Das neue „Computergrundrecht“ - Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – und die „Bundestrojaner“

15.10.2011745 Mal gelesen
Das Bundesverfassungsgericht (BVerfG) hat in seiner Grundsatzentscheidung aus dem Jahre 2008 zur so genannten Online-Durchsuchung (Urt. v. 27.02.2008, Az. 1 BvR 370/07 und 1 BvR 595/07) ein neues Grundrecht geschaffen.

Das Ergebnis war als besondere Ausprägung des allgemeinen Persönlichkeitsrechts das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, das neue "Computergrundrecht".

Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) ist nur unter strengen Voraussetzungen erlaubt. Bei der Quellen-TKÜ wird auf dem zu überwachenden Computer ein Programm installiert, das bei Telefonie über Internet vor Verschlüsselung der Daten die Kommunikation aufnimmt und an die Ermittlungsbehörde weiterleitet. Der Einsatz von Quellen-TKÜ wird auf § 100a StPO als Mittel zur Strafverfolgung gestützt. Dabei dürfen aber keine anderen Funktionen des Rechners betroffen sein.

Das Land NRW hatte sein Verfassungsschutzgesetz erweitert. Der heimliche Zugriff auf informationstechnische Systeme sollte ermöglicht werden. Verfassungsbeschwerden gegen die Ermächtigung zum damaligen Trojanereinsatz mündeten im besagten Urteil des BVerfG.

Betroffen von dem Verfassungsschutzgesetz NRW (VSG) waren potenziell alle informationstechnischen Systeme, sofern sie mindestens die Funktionalität eines Smartphones hatten. Die Behörden hätten dafür über vorhandene Sicherheitslücken in das System gelangen oder einen Trojaner installieren können. Erlaubt war die komplette Überwachung des infizierten Laptops oder PC, neben der Durchsuchung der Festplatten wäre es sogar zulässig gewesen, das gesamte System fernzusteuern.

§ 5, Abs. 2, Nr. 11, Satz 1 VSG, der den heimlichen Zugriff auf informationstechnische Systeme regelte ("Online-Durchsuchung"), verletze nach dem Urteil des BVerfG das allgemeine Persönlichkeitsrecht in seiner besonderen Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Angesichts der Schwere des Eingriffs ist die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehe.

Begründet werden solche Eingriffe staatlicherseits stets mit der gebetsmühlenartigen Aufzählung der Abwehr von Terrorgefahr, Gefahr für Bürger und Staat, Funktionstüchtigkeit der Strafrechtspflege und: Der rechtstreue Bürger habe ja nichts zu verbergen.

Doch es gilt noch immer der Satz: Wehret den Anfängen. Bei durchschnittlicher Kriminalität und im Falle der Strafverfolgung kann ein Einsatz von sog. Trojanern nicht gerechtfertigt werden.

In einem Fall aus Bayern wurde ein Fluggast, dem man lediglich des illegalen Medikamentenschmuggels verdächtigte, bei der Kontrolle am Münchner Flughafen herausgezogen. Während man diesen ablenkte, wurde dessen Laptop von einem als Zollbeamten getarnten Beamten der bayerischen Polizei durch Entnahme der Festplatte mit dem Trojaner infiltriert. Der zuständige Ermittlungsrichter hatte lediglich die Quellen-TKÜ erlaubt, da man Internet-Telefonate abhören wollte. Die Software konnte aber viel mehr: Dessen Rechtsanwalt fand dies heraus, als er nach Akteneinsicht in der Ermittlungsakte Screenshots des Laptops seines Mandanten feststellt. Er übergab die Festplatte dem Chaos-Computer-Club (CCC).

Das neue „Computergrundrecht“ wird durch solcherart „Bundestrojaner“ nach Verlautbarung des CCC verletzt, da mit richterlicher Erlaubnis nur Software zur Quellen-TKÜ eingesetzt werden durfte, aber dieses Programm tatsächlich die Steuerung des PC übernehmen, Notizen und nicht versendete E-Mails auswerten oder sogar verfahrensbelastende Schadsoftware auf den Computer laden konnte. Das System könne vollständig durchsucht oder sogar audiovisuell überwacht (z.B. über Webcam oder Mikrofon) oder Screeneshots aktiver Webbrowser-Fenster angefertigt werden. Besonders brisant sei, daß einmal infiltrierte Computer ohne größere Anstrengungen von fachkundigen Dritten auf die gleiche Weise ausgespäht werden können.

Für den Einsatz von Trojanern, gleich welcher Staats- oder Landesangehörigkeit, muß zwischen Strafverfolgung (konkreter Anfangsverdacht einer Straftat) oder Gefahrenabwehr (Präventive, d.h. vorsorgliche Abwehr einer Gefahr) unterschieden werden.

Gem. § 20k BKAG darf das Bundeskriminalamt Trojaner einsetzen, wenn bestimmte Tatsachen die Annahme rechtfertigen, daß eine Gefahr für höchstrangige Rechtsgüter, namentlich Leib und Leben von Personen sowie überragend wichtige Güter der Allgemeinheit, vorliegt. Dies ist die bundesrechtliche Regelung zur Gefahrenabwehr. Nach § 20k, Abs. 7 BKAG sind jedoch Maßnahmen unzulässig, soweit tatsächliche Anhaltspunkte dafür bestehen, daß allein „Erkenntnisse aus dem Kernbereich privater Lebensgestaltung“ erlangt würden. Solche Daten sind unverzüglich zu löschen. Egal ob Privat- oder Geschäftsräume z.B. audiovisuell überwacht werden – die Vermischung privater und geschäftlicher Dinge geschieht gerade durch das Internet regelmäßig und zunehmend. Fälle, in denen ausschließlich Kernbereichsdaten aufgenommen werden, dürften daher praktisch nicht mehr existent sein. Ob diese Regelung den Vorgaben des BVerfG genügt ist fraglich.

Werden Landesbehörden wegen Gefahrenabwehr tätig, müssen eigene Gesetze für ihre Behörden geschaffen werden, was zum Teil auch geschehen ist. Das Land Rheinland-Pfalz plant die Einführung einer Regelung der präventiven Online-Durchsuchung. Die ursprünglich in Nordrhein-Westfalen bestehende Regelung des VSG ist vom BVerfG für nichtig erklärt worden (s.o.). In Bayern ist gem. Art. 34d und 34e Polizeiaufgabengesetz Bayern (PAG), im Gegensatz zur bundesrechtlichen Regelung des § 20k BKAG, als Begleitmaßnahme zur Online-Durchsuchung auch das Betreten und Durchsuchen der Wohnung des Betroffenen ohne dessen Einwilligung möglich. Wie sich die landesrechtlichen Regelungen zu den Vorgaben des BVerfG verhalten, bleibt abzuwarten.

Mangels Alternativen müßten sich Trojaner zur Strafverfolgung nach den Vorschriften der Strafprozessordnung (StPO) richten. Anders als bei der Gefahrenabwehr ist der Einsatz von Trojanern zum Zwecke der Strafverfolgung nach geltendem deutschem Recht unzulässig. Die Strafprozessordnung (StPO) enthält keine entsprechende Regelung. Die Regelungen zur Haus- und Wohnungsdurchsuchung können hier keine Anwendung finden, da Online-Durchsuchungen heimlich geschehen. Bei Haus- und Wohnungsdurchsuchungen sind jedoch die Anwesenheit von Zeugen, des Inhabers oder eines Vertreters gesetzlich vorgeschrieben.

Wie in der Vergangenheit immer häufiger festzustellen, müssen mäßig durchdachte Gesetze vom BVerfG korrigiert werden. Heimliche Maßnahme des Staates können grundsätzlich in Zweifel gezogen werden, wenn zwar eine Kontrollinstanz wie das BVerfG verbindliche Regeln aufstellt, diese aber wissentlich durch technische Mittel umgangen werden.

Da in Deutschland, anders als in den USA, nicht das Rechtsprinzip der „Früchte des vergifteten Baumes“ gilt, stellt sich die Frage nach der Verwertung rechtswidrig erlangter Beweismittel:

In Deutschland werden „Früchte des vergifteten Baumes“ als „Fernwirkung oder erweitertes Beweisverwertungsverbot“ diskutiert. Das deutsche Strafrecht sieht das Strafverfahren öffentlich-rechtlich als objektive Wahrheitserforschung durch den Staat ohne Parteien, in dem die Verteidigung bestimmte eingeschränkte Teilhaberechte hat. In den USA unterliegt das Strafverfahren als Parteiprozess der Disposition und Entscheidungsfreiheit der Beteiligten und greift auf den sog. prozessualen Wahrheitsbegriff zurück: Als wahr gilt das Bewiesene und das, worüber Einigkeit zwischen den Parteien besteht (Deal). Der sog. Deal im Strafprozess gewinnt aber auch im deutschen Recht zunehmend an Bedeutung.

Das deutsche Recht sieht für Ermittlungsfehler eine Kompensation im Rechtsfolgenausspruch vor, das amerikanische Recht hingegen die Ungültigkeit der gesamten Beweisquelle. In Deutschland führt ein Verwertungsverbot grundsätzlich zu einem Erhebungsverbot, doch gilt die Umkehrung nicht: Aus einem Erhebungsverbot folgt nicht automatisch ein Verwertungsverbot. Das bedeutet einfach gesagt: Ein unzulässig erlangtes Beweismittel kann grundsätzlich verwertet werden. Begründung unter anderem: Funktionstüchtigkeit der Strafrechtspflege.

Es zeichnet sich jedenfalls bereits jetzt ab, daß bestehende oder geplante Regelungen sich an den Vorgaben des neuen „Computergrundrechts“ messen lassen und entsprechend angepaßt werden müssen. Geschieht dies nicht, wird wieder das höchste deutsche Gericht bemüht werden müssen.

Big Brother ist watching You….

Rechtsanwalt Holger Hesterberg

Bundesweite Tätigkeit. Mitgliedschaft im DAV.

Mail:[email protected]