Eine gestern eingereichte Verfassungsbeschwerde richtet sich gegen Staatstrojaner im Geheimdienstbereich und zusätzlich gegen automatisch erstellte Menschenprofile, die von der Hamburger Polizei zur Verbrechensprävention berechnet werden dürfen. Ein Ziel der Beschwerde ist das Hamburger Verfassungsschutzgesetz, wie die Gesellschaft für Freiheitsrechte (GFF) gestern mitteilte. Das Gesetz erlaubt seit April 2020, dass der dortige Geheimdienst heimliche Durchsuchungen mittels Spionagesoftware durchführen kann: Das Amt für Verfassungsschutz der Hansestadt darf sogar ohne Richtervorbehalt Computer infiltrieren, um laufende Telekommunikation zu überwachen.
Der Einsatz geheimdienstlicher Trojaner richtet sich primär gegen Sicherheitsmaßnahmen auf den informationstechnischen Geräten. Praktisch kann man davon ausgehen, dass damit die Verschlüsselung beim Kommunizieren umgangen werden soll. Mit dem Staatstrojaner wird also versucht, das Smartphone oder den Computer so zu manipulieren, dass diese Sicherungsmaßnahmen nicht mehr wirken.
Die verschlüsselnden Endgegner
Ging es vor einigen Jahren vor allem um den Messenger Skype, haben sich die technischen Vorlieben sowie die Smartphone-Landschaft gewandelt: Heute heißen die verschlüsselnden Endgegner der Polizeien und Geheimdienste eben Whatsapp, Signal, Threema, Skype oder Telegram. Es bleibt aber die grundsätzliche Frage bestehen, ob ein computerbasierter Spähangriff mit technischen Maßnahmen sicher auf Kommunikationsdaten eingrenzbar ist. Seit im August 2017 die Einsatzmöglichkeiten sowohl der „Quellen-TKÜ“ als auch der Online-Durchsuchung durch das „Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ (§ 100a und § 100b StPO) erheblich erweitert wurden, ist sie auch längst nicht mehr theoretischer Natur.
Doch Spionageprogramme auf Rechnern von Verdächtigen einer Straftat sind eine Sache. Polizei und Zoll dürfen das zwar derzeit für eine ganze Reihe von Straftaten, aber auch dagegen wurden bereits mehrere Verfassungsbeschwerden gerichtet, die noch nicht entschieden sind. Eine ganz andere Angelegenheit sind aber Staatstrojaner auf Geheiß eines Geheimdienstes wie im Fall des Hamburger Verfassungsschutzgesetzes. Denn kein Richter, kein Strafverteidiger, kein Beschuldigter und auch keine Öffentlichkeit können prüfen, ob bei den skandaltrainierten Geheimbehörden alles mit rechten Dingen zugeht. Das betrifft auch die „Quellen-TKÜ“, also den Staatstrojaner zum Zugriff auf verschlüsselte Kommunikation.
In zwei Urteilen des höchsten deutschen Gerichts – zunächst ein Gesetz für einen Geheimdienst (Verfassungschutzgesetz Nordrhein-Westfalen) und mehrere Jahre später in einem zweiten Beschwerdeverfahren das BKA-Gesetz – wurden Regelungen für heimliche Spionageprogramme für ganz oder teilweise verfassungswidrig erklärt. Staatstrojaner sind nach den Urteilen nur unter strengen Auflagen überhaupt denkbar, werden aber in der politischen Debatte behandelt, als ginge es nur noch um die technische und rechtliche Umsetzung statt um die Frage, ob man das wagen kann. Umso wichtiger ist die juristische Gegenwehr der GFF und weiterer NGOs gegen jedes einzelne Gesetz, das die Spionageprogramme erlaubt.
Geheimdienste suchen im Gefahrenvorfeld nach Informationen und führen – anders als die Strafverfolgungsbehörden – gerade keine Ermittlungen wegen Straftaten durch. Der Staatstrojaner für einen Geheimdienst ist wegen dieses Vorfeldeinsatzes verfassungsrechtlich problematisch, erklärt Bijan Moini von der GFF gegenüber netzpolitik.org: „Geheimdienste dürfen im Allgemeinen (noch) früher, also auf noch dünnerer Verdachtsbasis als die Polizei aktiv werden; wenn sie dafür ebenso scharfe Instrumente einsetzen dürfen, ist das per se problematisch.“ Denn diese „scharfen Instrumente“ wie der Staatstrojaner unterliegen weniger Kontrolle. Moini betont, „konkret für den Staatstrojaner-Einsatz bedeutet das, dass sein Einsatz durch die Polizei im Allgemeinen einer gerichtlichen Vorab-Entscheidung bedarf“, die Hamburger Verfassungsschützer aber dürfen „ihn ohne gerichtliche Entscheidung einsetzen“, auch ohne eine „gerichtsähnliche Entscheidung“ nach dem Urteil zum BND-Gesetz.
Wie bei anderen geheimdienstlichen Mitteln ist auch der Einsatz von Staatstrojanern zwar seitens der Behörde zu dokumentieren, aber Moini kritisiert, dass „die Überwachungsbefugnisse deutlich erweitert“ wurden, allerdings „ohne das Kontrollregime zu verbessern“. Damit sei der Verfassungsverstoß programmiert.
Risiken und Nebenwirkungen bei der IT-Sicherheit
Da aktuell auch der Staatstrojaner für Geheimdienste auf Bundesebene in Planung ist, hofft die GFF auf eine schnelle gerichtliche Klärung, um den Gesetzgeber noch zu stoppen. Moini fordert, „dass die Bundespolitik nun innehält, bis das BVerfG entschieden hat“, was aber frühestens in zwei Jahren zu erwarten ist. Die von der GFF vorgebrachten Argumente könnten aufgegriffen werden, um beispielsweise beim aktuellen Vorhaben noch „ein ordentliches (gerichtsähnliches) Kontrollregime“ zu verankern.
Die GFF betont in ihrer Pressemitteilung zu den Plänen des Bundes:
Die Verfassungsbeschwerde steht in einem bundespolitischen Zusammenhang: Die Große Koalition will das Artikel-10-Gesetz kurzfristig ändern und alle Verfassungsschutzbehörden sowie weitere Nachrichtendienste mit Trojanern ausstatten. Die Reformpläne leiden an den gleichen Mängeln wie das Hamburgische Verfassungsschutzgesetz.
Auch dagegen, dass künftig alle Geheimdienste des Bundes und der Länder Staatstrojaner einsetzen dürfen, sind bereits Verfassungsbeschwerden angekündigt.
Unabhängig davon, dass hier ein Geheimdienst die Befugnis zum Hacken erhalten hat, sieht Moini aber auch ein übergeordnetes und wachsendes Problem in Fragen der Sicherheit: „Indem sich immer mehr Behörden auf die Suche nach Sicherheitslücken machen, steigt auch das allgemeine Risiko für die IT-Sicherheit.“ Denn Voraussetzung für jeden Staatstrojaner ist eine solche Sicherheitslücke, die dann zur Spionage ausgenutzt wird.
Die GFF hält die Hamburger Regelung für nicht mit der Verfassung vereinbar:
Trojaner in Händen von Geheimdiensten sind verfassungswidrig, wenn ihr Einsatz nicht hinreichend begrenzt ist und der Staat Sicherheitslücken in IT-Systemen ausnutzt, statt sie den Betreibern zu melden. All das ist in Hamburg der Fall.
Es drängt sich die Frage auf, ob es nicht langsam mal genug ist mit der stetigen Erweiterung der Erlaubnisse zum staatlichen Hacken. Auch deswegen, weil Untersuchungen und Erkenntnisse dazu, was Risiken und Nebenwirkungen in kurz- und langfristiger Hinsicht im Bereich der IT-Sicherheit sind, weiterhin rar gesät sind.
Ist eigentlich irgendwo im Gesetzestext – sei es nun Hamburg, Bayern, oder sonstwo – geregelt wer für Schäden haftet, die beim Trojanereinsatz entstehen (sowohl dem Überwachungsziel als auch unbeteiligten Dritten)? Oder muss man davon ausgehen, dass die Polizei (und Geheimdienste erst recht!) einfach pauschal jegliche Verantwortung von sich weisen werden, wenn Computer/Server, auch nur aus Versehen, zum Absturz gebracht werden?
Nein, eine solche Regelung gibt es nicht im Hamburger Verfassungsschutzgesetz (auch nicht in den Polizeigesetzen). Aber es kann in seltenen Fällen natürlich zu Schadensersatz- oder Entschädigungsansprüchen kommen, die man aber vor Gericht einklagen muss. Das wäre dann der Verwaltungsrechtsweg (VwGO).