Das Bundesverfassungsgericht (BVerfG) muss sich derzeit parallel mit mehreren Beschwerden gegen sogenannte Staatstrojaner beschäftigen. Jene Möglichkeit der verbesserten behördlichen Strafverfolgung im digitalen Raum basiert auf einer Änderung der Strafprozessordnung (StPO) vom 22.06.2017. Insoweit bedarf der höchstrichterlichen Klärung, ob der durch die Gesetzesänderung stark ausgeweitete zulässige Einsatzbereich staatlicher Spähsoftware mit dem Grundgesetz vereinbar ist. Seit Jahren sind Spähprogramme Gegenstand kontroverser Diskussionen, immer wieder steht dabei allem voran deren Grundrechtswidrigkeit im Raum. In Deutschland wird die umstrittene Schadsoftware zur Online-Durchsuchung – mittlerweile etabliert unter dem umgangssprachlichen Oberbegriff Staatstrojaner – sowohl auf Länder- wie auch auf Bundesebene eingesetzt. Bereits vor zehn Jahre sprach das Bundesverfassungsgericht ein wegweisendes Urteil zum Staatstrojaner. Selbiges bedürfe nun ein Update so Kritiker.
I. Allgemeines
Am 19.04.2017 reichte der Bundesverband IT-Sicherheit (TeleTrusT) Verfassungsbeschwerde gegen die nunmehr in der Strafprozessordnung normierten Staatstrojaner ein. Seiner gleich taten dies jüngst am 07.08.2018 der Datenschutzverein Digitalcourage[1] sowie die FDP (Freie Demokratische Partei) am 20.08.2018[2]. Alle drei Organisationen intendieren hierbei, dass es dem Staat gänzlich untersagt oder jedenfalls bloß unter strengeren Auflagen erlaubt werden solle, Überwachungssoftware auf Smartphones und Computern von Verdächtigen zu installieren. Überdies sei wünschenswert, dass die Regierung verpflichtet würde, IT-Sicherheitslücken an die Hersteller zu melden, denn bis dato würden entsprechende Defizite vielmehr offensiv für Hacking-Aktionen ausgenützt.
Gemäß Art. 93 Abs. 1 Nr. 4a GG müssen gegen Gesetze gerichtete Verfassungsbeschwerden innerhalb eines Jahres nach deren Inkrafttreten eingereicht werden, vgl. § 93 Abs. 3 BVerfGG – um gegen das durch den Bundestag 2017 verabschiedete, am 24.08.2017 in Kraft getretene Gesetz „zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens“ ordnungsgemäß vorzugehen, verbleiben demgemäß beschwerdefähigen Personen(gruppen) nur noch wenige Tage, ehe die Verfristung eines solchen außerordentlichen Rechtsbehelfs droht. Abzuwarten bleibt, ob wie bereits angekündigt, eine weitere Beschwerde folgen wird: die der Gesellschaft für Freiheitsrechte (GFF).[3]
Das in der Kritik stehende Gesetz ermöglicht es dem Staat unter bestimmten Voraussetzungen, mit Hilfe eines Trojaners die Kommunikation auf Messenger-Diensten zu überwachen. Konkret erweitert der Gesetzgeber mit dem „Staatstrojaner-Gesetz“ die Rechtsgrundlagen für die sogenannte Quellen-Telekommunikationsüberwachung (kurz: Quellen-TKÜ) sowie die Online-Durchsuchung. Zwar sind beide Maßnahmen unterschiedlich gravierend, jedoch schränken sie die Grundrechte in Bezug auf das Fernmeldegeheimnis gleichermaßen ein.
Während sich die Quellen-TKÜ auf den Mitschnitt von laufenden Kommunikationsvorgängen, wie etwa von WhatsApp-Nachrichten, bevor sie verschlüsselt versandt werden, beschränkt, umfasst die Online-Durchsuchung das Auslesen vollständiger Telefone und Computer inklusive aller gespeicherter Daten.[4] Gemäß § 100a StPO ist die Quellen-TKÜ nun bei schweren Straftaten erlaubt, bei denen auch Ermittlungsbehörden die Telekommunikation überwachen dürfen, die Online-Durchsuchung hingegen soll nur bei besonders schweren Straftaten erlaubt sein, bei denen eine akustische Wohnraumüberwachung (sogenannter Großer Lauschangriff) möglich ist, vgl. § 100c StPO.
Ferner wurde mit dem Gesetz der Einsatz von Staatstrojanern – national auch Bundestrojaner genannt – legalisiert. Hierbei handelt es sich um eine Software staatlicher Institutionen, mittels derer sich beispielsweise PCs, Smartphones oder Tablets online durchsuchen lassen. Die Trojaner sollen im Rahmen der Strafverfolgung eingesetzt werden, indem sie auf diesen Systemen heimlich installiert werden.[5]
II. Hintergrund
Thematische Relevanz hat namentlich ein höchstrichterliches Urteil aus dem Jahr 2008[6], im Rahmen dessen die Richter des Ersten Senats des Bundesverfassungsgerichts ein neues Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das sogenannte IT-Grundrecht, schufen – eine Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). Streitgegenständlich war damals die Befugnis des nordrhein-westfälischen Verfassungsschutzes zur Online-Durchsuchung.
Bereits vor 10 Jahren beurteilen die Karlsruher Richter den Leistungsumfang informationstechnischer Systeme sowie deren Bedeutung für die Persönlichkeitsentfaltung als erheblich gestiegen.[7] Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, sei daher verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestünden.
Seither hat sich die digitale Technik zum allgegenwärtigen Universalwerkzeug entwickelt. Nicht zuletzt intimste Privatdaten werden auf Smartphone, Tablet und Co. extern gespeichert. Das Nutzungsverhalten der Gesellschaft ändert sich merklich. Aufgrund dieses unaufhaltsam steigenden Einflusses digitaler Geräte auf das tägliche Leben, insbesondere den Kernbereich privater Lebensgestaltung, bestehe laut Bundesverfassungsgericht die Notwendigkeit der Anerkennung eines neuen schützenswerten Lebensbereiches.
Aufsehen erregte ferner eine Analyse des Chaos Computer Clubs (CCC) aus dem Jahr 2011, die einen unter anderem von Bayern eingesetzten Staatstrojaner identifizierte, dessen potentielle Möglichkeiten die gesetzlich normierten überschritten.[8]
III. Einschätzung der Beschwerdeführer
Nach Ansicht von TeleTrusT[9] würden die vom Gesetzgeber legalisierten Maßnahmen dazu führen, „das Vertrauen in moderne IT-Systeme im Allgemeinen und in die angebotenen vertrauenswürdigen Lösungen zu erschüttern.“ Sie seien damit industriepolitisch kontraproduktiv sowie schädigend für den weiteren notwendigen Digitalisierungsprozess, womit insbesondere die politische Zielsetzung, Deutschland zum Verschlüsselungsstandort Nr. 1 zu entwickeln, kontaktiert würde. Auch sei die Eignung zur Verbrechensaufklärung fragwürdig, nachdem die Beeinträchtigung des Grundvertrauens der Öffentlichkeit in den Schutz der kommunikativen Privatsphäre in keinem vernünftigen Verhältnis zur möglichen Ausbeute bei Strafverfolgungsmaßnahmen stehe. Den Angaben von TeleTrusT zufolge hat das Bundesverfassungsgericht bislang noch nicht über die Annahme der Beschwerde entschieden.[10]
Ähnlich argumentiert auch Digitalcourage[11]. Insoweit stützt die NGO ihre Beschwerde allem voran auf verfassungsrechtliche Argumente, wobei gegen den Staatstrojaner namentlich der Anlass und die Tiefe des Eingriffs, die Verletzung staatlicher Schutzpflichten sowie die unverhältnismäßige Einschränkung von Grundrechten vorgebracht werden. So ignoriere das aktuelle Gesetz die seitens des Bundesverfassungsgerichts entschiedene Einschränkung, dass die Online-Durchsuchung nur bei konkreter Gefährdung eines überragend wichtigen Rechtsgutes zulässig sei, indem es selbige für einen umfangreichen Katalog von Straftaten vorsehe, etwa bei Verstößen gegen das Betäubungsmittelgesetz, bei Geldhandel oder der Verleitung zur missbräuchlichen Asylantragsstellung. Fraglich sei zudem, ob eingesetzte Staatstrojaner sich im Rahmen der durch das Bundesverfassungsgericht hinsichtlich der Quellen-TKÜ festgesetzten Reichweite hielten. Letztere sei nach Urteil der Karlsruher Richter jedenfalls dann untersagt, wenn dabei das gesamte informationstechnische System überwacht würde. Problematisch sei ferner, dass Staatstrojaner auf Sicherheitslücken angewiesen seien, denn nur auf diese Weise könnten sie in Kommunikationsgeräte eingeschleust werden. Allerdings sei es Aufgabe des Staates, eben diese Sicherheitslücken zu schließen. Im Ergebnis verletze der Einsatz von Staatstrojanern demzufolge das IT-Grundrecht. Nach Auffassung von Digitalcourage sei diesbezüglich jedenfalls schon „die Verhältnismäßigkeit des Eingriffs in die Grundrechte fraglich, weil die informationstechnischen Systeme aller Bürgerinnen und Bürger unsicher gehalten werden müssen und der Strafkatalog, bei dem diese Maßnahmen zum Einsatz kommen können, äußerst umfangreich ist.“
Etwas weniger weit gehen die Bestrebungen der GFF und der Liberalen[12], deren Intension eher eine Einschränkung der Überwachungsregelungen ist. Sie plädieren vielmehr dafür, der Online-Durchsuchung erneut engere Grenzen zu setzen, denn das Staatstrojaner-Gesetz von 2017 sorge nicht zuletzt dafür, dass diese Art der Gefahrenabwehrmaßnahme häufiger gestattet werden könne. Dies stünde der Einschätzung der Beschwerdeführer nach jedoch nicht im Einklang mit den 2008 durch das Verfassungsgericht postulierten Grundvoraussetzung einer „konkreten Gefahr für überragend wichtige Rechtsgüter“, wozu ausschließlich „Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt“ zählen.[13]
Nach Ansicht der FDP sei der Staatstrojaner verfassungswidrig. Dr. Marco Buschmann, Erster Parlamentarische Geschäftsführer der FDP-Fraktion, äußerte sich insoweit wie folgt: „Als Freie Demokraten ist unser Ziel die Gewährleistung der Selbstbestimmung, insbesondere auch in der digitalen Welt. […] Dazu gehört, dass jeder Mensch Privatsphäre braucht. Nicht mehr nur in seiner Wohnung, sondern auch auf seinem Rechner oder Smartphone. Das ist Teil der Menschenwürde. Die Große Koalition greift mit dem Staatstrojaner tief in diese digitale Privatsphäre ein und überschreitet bewusst die Grenzen der Rechtsprechung des Bundesverfassungsgerichts. […].“[14]
Die GFF erhofft sich mit ihrer Beschwerde ferner insbesondere konkrete Angaben der Karlsruher Richter zur Nutzung von IT-Sicherheitslücken. Den GFF-Antrag angeschlossen haben sich die Journalisten Hajo Seppelt und Can Dündar. Beide gehen davon aus, regelmäßig Ziel von Hackerangriffen durch Überwachungssoftware zu sein.
Zwar stehen die benannten Organisationen in Kontakt, allerdings lehne sie allesamt eine Kooperation ab – möglicherweise aufgrund ihrer verschiedenen Ansätze und Ziele sowie grundlegender inhaltlichen Differenzen.[15] Die eigenständige Einreichung seitens der FDP hingegen dürfte anzunehmender auf politischen Gründen basieren.
IV. Ausblick
Fraglich ist, wessen Geräte gehackt werden können bzw. zu was Staatstrojaner gegenwärtig in der Lage sind. Für die Quellen-TKÜ entwickelte das Bundeskriminalamt (BKA) eine entsprechende Software für circa sechs Millionen Euro selbst (sogenannte Remote Communication Interception Software, kurz: RCIS), für die Online-Durchsuchung arbeitet das BKA derzeit noch an einer Eigenentwicklung.[16] Hingegen haben die Landeskriminalämter (LKA) bisher keine eigenen Trojaner; zwar dürfte das BKA Amtshilfe leisten, allerdings sei dies laut Bundesregierung bis Mai 2018 noch nicht passiert.[17]
Problematisch ist, dass es keine Möglichkeit gibt zu erfahren, ob auf dem eigenen Gerät ein staatlicher Trojaner installiert wurde. Schon der Gebrauch verschlüsselter Kommunikation und Kontakt mit einer Person, die einer der Straftaten aus diesem Gesetz verdächtig ist, reicht hierfür theoretisch aus. Voraussetzung dafür, dass die Überwachungssoftware überhaupt auf dem Zielgerät landen und dort unbemerkt arbeiten kann ist aber in jedem Fall, dass sie Sicherheitslücken in der Hardware, dem Betriebssystem oder einzelnen Anwendungsprogrammen ausnutzen muss: hierfür ist das offensive Ausnutzen von bekannten, nicht behobenen oder gar neu entdeckten Schwachstellen elementar. Angaben der Bundesregierung nach wurden bislang jedoch noch keine unbekannten Sicherheitslücken, sogenannten Zero-Day-Exploits, für die staatliche Spähsoftware genutzt, jedoch sei dies für die Zukunft nicht ausgeschlossen.[18] Vielmehr regten die Justizminister von Bund und Ländern an, für die Installation von Überwachungssoftware künftig auch Wohnungseinbrüche zu erlauben.[19]
Meldungen zur Folge gibt es bereits Überlegungen dazu, wie eine Regelung zur Offenlegung von Schwachstellen aussehen könnte: Das Bundesinnenministerium hat diesbezüglich wohl einen ersten internen Entwurf erarbeitet.[20] Allerdings gibt es kontroverse Auffassungen hinsichtlich der gegenwärtigen Rechtslage bzw. dem offensiven Umgang mit Sicherheitslücken. So äußerte etwa das Ministerium im Mai noch schriftlich, die Bundesregierung teile im Übrigen nicht die Auffassung der Fragesteller[21], dass durch die Durchführung einer Quellen-TKÜ die IT-Sicherheit insgesamt gefährdet werde.[22]
Mit Spannung abzuwarten bleibt, ob und inwieweit das Gericht urteilen wird und welcher Beschwerdeführer schlussendlich in Karlsruhe erfolgreich sein wird.
[1] Wir klagen gegen die Staatstrojaner – Verfassungsbeschwerde unterstützen!, digitalcourage.de, zuletzt abgerufen am: 17.08.2018.
[2] Vgl. eine Zusammenfassung der Verfassungsbeschwerde der FDP, FDP.de, zuletzt abgerufen am: 24.08.2018.
[3] Beuth, Verfassungsbeschwerden – Wann dürfen Polizisten zu Hackern werden?, Spiegel.de, 06.08.2018, zuletzt abgerufen am: 17.08.2018.
[4] Gruber/Hochert/Reinbold, Neues Überwachungsgesetz, Hackerangriff aus dem Bundestag, Spiegel.de, 22.06.2017, zuletzt abgerufen am: 17.08.2018.
[5] Schmitz, 21.05.2018, Was ist ein Staatstrojaner?, Security-Insider.de, 21.05.2018, zuletzt abgerufen am: 17.08.2018.
[6] BVerfG v. 27.03.2008, Az. 1 BvR 370/07, zuletzt abgerufen am: 17.08.2018.
[7] Vgl. Rn. 172 ff. des unter Fn. 5 benannten Urteils.
[8] Gruber/Hochert/Reinbold, Neues Überwachungsgesetz, Hackerangriff aus dem Bundestag, Spiegel.de, 22.06.2017, zuletzt abgerufen am: 17.08.2018.
[9] Vgl. hinsichtlich der folgenden Argumente: TeleTrusT-Informationen, teletrust.de, 12.12.2017, zuletzt abgerufen am: 17.08.2018.
[10] Greis, Verfassungsbeschwerde – Digitalcourage klagt gegen Staatstrojaner, 07.08.2018, zuletzt abgerufen am: 17.08.2018.
[11] Vgl. hinsichtlich der folgenden Argumente: Wir klagen gegen die Staatstrojaner – Verfassungsbeschwerde unterstützen!, digitalcourage.de, zuletzt abgerufen am: 17.08.2018.
[12] Vgl. hinsichtlich der folgenden Argumente: Beuth, Verfassungsbeschwerden – Wann dürfen Polizisten zu Hackern werden?, Spiegel.de, 06.08.2018, zuletzt abgerufen am: 17.08.2018.
[13] So das BVerfG v. 27.03.2008, Az. 1 BvR 370/07.
[14] Pressemitteilung der FDP v. 20.08.2018, zuletzt abgerufen am: 24.08.2018.
[15] Vgl. Amos, Verfassungsbeschwerden gegen den Staatstrojaner, Warum die NGOs nicht gemeinsam kämpfen, LTO.de, 07.08.2018, zuletzt abgerufen am: 17.08.2018.
[16] Beuth, Verfassungsbeschwerden – Wann dürfen Polizisten zu Hackern werden?, Spiegel.de, 06.08.2018, zuletzt abgerufen am: 17.08.2018.
[17] Ebd.
[18] Greis, Verfassungsbeschwerde – Digitalcourage klagt gegen Staatstrojaner, 07.08.2018, zuletzt abgerufen am: 17.08.2018.
[19] Ebd.
[20] So unter anderem Beuth, Verfassungsbeschwerden – Wann dürfen Polizisten zu Hackern werden?, 06.08.2018, zuletzt abgerufen am: 17.08.2018.
[21] Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Keul, von Notz, Amtsberg, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNE.
[22] Vgl. BT-Drs. 19/2306, Einsatz von Spähsoftware bei der Strafverfolgung (Quellen- Telekommunikationsüberwachung und Online-Durchsuchung) (PDF), zuletzt abgerufen am: 17.08.2018.
