Verschiedene Medien haben in der vergangenen Woche über ein Forderungspapier des Bundesinnenministeriums für die gerade laufenden Koalitionsverhandlungen berichtet. Darin findet sich eine Wunschliste für mehr Überwachung, angefangen bei den Mautdaten bis hin zur flächendeckenden Überwachung unserer gesamten Internetkommunikation. Da ist wohl unser Bundesinnenminister Hans-Peter Friedrich neidisch auf das, was die NSA und der GCHQ können und will auch mehr unsere Leben überwachen können. Das Papier wurde zwar häufig zitiert, aber nirgends komplett dokumentiert. Wir machen das jetzt, um diese Wunschliste als Mahnmal der Nachwelt zu erhalten (PDF). Falls unser Bundesinnenminister mal wieder in die Kamera heuchelt, wie sehr er doch an Aufklärung des größten Überwachungsskandals in der Geschichte der Menschheit interessiert sei, denkt nur an diese Wunschliste.

Dieser Auszug beschreibt nur die Punkte Vorratsdatenspeicherung, Onlinedurchsuchung (Quellen-TKÜ), Ausweitung §100 auf alle Computerstraftaten und die flächendeckende Netzüberwachung an Internetknoten.

1. Thema

Ermittlungsinstrumente an aktuelle Herausforderungen anpassen

2. Sachdarstellung

a.) Mindestspeicherfrist für TK-Verbindungsdaten einführen

Der Zugriff auf Telekommunikationsverkehrsdaten ist für Strafverfolgung und Ge- fahrenabwehr unerlässlich, insbesondere

– zur Aufklärung von Beziehungen zwischen Opfer und Tätern bei Kapitalverbrechen und organisierter Kriminalität sowie

– zur Identifizierung des Inhabers einer IP-Adresse bei Taten im Internet.

Aufgrund der aktuellen Abrechnungsmodelle (Flatrates) speichern Telekommunikationsanbieter allerdings Verkehrsdaten kaum noch oder nur mit äußerst kurzen Fristen. Die Richtlinie 2006/24/EG zur Vorratsspeicherung sieht für diese Daten Min- destspeicherfristen im Rahmen von 6 Monaten bis zu 2 Jahren vor. Das BVerfG hat die deutschen Regelungen zur Umsetzung der Richtlinie zwar für verfassungswidrig erklärt, aber zugleich deutlich gemacht, dass eine verfassungskonforme Umsetzung möglich ist. Die Identifizierung des Inhabers einer IP-Adresse ist danach bereits bei Vergehen und qualifizierten Ordnungswidrigkeiten verfassungsrechtlich zulässig.

Vor dem EuGH sind derzeit sowohl ein Vertragsverletzungsverfahren gegen Deutschland wegen Nichtumsetzung der Richtlinie als auch Vorlageverfahren des Irischen High Court und des Österreichischen Verfassungsgerichtshofs zur Klärung der Vereinbarkeit der Richtlinie mit den europäischen Grundrechten anhängig. Entscheidungen in den Verfahren dürften Anfang 2014 zu erwarten sein.

b.) Quellen-TKÜ – Regelung in der StPO (Recht und Praxis)

Bei der Quellen-TKÜ wird die laufende Kommunikation statt wie gewöhnlich beim Provider am Endgerät („Quelle“) ausgeleitet. Hierzu ist in der Regel die verdeckte Installation einer entsprechenden Überwachungssoftware auf dem Endgerät notwendig. Erforderlich ist die Durchführung einer Quellen-TKÜ insbesondere, wenn die Kommunikation auf dem Übertragungsweg verschlüsselt ist.

Eine ausdrückliche Ermächtigung für die Durchführung einer Quellen-TKÜ enthält lediglich § 20l Abs. 2 BKAG für die Abwehr von Gefahren des internationalen Terrorismus. § 100a StPO sowie § 2 Artikel 10-Gesetz regeln hingegen die Telekommu- nikationsüberwachung nur abstrakt, ohne hinsichtlich der technischen Durchführung zu differenzieren. Die zuständigen Gerichte haben, soweit bekannt, Maßnahmen der Quellen-TKÜ bislang gleichwohl auf § 100a StPO gestützt, da dieser gerade keine Einschränkung dahingehend enthält, wo die Kommunikation ausgeleitet wird. Insbesondere der GBA vertritt allerdings die Auffassung, dass ohne ausdrückliche Regelung die Durchführung einer Quellen-TKÜ auf Grundlage des § 100a StPO nicht möglich sei.

c.) Erweiterung des § 100a StPO (TKÜ) auf alle Computerstraftaten

Angesichts der zunehmenden Professionalisierung und arbeitsteiligen Vernetzung der Täter im Bereich Cybercrime wird auch die Überwachung der laufenden Kommunikation der Täter als Ermittlungsinstrument immer wichtiger.

Bislang ist allerdings nur der Computerbetrug (§ 263a StGB) in einem besonders schweren Fall Katalogtat nach § 100a Abs. 2 StPO. Der Verdacht einer Straftat al- lein nach §§ 202a, 202b, 202c (Ausspähen und Abfangen von Daten nebst Vorbe- reitungshandlungen) oder 303a, 303b StGB (Datenveränderung, Computersabotage) genügt nicht für die Anordnung einer Telekommunikationsüberwachung. Auch sind die Straftatbestände der §§ 202a, b, c und 202a StGB im Hinblick auf den Strafrahmen nicht schwer genug, um eine Aufnahme in den Katalog des § 100a Abs. 2 StPO zu rechtfertigen. Hier fehlen Qualifikationstatbestände für gewerbsmä- ßige oder bandenmäßige Begehungsformen.

d.) Telekommunikationsüberwachung an Internetknoten im Bundesgebiet

Die weitreichende und weiterhin steigende Nutzung des Internets bringt eine beträchtliche Änderung des Kommunikationsverhaltens mit sich. So ist u.a. festzustel- len, dass die Möglichkeiten eines nomadisierenden Internet-Zugriffs, d. h. eines wechselnden Zugangs z. B. durch offene WLANs1 oder Internet-Cafes, vermehrt genutzt werden. Auf diese Weise entziehen sich Zielpersonen der klassischen an- schlussbezogenen Telekommunikationsüberwachung (TKÜ). Weiterhin liegen zahl- reiche der häufig genutzten Internet-Dienstleister, wie z. B. E-Mail- oder Speicher- platz-Anbieter, im Ausland und damit jenseits des deutschen Rechtsregimes. Der sicherheitsbehördliche Zugriff auf diese Kommunikation zum Zwecke der Aufklä- rung bzw. Beweiserhebung ist damit nur auf dem langwierigen Weg der Rechtshilfe möglich (sofern vorhanden) und von der Kooperationsbereitschaft der örtlichen Be- hörden und Dienstanbieter abhängig.

Es soll daher die Möglichkeit geschaffen werden, die bestehenden Befugnisse zur TKÜ sowie zur Erhebung von aktuell anfallenden Verkehrsdaten nach der StPO, den Polizeigesetzen sowie dem G10 auch durch Ausleitung an den Netzknoten ausüben zu können.

3. Maßnahme

a.) Mindestspeicherfrist für TK-Verbindungsdaten einführen

Umsetzung der Richtlinie 2006/24/EG sowie der diesbezüglichen Vorgaben des BVerfG durch

– Schaffung einer Speicherpflicht für die Provider im TKG, einschließlich Vorschriften zur Gewährleistung eines hohen Niveaus an Datensicherheit,

– Regelung zu Mindestvoraussetzungen für den Zugriff auf die Daten auch für Befugnisse aufgrund von Landesgesetzen,

– Schaffung bzw. Anpassung entsprechender spezieller Erhebungsbefugnisse in der StPO sowie den Polizei- und Sicherheitsgesetzen.

b.) Quellen-TKÜ – Regelung in der StPO (Recht und Praxis)

Klarstellende Regelung nach dem Vorbild des § 20l Abs. 2 BKAG in § 100a StPO sowie in § 2 Artikel 10-Gesetz.

c.) Erweiterung des § 100a StPO (TKÜ) auf alle Computerstraftaten

– Einführung von Qualifikationstatbeständen (gewerbsmäßige bzw. bandenmäßige Begehung) in den §§ 202a, 202b, 202c und 303a StGB.

– Aufnahme dieser Qualifikationstatbestände sowie des besonders schweren Falls der Computersabotage nach § 303b Abs. 4 StGB in den Katalog des § 100a Abs. 2 StPO.

d.) Telekommunikationsüberwachung an Internetknoten im Bundesgebiet

Ein Lösungsansatz zur Bewältigung der genannten Problemlage bietet die Auslei- tung der zu überwachenden Kommunikation an zentralen Internet-Knoten. Ein Großteil der Datenverkehre wird in Deutschland über diese wichtigen Infrastrukturknoten des Internets geleitet, weitgehend unabhängig vom konkreten Internet- Zugang und der geografischen Ansiedlung des genutzten Dienst-Anbieters. Der Datenabgriff auf der Vermittlungsstrecke bietet die Möglichkeit einer zielpersonenspe- zifischen Ausleitung im Zuge einer nach §§ 100a StPO, 100g Abs. 1 Satz 3 StPO, dem G10 oder den Polizeigesetzen angeordneten TKÜ-Maßnahme, aber auch der Ausleitung im Hinblick auf die strategische Fernmeldeaufklärung im Rahmen des § 5 G10, soweit Auslandskommunikation über die Netzknoten läuft.