Klage!

9. September 2019

Die Gesellschaft für Freiheitsrechte (GFF) hat eine Verfassungsbeschwerde gegen das Gesetz zur Reform des Bundeskriminalamtes (BKA) eingelegt. Insbesondere wehren sich die Bürgerrechtler gegen die neuen und umfassenden Überwachungsbefugnisse, die das BKA im Zuge der Novellierung im Jahr 2017 erhalten hat. Dazu zählen etwa der Einsatz von Staatstrojanern oder weitreichende Datensammlungen über Menschen, gegen die bloß ein vager Anfangsverdacht besteht.

„Nach der Neuregelung kann das BKA aus zu geringem Anlass zu viele Daten zu vieler Menschen zu lange speichern und verarbeiten“, sagt der GFF-Vorsitzende Ulf Buermeyer. Zudem könnte das BKA die so angehäuften personenbezogenen Daten „nahezu grenzenlos“ verarbeiten sowie die dabei genutzten Datenbanken zusammenführen. Der datenschutzrechtliche Grundsatz der Zweckbindung erhobener Daten würde für das BKA schlicht aufgegeben.

„Damit sind Tür und Tor geöffnet für eine Datenbank, die Daten über die meisten Menschen in Deutschland enthält – zeitlich unbefristet, nach unklaren Regeln und zu unklaren Zwecken“, sagt Buermeyer. „Ein solches Big-Brother-Gesetz kann das Bundesverfassungsgericht nicht billigen“.

Unsichere Spionage-Software

Ferner erlaubt das BKA-Gesetz den Einsatz von Staatstrojanern. Mit einer solchen Spionagesoftware nutzt die Polizei Sicherheitslücken in IT-Systemen aus, um Onlinedurchsuchungen durchzuführen und auf Telekommunikationsvorgänge zuzugreifen (Quellen-TKÜ). Das verstoße laut den Bürgerrechtler:innen gegen das IT-Grundrecht: Das Recht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.

Anstatt Sicherheitslücken den Herstellern zu melden und so eine sichere IT-Umgebung für alle zu schaffen, würden diese von den Ermittlungsbehörden heimlich gehortet und ausgenutzt. Doch solche Lücken seien „Einfallstore für Hacker“, sagt Buermeyer. Wenn der Staat diese geheim halte, wären alle Nutzer:innen einem Risiko ausgesetzt. Bei Institutionen wie Krankenhäusern, die auf eine gesicherte IT-Struktur angewiesen sind, könne dies lebensbedrohliche Konsequenzen haben.

Nicht der erste Anlauf

Schon 2017 forderte die Konferenz der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder eine Überarbeitung den damaligen Gesetzesentwurfs. Dabei handelt es sich bei der Fassung von 2017 schon um eine gerichtlich verfügte Nachbesserung: Das zuvor geltende BKA-Gesetz hatte das Bundesverfassungsgericht im April 2016 als verfassungswidrig eingestuft.

–> mehr…


Von Alexandra Ketterer auf netzpolitik.org Creative Commons BY-NC-SA 4.0.

Der sicherste Weg

20. Mai 2019

Hal Faber schrieb am frühen Sonntag in seiner, hier schon häufiger zitierten WWWW-Kolumne dies:

„Abseits der unermüdlich für unsere Sicherheit arbeitenden Geheimdienste bekommen unsere Polizeien mit den in allen Bundesländern aufpolierten Polizeigesetzen Befugnisse, Überwachungssoftware zur Online-Überwachung und zur Quellen-TKÜ im Fall verschlüsselter Kommunikation zu installieren. Wie diese Installation korrekt abgewickelt werden kann, darüber haben sich Juristen in der „Neuen Juristischen Wochenzeitschrift“ Gedanken gemacht. Ein „Zweitdruck“ des Textes ist mit juristisch einwandfreier Erlaubnis bei Netzpolitik.org erschienen und eine interessante Lektüre.

Das Betreten einer Wohnung zur Installation von Überwachungssoftware ist demnach problematisch und das, was mit den Namen Staatstrojaner verbunden ist, geradezu verboten: „Ein Trojanisches Pferd im Sinne der griechischen Mythologie, das der Adressat nach einer aktiven Täuschung über seinen Bestimmungszweck durch die Pforte seines Systems lässt, wird der Staat gegenüber seinen Bürgern damit grundsätzlich nie verwenden dürfen.“

Der sicherste Weg dürfte damit der „Sachzugriff“ sein, wenn ein Gerät während einer Polizei- oder Zollkontrolle von seinem Besitzer aus der Hand gegeben werden muss. Daneben dürfte das Ausnutzen bekannter Sicherheitslücken eine wichtige Rolle spielen – in Kenntnis der Tatsache, dass sich ein Gros der Nutzer einen Deut um fällige Updates scheren.“

Glaubt übrigens jemand, dass sich die Polizei in Niedersachsen oder anderswo tatsächlich um verfassungsrechtliche oder andere Bedenken beachten wird? Ich nicht (mehr).

(Hier der ganze Text!)

 

Stellungnahme von sechs Bürgerrechtsorganisatione zum Gesetzentwurf der Koalitionsfraktionen

Die sechs unterzeichnenden Bürgerrechtsorganisationen nehmen zum Gesetzentwurf der Koalitionsfraktionen zur Einführung der Online-Durchsuchung und Quellen-TKÜ im Strafverfahren Stellung. Sie kommen zu dem Ergebnis: „Es ist ein Skandal, dass die Regierung praktisch heimlich und ohne öffentliche Debatte versucht, schwerste Grundrechtseingriffe in die Strafprozessordnung einzuführen.“

Nach jahrelangen Diskussionen über eine StPO-Reform und verschiedenen aktuellen Änderungsgesetzen zum Strafverfahren wird ausgerechnet diese hochproblematische Verschärfung über einen knappen Änderungsantrag der Koalitionsfraktionen in ein laufendes Gesetzgebungsverfahren eingebracht. Innerhalb weniger Wochen und ohne jede öffentliche Debatte, ohne Möglichkeiten der Beteiligung der Zivilgesellschaft soll einer der intensivsten Grundrechtseingriffe, der der Polizei überhaupt gestattet ist, zum Gesetz gemacht werden.

Zum Gesetzentwurf der Koalitionsfraktionen zur Einführung der Online-Durchsuchung und Quellen-TKÜ im Strafverfahren

Kurz vor Ende der Legislaturperiode will die Große Koalition in einem handstreichartigen Verfahren noch die Online-Durchsuchung und die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) in die Strafprozessordnung einführen. Beide Maßnahmen stellen schwerste Grundrechtseingriffe dar, die in den vergangenen Jahren nicht nur die öffentliche Debatte, sondern auch das Bundesverfassungsgericht intensiv beschäftigt haben.

Sowohl bei der Online-Durchsuchung als auch bei der Quellen-TKÜ dringen die Ermittlungsbehörden heimlich mittels Trojanern in Computer, Tablets oder Handys des betroffenen Bürgers ein. Im Fall der Online-Durchsuchung können die Beamten auf sämtliche auf dem Rechner gespeicherten Daten zugreifen – und erhalten so eine praktisch umfassende Einsicht in das Leben des Betroffenen bis hinein in dessen Gedanken- und Gefühlswelt. Damit geht die Eingriffsintensität dieser Maßnahme noch deutlich über die des großen Lauschangriffs hinaus – der bislang eingriffsintensivsten Ermittlungsmaßnahme.

Nach Auffassung der Bürgerrechtsorganisationen hat eine Überwachungsmaßnahme mit derart totalitärem Potential, die in der Praxis zudem kaum zu kontrollieren ist, in der Strafprozessordnung nichts zu suchen. Der Zugriff auf gespeicherte Daten ist den Ermittlungsbehörden schon heute im Wege der Beschlagnahme des Datenträgers möglich. Diese erfolgt aber offen und nicht – wie die Online-Durchsuchung – heimlich und ist daher besser zu kontrollieren.

Der Gesetzentwurf der Großen Koalition setzt sich über die Vorgaben des Bundesverfassungsgerichts zur heimlichen Infiltration informationstechnischer Systeme hinweg. Das Gericht hatte in seiner Entscheidung zur präventivpolizeilichen Online-Durchsuchung klargestellt, dass diese überaus eingriffsintensive Maßnahme nur in allerengsten Grenzen zulässig sein kann. Der Änderungsantrag der Regierung sieht die Zulässigkeit der Maßnahme allerdings schon bei Straftaten der mittelschweren Kriminalität vor.

Darüber hinaus soll nach den Plänen der Großen Koalition der Schutz des Kernbereichs der privaten Lebensgestaltung deutlich abgesenkt werden. Neben der Online-Durchsuchung soll auch beim Großen Lauschangriff die Maßnahme künftig nur unterbleiben müssen, wenn zu erwarten ist, dass „alleine“ kernbereichsrelevante Daten erhoben werden. Damit geht der Entwurf deutlich hinter die Anforderungen zurück, die seit der Entscheidung des Bundesverfassungsgerichts 2004 für den Kernbereichsschutz beim Großen Lauschangriff Geltung erlangt haben.

Es ist ein Skandal, dass die Regierung praktisch heimlich und ohne öffentliche Debatte versucht, schwerste Grundrechtseingriffe in die Strafprozessordnung einzuführen, erklären die Bürgerrechtsorganisationen. Nach jahrelangen Diskussionen über eine StPO-Reform und verschiedenen aktuellen Änderungsgesetzen zum Strafverfahren wird ausgerechnet diese hochproblematische Verschärfung über einen knappen Änderungsantrag der Koalitionsfraktionen in ein laufendes Gesetzgebungsverfahren eingebracht. Innerhalb weniger Wochen und ohne jede öffentliche Debatte, ohne Möglichkeiten der Beteiligung der Zivilgesellschaft soll einer der intensivsten Grundrechtseingriffe, der der Polizei überhaupt gestattet ist, zum Gesetz gemacht werden.

Die unterzeichnenden Bürgerrechtsorganisationen:

Humanistische Union e.V.

Internationale Liga für Menschenrechte e.V.

Komitee für Grundrechte und Demokratie e.V. Neue Richtervereinigung e.V.

Republikanischer Anwältinnen- und Anwälteverein e.V.

Vereinigung Demokratischer Juristinnen

und Juris

Kernbereich

21. April 2016

Gestern hat mich über die Maßen gestört, wie unkritisch, gleichlautend und schlagwortartig das schon 2009 heftig kritisierte BKA-Gesetz im Radio, TV und anderen Massenmedien als notwendiger Bestandteil „im internationalen Kampf gegen Terrorismus“ beschrieben wurde. Das ist das BKA-Gesetz nämlich gar nicht. Und jetzt hat das Bundesverfassungsgericht diesen deutschen Beitrag „im internationalen Kampf gegen Terrorismus“ gestoppt. Man sieht geradezu, wie die Fatzebuck-Gemeinde empört den Kopf schüttelt.

Nun, Netzpolitik.org analysierte gestern:

„Das Bundesverfassungsgericht (BVerfG) hat sein Urteil zum BKA-Gesetz verkündet und es in Teilen als verfassungswidrig befunden.

Die beiden Beschwerden (1 BvR 966/09, 1 BvR 1140/09) waren einerseits von Ärzten, Juristen und Journalisten eingereicht worden, besonders im Hinblick auf ihre Rechte als Berufsgeheimnisträger, und andererseits von Mitgliedern der grünen Bundestagsfraktion der vergangenen Legislaturperiode. Die Beschwerdeführer und ihre Anwälte Gerhart Baum, Burkhard Hirsch und Sönke Hilbrans können das Urteil als Erfolg verbuchen, ihre Kritik an den erweiterten Überwachungsbefugnissen des BKA, am mangelnden Kernbereichsschutz und am zu wenig beschränkten Datenaustausch fand überwiegend Gehör.

Nur einige der verfassungswidrigen Paragraphen sind allerdings auch sofort nichtig, andere gelten mit einigen Beschränkungen weiterhin, müssen aber bis längstens zum 30. Juni 2018 nachgebessert werden.

Insbesondere die Verhältnismäßigkeit und der Kernbereichsschutz, also der Schutz der höchstpersönlichen Sphäre eines Menschen gemäß Art. 1 Abs 1 GG, der unantastbar bleiben soll, werden im Urteil betont.

Das Urteil ist (ohne die Sondervoten) 118 Seiten lang, hier aber ein erster Überblick zum staatlichen Infiltrieren von informationstechnischen Systemen.

Staatstrojaner

Das Urteil behandelt die Probleme bei der verdeckten Datenerhebung nach § 20k BKA-Gesetz, der „verdeckte Eingriffe in informationstechni­sche Systeme“ erlaubt. Diese Erlaubnis zur sog. „Onli­ne-Durchsuchung“ wurde bereits kurze Zeit nach dem Urteil des BVerfG zum Staatstrojaner im Jahr 2008 geschaffen und im Grunde wörtlich aus der Entscheidung in das Gesetz übernommen.

In das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme werde laut Urteil „mit besonderer Intensität“ eingegriffen. Daher sei der Eingriff „seinem Gewicht nach mit dem Eingriff in die Unverletzlichkeit der Wohnung vergleichbar“. Das BKA müsse beim Einsatz eines Trojaners aber aufgrund des Verhältnismäßigkeitsgrundsatzes beachten, dass „ein offener Zugang auf die Datenbestände einer Zielperson vor einer heimlichen Infiltration grundsätzlich Vorrang“ habe.

Zum § 20k BKA-Gesetz heißt es im Urteil:

Nicht den verfassungsrechtlichen Anforderungen genügen […] die Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung.

Es fehlen insbesondere ausdrückliche „Vorkehrungen“ zum Kernbereichsschutz. Wie bei der Wohnraumüberwachung werde „wegen des spezifischen Charakters des Zugriffs“ dieser Schutz nicht so sehr bei der Erhebung erfolgen, sondern auf die nachgelagerte Auswertung und Verwertung verschoben. Im Urteil heißt es schlicht, dass eben „weitgehend die Alternativen von ganz oder gar nicht“ bestünden.

Trotzdem müsse das Erfassen von Höchstpersönlichem so weit wie möglich unterbleiben. Passiert es aber doch, solle eine „unabhängige Stelle“ eine Sichtung vornehmen und rausfiltern, und zwar durch „von dem Bundeskriminalamt gegenüber unabhängigen Personen“.

Hier müsse der Gesetzgeber nachbessern, ebenso bei der Aufbewahrung der Löschprotokolle des Trojaners. Eine „übermäßig kurze Dauer“ der Aufbewahrung sei verfassungswidrig.

Eine „Onli­ne-Durchsuchung“ sollte laut Gesetz nur dann unterbleiben, wenn dabei „allein“ Informationen aus dem höchstpersönlichen Kernbereich des Betroffenen erlangt werden. Das aber dürfte praktisch so gut wie nie der Fall sein. Dazu wird im Urteil nochmal betont:

Hierbei ist die Vorschrift von Verfassungs wegen allerdings so auszulegen, dass eine Kommunikation nicht schon deshalb aus dem strikt zu schützenden Kernbereich herausfällt, weil sich in ihr höchstvertrauliche mit alltäglichen Informationen vermischen.

Die Weiternutzung und Zweckänderung von durch Trojaner erlangten Informationen werden durch das Urteil beschränkt. Dazu soll der „Grundsatz der hypothetischen Datenneuerhebung“ gelten, der sich am Gewicht der zu schützenden Rechtsgüter oder aufzudeckenden Straftaten orientiert.

Was die Quellen-TKÜ (Quellen-Telekommunikationsüberwachung) nach § 20l Abs. 2 BKA-Gesetz angeht, also der Staatstrojaner, der nur Kommunikationsvorgänge überwachen darf, heißt es im Urteil, dass hier nicht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme betroffen sei, sondern das Grundrecht des Telekommunikationsgeheimnisses aus Art. 10 Abs. 1 GG. Man hätte keine „durchgreifenden verfassungsrechtlichen Bedenken“. Denn wie das technisch hinzubekommen sei, den Trojaner in dieser Weise zu beschränken, sei schließlich nicht das Problem von Juristen:

Ob oder wie sich durch technische Maßnahmen sicherstellen lässt, dass ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet wird, betrifft die Anwendung der Norm, nicht aber ihre Gültigkeit. Insoweit ist es nicht Aufgabe des vorliegenden Verfahrens, hierüber eine Klärung herbeizuführen. Das Gesetz lässt jedenfalls keinen Zweifel, dass eine Quellen-Telekommunikationsüberwachung nur bei einer technisch sichergestellten Begrenzung der Überwachung auf die laufende Telekommunikation erlaubt ist. Andernfalls kommt allein ein Vorgehen auf der Grundlage des § 20k Abs. 1 BKAG in Betracht. Sollten zum gegenwärtigen Zeitpunkt diese Anforderungen nicht erfüllbar sein, liefe die Vorschrift folglich bis auf weiteres leer.

Ein Vorgehen nach § 20k Abs. 1 BKAG heißt schlicht, dass die weit höheren rechtlichen Anforderungen einer „Onli­ne-Durchsuchung“ gelten würden, wenn die Erfassung nicht auf Telekommunikation beschränkt wird.

Fazit

Fight for your digital rights!

Natürlich stärkt das Urteil diejenigen, die sich gegen immer mehr Überwachungsausweitungen seit Jahren wehren. Es reiht sich ein in viele überwachungskritische Urteile der letzten Dekade. Dennoch wird es wohl zunächst dabei bleiben, dass der Einsatz von Staatstrojanern legal möglich ist.

Mehrfach wird betont, dass es nicht nur um einzelne Überwachungsvorgänge ginge, sondern dass sich Maßnahmen addieren können. Es muss also immer auch eine Gesamtüberwachungsrechnung aufgemacht werden.

Dass das Urteil auch politisch Wirkung zeigen wird, können wir wohl nur hoffen.

Für die Trojaner wie auch für andere heimliche Überwachungsmaßnahmen wird es jedenfalls zukünftig „regelmäßige Berichte des Bundeskriminalamts gegenüber Parlament und Öffentlichkeit“ auf gesetzlicher Grundlage geben. Sie sollen sogar „hinreichend gehaltvoll“ sein, denn sonst sei „eine öffentliche Diskussion über Art und Ausmaß der auf diese Befugnisse gestützten Datenerhebung, einschließlich der Handhabung der Benachrichtigungspflichten und Löschungspflichten“ ja nicht möglich.

Bereits seit Jahren fordern Ermittlern in Deutschland und in verschiedenen europäischen Ländern, Trojaner einsetzen zu dürfen, und sie haben sich auch bei den kommerziellen Anbietern solcher Spionagesoftware umgesehen. Der CDU-Bundesvorstand hat sich zuletzt nicht nur für Staatstrojaner ausgesprochen, sondern kürzlich auch die geheimdienstliche Spionage auf Festplatten „mit Nachdruck“ gefordert. Für beide Versionen des Staatstrojaners, also „Quellen-TKÜ“ und „Online-Durchsuchung“ gedenke man, auch „den Verfassungsschutzbehörden die Befugnis“ zu erteilen.

Wie das mit dem aktuellen Urteil zu vereinbaren wäre, müssen die Christdemokraten noch begründen.“

[von Constanze Kurz bei Netzpolitik.org –  Creative Commons BY-NC-SA 3.0.]

Staatstrojaner

19. Februar 2012

Bei Indymedia -meldete am Freitagabend netzpolitik.org– „ist ein 66 Seiten langer Bericht vom Bundesdatenschutzbeauftragten Peter Schaarüber Maßnahmen der Quellen-Telekommunikationsüberwachung bei den Sicherheitsbehörden des Bundes” gelandet (PDF). Kurz: Ein Bericht über den Staatstrojaner.

Aus der Zusammenfassung:

Aus den vorhandenen Unterlagen ergab sich jedoch, dass die bei Maßnahmen der Quellen-TKÜ eingesetzte Software nicht den Anforderungen der gemäß §9 Bundesdatenschutzgesetz erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes Rechnung getragen haben. Dies gilt insbesondere für die unzureichende Verschlüsselung der anlässlich der Quellen-TKÜ ausgeleiteten Daten und die mangelnde Authentifizierung der an den Prozessen beteiligten Personen und Systeme. Mehr lesen…“ 

fefe kommentiert:

Der Schaar-Bericht zum Bundestrojaner ist geleakt. Und es ist ungefähr so schlimm, wie man sich das vorstellt. Von wegen Kernbereich:

Verwundert zeigte sich Schaar darüber, dass er zumindest in einem Fall auch Daten aus dem Kernbereich privater Lebensgestaltung in den Akten fand. Dabei hatte ein mutmaßlicher Drogendealer jeweils mit seiner Freundin telefoniert. „Kurzes erotisches Gespräch“ heißt es etwa in den Akten, „Liebesbeteuerungen“, „danach Sexgespräche“, „Ab 15.22.20 h bis 16.01.00 finden offensichtlich Selbstbefriedigungshandlungen statt“.

Haben wir ja gleich gesagt! Aber hey, wieso hat das BKA denn diese, sie inkriminierenden Beweise nicht diskret vernichtet? Damit hat die Polizei sonst kein Problem. Nun, das liegt daran, dass das eingesetzte Digitask-Produkt dafür zu ranzig ist:

Auch die zugehörigen Tonspuren waren noch vorhanden. Das BKA hätte sie zwar gern gelöscht, doch die digitask-Software ließ keine punktuelle Löschung zu.

m(

Nicht mal eine kreative Ausrede kriegen die Spezialexperten vom BKA hin. Das mit dem „die Software kann das nicht“ ist schon vom Arbeitsamt verbrannt.“

und ergänzt:

„Es gibt eine alternative Begründung, wieso das BKA die Kernbereichsdaten nicht löschen konnte. Weil sie die Löschfunktion nicht mitgekauft haben. Denn das ist bei Schnüffel-Technologie durchaus üblich:

Das Problem: Die Ermittlungsbehörden mussten die Funktion „löschen“ bei der Herstellerfirma Syborg extra bestellen. Die Kosten dafür belaufen sich auf 130.000 Euro.

Da weiß man gar nicht, wen man mehr verachten soll, das BKA, Digitask oder die Politiker, die für diese Gesetze verantwortlich sind.“

Noch Fragen?