Staatstrojanereinsatz kritisiert.

Ist das Ablehnungsschreiben rechtens?

Nach der Ablehnung der Auskünfte zur NRW-Überwachungssoftware haben wir die zuständige Landesdatenschutz- und Informationsfreiheitsbehörde um eine rechtliche Klärung gebeten. Es wurde um Auskunft gebeten, ob die Anfrage zu Recht auf diese Weise bearbeitet wurde. Schließlich handelt es sich um eine pauschale Ablehnung der Herausgabe mit einer ebenso pauschalen Begründung.

Die rechtliche Bewertung des Amtes, ob die Ablehnung der IFG-Anfrage in dieser Form einer rechtlichen Prüfung standhält, folgte schon nach wenigen Tagen. Demnach war die Prüfung der Anspruchsvoraussetzungen zur Herausgabe der Korrespondenz des Ministeriums nicht ausreichend. Man hätte prüfen sollen, ob sich wirklich „schützenswerte Passagen in allen vorhandenen Unterlagen befinden“. Das Ergebnis könnte dabei natürlich auch lauten, dass dies der Fall ist und alles wirklich schützenswert wäre. Allerdings …

… wäre das Ministerium des Innern des Landes Nordrhein-Westfalen gehalten, eine solche (Nach-)Prüfung der Möglichkeit eines Teilzugangs durchzuführen oder bei bereits erfolgter Prüfung dies zumindest auch in der Begründung des Bescheids zum Ausdruck bringen. In der vorliegenden Fassung entspricht der Ablehnungsbescheid nach meiner Einschätzung deshalb nicht in vollem Umfang den Anforderungen des IFG NRW.

Denn von einer solchen Prüfung steht in dem Ablehnungsschreiben nichts. Um die „Einsatzfähigkeit“ der Spionagesoftware nicht zu gefährden, hätten in den vorhandenen Unterlagen des Ministeriums durch Schwärzung beispielsweise technische und taktische Informationen geschützt werden können. Die Aussagen in dem Bescheid könnten aber so verstanden werden, dass sich in den Unterlagen auch Aspekte ohne eine Sicherheitsrelevanz befinden. Dann hätte eine „Abtrennung oder Schwärzung der übrigen Informationen ohne Beeinträchtigung der öffentlichen Sicherheit zugänglich gemacht werden können“. Es sei …

… auch nicht evident, dass in den begehrten Unterlagen (Schriftverkehr zwischen den Behörden und Akten zur Software) ausnahmslos sicherheitsrelevante Informationen enthalten sind. Denn der Antragsgegenstand ist weit gefasst und es ist denkbar, dass er Unterlagen erfasst, die beispielsweise unkritisches organisatorisches Randgeschehen betreffen.

Stattdessen lehnte das Ministerium jedoch jede Herausgabe der gewünschten Unterlagen ab. Was zwischen dem Ministerium und dem BKA kommuniziert wurde, bleibt ein Geheimnis. In einer Antwort auf eine weitere parlamentarische Anfrage (pdf) des Abgeordneten Bolte-Richter vom März 2018 gibt sich das Ministerium ebenfalls wenig auskunftsfreudig.

Wenn es um den Staatstrojaner geht, bleibt nicht nur das Ministerium in NRW zugeknöpft bis hin zur Verbiegung des Informationsrechts. Damit ist man auf Linie mit dem Bundesinnenministerium: Auch im Bund will man zum staatlichen Hacken keine Auskunft geben, nicht zu Vertragspartnern und nicht zu den Schwachstellen, die man ausnutzt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

    1. Nein, wir haben erstmal keinen Widerspruch eingelegt, sondern werden die rechtliche Bewertung für neue Anfragen nutzen. Wenn das Ministerium weiterhin so zugeknöpft bleibt, wird aber in künftigen Anfragen (nach einem Widerspruch) eine Klage in Frage kommen.

  1. Das ist doch immer so. Eine Einschaltung der Landesdatenschutzbeauftragten (und der Bundesbeauftragten Voßhoff sowieso) bringt rein gar nichts. Ich habe schon erlebt, dass mir der LfD BaWü nach meiner Beschwerde auf vier Seiten diverse wirklich haarsträubende Rechtswidrigkeiten der Auskunftei infoscore Consumer Data beschrieb, die der LfD BaWü zuvor auch selbst schon mehrfach kritisiert hatte. Als ich fragte, welche Konsequenzen dies denn nun für infoscore haben würde, ruderte er heftig zurück. Erst hieß es, ein LfD könnte die Rechtmäßigkeit gar nicht beurteilen (!). Dann ließ angeblich das BDSG keine Sanktion zu. Als ich das widerlegte, antwortete der LfD BaWü einfach nicht mehr.
    Ich sehe die öffentlichen Datenschutzbeauftragten mittlerweile als Teil des Problems. Ihre Aufgabe ist es, die Illusion aufrecht zu erhalten, dass man sich gegen eine Verletzung der Datenschutzrechte wehren könnte.

    1. Als externer Datenschutzbeauftragter kann ich das grob bestätigen. Zumindest sind viele der Aufsichtsbehörden chronisch unterbesetzt und es fehlen immer bestimmte Kompetenzen. Das BayLDA hat z.B. gute IT-IT-Experten, die tolle Crawler und Online-Formulare erstellen können, leiden aber unter inkompetente Juristen. In Hamburg ist es hingegen genau umgekehrt.

      Ich müsste jedoch lügen, wenn ich nicht sagen würde, dass es auf mich auch so wirkt als haben die Behörden regelmäßig die Weisung von oben die Füße still zu halten. Anders kann ich mir den Unwillen zum Handeln in vielen sehr eindeutig rechtswidrigen Fällen schlicht nicht erklären.

      In Zukunft geht das mit dem sich wehren jedoch deutlich besser. Jedoch in der Tat nicht mit Hilfe der Aufsichtsbehörden, sondern Bürgerinitiativen wie der GFF (https://freiheitsrechte.org/) oder speziell für den Datenschutz NOYB (https://noyb.eu/).

      Wenn du also in Zukunft besseren Datenschutz möchtest: NOYB unterstützen. Ohne Klagen geht heute leider fast gar nichts mehr.

    2. „ein LfD könnte die Rechtmäßigkeit gar nicht beurteilen“
      Das finde ich allerdings durchaus nachvollziehbar, denn ein Urteil wird gemeinhin von einem Gericht gesprochen. Man kann aber um eine Stellungnahme und Einschätzung beten, um dann ggf. zu Klagen.

      1. Aber es hieß doch, zuvor hätte der LfD selbst vier Seiten lang Rechtsverstöße des Unternehmens aufgelistet, d.h. er hatte die Rechtmäßigkeit ja bereits beurteilt.

  2. Bald werden die Landesinnenministerien umbenannt, in Landesheimatschutzministerium, dann dürfen alle Anträge erneut gestellt werden, da es ein „Landesinnenministerium“ nicht mehr geben wird.
    Spätestens ab dann wird dann der Rundordner mit diesen Anträgen gefüttert, da es sicher eine neue Rechts’Ordnung geben wird, wenn auch „nur“ als Dienstanweisung!

    Wer wissen möchte, wie die Zukunft aussehen wird, dem lege ich den Film „Virtual Revolution“ ( https://en.wikipedia.org/wiki/Virtual_Revolution ) ans Herz, besonders das Ende zeigt mit der heutigen Zeit deutliche Parallelen auf, ein paar Leute mühen sich redlich ab, um ihre Freiheit und Eigenständigkeit (Mündigkeit) behalten zu dürfen.
    Die Frage ist, wollen die „Anderen“ ihre Freiheit/Eigenständigkeit (Mündigkeit) überhaupt noch, verzichten sie sogar freiwillig darauf, weil das Leben so einfacher wird, weil man sich um nichts mehr kümmern muss?

    Es sieht in unserer Zeit auch so aus, ein kleine Gruppe müht sich ab, während die große Masse passiv zu sieht, wie unsere Politiker Rechte beschneiden, Gesetze ignorieren und bewusst brechen.

    Wayne interessiert es?
    4 Niederländerinnen, die wiederum 25% der Niederländer mobilisieren konnten https://netzpolitik.org/2018/so-brachten-fuenf-junge-niederlaender-die-massenueberwachung-ins-wanken/ , 75% der Niederländer hat es nicht interessiert!

    In Deutschland interessiert es doch keine 25% der Bevölkerung, ob die Polizei den Trojaner einsetzen wird oder nicht, 75% haben keine Ahnung und wollen auch scheinbar nicht darüber informiert werden oder sie ignorieren einfach die Warnungen vor den Folgen.
    Was z.B. die Vier Frauen (Niederlande) angeht, das sind in Deutschland Terroristen, Störenfriede, die mit aller Härte von den unwissenden, aber wankelmütigen 25% ferngehalten werden müssen!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.