Landestrojaner ohne Rechtsgrundlage im Einsatz?

Sowohl Heise als auch Golem berichten (unter Rückgriff auf den Spiegel), dass im Bundesland Bayern eine Trojaner-Software zum aushorchen von Rechnern Tatverdächtiger („Landestrojaner“) gleich mehrfach zum Einsatz kam. Nun wird in den Raum geworfen, dass es hierfür gar keine Rechtsgrundlage gibt (dazu auch der Beitrag bei Carsten Hoenig). Besonders scharf ist die Formulierung bei ijure:

aus der Rechtswissenschaft zumindest gibt es soweit ersichtlich keine einzige Stimme, die für die Zulässigkeit der Quellen-TKÜ auf der bisherigen rechtlichen Grundlage einträte.

Solche Sätze sind gefährlich, denn es reicht nur eine einzige Stimme, um sie zu widerlegen. Und wenn man dann als Ausnahme auch noch den Standardkommentar zur StPO anführen kann, der auf jedem Richtertisch in Deutschland steht, wird es haarig. So liest man nämlich in der Kommentierung des §100a StPO beim Meyer/Goßner unter Rn.7a folgendes:

Die Internet-Telefonie wird von §100a erfasst […] auch die so genannte Quellen-TKÜ nebst den erforderlichen Begleitmaßnahmen;

Auch sonst muss man nicht lange suchen: Bär ist einer der Verfechter dieser Ansicht (dazu nur Bär, Handbuch zur EDV-Beweissicherung im Strafverfahren, Rn. 321 oder die sehr kritische Besprechung von Bär in der MMR 2008, S.423ff.). Eine Darstellung findet man Online bei Buermeyer/Bäcker in der HRRS (interessanterweise ist einer der Autoren zugleich der Autor der obigen Zeilen).


Der Blick in den Meyer/Goßner bzw. Bär ist für sich alleine natürlich kein Argument, damit steht noch lange nichts fest. Aber: Man wird die Sache differenzierend angehen müssen.

So ist zuerst einmal zu sehen, dass es eindeutig Gerichte gibt, die gestützt auf §100a StPO einen solchen Einsatz eines Trojaners zulassen. Das LG Landshut (4 Qs 346/10) etwa, oder auch das AG Bayreuth (Gs 911/09). Ebenfalls das LG Hamburg (608 Qs 17/10), das Ende 2010 eine solche Maßnahme im Rahmen des §100a StPO sah – allerdings im Jahr 2007 (LG Hamburg, 629 Qs 29/07) noch zu einem anderen Ergebnis kam. Und eben diese beiden unterschiedlichen Entscheidungen des gleichen Gerichts sollen hier als Einstieg in die Problematik dienen.

Dabei muss unterschieden werden, zu welchem Zweck die Maßnahme stattfinden soll (was m.E. leider zu selten getan wird):

  1. Geht es im Rahmen strafrechtlicher Ermittlungsverfahren („repressive Maßnahmen“) um eine Überwachung von (Tele-)Kommunikation im engeren Sinne, speziell Internet-Telefonie?
  2. Geht es im Rahmen repressiver Maßnahmen um eine Überwachung von Telekommunikation im weiteren Sinne, also die Ausforschung sämtlicher Aktivitäten eines Rechners („Online-Durchsuchung“)?
  3. Geht es um präventive Maßnahmen im Bereich der Gefahrenabwehr?

Zumindest Punkt 2 kann hier schnell aufgegriffen werden, denn es ist einhellige Meinung, dass eine „echte Online-Durchsuchung“ nicht auf den §100a StPO gestützt werden darf (dazu die umfassende Literaturliste bei Meyer/Goßner, §100a, Rn.7a). Die Tatsache, dass das letztlich im Kern auch Bär so sieht zeigt m.E. deutlich, dass es da keine ernsthaften Abweichler gibt.

Auch Punkt 3 ist an dieser Stelle schnell abgehakt, denn das BVerfG (BVerfG, 1 BvR 370/07, 1 BvR 595/07, „Landestrojaner NRW“) hat entschieden, dass – unter bestimmten Voraussetzungen  – eine solche Überwachung im Rahmen der Gefahrenabwehr durchaus möglich ist. Dass der Gesetzgeber nicht in der Lage ist, eine entsprechende Rechtsgrundlage zu formulieren, ist dabei ein anderes Thema.

Der Punkt 1 (um den es hier auch geht) ist dagegen etwas komplizierter und wie versprochen, kann mit dem Landgericht Hamburg gezeigt werden, warum man es unterschiedlich sehen kann (und es auch so gehandhabt wird). Beim §100a StPO geht es augenscheinlich um eine Überwachungsmaßnahme:

Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und aufgezeichnet werden, wenn […]

Nun steht dort offensichtlich nichts von einer „Spionage-Software“, sondern es wird ganz allgemein von einer Überwachung gesprochen. Gelöst wird das u.a., indem man fragt, ob die Installation einer Überwachung-Software eine typische Begleitmaßnahme einer geplanten Telekommunikationsüberwachung darstellt.

Das verneinte das LG Hamburg noch im Jahr 2007 unter Blick auf den Wortlaut des §100a StPO, der – anders als weitere Normen, etwa §100c StPO – gerade keine speziellen technischen Maßnahmen erwähnt. Hinzu kommt ein sehr gutes Argument des Gerichts, das mir bis heute gut gefällt: Der §100a StPO wurde geschaffen, um Maßnahmen bei den Telekommunikationsunternehmen, also im Rahmen laufender Kommunikation beim Übermittler, anzusetzen. Es geht also um den Schutzbereich des Art.10 GG. Hier aber ist eben nicht der Übermittlungsvorgang betroffen, sondern man setzt beim Sender/Empfänger auf dem Endgerät an. Im Regelfall wird es hier also ein Eingriff in Art.13 GG sowie in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme vorliegen (letzteres war beim LG Hamburg natürlich noch nicht Thema, da es zu dem Zeitpunkt nicht explizit existierte). Überzeugend stellt das Landgericht im Ergebnis darauf ab, dass ein Eingriff dieser (heimlichen) Art von erheblichem Gewicht ist. Da der Gesetzgeber das selber berücksichtigt, etwa im Rahmen des §100c StPO wo bei Einsatz technischer Mittel innerhalb von Wohnungen sehr viel höhere Anforderungen gestellt werden, kann man den §100a StPO nicht derart zweckentfremden.

Nun sieht das das LG Hamburg im Jahr 2010 plötzlich anders und bejaht die Zulässigkeit. Was ist geschehen? Interessanterweise ist es das BVerfG, das hier als Argument „herhält“: Auf Grund der Entscheidung zum „Landestrojaner NRW“ (BVerfG, 1 BvR 370/07, 1 BvR 595/07) wurde seinerzeit vom BVerfG das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ konstatiert, das eine bisherige Schutzlücke füllt. Denn alleine mit den Art. 10 GG und Art. 13 GG konnte man einer Überwachungsmaßnahme eines staatlichen Trojaners nicht Herr werden, der – einmal installiert – sich durchaus ausserhalb von Wohnung und ausserhalb des Schutzbereichs des Art. 10 GG auswirken kann (zum Verhältnis von Art. 10 GG zum neuen Grundrecht kurz in Buermann/Becker reinsehen, die bringen das schnell auf den Punkt).
Durch die Entscheidung des BVerfG aber haben sich die Ausführungen des LG Hamburg zum Art. 13 GG erst einmal erledigt.

Nun ist das alleine kein Grund, denn man hätte problemlos die damaligen Überlegungen auf das neue Grundrecht übertragen können. Darüber hinaus scheint es mir so, als wäre das LG Hamburg „pragmatischer“ geworden. Es führt im Jahr 2010 plötzlich aus, dass es sich bei der Internet-Telefonie um einen heute typischen Kommunikationsvorgang handelt, auf den (wegen der vorhandenen Verschlüsselung) nur mit einer Quellen-TKÜ auf dem Rechner des Betroffenen zugegriffen werden könnte. Dies wiederum ginge nur mit der Installation einer entsprechenden Software, wodurch im Gesamtbild nun von einer „typischen Begleitmaßnahme“ auszugehen sei.

Des Weiteren will das LG Hamburg unter Rückgriff auf das BVerfG nun unterscheiden (dazu wieder auf meine Liste oben und die Unterscheidung Punkt 1 vs. 2 achten!) welche Daten erhoben werden: Wenn die installierte Software, technisch bedingt, nur Vorgänge der Internet-Telefonie erfasst und eben nicht auf weitere Teile des Rechners zugreift, liegt ein vertretbarer Eingriff vor. Sofern das – und so auch im Ergebnis das BVerfG, auch Bär in MMR 2010, 266 – technisch sichergestellt ist, etwa indem der Trojaner alleine Skype „anzapft“ und nicht sonst auf der Festplatte arbeitet, kann eine Maßnahme richterlich genehmigt werden. Eben das wurde hinsichtlich der konkreten Software beim LG Hamburg im Jahr 2010 dann auch angenommen.

Im Gesamtbild aber wird eine Sicherheit suggeriert, die es so nicht gibt: Zum einen wird laufend mit dem BVerfG argumentiert, das seinerseits bisher zum Einsatz von Trojanern im Rahmen repressiver Maßnahmen nur etwas am Rande gesagt hat. Gerade die viel zitierte Entscheidung zum „Landestrojaner NRW“ beschäftigt sich aber mit dem Einsatz einer konkreten Norm im Rahmen der Gefahrenabwehr und nicht mit der Anwendung einer Norm der StPO im Zuge strafrechtlicher Ermittlungsmaßnahmen. Zwar findet man in der Entscheidung sehr viel, was verallgemeinert werden kann und gerade vor dem Hintergrund des neu konstatierten Grundrechtes auch Ausführungen zur allgemeinen Anwendung, aber in Stein gemeißelt ist da für den hier besprochenen Fall eher wenig.

Mit diesen Gedanken kann man dann auch den lesenswerten Aufsatz von Albrecht durchaus kritisch beleuchten, wenn man seinen Ansatz unter III 1 a-d liest:

  • Wenn etwa ein Verstoss gegen (a) den Bestimmtheitsgrundsatz gerügt wird, ist festzustellen, das im Ergebnis von Albrecht vielmehr gerügt wird, dass die Norm den besonderen Anforderungen einer technischen Überwachung nicht gerecht wird. Damit fordert er aber im Ergebnis nur die Konkretisierung spezieller Schranken und eben nicht, dass die Norm derart unbestimmt ist, dass ein Betroffener nicht weiss, welche Maßnahmen erfasst sein können.
  • Insofern ist es korrekt, (b) das Fehlen eingriffsspezifischer Beschränkungen zu fordern, was letztlich auch das ist, was er unter (a) meinte. Jedoch muss man auch hier kritisch fragen, ob seine Sorge, dass das Risiko des Rückgriffs auf andere Informationen jederzeit besteht (die das BVerG ja auch sieht) vom §100a StPO wirklich nicht beachtet wird. So wäre schon der Zugriff auf Fotos oder Dokumente im Rahmen des §100a StPO gar nicht möglich, da es vom Wortlaut („Telekommunikation“) gar nicht erfasst ist. Auch wird der Kernbereich privater Lebensgestaltung durch den §100a IV StPO entsprechend den Vorgaben des BVerfG geachtet.
  • Sofern (c) das Fehlen technischer Sicherungsvorkehrungen von Albrecht moniert wird, liest man bei ihm genau genommen nur den Satz „Ob diese Erfordernisse in der Praxis umgesetzt werden können ist durchaus zweifelhaft.“ Ob das aber im konkreten Fall nun gesichert ist oder nicht, muss man erst einmal feststellen. Eine pauschale Behauptung, wie hier, reicht daher nicht. Besser geeignet ist aber z.B. der Hinweis von Buermeyer/Bäcker, dass teilweise eine Software von Unternehmen eingesetzt wird,die nicht einmal den Quelltext vorlegen, so dass gar keine abschliessende Analyse möglich sein kann.
  • Hinsichtlich der (d) Unverhältnismäßigkeit räumt Albrecht am Ende selber ein, dass auch bei der Möglichkeit zur Umgehung der Verschlüsselung unter Rückgriff auf die Softwarehersteller es gerade nicht reicht, nur mit diesem Hinweis zu arbeiten.

Wenn ich letztlich die Beiträge von Albrecht und Buermann/Bäcker vergleiche, möchte ich eher auf letzteren Verweisen, der mich mehr überzeugt. Insbesondere wenn ich bei Buermann/Bäcker lese, dass moniert wird, sowohl Rechtsprechung als auch Literatur würdigen die differenzierende Betrachtung des BVerfG nicht ausreichend, kann ich dem nur zustimmen. Denn in der Tat bietet das BVerfG viele Einfallstore für langatmige Überlegungen – die aber letztlich nicht darüber hinwegtäuschen dürfen, dass zur hier vorliegenden Frage konkret nichts gesagt wurde. Vielmehr kann man durchaus mit verschiedener Lesart, im Stile der üblichen BVerfG-Kaffeesatzleserei, zu verschiedenen Antworten auf die Frage kommen, ob nun im Rahmen des §100a StPO eine Quellen-TKÜ mittels Trojaner möglich ist.

Überzeugend finde ich am Ende speziell den Gedanken, dass eine echte Kontrolle derzeit nicht möglich ist: Bei der eingesetzten Software wird im Regelfall, mangels Quelltextanalyse, gar nicht für den entscheidenden Richter erkennbar sein, was die Software bewirkt und wie sie missbraucht werden kann. Dieses Missbrauchrisiko fernab der formal eingehaltenen richterlichen Kontrolle bekommt man aber auch nicht in den Griff, indem man alleine eine konkretere Rechtsgrundlage fordert. Vielmehr wird man konsequenterweise verlangen müssen, dass zum einen in der StPO eine ausdrückliche Rechtsgrundlage geschaffen wird, die zum anderen („Hand in Hand“) mit einer Zertifizierungsvorgabe für entsprechende Software einhergeht, welche eine Quelltextanalyse durch eine Behörde wie das BSI vorsieht. Schon aus diesem Gedanken heraus sehe ich letztlich einen zwingenden Grund, die gesetzlichen Regelungen zu überarbeiten und sich des „staatlichen Trojaners“ ausdrücklich anzunehmen.

Bis es so etwas einmal gibt, habe ich allerdings keine Zweifel, dass die zuständigen Gerichte sich im Fall der Fälle immer für die Vereinbarkeit mit §100a StPO entscheiden – wie es bisher der Fall ist.

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)
Letzte Artikel von Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger) (Alle anzeigen)

Veröffentlicht von

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)

Rechtsanwalt, Fachanwalt für Strafrecht & IT-Recht mit einem Faible für Cybercrime, IT-Forensik, Cybersecurity und digitale Beweismittel. Hier bei LinkedIn zu finden!