Urteil zum BKA-Gesetz: Die Grenzen des Staatstrojaners
20. April 2016 Nach mehrjähriger Verzögerung nahm das Bundesverfassungsgericht (BVerfG) heute das BKA-Gesetz (BKAG) aus dem Jahr 2008 auseinander und erklärte es in Teilen für verfassungswidrig. Abermals wurde damit eines der vielen Überwachungsgesetze der vergangenen Legislaturperioden eingefangen. Gemeinsame Erklärung des Chaos Computer Clubs (CCC e. V.) und des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF e. V.).
Dem Bundeskriminalamt sollten weitreichende Überwachungs- und Datenweitergabemöglichkeiten an die Hand gegegeben werden. Konkret wurden die Wohnraumüberwachung, die heimliche Online-Durchsuchung (Staatstrojaner), die sogenannte Quellen-Telekomunikationsüberwachung (Quellen-TKÜ, auch Staatstrojaner) und die Datenübermittlung an andere Behörden im In- und Ausland geregelt.
Die künstliche Trennung zwischen Staatstrojanern, die einerseits auf die gesamte Festplatte zugreifen dürfen, und Staatstrojanern, die andererseits nur Kommunikation ausspionieren dürfen, bleibt mit dem Urteil bestehen. Das Gericht unterscheidet abermals zwischen Quellen-TKÜ und heimlicher Online-Durchsuchung; diesmal sogar noch schärfer als im Urteil von 2008. Nun sind Maßnahmen, die Telekommunikationsvorgänge abfangen sollen, nur noch nach Artikel 10 GG (Telekommunikationsgeheimnis) abzuwägen. Zwar forderte das Gericht begrüßenswerterweise weitreichende Protokoll-, Transparenz-, Benachrichtigungs- und Prüfpflichten, am grundlegenden technischen Missverständnis ändert das jedoch wenig: Ein Trojaner, der ausschließlich Kommunikation erfassen kann, ist technisch illusorisch.
Der Sprecher des Chaos Computer Clubs (CCC), Dirk Engling, kommentiert: „Das Gericht geht offenbar davon aus, dass sich das heimliche Einbrechen des Staats in unsere digitalen Begleiter nachträglich beschränken lässt. Dass das Gericht dabei der Ansicht folgt, es gäbe eine Quellen-TKÜ, die fundamental verschieden von anderen Staatstrojaner sei, lässt den eigentlichen Eingriff durch die Infiltration außer acht.“
Insgesamt betonten die Richterinnen und Richter jedoch die persönlichkeitsbezogene Brisanz der Daten, die regelmäßig durch heimliche Online-Durchsuchung, Wohnraumüberwachung oder Quellen-TKÜ gewonnen werden. Weil die so erlangten Daten oft dem Kernbereich privater Lebensgestaltung zuzurechnen sind, werden für den Einsatz nun neue Hürden gefordert: Abbruch bei kernbereichsrelevanten Inhalten, Richtervorbehalt, unabhängige Nachprüfung der Informationen und belastbare, konkrete Anhaltspunkte für bevorstehende Straftaten oder für die Verfolgung schwerer Kriminalität.
Es ist beachtenswert, dass diese Schranken nicht von Anfang an im BKAG zu finden waren. Dies wirft ein Schlaglicht auf die politische Nachlässigkeit beim Schutz der Grundrechte von denjenigen Mitgliedern des Bundestages, die das Gesetz bei der Abstimmung im Jahre 2008 mittrugen.
Im Urteil ist zwar vom „absolut geschützten Kernbereich privater Lebensgestaltung“ die Rede, aber das „absolut“ ist inhaltlich ausgehöhlt. Man könne diesen absoluten Schutz, der sich aus der Menschenwürde ableitet, beim Einsatz von Trojanern technisch nicht garantieren, die technische Methode an sich, mit der nicht sicher ausgeschlossen werden kann, dass Höchstpersönliches abgriffen wird, mochten die Richter aber nicht grundsätzlich überdenken.
Problematisch ist das Urteil auch in ganz anderer Hinsicht. Im Urteil herrscht eine Vorstellung von informationstechnischen Systemen, die sich auf konkrete technische Geräte, soziale Netzwerke, E-Mailprovider bis hin zur „Cloud“ bezieht. Doch anzugreifende Systeme mit IP-Adresse sind auch heute schon nicht mehr nur Laptops oder Mobiltelefone: „Das können Autos, Kraftwerke, Notrufsäulen oder Herzschrittmacher sein. Somit könnte also nicht nur Höchstpersönliches abgegriffen werden, sondern tatsächlich Gefahr für Leib und Leben verursacht werden, wenn solche Systeme infiltriert werden. Die im Urteil attestierte ‚geringe Streubreite‘ der Staatstrojaner muss nicht immer gegeben sein“, kommentiert Rainer Rehak, Vorstandsmitglied des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF).
Im Urteil wurde mehrfach auf additive Effekte der Überwachung und die „Gesamtüberwachungsrechnung“ abgestellt. Diese sieht vor, dass nicht nur die Einzelmaßnahme abgewogen werden darf, sondern dass immer auch der Gesamtkontext aller Überwachungsmaßnahmen betrachtet werden muß. In der Tat müssen wir dabei auch die neuen geplanten Überwachungsmaßnahmen der EU mit einbeziehen.
Bei Fragen zu dieser Pressemitteilung wenden Sie sich bitte an Rainer Rehak:
E-Mail: rainer.rehak@fiff.de
Betreff: „PM BKAG“
PGP: 0D66 63E5 70A3 964A EE60 D927 4427 CFE5 8C19 AE19
Quellen und Verweise
Das Urteil: http://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/2016/04/rs20160420_1bvr096609.html
CCC-Meldung von 2015: https://www.ccc.de/de/updates/2015/bkag
FIfF-Meldung: http://www.fiff.de/urteil-zum-bka-gesetz-die-grenzen-des-staatstrojaners