Klage gegen Abhörmöglichkeit der Geheimdienste durch Quellen-TKÜ

Nach der Polizei dürfen künftig auch Verfassungsschützer, Nachrichtendienste und die Bundespolizei verschlüsselten Nachrichtenaustausch im Rahmen der sogenannte Quellen-TKÜ abhören und die Ende-zu-Ende-Verschlüsselung "knacken". Die gegen Warnungen von Verfassungsrechtlern und Datenschützern verabschiedeten Gesetze dürften bald das Bundesverfassungsgericht beschäftigen.

Im Kampf gegen Terrorismus, organisierte Kriminalität oder auch Extremismus stellen die Möglichkeiten zur abhörsicheren Kommunikation für Sicherheitsbehörden und Strafverfolger ein schwerwiegendes Problem dar. Schon seit langem wünschen sie sich daher die Möglichkeit, die verschlüsselten Nachrichten im Rahmen der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) doch mitlesen zu können.

Mit Staatstrojaner in Messenger-Nachrichten einklinken

Möglich wird dies durch den Einsatz des sogenannten Staatstrojaners. Hierbei handelt es sich um eine

  • heimlich aufgespielte Überwachungssoftware,
  • die die Kommunikation auf den Geräten
  • vor der Verschlüsselung bzw. nach der Entschlüsselung
  • aufzeichnen und weiterleiten kann,
  • sodass auch eine ansonsten sichere Ende-zu-Ende-Verschlüsselung keinen Schutz mehr bietet.

Mittels dieser Staatstrojaner lassen sich etwa verschlüsselte Messenger-Nachrichten aus Apps wie WhatsApp, Telegram, Signal etc. oder auch verschlüsselte Internet-Telefonate sowie Video-Telefonate abhören bzw. mitlesen.

Spyware durchsucht Smartphones, Notebooks oder andere Rechner

Bei der Überwachung der Endgeräte (also etwa Smartphones, Notebooks oder andere Rechner) kann man zudem zwischen der ausschließlichen Überwachung der laufenden Kommunikation sowie der Online-Durchsuchung unterscheiden, die ebenfalls mittels einer speziellen Spyware vorgenommen werden kann.

Die Quellen-TKÜ, die in § 100a StPO geregelt ist,  bezieht sich ausschließlich auf die laufende Kommunikation, lässt andere Daten auf den Rechnern der überwachten Personen unberührt.

Die weitergehende Online-Durchsuchung (§ 100b StPO) ist ein nochmals schwerwiegenderer Eingriff in die Grundrechte der Betroffenen, da hier auch alle anderen gespeicherten Daten auf den Geräten und Speichermedien ausgelesen werden können.

Zwischen den beiden Varianten gibt es mit der sogenannten Quellen-TKÜ plus nun noch eine weitere Ausprägung. Hierbei soll nicht nur ein laufender (verschlüsselter) Nachrichtenaustausch abgehört werden, sondern darüber hinaus soll auch auf gespeicherte Chats oder E-Mails zugegriffen werden können. Nach Ansicht von Kritikern bedeutet diese Plus-Variante, dass die Grenzen zwischen der Quellen-TKÜ und der Online-Durchsuchung weiter verschwimmen.

Massive Ausweitung der TKÜ geplant

Polizeilich Ermittlungsbehörden können die Quellen-TKÜ unter bestimmten Bedingungen bereits einsetzen und mittels eines Trojaners Endgeräte von Verdächtigen so manipulieren, dass sie die verschlüsselte Kommunikation abhören können. Doch mit den jetzt im Bundestag beschlossenen Gesetzesänderungen steht diese Option künftig auch den insgesamt 19 Nachrichtendiensten bzw. Verfassungsschutzämtern aus Bund und Ländern sowie der Bundespolizei zur Verfügung.

Möglich wurde dies durch die von der Großen Koalition mit deutlicher Mehrheit verabschiedeten Gesetze zur Anpassung des Verfassungsschutzrechts sowie zur Modernisierung der Rechtsgrundlagen der Bundespolizei. Damit können künftig

  • das Bundesamt für Verfassungsschutz (BfV),
  • der Bundesnachrichtendienst (BND),
  • der militärische Abschirmdienst (MAD),
  • die Verfassungsschutzämter der Bundesländer
  • sowie die Bundespolizei

auf die Überwachung mittels Quellen-TKÜ zurückgreifen. Während die Geheimdienste bzw. Verfassungsschutzbehörden auch die Quelle-TKÜ plus verwenden dürfen, wurde dieses Mittel für die Polizei aus dem ursprünglichen Gesetzentwurf nach erheblicher Kritik speziell an diesem Aspekt der Gesetzesreform wieder gestrichen und hier bleibt es daher bei der einfachen Quellen-TKÜ.

BANGKOK, THAILAND - January 14, 2017: Social media app icons on Ipad, Iphone 7 smart phone touchscre

App-Anbieter oder E-Mail-Dienstleister verweigerten Komplizenschaft 

Gegenüber dem ursprünglichen Gesetzentwurf gab es noch eine weitere Entschärfung bzw. Klarstellung. So sollten zunächst alle Anbieter von Telekommunikationsdiensten die berechtigten staatlichen Stellen beim heimlichen Übertragen der Staatstrojaner für die Quellen-TKÜ unterstützen und diese Software einbringen und die Kommunikation an die Behörden weiterleiten. Vor allem App-Anbieter oder E-Mail-Dienstleister befürchteten daher, dass sie auf diesem Wege gewissermaßen zum Komplizen der Behörden gemacht werden sollten und somit Dienste für eine geschützte Kommunikation gar nicht mehr glaubwürdig hätten anbieten können.

Durch einen Änderungsantrag wurde erreicht, dass diese Mitwirkungspflicht nun ausschließlich auf die Betreiber von Telekommunikationsanlagen beschränkt wird, mit denen öffentlich zugängliche Dienste erbracht werden. Damit sind dann nur noch die Internet-Zugangsprovider betroffen, nicht aber etwa einzelne App-Anbieter oder die Betreiber der App-Stores. Ebenso wird klargestellt, dass die Anbieter explizit nicht verpflichtet sind, die Verschlüsselung aufzuheben.

Kritik an der Quellen-TKÜ bleibt bestehen: Appelle von allen Seiten

Bei der Opposition stießen die Gesetz auch in ihrer leicht abgeschwächten Form auf einhellige Abstimmung. Als unausgegoren und vor allem verfassungsrechtlich hoch problematisch kritisierte etwa der Grünen-Abgeordnete Konstantin von Notz die Änderungen und verwies etwa auf einen gemeinsamen Appell, den eine äußerst heterogene Gruppe von Akteuren, von IT-Giganten wie Facebook und Google über Verbände (Bundesverband IT-Sicherheit, Verband der Internetwirtschaft eco) bis zum Chaos Computer Club in Form eines offenen Briefs im Vorfeld der Parlamentsabstimmung an die Bundesregierung und des Bundestag gerichtet hatte. 

Gemeinsam hatten die Unterzeichner des Appells Regierung und Parlament aufgefordert, von den durch die Gesetzesänderung erfolgenden Angriffen auf die Verschlüsselung und der damit verbundenen allgemeinen Gefährdung der Cybersicherheit abzusehen, und die Reformen nicht in der geplanten Form zu verabschieden.

Schwarzer Tag für die Bürgerrechte?

Als schwarzen Tag für die Bürgerrechte bezeichnete folglich der innenpolitische Sprecher der FDP-Bundestagsfraktion Konstantin Kuhle die Parlamentsentscheidung und André Hahn von den Linken stufte die Reform als „offenkundig verfassungswidrig“ ein.

Bereits zuvor hatte auch der Bundesdatenschutzbeauftragte Ulrich Kelber deutliche Kritik an dem Gesetzesvorhaben geäußert und dabei noch einmal auf die grundlegende Problematik des Einsatzes von Staatstrojaners hingewiesen, die darin liegt, dass es für die Nutzung derartiger Programme zwingend notwendig ist, vorhandene Sicherheitslücken auszunutzen, wodurch das Sicherheitsniveau für alle digitalen Kommunikationsgeräte gesenkt wird.

Erste Verfassungsbeschwerde bereits angekündigt

Kritik äußerte auch der Branchenverband Bitkom, der in den Reformen völlig unverhältnismäßige Maßnahmen sieht, die weit über das Ziel einer effizienten Kriminalitätsbekämpfung hinausgehen. Unmittelbar nach der Verabschiedung der Gesetze durch das Parlament kündigte die Medienorganisation Reporter ohne Grenzen  bereits an, zusammen mit Berliner Rechtsanwalt Niko Härtling „zügig“ eine Verfassungsbeschwerde einreichen zu wollen.

„Ungeachtet aller Warnungen der Sachverständigen wollen die Regierungsfraktionen nun allen Nachrichtendiensten die Möglichkeit zum Hacking vertraulicher Kommunikation und Daten einräumen. Journalistinnen und Journalisten schließen sie dabei als potenzielle Ziele bewusst nicht aus“,

kommentierte Geschäftsführer Christian Mihr die Entscheidung des Parlaments.

Angesichts der breiten Ablehnung, auf die die Gesetze bereits im Vorfeld der Parlamentsentscheidung gestoßen sind und der anhaltenden Widerstände ist damit zu rechnen, dass es zu weiteren Verfassungsbeschwerden kommen wird.

Mehrere Beschwerden vor dem Bundesverfassungsgericht laufen bereits

Schon jetzt müssen sich die Karlsruher Richter mit mehreren Verfassungsbeschwerden befassen, die in der Sache ebenfalls gegen den Einsatz von Staatstrojanern gerichtet sind.

So läuft seit 2017 eine Verfassungsbeschwerde von mehreren Organisationen gegen das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens aus diesem Jahr. Mit diesem Gesetz war der Einsatz von polizeilichen Überwachungsmaßnahmen mittels Staatstrojaner erheblich ausgeweitet worden. Während das Instrument bis dahin ausschließlich zur Terrorabwehr eingesetzt werden durfte, kann seitdem die Polizei auch im Rahmen der Kriminalitätsbekämpfung darauf zurückgreifen.

Zu den Klägern in diesem Verfahren gehören etwa der Datenschutzverein Digitalcourage, der Bundesverband IT-Sicherheit, die Gesellschaft für Freiheitsrechte (GFF) oder die FDP. Eine Entscheidung über diese Verfassungsbeschwerden steht noch aus.

Eine weitere Verfassungsbeschwerde der GFF gibt es zudem gegen die im Bundesland Hamburg im Jahr 2020 verabschiedete Reform des dortigen Verfassungsschutzgesetzes, durch die bereits auf Landesebene eine Ausweitung der Überwachungsmaßnahmen für Polizei und Landesverfassungsschutz durch Staatstrojaner eingeführt wurde. Der Verfassungsbeschwerde hatten sich mehrere weitere Organisationen wie etwa die Humanistische Union Hamburg oder die Vereinigung demokratischer Juristinnen und Juristen angeschlossen. Auch über diese Beschwerde wurde bislang noch nicht entschieden. 

IT-Grundrecht und das Telekommunikationsgeheimnis verletzt

Kritiker sehen durch die Möglichkeit, dass auch ohne Gerichtsbeschluss Trojaner zum Abhören von Gesprächen eingeschleust werden dürfen, das IT-Grundrecht und das Telekommunikationsgeheimnis verletzt. Insbesondere werde etwa der Quellenschutz für Journalisten oder die Vertraulichkeit der Kommunikation zwischen Anwälten und deren Mandanten dadurch in Frage gestellt.

Weitere News zum Thema:

Hessentrojaner in der Kritik

Wenn IT-Firmen als Spione missbraucht werden

Polizeitrojaner sind verfassungswidrig

Hintergrund: BVerfG zur Online-Durchsuchung

BVerfG zur staatlichen Online-Durchsuchung (Urteil v. 27.02.2008, 1 BvR 370/07, 1 BvR 595/07, amtlicher Leitsatz):

1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

2. Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.

3. Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.

5. Verschafft der Staat sich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 GG, wenn die staatliche Stelle nicht durch Kommunikationsbeteiligte zur Kenntnisnahme autorisiert ist.

6. Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein.

Schlagworte zum Thema:  Persönlichkeitsrecht, Überwachung, Datenschutz