Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Die Gesellschaft für Freiheitsrechte fordert in einer Stellungnahme an das Bundesverfassungsgericht, die gesetzlichen Regeln für Staatstrojaner nachzubessern. Die sogenannte „kleine Online-Durchsuchung“ sei nicht weniger eingriffsintensiv als die klassische „Online-Durchsuchung“. Die Spionagesoftware solle zudem besser kontrolliert werden.
Das kommt raus, wenn man eine KI auffordert, einen Staatstrojaner darzustellen (Diffusion Bee)Beim Bundesverfassungsgericht steht erneut das Thema Staatstrojaner auf der Agenda. Bis Mitte Juli hatte das Höchstgericht eine ganze Reihe Sachverständige um Stellungnahmen gebeten. Die Gesellschaft für Freiheitsrechte (GFF) hat ihre Stellungnahme veröffentlicht (pdf).
Es geht um eine Gesetzesänderung, die schon einige Jahre zurückliegt: Die schwarz-schwarz-rote Mehrheit im Bundestag beschloss 2017, dass Ermittler in Strafverfahren in vielen Fällen Staatstrojaner anwenden dürfen, um beispielsweise verschlüsselte Gespräche und Chats über Messenger wie WhatsApp, Matrix, Signal, Telegram oder Threema direkt auf den Geräten einsehen und ausleiten zu können. Diese Änderungen in der Strafprozessordnung (StPO) waren von der Großen Koalition in einem umstrittenen intransparenten Schnellverfahren verabschiedet worden, was wegen der beispiellosen Eingriffstiefe beim Einsatz von Staatstrojanern stark kritisiert wurde. Faktisch wird die Spionagesoftware vor allem zur Drogenfahndung eingesetzt.
Die GFF bemängelt in ihrer Stellungnahme, dass es an einer unabhängigen Überprüfung der Spionagesoftware fehle, und kritisiert insbesondere die Regelungen bei der sogenannten „kleinen Online-Durchsuchung“. Diese würden dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit von informationstechnischen Geräten nicht gerecht, moniert die Nichtregierungsorganisation.
Kaum ein Unterschied bei den Trojaner-Formen
Es gibt den Staatstrojaner in der StPO in drei Varianten. Da ist zunächst die sogenannte „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ) für das Ausspähen von Kommunikation. In einem früheren Urteil hat das Bundesverfassungsgericht dieses Instrument ausdrücklich auf Daten aus einem laufenden Kommunikationsvorgang beschränkt. Deswegen kam zusätzlich die sogenannte „kleine Online-Durchsuchung“ hinzu sowie die „Online-Durchsuchung“ ohne jede Einschränkung, was die Art des Zugriffs angeht.
Bei der sogenannten „kleinen Online-Durchsuchung“ (auch: „Quellen-TKÜ+“) darf nicht nur laufende, sondern auch ruhende Kommunikation ausgeleitet werden. Praktisch heißt das, dass der Staatstrojaner in dieser Darreichung beispielsweise auf dem Gerät gespeicherte Dateien wie Inhalte früherer Kommunikation abgreifen darf, also etwa alte Chat-Nachrichten. Es bestehe laut GFF dabei „das Risiko einer weitgehenden Ausspähung der Persönlichkeit“.
In der Verfassungsbeschwerde wird gerügt, dass diese Spionagesoftware-Variante der klassischen „Online-Durchsuchung“ mit vollem Zugriff auf das Computersystem in ihrem Eingriffsgewicht, ihrer Dauer und ihrer Reichweite praktisch in nichts nachstünde. Der Unterschied sei kaum auszumachen.
Stellungnahmen
Nicht nur lesen, lachen, löschen, wir berichten über Stellungnahmen sogar. Unterstütze unsere Arbeit!
Jetzt Spenden
Das wird auch in der GFF-Stellungnahme so bewertet: Der „Zugriff auf sämtliche Dateitypen“ sei möglich, die kleine Online-Durchsuchung sei „faktisch nicht begrenzt“. Sie berge zudem ein erhöhtes immanentes Missbrauchs- und Fehlerpotential. Also müssten die deutlich strengeren Regeln der klassischen „Online-Durchsuchung“ auch für diese Form des Staatstrojaners zur Anwendung kommen.
Ob es aus Sicht der GFF überhaupt sinnvoll sei, die drei Trojaner-Varianten „Quellen-TKÜ“, „kleine Online-Durchsuchung“ und „Online-Durchsuchung“ mit jeweils unterschiedlichen rechtlichen Bedingungen beizubehalten, verneint David Werdermann von der GFF: „Auf der technischen Ebene war die Unterscheidung schon immer eine Fiktion. Das Bundesverfassungsgericht erkennt selbst an, dass mit der Infiltration die entscheidende Hürde genommen ist, um das System insgesamt auszuspähen“, so der Jurist gegenüber netzpolitik.org.
Die höheren rechtlichen Anforderungen an die klassische „Online-Durchsuchung“ würden damit begründet, dass der Vollzugriff auf das System das Risiko einer weitestgehenden Ausforschung der Persönlichkeit bildet, erklärt Werdermann. In „Zeiten von Cloud-Computing“ nähere sich aber eine „Quellen-TKÜ“ der „Online-Durchsuchung“ an. Daher spreche viel dafür, die Unterscheidung aufzugeben. Werdermann sieht es als eine Alternative, „auch für die Quellen-TKÜ höhere Hürden aufzustellen“.
Das hatte die Ampel-Regierung im Koalitionsvertrag ohnehin versprochen. Sie hat sich zudem ein Schwachstellenmanagement vorgenommen und versprochen, der Staat werde „keine Sicherheitslücken ankaufen oder offenhalten“.
Die Software ist ███████ ███████ ███████
Wer soll die Spionagesoftware kontrollieren?
Die GFF bemängelt in ihrer Stellungnahme außerdem, dass es an einer unabhängigen Überprüfung der Spionagesoftware fehle, und regt deshalb an, Prüfungsmechanismen zu etablieren. Diese sollten sicherstellen, „dass die rechtlichen Anforderungen an die eingesetzten technischen Mittel eingehalten werden“. Denn die Spionagesoftware hat verschiedene Anforderungen zu erfüllen, zum Beispiel darf das angegriffene System nicht mehr als erforderlich verändert werden.
Auf die Frage, in welcher Weise eine solche Prüfung praktisch umgesetzt werden könnte, sagt Werdermann von der GFF: „Die Anforderungen müssten in einem ersten Schritt technisch spezifiziert werden. Anschließend müsste eine unabhängige Stelle – zum Beispiel der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – unter Zugriff auf den Quelltext überprüfen, ob ein rechtskonformer Einsatz überhaupt möglich ist. Die Gerichte wären weiterhin dafür verantwortlich, den konkreten Einsatz der Software zu kontrollieren.“
Eine Überprüfung des Quelltextes jedoch dürfe „nicht auf die Gerichte abgewälzt“ werden, schreibt die GFF in ihrer Stellungnahme. Dafür seien sie „schon nicht ausgestattet“ und würden sich „bestenfalls auf die Angaben der Ermittlungsbehörden verlassen“.
Was aber, wenn die Trojaner-Anbieter einer Quellcode-Einsicht – wie in der Vergangenheit geschehen – nicht zustimmen oder nur eine Art Draufsicht genehmigen? Danach gefragt, ob in diesem Falle die staatliche Stelle nicht Kunde des Anbieters werden dürfe, sagt Werdermann: „Entweder die Anbieter unterwerfen sich rechtsstaatlichen Kontrollen oder sie sind raus. Der Staat darf nicht die Grundrechte unterlaufen, indem er private Unternehmen in Anspruch nimmt.“
Wie ist dann der Staatstrojanergebrauch des Bundeskriminalamts zu bewerten? Denn das BKA setzt die Pegasus-Software des Anbieters NSO Group seit März 2021 ein. Kontrollbehörden zur Überprüfung sind daran nicht beteiligt. Auf die Frage, ob dieser Einsatz aus Sicht der GFF damit verfassungswidrig ist, antwortet Werdermann deutlich: „Ja. Pegasus kann viel mehr als unter dem Grundgesetz erlaubt ist. Das BKA behauptet zwar, eine angepasste Version zu verwenden. Ob diese Version den rechtlichen Anforderungen genügt, ist aber völlig unklar.“
Offenlegung: Für den Chaos Computer Club habe ich als sachkundige Dritte nach § 27a Bundesverfassungsgerichtsgesetz zu der oben erwähnten Verfassungsbeschwerde Stellung genommen. Die CCC-Stellungnahme ging dem Gericht Mitte Juli zu.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Constanze
