Der Berliner Strafverteidiger Carsten Hönig berichtet in seinem Blog von einer interessanten Entwicklung zum Thema “Telekommunikationsüberwachung durch Trojaner ohne Rechtsgrundlage“: Eine Staatsanwaltschaft hat offenbar wieder einmal eine richterliche Genehmigung zur Infiltration eines Rechners mit einer Spionagesoftware (“Trojaner”) beantragt, um Skype-Gespräche abhören zu können. Weil eine solche Maßnahme in der Strafprozessordnung jedenfalls nicht ausdrücklich vorgesehen ist, das Bundesverfassungsgericht aber eine ausdrückliche Rechtsgrundlage gefordert hat, plagt die Strafverfolger offenkundig das schlechte Gewissen – oder jedenfalls reagieren sie vorausschauend auf (hoffentlich) aufkeimende Skepsis des Ermittlungsrichters. So heißt es in dem Antrag:
Die Funktion des eingesetzten Programms beschränkt sich auf die Überwachung und Weiterleitung der nach § 100a StPO erfassten Telekommunikationsdaten. Das Programm kann nur diejenigen Daten überwachen und aufzeichnen, die für die Versendung in das Fernkommunikationsnetz vorgesehen sind und auf die dort zugegriffen werden könnte, wenn ihre Auswertung nicht aufgrund der Verschlüsselung praktisch unmöglich wäre.
Interessante These … die Sachverständigen im Verfahren um die Online-Durchsuchung vor dem Bundesverfassungsgericht hatten recht eindrucksvoll deutlich gemacht, dass es eine solche Beschränkung aus technischer Sicht gar nicht gibt: Wenn die Staatsmacht einen Rechner infiltriert hat, so hat sie gleichsam den Fuß in die Tür gesetzt – die Überwachung im Einzelnen ist dann nur noch eine Frage des Nachladens neuer Module. Aber egal – die Staatsanwaltschaft drückt in ihrem Antrag einfach mal beide Augen zu.
Und weiter:
Der zur Überwachung von “Skype” oder funktionsgleicher Fernkommunikationsprogramme genutzte Exploit wurde durch eine private Firma aufgrund klarer Vorgaben der Ermittlungsbehörden hinsichtlich der Funktion und des Umfangs erstellt. Vor dem realen Einsatz wird der Exploit in einem extra für diesen Zweck errichteten Testlabor auf Funktionsfähigkeit überprüft. Die Prüfung wird durch eigenes technisches Personal durchgeführt.
Lustig – eigenes Personal der Polizei prüft den Trojaner? etwa auf Sourcecode-Basis?
Das wäre wirklich mal was Neues – und dann natürlich sehr zu begrüßen. Es bleibt zu hoffen, dass im Wege der Akteneinsicht hier weitere Details publik werden. Ein kreativer Verteidiger sollte einmal verlangen, dass die exakte Funktion des Trojaners im Strafverfahren nachgewiesen wird, denn wenn die Software auch nur ein paar Byte Nicht-Kommunikationsdaten überträgt, so steht sie (nach insoweit allgemeiner Meinung) meilenweit im verfassungsrechtlichen Abseits. Das wäre dann unzweifelhaft ein grober Rechtsverstoß im Ermittlungsverfahren, wie selbst das Landgericht Landshut festgestellt hat.
Das resignierende Fazit des Verteidigers
Die Gerichte scheinen gleichwohl die Infiltration mit solcher Software zu tolerieren
ist allerdings glücklicherweise nur die halbe Wahrheit. Zwar scheinen viele Gerichte derzeit tatsächlich noch geneigt, solche Maßnahmen durchzuwinken. So eindeutig wie sie es sehen ist die Rechtslage allerdings nicht – aus der Rechtswissenschaft zumindest (im engeren Sinne, also aus der akademischen im Gegensatz zur justiziellen*) gibt es soweit ersichtlich keine einzige Stimme, die für die Zulässigkeit der Quellen-TKÜ auf der bisherigen rechtlichen Grundlage einträte. Ein Überblick über die Rechtslage, insbesondere die Entscheidung des Bundesverfassungsgerichts, findet sich bei Buermeyer/Bäcker in der HRRS mit zahlreichen weiteren Nachweisen aus der Literatur. Im Januar-Heft 2011 des Strafverteidigers äußern Becker u.a. ebenfalls harsche Kritik – ebenso Florian Albrecht in JurPC.
Letztlich wird aber wohl nur das Bundesverfassungsgericht einer Praxis ausufernder Quellen-TKÜ auf schwammigster rechtlicher Grundlage ein Ende bereiten können. Denn erschreckenderweise sind es ausgerechnet auch kommentierend tätige Richter, die die Quellen-TKÜ zulässig schreiben wollen – so etwa im Meyer-Goßner (dem wichtigsten StPO-Kommentar der Praktiker) oder im Karlsruher Kommentar zur StPO. Persönlich finde ich es sehr bedauerlich, wenn angebliche “Bedürfnisse der Praxis” den verfassungsrechtlichen Blick soweit trüben, dass selbst schwere Grundrechtseingriffe ohne klaren Auftrag des Gesetzgebers einfach “durchgewunken” werden.
Dabei ist die Situation eigentlich recht eindeutig: Der Gesetzgeber ist am Zug. Wenn er eine Quellen-TKÜ zur Strafverfolgung zulassen will, so muss er den § 100b StPO um flankierende Vorschriften zum sauberen Einsatz der Quellen-TKÜ ergänzen – das Bundesverfassungsgericht hat eine solche Regelung für verfassungsrechtlich möglich gehalten.
Es ist hingegen nicht Aufgabe der Justiz, Ermächtigungsgrundlagen zu schaffen oder Normen, die eigentlich für die klassische Telefonüberwachung geschaffen wurden, solange zu dehnen, bis sie auch noch den Einsatz von Trojanern als zulässig erscheinen lassen. Zu einer solchen Rechtssetzung haben Richter keine Legitimation – und außerdem entlassen sie damit den allein legitimierten demokratischen Gesetzgeber aus der Verantwortung, selbst über Grundrechtseingriffe – und ihre Grenzen! – zu entscheiden.
* Update vom 27. Juni 2011 – vielen Dank für den Hinweis auf die Missverständlichkeit des Begriffs an Jens Ferner, der die hier vertretene These – allerdings auf der Grundlage eines weiteren Verständnisses von Rechtswissenschaft und dann natürlich zu Recht – als “haarig” kritisiert. Bisher kenne ich allerdings nach wie vor keine Stimme außerhalb der Justiz, der die hier kritisierte Anwendung des § 100a StPO für zutreffend hielte – der Autor Bär ist RiOLG, der nach RiBGH a.D. Meyer-Goßner benannte Kommentar wird ebenso von Richtern bearbeitet. Für Hinweise auf akademisch tätige Rechtswissenschaftler, die für die Zulässigkeit der Quellen-TKÜ auf bisheriger Grundlage eintreten, wäre ich dankbar.
Pingback: dimis » Blog Archive » Der Exploid und die Quellen-TKÜ
Pingback: Landestrojaner ohne Rechtsgrundlage im Einsatz? | Internet-Strafrecht.com
Pingback: Der Bundestrojaner: Remote Forensic Software RFS für Online-Durchsuchung Quellen-TKÜ | Windows Security Blog ScareWare.de - Sicherheit gegen Malware