Staatstrojaner für Nachrichtendienste

Der Bundestag hat am 10. Juni 2021 das Gesetz zur Anpassung des Verfassungsschutzrechts verabschiedet. Es erlaubt künftig allen Nachrichtendiensten den Einsatz der reinen und der erweiterten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Bei der erweiterten Quellen-TKÜ nach dem Artikel 10-Gesetz sollen die Nachrichtendienste nicht nur auf laufende Kommunikation zugreifen können, sondern auch auf ruhende, also insbesondere auf gespeicherte Chats und Textnachrichten.

Die Oppositionsparteien hatten das Gesetz zuvor heftig kritisiert und dagegen gestimmt. Auch in den Rechtswissenschaften wird die Erweiterung der Befugnisse kritisch gesehen. Der Bundesrat hat die Ausweitung der Befugnisse für die Bundespolizei zwar gestoppt, für die Änderung im Bereich der Nachrichtendienste war jedoch keine Zustimmung erforderlich. Nicht ausgeschlossen ist aber, dass dies gerichtlich angegriffen wird. Denn bereits im Jahr 2018 wurde eine Verfassungsbeschwerde gegen den Einsatz von sogenannten Staatstrojanern und den staatlichen Umgang mit IT-Sicherheitslücken erhoben, die sich gegen die Einführung der Quellen-TKÜ in der Strafprozessordnung richtete. Da es sich mit der erweiterten Quellen-TKÜ um eine noch eingriffsintensivere Maßnahme handelt und diese zusätzlich auch den Nachrichtendiensten zukommen soll, ist naheliegend, dass auch dieses Mal der Weg nach Karlsruhe beschritten werden wird.

Änderung des G 10-Gesetzes: Einführung der (erweiterten) Quellen-TKÜ

Die Neuregelung betrifft unter anderem Änderungen des Artikel 10-Gesetzes (G10). Das G10 regelt abschließend, unter welchen Voraussetzungen die Nachrichtendienste in das durch Art. 10 GG geschützte Brief-, Post- und Fernmeldegeheimnis eingreifen dürfen. Der neue § 11 Abs. 1a) sieht vor, dass zwei verschiedene Maßnahmen geregelt werden: In § 11 Abs. 1a) S. 1 wird die Quellen-TKÜ geregelt, also der Zugriff auf laufende Kommunikation, in § 11 Abs. 1a) S. 2 wird dann der Zugriff auf ruhende Kommunikation geregelt und damit zugleich eine beschränkte Online-Durchsuchung beziehungsweise erweiterten Quellen-TKÜ eingeführt.

Insbesondere bei dem Zugriff auf ruhende Kommunikation verschwimmen die Grenzen zwischen der Quellen-TKÜ und der Online-Durchsuchung. Sowohl bei einer Quellen-TKÜ als auch bei einer Online-Durchsuchung werden informationstechnische Systeme infiltriert; beide Vorgehensweisen haben aber unterschiedliche Zielrichtungen. Während es bei der reinen Quellen-TKÜ ausschließlich darum geht, eine laufende Kommunikation zu überwachen, die auf Grund der verschlüsselten Daten anderweitig nicht ausgewertet werden könnte, soll mit der Online-Durchsuchung besonders auf den Speicher des Zielsystems zugegriffen werden, um nach bestimmten Daten im Dateisystem des Systems zu suchen. Ermächtigungsgrundlagen für staatliche Maßnahmen, durch welche die Inhalte und Umstände einer laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, fallen in den Schutzbereich des Art. 10 Abs. 1 GG. Daher ist auch die nun in § 11 Abs. 1 S. 1 G10 geregelte Quellen-TKÜ an Art. 10 Abs. 1 GG zu messen.

Art. 10 Abs. 1 GG schützt hingegen nicht davor, dass staatliche Stellen die Nutzung eines informationstechnischen Systems als solches überwachen, oder die Speichermedien des Systems durchsuchen. Dies ist nicht mehr von Art. 10 GG gedeckt, sondern ist am Maßstab des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (dem sogenannten IT-Grundrecht) aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zu messen.

Bei der im Entwurf vorgesehenen Form der Quellen-TKÜ handelt sich um eine Mischform zwischen Quellen-TKÜ und Online-Durchsuchung, wobei weder aus dem Gesetz noch aus der Gesetzesbegründung hinreichend hervorgeht, in welchem Umfang auf gespeicherte Informationen zugegriffen werden können soll. Das Gesetz versucht insofern eine Grenze zu ziehen, als nur Kommunikationsinhalte und -umstände erhoben werden können, die bereits ab dem Zeitpunkt der Anordnung – allein bei der Durchführung – auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten erhoben werden können. Dies genügt aber nicht, um die Quellen-TKÜ und die Online-Durchsuchung voneinander abzugrenzen. Offen bleibt nämlich weiterhin, ob es sich nur um Daten handeln darf, die ab diesem Zeitpunkt kommuniziert wurden, oder ob die Regelung auch gespeicherte Kommunikationsverläufe erfassen soll, die möglicherweise Jahre zurückreichen, aber nach dem Anordnungszeitpunkt über einen Dienst noch mit der aktuellen Kommunikation mitkommuniziert werden können.

Unklar ist zudem, wie festgestellt werden soll, welche Kommunikation in verschlüsselter Form hätte erhoben werden können, da der Umfang der Kommunikation von Kommunikationsverläufen jedenfalls bei einigen Diensten von individuellen Nutzereinstellungen abhängig ist, z.B. wenn Messenger Dienste bei der Aufnahme neuer Mitglieder auch alte Nachrichten übermitteln Als eine Mischform von Quellen-TKÜ und Online-Durchsuchung ist die erweiterte Quellen-TKÜ daher nicht nur an den Anforderungen des Art. 10 GG, sondern auch an denen des IT-Grundrechts zu messen. Hierbei ist auch zu beachten, dass es sich um einen intensiven Grundrechtseingriff in dieses Recht handelt, weil die heimliche Infiltration auch die längerfristige Überwachung und Nutzung des Systems ermöglicht. Entsprechend hohe Anforderungen sind an die verfassungsrechtliche Rechtfertigung zu stellen.

Verfehlte Regelungstechnik: Erweiterte Quellen-TKÜ als Fremdkörper im G10-Gesetz

Bereits die Regelungstechnik des Gesetzentwurfs ist verfehlt. Die zentrale Eingriffsnorm im G10 ist § 3 G10. Dieser bestimmt, dass ein Eingriff nur möglich ist, wenn tatsächliche Anhaltspunkte für den Verdacht bestehen, dass jemand eine Straftat aus dem Straftatenkatalog des § 3 Abs. 1 G10 plant, begeht oder begangen hat.

Der Gesetzesentwurf sieht keine Änderung dieser Norm vor. Die neuen Befugnisse werden vielmehr in dem Abschnitt über das Verfahren geregelt. Damit ist auch die erweiterte Quellen-TKÜ unter den gleichen Voraussetzungen möglich wie die bisher vorgesehenen Eingriffsbefugnisse. Dass neue Befugnisse als Verfahrensvorschriften eingeführt werden, ist nicht nur gesetzessystematisch verfehlt, sondern verschleiert auch, dass es sich im Vergleich zu den zuvor vorgesehenen Befugnissen um einen neuartigen und intensiveren Grundrechtseingriff handelt. Seiner Verschleierungstaktik ist der Gesetzgeber selbst zum Opfer gefallen.

Da das G10-Gesetz bereits seinem Namen nach der „Beschränkung des Brief-, Post- und Fernmeldegeheimnisses“ dient, handelt es sich bei der erweiterten Quellen-TKÜ auch um einen Fremdkörper im G10. Es wird nicht ausreichend beachtet, dass die erweiterte Quellen-TKÜ nicht nur am Fernmeldegeheimnis des Art. 10 Abs. 1 GG, sondern gerade auch am IT-Grundrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG zu messen ist, weil hier auch die Überwachung von ruhender Kommunikation ermöglicht werden soll. Der Gesetzgeber ist zwar nicht daran gehindert, auch neuartige Befugnisse in das G10 aufzunehmen. Doch führt die Selbsttäuschung des Gesetzgebers dazu, dass sich er sich keine ausreichenden Gedanken darüber gemacht hat, wie ein solch intensiver und neuartiger Grundrechtseingriff den verfassungsrechtlichen Vorgaben entsprechend geregelt und seiner neuartigen Eingriffsqualität Rechnung getragen werden kann.

Eingriffsschwellen nicht angepasst

Aus der verfehlten Regelungstechnik sowie der fehlenden klaren Abgrenzung zur Online-Durchsuchung ergeben sich auch eine Reihe verfassungsrechtlicher Bedenken. Diese betreffen zum einen die Eingriffsschwellen des G 10 in § 1 Abs. 1 sowie § 3. Denn diese wurden gar nicht angepasst. Der Gesetzgeber knüpft die neuen Befugnisse also an dieselben Voraussetzungen wie die bisherige Telekommunikationsüberwachung. Dadurch werden die besonderen Anforderungen, die an die neuartige Quellen-TKÜ zu stellen sind, nicht berücksichtigt.

Dies bezieht sich zunächst auf das Tatbestandsmerkmal der „tatsächlichen Anhaltspunkte“. Andere Ermächtigungsgrundlagen für die Quellen-TKÜ knüpfen nämlich an „bestimmte Tatsachen“ an, weshalb sich die Frage aufdrängt, ob die Anknüpfung an bestimmte Tatsachen auch in § 3 G10 verfassungsrechtlich erforderlich ist. Da in der Rechtsprechung bislang nicht geklärt ist, ob sich hinter den unterschiedlichen Formulierungen tatsächlich auch andere Eingriffsschwellen verbergen, ist es zunächst verfassungsrechtlich unbedenklich, an „tatsächliche Anhaltspunkte“ anzuknüpfen. Allerdings muss in diesem Zusammenhang auch berücksichtigt werden, dass an das Vorliegen des Tatbestandsmerkmals „tatsächliche Anhaltspunkte“ strenge Anforderungen zu stellen sind. Erforderlich ist hier, dass nicht allein Vermutungen, sondern konkrete und in gewissem Umfang verdichtete Umstände als Tatsachenbasis für den Verdacht vorliegen. Vage Anhaltspunkte oder bloße Vermutungen ohne greifbaren, auf den Einzelfall bezogenen Anlass reichen dagegen nicht aus. Das wird in der ganz überwiegenden Anzahl der bisherigen Ermächtigungsgrundlagen dadurch zum Ausdruck gebracht, dass an „bestimmte Tatsachen“ und gerade nicht an tatsächliche Anhaltspunkte für den Verdacht einer Straftat angeknüpft wird. Um die strengen Anforderungen deutlich zu machen und zur Rechtssicherheit und zu einer gewissen Konsistenz der Sicherheitsgesetze beizutragen, wäre es deshalb sinnvoll, auch in § 3 G10 an den Begriff der „bestimmten Tatsachen“ anzuknüpfen.

Auch der bisherige Straftatenkatalog gilt unverändert fort. Dies entspricht nicht den verfassungsrechtlichen Anforderungen. Schon ohne die Einführung der neuartigen Quellen-TKÜ ist zweifelhaft, ob der Straftatenkatalog den Anforderungen der Verfassung genügt. Dies ist insbesondere fraglich, weil der Katalog auch Straftaten erfasst, die nur ein Strafmaß von bis zu einem Jahr vorsehen (wie § 20 VereinsG). Spätestens mit der Einführung der erweiterten Quellen-TKÜ ist der Straftatenkatalog aber zu weit gefasst, weil es sich um eine besonders eingriffsintensive Maßnahme handelt, die nur bei schwerwiegenden Straftaten überhaupt verhältnismäßig sein kann.

Aus dem Eingriff in das IT-Grundrecht ergibt sich zudem noch Folgendes: Aufgrund der Eingriffsintensität und Heimlichkeit der Maßnahme hat das Bundesverfassungsgericht gefordert, dass sich der Zugriff auf informationstechnische Systeme und die Wohnraumüberwachung unmittelbar nur gegen diejenigen als Zielpersonen richten darf, die für die drohende oder dringende Gefahr verantwortlich sind. § 3 Abs. 2 S. 2 G 10 erlaubt hingegen Abhörmaßnahmen auch gegen weitere Personen.

All dies macht deutlich, dass die gesamte Neuregelung unter der verfehlten Regelungstechnik leidet, weil keine eigene Befugnisnorm geschaffen wurde, sondern die Quellen-TKÜ durch die Hintertür als Verfahrensregel eingeführt wird. Ob die Einführung der Quellen-TKÜ daher einer Überprüfung des Bundesverfassungsgerichts standhalten würde, erscheint äußerst zweifelhaft.

Ausschluss des Rechtsschutzes verfassungswidrig

Besonders bedenklich ist auch, dass der Rechtsschutz nach § 13 G 10 für Maßnahmen nach § 3 G 10 pauschal ausgeschlossen ist. Für Eingriffe in Art. 10 GG hat dieser seine verfassungsrechtliche Basis in Art. 10 Abs. 2 GG. Für Eingriffe in das IT-Grundrecht fehlt es hingegen an einer verfassungsrechtlichen Grundlage für eine Ausnahme von der Rechtsschutzgarantie aus Art. 19 Abs. 4 GG. Bei der Übertragung der Maßnahme aus anderen Gesetzen hat der Gesetzgeber offenbar vergessen, dass diese Gesetze, anders als das auf die Geheimdienste zugeschnittene G 10, keinen Rechtsschutzauschluss kennen. Für das IT-Grundrecht ist aber keine Rechtfertigung des Eingriffs in Art. 19 Abs. 4 GG ersichtlich.

Spannungsfeld von IT-Sicherheit und Verfassungsschutz

Letztlich ist die Ausweitung der Befugnisse auch aus rechtspolitischen Gründen kritisch zu sehen. Dies ergibt sich vor allem aus dem Spannungsfeld von IT-Sicherheit und Verfassungsschutz. Relevant ist insbesondere, dass das IT-Grundrecht auch eine Schutzpflichtdimension hat. Somit ist der Staat grundsätzlich dazu verpflichtet, zur Sicherheit der IT-Infrastruktur beizutragen und sie vor Zugriffen und Manipulationen Dritter zu schützen. In Spannung dazu steht, wenn der Staat Anreize setzt, Sicherheitslücken aufrechtzuerhalten, auch wenn der Schutz der Verfassung ebenfalls eine wichtige Aufgabe des Staates ist und dem Staat deshalb beim Austarieren beider Aufgaben ein großer Gestaltungsspielraum zukommt.

Andererseits zeigen aktuelle Zahlen, dass bislang die Befugnisse zur Infiltration von Informationssystemen nur äußerst selten zum Einsatz kamen. Dies kann einerseits für das Verantwortungsbewusstsein der Sicherheitsbehörden sprechen; anderseits drängt sich die Frage nach einer Kosten-Nutzen-Abschätzung auf. Denn anders als bei anderen Eingriffsbefugnissen können Befugnisse zur Manipulation von Informationssystemen auch dann Kosten verursachen, wenn sie nicht oder nur selten genutzt werden. Jedenfalls gefährdet der Staat, wenn er für den Einsatz der Instrumente Sicherheitslücken verheimlichen muss, Millionen von Informationssystemen in allen Lebensbereichen, womit ein immenses Schadenspotential verbunden ist. Wie real diese Gefahren sind, hat besonders eindringlich die WannaCry Attacke gezeigt, die Rechner weltweit betraf und wohl auf einer von der US-amerikanischen National Security Agency geheim gehaltenen Sicherheitslücke aufbaute, die Hacker bei der Behörde erbeutet hatten.

Die Befugnisse zur Nutzung von Quellen-TKÜ und Online-Durchsuchung sollten erst weiter ausdehnt werden, wenn eine belastbare Kosten-Nutzen-Analyse vorliegt, die nicht nur die tatsächliche Nutzung dieser Instrumente, sondern auch ihre Bedeutung für die Aufgabenerfüllung kritisch überprüft und zu den von ihnen ausgehenden Gefahren für die allgemeine Informationssicherheit ins Verhältnis setzt. Für Vorrats- oder gar symbolische Gesetzgebung eignen sich Quellen-TKÜ und Online-Durchsuchung jedenfalls nicht.

Eigene Befugnisnorm notwendig

Die Neuregelung zur Einführung der erweiterten Quellen-TKÜ krankt insgesamt daran, dass der Gesetzgeber verkannt hat, dass die neu geschaffenen Eingriffsmöglichkeiten einen intensiven Grundrechtseingriff nicht nur in Art. 10 GG, sondern auch in das IT-Grundrecht bedeuten. Der Gesetzgeber muss also zunächst eine klarere Regelung der neuartigen Form der Quellen-TKÜ vornehmen, aus der hervorgeht, welche Informationen überhaupt erhoben werden dürfen, um eine genaue Abgrenzung zur Online-Durchsuchung zu ermöglichen. Um eine Quellen-TKÜ verfassungsgemäß auszugestalten, bedarf es zudem einer eigenen Befugnisnorm, die den Besonderheiten der damit verbundenen Grundrechtseingriffe Rechnung trägt, also vor allem eigene Eingriffsschwellen enthält und auch gegenüber den Nachrichtendiensten einen effektiven Rechtsschutz gewährleistet. In der aktuellen Fassung jedoch dürften die Erfolgschancen vor dem Bundesverfassungsgericht – sollte eine Verfassungsbeschwerde tatsächlich erhoben werden – gering sein.