Expertinnen und Experten haben den Abgeordneten des nordrhein-westfälischen Landtags im Detail skizziert, welche negativen Folgen der Einsatz von Schadsoftware für die allgemeine IT-Sicherheit hat. Trotzdem entscheiden sich die Regierungsparteien nach drei Wochen Bedenkzeit für den Einsatz von Staatstrojanern. Der entsprechende Polizeigesetzentwurf passierte heute den Innenausschuss.

Erstmals seit der letzten Anhörung des nordrhein-westfälischen Landtages zum neuen Polizeigesetz kam heute der Innenausschuss zusammen. Die Regierungsparteien CDU und FDP präsentierten zwar einen kleinen Änderungsantrag [PDF], beim Einsatz von Staatstrojanern bleiben sie jedoch stur. Auch in Deutschlands bevölkerungsreichstem Bundesland wird die Polizei künftig also staatliche Schadsoftware einsetzen und aus diesem Grund IT-Sicherheitslücken offen halten anstatt sie zu schließen.

Dies geschieht, obwohl unabhängige Sachverständige bei der Anhörung vor drei Wochen massive Kritik an den Staatstrojaner-Plänen der Landesregierung geäußert und konkrete Verbesserungsvorschläge gemacht haben. Es war bereits die zweite Anhörung zum Polizeigesetz in NRW, denn zuvor hatte die schwarz-gelbe Regierung den ersten Gesetzentwurf vom April selbst zurückgezogen. In der ersten Anhörung wurde deutlich, dass die geplanten Regelungen vor dem Verfassungsgericht keinen Bestand haben würden.

Sachgründe für Staatstrojaner fehlen

Die zweite Anhörung [Video] verlief nach einem bekannten Muster. In der Mitte des großen Saals im Düsseldorfer Landtag nahmen Platz: sechs Juristen und Datenschützer auf der einen und fünf Polizeigewerkschaftler auf der anderen Seite. Auch ich war als Sachverständige dabei. Während die eingeladenen Polizisten allesamt die Ausweitung ihrer Befugnisse begrüßten, warnten die meisten Juristen vor der Vernachrichtendienstlichung der Polizei und der Gefährdung der IT-Sicherheit durch den Einsatz von Staatstrojanern.

Dass fast die Hälfte der Experten selbst Polizisten waren, ließ den Eindruck entstehen, die Polizei würde hier an ihrem eigenen Gesetz mitschreiben. Sachliche Argumente für die Notwendigkeit von Staatstrojanern waren von ihnen jedoch nicht zu hören. Auf die Frage der FDP-Fraktion nach dem tatsächlichen Bedarf an Überwachung von verschlüsselter Kommunikation antwortete der Vertreter der Polizeigewerkschaft GPD, Michael Mertens:

„Wir müssen klar und deutlich auch solche Telefonate, solche laufende Kommunikation überwachen können. Daher ist das schon ein Sachgrund, dass man an die Informationen rankommt.“

In anderen Worten: Die Polizei muss an Informationen rankommen, um an die Informationen ranzukommen. Valide Zahlen zu Fällen, in denen das Instrument in der Vergangenheit benötigt worden wäre, blieben die Polizeivertreter schuldig.

Als Argument wird hier oft Terrorgefahr genannt. Eine Erhebung des Bundeskriminalamtes zeigt jedoch: Überwachung von verschlüsselter Kommunikation soll in der Mehrzahl der Fälle zur Aufklärung von Drogendelikten eingesetzt werden. Das entspricht auch den bisherigen Zahlen zum Einsatz herkömmlicher Telekommunikationsüberwachung, die ebenfalls vor allem bei Drogendelikten eingesetzt wurde. Immer wieder kritisieren Bürgerrechtler, dass die Erweiterung polizeiliche Kompetenzen auf Kosten von Grundrechten mit dem Schutz bedeutender Rechtsgüter begründet wird und in der Praxis dann bei Alltagskriminalität eingesetzt wird.

Staatstrojaner streichen oder wenigstens zertifizieren

Die unabhängigen Expertinnen und Experten forderten an diesem Tag als absolutes rechtsstaatliches Mindestmaß eine Zertifizierung der staatlichen Schafsoftware und die Möglichkeit zur richterlichen Kontrolle sowie eine zeitnahe Überprüfung durch den Gesetzgeber.

Der Jurist Clemens Arzt etwa schreibt in seiner Stellungnahme:

„Der Gesetzgeber kann aber die Polizei nicht (…) zum Einsatz von (technischen) Instrumenten ermächtigen, die er noch gar nicht kennen und bewerten konnte, zumal (…) offenkundig Software kommerzieller Hersteller verwandt werden darf.“

Der Jurist Nikolaos Gazeas kritisiert: „Bei den Regelungen zur Quellen-TKÜ (…) fehlt weiterhin die tatsächliche Möglichkeit einer ausreichenden richterlichen Kontrolle.“ Denn: „Was die Software tatsächlich kann, wird der richterlichen Kontrolle (…) weiterhin nicht zugänglich sein“. Und: „Es sei weiterhin empfohlen, eine gesetzliche Regelung dahingehend zu schaffen, dass nur solche Software für eine Quellen-TKÜ eingesetzt werden darf, deren Voraussetzungen (…) zuvor von einer geeigneten Stelle (BfDI/LfDI) überprüft worden sind (Zertifizierung der Software).“

In unserer Stellungnahme fordern wir dazu auf, die Vertraulichkeit aller Handys und Computer zu wahren und der Polizei keine Schadsoftware an die Hand zu geben. Wir schreiben: „Die zur Quellen-TKÜ notwendige Entwicklung von Schadsoftware birgt erhebliche Risiken für die IT-Sicherheit aller Bürgerinnen und Bürger, sie ist deshalb grundsätzlich abzulehnen.“

Sie wissen, was sie tun

In Anbetracht der Kritik der unabhängigen Sachverständigen ist der heute im Innenausschuss vorgelegte überarbeitete Gesetzentwurf eine Enttäuschung. Ganz konkrete Änderungsvorschläge zum technisch und rechtlich sichereren Einsatz von Staatstrojanern wurden nicht aufgenommen. Sogar auf die gemeinsame Forderung mehrerer Sachverständiger nach einer unabhängigen Evaluierung der Maßnahme nach wissenschaftlichen Standards gehen Union und FDP nicht ein. Stattdessen heißt es nun lediglich: „Die Landesregierung überprüft dieses Gesetz bis zum 31. Dezember 2022“. Zuvor war eine Überprüfung am 31. Juni 2023 vorgesehen, also sechs Monate später.

Die SPD-Fraktion enthielt sich bei der heutigen Abstimmung im Innenausschuss, genauso wie die AfD. Beide werden voraussichtlich im Parlament für das Gesetz stimmen. Aus internen Kreisen heißt es, dass die Innenpolitiker der SPD einen verpflichtenden Anwaltsbeistand für Personen in Untersuchungshaft fordern. Lediglich von den Grünen-Abgeordneten kommt umfassende Kritik.

Das novellierte Polizeigesetz könnte damit bereits am nächsten Mittwoch vom Landtag beschlossen werden. Für die IT-Sicherheit ist es eine Katastrophe, dass die Innenpolitiker mit der Begründung „öffentliche Sicherheit“ der Polizei die Befugnis erteilen, Sicherheitslücken einzukaufen und offen zu halten. Wer den eigenen Unmut darüber auf die Straße tragen will: Am Samstag, den 8. Dezember, organisiert das Bündnis „Polizeigesetz NRW stoppen“ die nächste Demo in Düsseldorf.