Die Bundesdatenschutzbeauftragte Andrea Voßhoff weist auf erhebliche verfassungsrechtliche Probleme bei dem Vorhaben hin, staatliches Hacken für Dutzende Straftaten zuzulassen. Sie findet deutliche Worte für die Verfahrensweise, mit der das Justizministerium Gesetzesänderungen mit langfristigen Folgen in erstaunlicher Hektik zusammenstoppelt.

Die heutige öffentliche Anhörung im Rechtsausschuss des Bundestags begann mit einem Eklat, noch ehe die Sitzung um 16 Uhr begonnen hat. Es wird um die Änderung der Strafprozessordnung und weiterer Gesetze und eine deutliche Erweiterung der Nutzung von staatlicher Spionagesoftware gehen. Doch das Bundesjustizministerium (BMJV) hat sich erneut mit einem Verhalten hervorgetan, das den Respekt vor den beteiligten Sachverständigen und den hinzugezogenen Behörden vermissen lässt. Das Ministerium von Heiko Maas hatte mal wieder kurzfristige, aber bedeutsame Änderungen vorgenommen, ohne sich die Mühe zu machen, diejenigen darüber in Kenntnis zu setzen, deren Expertise es doch einzuholen vorgibt.

Die Bundesdatenschutzbeauftragte (BfDI), Andrea Voßhoff, kritisierte auch gegenüber netzpolitik.org die mangelnde Einbindung ihrer Behörde:

Leider hat das Bundesjustizministerium die BfDI nicht über die geplante Änderung der Strafprozessordnung informiert. Angesichts der erheblichen datenschutzrechtlichen und verfassungsrechtlichen Bedeutung des Vorhabens ist dies nicht nachvollziehbar.

Denn die Änderung weitet die Möglichkeiten der Strafverfolger zum Einsatz des Staatstrojaners ganz eklatant aus.

In ihrer Stellungnahme (pdf) wird Voßhoff noch deutlicher und lässt erkennen, dass sie erst durch einen Bericht bei netzpolitik.org überhaupt Kenntnis erlangte, die geplanten gesetzlichen Vorschläge, die ihr gerade zur Begutachtung vorlagen, aber unterdessen bereits wieder geändert worden waren:

Leider hat es das BMJV unterlassen, mich zu dem mit der Formulierungshilfe eingereichten Änderungsantrag zur Einführung einer Quellen-Telekommunikationsüberwachung und einer Online-Durchsuchung in der Strafprozessordnung zu beteiligen. Von dem Vorhaben habe ich erst am 17. Mai 2017 durch Medienberichte erfahren. Angesichts der erheblichen datenschutzrechtlichen und verfassungsrechtlichen Bedeutung des Vorhabens ist für mich diese Verfahrensweise nicht nachvollziehbar. (Hervorhebung von uns)

Wenn man im üblichen Rahmen der Höflichkeit zwischen Behörden und Ministerien bleiben will, wird sich kaum eine harschere Formulierung einer Kritik finden. Voßhoff lässt ihren Unmut über das Vorgehen des Ministeriums deutlich durchscheinen.

Bewertung der Staatstrojaner-Ausweitung

Es blieb aufgrund dieser Arbeitsweise im Hause Maas wenig Zeit für Voßhoff, die geplanten Änderungen in Bezug auf beide Varianten des Staatstrojaners zu bewerten: Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und Online-Durchsuchung. Ihre kurze Analyse macht jedoch bereits deutlich, dass sie in einem keine Zweifel hat: Eine so drastische Erweiterung des staatlichen Hackings ist nicht verfassungsgemäß.

Der Entwurf beinhaltet verfassungsrechtlich erhebliche Risiken und setzt eine gründliche fachliche Auseinandersetzung voraus. Die vorgeschlagene Regelung [zur Quellen-TKÜ] führt […] zu erheblichen datenschutzrechtlichen Risiken und zu einem klaren Verfassungsverstoß. Der Entwurf will die Quellen-TKÜ für den gesamten Straftatenkatalog des § 100a Abs. 2 StPO zulassen. Ich habe erhebliche Zweifel an einem daran bestehenden Bedarf der Strafverfolgungsbehörden. Der extrem weiten Auslegung der verfassungsgerichtlichen Rechtsprechung in der Gesetzesbegründung stimme ich ausdrücklich nicht zu. Der Straftatenkatalog bei der Online-Durchsuchung ist beachtlich. Er nennt sage und schreibe 74 Paragraphen. Aus Zeitgründen konnte hier nicht geprüft werden, wie viele Straftatbestände sich daraus im Einzelnen ergeben. Darunter sind auf der einen Seite solche, die den strafrechtlichen Schutz höchstrangiger Rechtsgüter betreffen. Darauf ist die Aufzählung aber nicht beschränkt. (Hervorhebungen von uns)

Die Zeit war einfach zu kurz, um sich überhaupt klarzuwerden, welche Straftaten alles umfasst sind. Das betrifft auch die Personen, die durch eine solche Spionagesoftware mitbetroffen sind, etwa wenn sie ein gehacktes informationstechnisches System mitbenutzen:

Abzulehnen ist die geplante Reichweite, mit der auch nicht verdächtige Personen erfasst werden. Der Einsatz der Online-Durchsuchung im Strafverfahren ist nicht zu rechtfertigen, solange in einem Strafverfahren das Risiko fehlerhafter Beweise nicht beherrschbar ist. Dem wichtigen Anliegen einer effektiven Strafverfolgung ist nicht gedient, wenn erlangte Informationen als Verstoß gegen Verfassungsrecht nicht verwertet werden können. Daher sollte ein entsprechender Gesetzesbeschluss nicht übereilt, sondern zunächst sorgfältig diskutiert werden. (Hervorhebungen von uns)

Voßhoff kritisiert also in ihrer Stellungnahme für den Rechtsausschuss die geplante Ausweitung der Online-Durchsuchung und der Quellen-TKÜ mit unverblümter Sprache als das, was sie sind: kalkulierter Verfassungsbruch:

Mit einer kurzfristig in ein Änderungsgesetz zur Strafprozessordnung eingebrachten Formulierungshilfe will das Bundesministerium der Justiz den Einsatz der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und der Online-Durchsuchung erheblich ausweiten. Die vorgeschlagene Regelung für eine Quellen-TKÜ führt zu erheblichen datenschutzrechtlichen Risiken und zu einem klaren Verfassungsverstoß. Dies vor allem, wenn die Quellen-TKÜ im Einzelfall zur „vollwertigen“ Online-Durchsuchung ausgebaut wird, ohne sie, wie vom Bundesverfassungsgericht gefordert, auf die Abwehr von Gefahren für Leib und Leben zu beschränken.

Online-Durchsuchung

Eine Online-Untersuchung unterscheidet sich von einer Quellen-TKÜ vor allem darin, dass es keine Beschränkungen für die Inhalte gibt, auf die der Staatstrojaner zugreifen darf. Voßhoff kritisiert, dass sie rechtlich viel zu wenig eingehegt ist:

Die Online-Durchsuchung erlaubt es Sicherheitsbehörden, Computer und andere informationstechnische Systeme mit Spähsoftware zu infiltrieren, um alle gespeicherten Informationen zu durchsuchen. Für diesen besonders schweren Eingriff in die Grundrechte der Betroffenen hatte das Bundesverfassungsgericht bereits 2008 strenge Auflagen formuliert. So ist ihr Einsatz bisher nur bei einer konkreten Gefahr für ein überragend wichtiges Rechtsgut möglich. Nach dem Entwurf des Justizministeriums soll sie aber nicht mehr nur für die Abwehr terroristischer Gefahren, eingesetzt werden, sondern auch für die Strafverfolgung. Dort ist sie nicht auf Straftaten gegen überragend wichtige Rechtsgüter beschränkt. Zudem dürfen nach den Plänen nicht nur Verdächtige überwacht werden. Betroffen wären alle Personen, deren Geräte und Systeme benutzt oder mitbenutzt werden, also im Zweifel die gesamte Familie oder Wohngemeinschaft.

Quellen-TKÜ

Beim kastrierten Staatstrojaner Quellen-TKÜ, der ausschließlich auf Kommunikation aus laufenden Gesprächen zugreifen darf, bemängelt Voßhoff neben den grundsätzlichen Bedenken auch noch weitere Vorhaben im geplanten Gesetz:

Die Quellen-TKÜ funktioniert technisch ähnlich wie die Online-Durchsuchung. Sie muss sich bisher aber auf die laufende Kommunikation der betroffenen Person beschränken. Abgehört werden etwa aktuelle E-Mails, Messenger-Nachrichten oder Internet-Telefonate während des Sendevorgangs. Nach der Neufassung würde aus der Quellen-TKÜ eine „vollwertige“ Online-Durchsuchung, ohne jedoch nur ansatzweise die für Online-Durchsuchungen vorgesehenen verfassungsrechtlichen Einschränkungen zu beachten, wie etwa die Beschränkung auf den Schutz von Leib, Leben und Freiheit. Ermittler könnten dann mit der Quellen-TKÜ auch rückwirkend gespeicherte E-Mails und SMS, archivierte WhatsApp-Nachrichten und Anruflisten des Mobiltelefons auslesen. Selbst in der Cloud gespeicherte Daten wären betroffen.

Und Voßhoff ist beileibe nicht allein mit ihrer umfänglichen Kritik. Alle Stellungnahmen finden sich auf den Seiten des Bundestags.

Offenlegung: Ich bin Mitautorin der Stellungnahme des CCC.