Staatliche Überwachungssoftware im Strafverfahren: Tro­janer marsch?

Die Überwachung der Telekommunikation im Strafverfahren hat schon heute Hochkonjunktur: Allein 32.658 Anordnungen zum Mitschneiden von Telefon- und Internet-Verkehr ergingen im Jahr 2015, zwei Drittel davon betrafen Mobilfunkanschlüsse. Nun möchte die Große Koalition nach einem Vorschlag des Bundesministeriums für Justiz und Verbraucherschutz (BMJV) in neue Dimensionen vordringen: Die Überwachung soll nicht mehr wie bisher nur bei den Providern ansetzen. Vielmehr möchte Justizminister Heiko Maas zusätzlich auf breiter Front Staatstrojaner einsetzen lassen. In allen oben genannten Fällen soll es in Zukunft zulässig sein, die Rechner und Handys der Beschuldigten mittels staatlicher Überwachungssoftware zu infizieren – zehntausendfach, Jahr für Jahr. Mit der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) möchte der Minister laufende und frühere Kommunikation direkt aus den Endgeräten auslesen, die hierzu mittels spezieller Staatstrojaner digital verwanzt werden sollen.

Der Vorschlag des BMJV ist dabei nicht wie üblich in einem Gesetzentwurf der Bundesregierung enthalten. Die Fraktionen der CDU/CSU und SPD sollen den Trojaner-Einsatz vielmehr durch die Hintertür ins Parlament einbringen, nämlich in Form von Änderungsanträgen zu einem längst im parlamentarischen Verfahren befindlichen, eher unspektakulären Gesetzentwurf. Hierbei möchte ihnen Justizminister Maas die Hand führen – mit einer volle 30 Seiten umfassenden "Formulierungshilfe", die jüngst auf netzpolitik.org veröffentlicht wurde . Eine konsolidierte Fassung der Strafprozessordnung mit den geplanten Änderungen  hat die Gesellschaft für Freiheitsrechte erstellt.

Noch weiter als die Quellen-TKÜ soll die ebenfalls in der Formulierungshilfe enthaltene sogenannte Online-Durchsuchung gehen. Hier soll es nach dem Willen des BMJV keine inhaltlichen Beschränkungen mehr geben: Die betroffenen Computer und Handys sollen vielmehr vollständig ausgelesen werden können – unter Umständen monatelang. Nur eine rote Linie erkennt der Vorschlag des BMJV noch an: Die Systeme dürfen von den Strafverfolgungsbehörden nur soweit manipuliert werden, wie es für die Überwachung notwendig ist. Es dürfen also keine Beweismittel manipuliert oder gar untergeschoben werden. Wirksam kontrollieren lässt sich diese Begrenzung allerdings nicht.

Unvergleichliche Eingriffstiefe

Die Bedeutung der geplanten Neuregelung wird deutlich, wenn man sich vor Augen führt, dass Computer und Smartphones heute oft eine unermessliche Fülle an Informationen enthalten: alltägliche bis intimste Emails und SMS, Terminkalender, Kontakte, Kontoumsätze, Tagebücher und Social-Media-Daten. Mit Speicherkapazitäten im Giga- bis Terabyte-Bereich enthalten sie ein weitgehendes digitales Abbild unseres Lebens. Erhalten Ermittlungsbehörden Zugriff auf diese Datenmengen, können sie die Besitzer der Systeme so vollständig ausspähen. Hinzu kommt bei der Online-Durchsuchung die Möglichkeit des Live-Zugriffs: Ermittler können den Betroffenen also virtuell über die Schulter blicken und ihnen so quasi beim Denken zuschauen.

Dieser unvergleichlich tiefe Einblick in das Wissen und Fühlen eines Menschen macht den Einsatz von Trojanern in einem Rechtsstaat so heikel. Wie kein anderes Ermittlungsvorgehen erlaubt es die Online-Durchsuchung, Menschen zum Objekt der Ausspähung zu machen. Gegen keine andere Methode ist man so wehrlos, denn der direkte Zugriff auf das System dient gerade dem Zweck, Verschlüsselungsverfahren zu umgehen, also den informationellen Selbstschutz ins Leere laufen zu lassen. Keine andere Ermittlungsvariante bietet insgesamt ein vergleichbares totalitäres Potential. Selbst beim Skandal um den "Großen Lauschangriff" beschränkte sich das Vorgehen auf die akustische Wahrnehmung dessen, was aktuell in einer Wohnung geschieht.

Wird hingegen ein Rechner oder ein Smartphone mit einem Trojaner infiziert, erlaubt dies ebenfalls einen Lauschangriff auf dessen Umgebung. Hinzu kommt bei der Online-Durchsuchung aber ein heimlicher Zugriff auf mitunter über Jahrzehnte angesammelte digitale Daten sowie ein großer Spähangriff, indem auf die Kameras der infizierten Systeme zugegriffen wird. Die Eingriffstiefe einer Online-Durchsuchung geht daher über die einer akustischen Wohnraumüberwachung nochmals deutlich hinaus.

Grenzen des Grundgesetzes

Der unvergleichlichen Gefahren staatlicher Überwachungssoftware war sich auch das Bundesverfassungsgericht (BVerfG) bewusst, als es im Jahre 2008 über eine krude Rechtsgrundlage für Staatstrojaner im Verfassungsschutzgesetz des Landes Nordrhein-Westfalen zu entscheiden hatte. Der Erste Senat des BVerfG erfand dabei das "Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme" .

Wie alle Grundrechte mit Ausnahme der Menschenwürde gilt es zwar nicht schrankenlos. Doch errichtete das BVerfG besonders hohe Hürden für Eingriffe in dieses "Computer-Grundrecht": Selbst präventiv ist der Einsatz von Trojanern nur zulässig, wenn "tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen". Überragend wichtig sind dabei nur Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.

Allerdings ließen die Verfassungsrichter eine Hintertür offen: Wenn ausschließlich "laufende Kommunikation" mitgeschnitten wird, dann soll auch ein Trojaner-Einsatz nicht in das neue Grundrecht eingreifen. Folglich soll eine abgespeckte Version der Online-Durchsuchung – eben die Quellen-TKÜ – auch nicht an den Schranken des Computer-Grundrechts zu messen sein. Lediglich muss durch "technische Vorkehrungen und rechtliche Vorgaben" sichergestellt werden, dass sich die Datenerhebung wirklich auf laufende Kommunikation beschränkt.