Das Bundesministerium des Innern (BMI) – ironischerweise auch als Verfassung-Ministerium bezeichnet – will den neuen „Bundestrojaner“ offenbar auch dann einsetzen lassen, wenn es keine ausreichende gesetzliche Grundlage dafür gibt. Das geht aus einer Antwort des Ministeriums auf eine Anfrage unserer Redaktion hervor. Damit begibt sich das BMI auf Crash-Kurs mit Grundgesetz und Verfassungsgericht – gerade so als lautete das Motto in Moabit „legal, illegal, … uns doch egal“.

Nach der Meldung, dass das Bundesinnenministerium (BMI) am Montag die Genehmigung für die Quellen-Telekommunikationsüberwachung (TKÜ) mit dem Staatstrojaner erteilt hat, blieben einige Fragen offen. Wir haben uns deshalb ans BMI gewendet und um Klärung gebeten.

Beispielsweise gibt es nach wie vor keine Rechtsgrundlage für den Einsatz des Staatstrojaners zur Strafverfolgung. Auch der Generalbundesanwalt sieht das so und verzichtet deswegen darauf, Trojaner einzusetzen. Das ist auch die einzige rechtsstaatlich vertretbare Lösung: Wenn der Gesetzgeber Trojaner einsetzen will, dann muss er ein Gesetz dafür erlassen. Die Exekutive darf ohne Rechtsgrundlage nicht in Rechte der Bürgerinnen und Bürger eingreifen.

Das BMI schreckt das aber nicht – dort gilt die Parole „Trojaner marsch“ offenbar auch im Strafverfahren und für die „Verfassungsschutz“-Behörden. So antwortet man uns auf die Frage nach den Rechtsgrundlagen des Trojaner-Einsatzes:

Laut BMI ist der Einsatz von Quellen-TKÜ bei Ermittlungsverfahren „grundsätzlich möglich und geplant, wenn eine richterliche Anordnung vorliegt“. Damit zieht man sich aus der Verantwortung: Die Vergangenheit hat gezeigt, dass es keine ernsthafte Hürde darstellt, eine solche richterliche Anordnung zu bekommen. Offenbar setzt das BMI darauf, dass es schon Ermittlungsrichter geben wird, die sich nicht so genau auskennen und die Maßnahme einfach anordnen – fehlende Rechtsgrundlage hin oder her. So war es bereits beim Einsatz des verfassungswidrigen DigiTask-Trojaners: Trotz krassester Gesetzesverstöße gelang es dem bayerischen LKA, Ermittlungsrichtern die passenden Beschlüsse abzuluchsen, indem man so tat, als gehe es nur um eine normale Telefonüberwachung.

Darauf deutet auch die BMI-Formulierung, die „Quellen-TKÜ ist eine technische Gestaltung der Telekommunikationsüberwachung“: Offensichtlich will man das enorme Risiko des Trojaner-Einsatzes verschleiern, indem man einfach so tut, als gehe es um eine ganz normale Telefon-Überwachung und nicht um den Einsatz einer kaum kontrollierbaren staatlichen Überwachungs-Software.

Neben den Ermittlungsrichtern versteckt sich das BMI auch hinter den jeweils zuständigen Staatsanwaltschaften:

Ermittlungsverfahren obliegen der Sachleitungsbefugnis der jeweils zuständigen Staatsanwaltschaft. Diese entscheidet nach Prüfung der tatbestandsmäßigen Voraussetzungen über die Beantragung von im Einzelfall erforderlichen Maßnahmen wie der Quellen-TKÜ beim zuständigen Gericht.

Doch die Strafprozessordnung gibt den Einsatz von Quellen-TKÜ nicht her. Die §§ 100a und 100b der StPO sind für die Durchführung von Telekommunikation bei Einschaltung des Providers gedacht. Der Einsatz des Staatstrojaners erfordert jedoch eine Installation auf dem System der Zielperson, was einen wesentlich weitreichenderen Eingriff darstellt als die „normale“ Überwachung der laufenden Kommunikation beim Provider. Das als vernachlässigende Begleitmaßnahme abzutun wird der Eingriffstiefe und den Gefahren einer Trojaner-Infektion nicht gerecht.

Dasselbe rechtliche Problem stellt sich für die sogenannten Verfassungsschützer: Auch sie haben nur gesetzliche Grundlagen für „normale“ Telefon-Überwachungen, aber nicht für den Trojaner-Einsatz. Auch dies ist dem BMI offenbar gleichgültig – jedenfalls soll nach der Antwort an unsere Redaktion auch hier der Bundestrojaner eingesetzt werden.

Das Bundesverfassungsgericht hat außerdem eine zwingende Beschränkung der Quellen-TKÜ auf die Erfassung laufender Kommunikation vorgegeben, die durch „technische Vorkehrungen und rechtliche Vorgaben“ gewährleistet sein muss. Technisch ist eine solche Beschränkung kaum möglich. Und es überrascht wenig, dass das BMI nicht beantworten kann, wie technisch und rechtlich sichergestellt werden soll, dass der Staatstrojaner die Voraussetzungen erfüllt, die das Bundesverfassungsgericht 2008 formuliert hat. Ebensowenig, wer diese Voraussetzungen überprüfen wird, ob die Prüfenden Zugriff auf den Quellcode haben werden. Das Bundeskriminalamt werde uns die Fragen beantworten. Wir sind gespannt, wann das passiert.

Generell: Es ist fragwürdig, die Entscheidung über die Zulässigkeit des Staatstrojaner-Einsatzes allein einem Richter zu überlassen. Denn für diesen ist es unmöglich, die technischen Kapazitäten des Staatstrojaners vollständig zu erfassen. Er kann nicht kontrollieren, was die Software in ihrem Inneren tut – welcher Richter kann schon Trojaner-Quelltexte verstehen? Und so haben die zuständigen Richter auch beim Einsatz des verfassungswidrigen DigiTask-Trojaners nicht gemerkt, was eigentlich gespielt wurde, obwohl der weitaus mehr konnte als erlaubt gewesen wäre. Umso mehr gilt dies für den Bereich des Verfassungsschutzes, wo nicht einmal mehr ein Richter genehmigen muss: Hier erlaubt sich das Innenministerium praktischerweise die Quellen-TKÜ gleich selbst (§ 10 Abs. 1 G 10).

Es wirkt so, als ignoriere man all diese rechtlichen Hürden, um das langersehnte Instrument Quellen-TKÜ endlich auf breiter Front einsetzen zu dürfen, in das man mittlerweile massenweise Zeit und Geld versenkt hat. Sogar der Generalbundesanwalt, der die leitende Staatsanwaltschaft für das BKA ist und mangels Rechtsgrundlage keine Trojaner im Strafverfahren einsetzt, wird abgebügelt. Frei nach dem Motto: Es wird schon andere geben, die so doof oder so skrupellos sind, rechtswidrige Maßnahmen zu genehmigen.

Die Auffassung des GBA entfaltet keine Bindungswirkung für andere Staatsanwaltschaften oder Gerichte.

Das BMI verschließt auf ganzer Linie die Augen vor der Verfassungswidrigkeit des Staatstrojaners-Einsatzes ohne klare gesetzliche Grundlage. Und wenn es nach dem BMI ginge, gäbe es den Trojaner gar nicht:

Mit „Trojaner“ werden in der Regel Schadprogramme bezeichnet, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden. Von den Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern werden deshalb keine Trojaner eingesetzt.

Wir halten es mit der Wikipedia:

Trojanische Pferde sind Programme, die gezielt auf fremde Computer eingeschleust werden, aber auch zufällig dorthin gelangen können, und dem Anwender nicht genannte Funktionen ausführen.

Durch Schönreden und Ignorieren wird der Trojaner auch nicht weniger rechtswidrig.

Fragen und Antworten im Volltext

1. Auf welchen rechtlichen Grundlagen (bitte jeweils konkrete Paragraphen benennen) soll der sog. „Bundestrojaner“ eingesetzt werden, dessen Genehmigung das BMI heute bekanntgegeben hat?

Mit „Trojaner“ werden in der Regel Schadprogramme bezeichnet, die widerrechtlich auf informationstechnischen Systemen ausgeführt werden. Von den Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern werden deshalb keine Trojaner eingesetzt.

Bei der am 22. Februar 2016 freigegeben Software handelt es sich um ein im BKA entwickeltes System zur Durchführung von Quellen-TKÜ, die nachfolgenden Aussagen beziehen sich daher darauf. Die für Quellen-TKÜ genutzte Software ist ausschließlich auf die Überwachung laufender Kommunikation, also z. B. Internet-Telefongespräche oder Chatverkehr beschränkt. Eine Online-Durchsuchung des Zielsystems ist damit nicht möglich.

Die Quellen-TKÜ ist eine technische Gestaltung der Telekommunikationsüberwachung. Sie kann im Geschäftsbereich des Bundesministeriums des Innern im Fall der Strafverfolgung (repressiv) gem. §§ 100a, b StPO, im Fall der polizeilichen Gefahrenabwehr (präventiv) nach §§ 4a, 20 l Abs. 1 i.V.m. Abs. 2 BKAG sowie zur nachrichtendienstlichen Aufklärung durch das Bundesamt für Verfassungsschutz auf der Grundlage von § 3 des Gesetzes zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10) erfolgen.

2. Soll der „Bundestrojaner“ auch zu repressiven Zwecken – also im Strafverfahren – eingesetzt werden?

Der Einsatz der Quellen-TKÜ-Software ist auch im Ermittlungsverfahren grundsätzlich möglich und geplant, wenn eine richterliche Anordnung vorliegt.

Falls ja:

2a) auf welcher rechtlichen Grundlage (bitte konkrete Paragraphen benennen)?

vgl. Antwort zu Frage 1.

2b) wie verträgt sich dies mit dem Rechtsgutachten des Generalbundesanwalts, wonach die Strafprozessordnung KEINE Rechtsgrundlage für den Einsatz von Trojanern bietet, auch nicht zur Quellen-TKÜ? vgl. http://www.heise.de/newsticker/meldung/Staatstrojaner-Bundesanwaltschaft-sieht-keine-Grundlage-fuer-Quellen-TKUe-1790187.html

Ermittlungsverfahren obliegen der Sachleitungsbefugnis der jeweils zuständigen Staatsanwaltschaft. Diese entscheidet nach Prüfung der tatbestandsmäßigen Voraussetzungen über die Beantragung von im Einzelfall erforderlichen Maßnahmen wie der Quellen-TKÜ beim zuständigen Gericht. Die Auffassung des GBA entfaltet keine Bindungswirkung für andere Staatsanwaltschaften oder Gerichte.

3. Welche „technische Vorkehrungen und rechtliche Vorgaben“ im Sinne der Entscheidung des BVerfG vom 27.2.2008 (Rn. 190) sollen eingesetzt werden, um sicherzustellen, dass ausschließlich laufende Kommunikation erhoben wird? Vgl. http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2008/02/rs20080227_1bvr037007.html

4. Auf welche Weise und durch wen (Firma / Personen) wird ggf. sichergestellt, dass der „Bundestrojaner“ technisch ausschließlich laufende Kommunikation überwachen kann? Haben die Prüfenden ggf. Zugriff auf den Quellcode des „Trojaners“? Werden geeignete Signaturverfahren verwendet, um sicherzustellen, dass der geprüfte Quellcode auch tatsächlich unmodifiziert zum Einsatz kommt? ggf. welche, und signieren die Personen, die den Quellcode prüfen, oder wer signiert sonst?

Hinsichtlich Ihrer Frage 3 und 4 wird das Bundeskriminalamt direkt auf Sie zu kommen. Eine Beantwortung erfolgt durch die Pressestelle des Bundeskriminalamtes.

5. Wird der Bundestrojaner ausschließlich auf der Grundlage richterlicher Anordnungen eingesetzt oder wer ordnet seinen Einsatz sonst jeweils an?

Die Durchführung von Quellen-TKÜ-Maßnahmen erfolgt nach Maßgabe der §§ 100a, b StPO sowie § 20 l Abs. 2 BKAG sowie § 3, 15 G10 (vgl. auch Antwort zu Frage 1).