Der Bundestag hat eine neue rechtliche Grundlage für den Einsatz von Staatstrojanern beschlossen. Für das Hacken von Computern durch Deutschlands Strafverfolgungsbehörden, für das Verwanzen von Smartphones, für das heimliche Mitlesen von WhatsApp-Nachrichten.

Offiziell heißt es Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens. SPD-Fraktionschef Thomas Oppermann nennt es, schon etwas weniger schwammig, ein Gesetz, das den Einsatz von Quellen-Telekommunikationsüberwachung (TKÜ) "erlaubt, um schwere Straftaten zu verhindern." Bekannt ist es vor allem unter dem Stichwort Staatstrojaner.

Bemerkenswert ist, dass die Staatstrojaner aber gar nicht im Entwurf selbst stehen. Sondern in diesem Änderungsantrag, den die Bundesregierung selbst nachträglich als "Formulierungshilfe" eingebracht hat. Eine größere, geschweige denn öffentliche Debatte kam deshalb praktisch nicht zustande. Selbst die Bundesdatenschutzbeauftragte erfuhr erst über die Berichterstattung von netzpolitik.org davon – und war nicht amüsiert. Die Koalition hat den Änderungsantrag aber fast Wort für Wort übernommen und im Rechtsausschuss passieren lassen, sodass er heute zur Abstimmung steht.

Datenschutz - "Sicherheit ist kein Grundrecht" Immer mehr Daten und Bilder werden gespeichert – meist ohne Zustimmung der Menschen. Mehr öffentliche Überwachung garantiere nicht mehr Sicherheit, sagt Datenschutzaktivistin Rena Tangens.

Was eine Quellen-TKÜ beinhalten darf und was nicht

Der relevante Teil beginnt auf Seite 10 des Antrags, mit einer Ergänzung von Absatz 1, Paragraf 100a Strafprozessordnung. Sie lautet:

Die Überwachung und Aufzeichnung der Telekommunikation darf auch in der Weise erfolgen, dass mit technischen Mitteln in von dem Betroffenen genutzte informationstechnische Systeme eingegriffen wird, wenn dies notwendig ist, um die Überwachung und Aufzeichnung insbesondere in unverschlüsselter Form zu ermöglichen.

Informationstechnische Systeme mit Verschlüsselung kann alles Mögliche heißen. Die Innenminister von Bund und Ländern reden immer über WhatsApp, also Messenger-Apps, die standardmäßig eine Ende-zu-Ende-Verschlüsselung verwenden. Aber der Satz ist so allgemein formuliert, dass er für alle elektronischen Geräte und Dienste gilt, über die jemand verschlüsselt kommunizieren kann. Auch für jene, die es noch nicht gibt.

Der zweite neue Satz in 100a Absatz 1 klingt erst einmal selbst kryptisch:

Auf dem informationstechnischen System des Betroffenen gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.

Noch einmal aufgegriffen wird das im komplett neuen Absatz 5:

Bei Maßnahmen nach Absatz 1 Satz 2 und 3 ist technisch sicherzustellen, dass 1. ausschließlich überwacht und aufgezeichnet werden können: a) die laufende Telekommunikation (Absatz 1 Satz 2), oder b) Inhalte und Umstände der Kommunikation, die ab dem Zeitpunkt der Anordnung nach § 100e Absatz 1 auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz hätten überwacht und aufgezeichnet werden können.

Um zu verstehen, was mit den beiden Schachtelsätzen gemeint ist, muss man einen Blick in die Gesetzesbegründung werfen. Darin argumentiert die Bundesregierung, die Quellen-TKÜ von Messenger-Apps solle letztlich nichts anderes sein als die bisherige Telefon- und SMS-Überwachung. Ermittler sollen nur mitlesen können und dürfen, was als laufende Kommunikation gilt. Nicht aber das ganze System oder auch nur die gesamte gespeicherte Kommunikation.

Das soll "technisch" sichergestellt werden, sprich: Die staatliche Überwachungssoftware muss so entwickelt werden, dass sie nur Messenger-Nachrichten erfasst, die auch im Rahmen der klassischen Telefonüberwachung beim jeweiligen Provider erfasst würde – nur eben unverschlüsselt. Sie muss also einerseits gesendete oder empfangene und damit in beiden Fällen auf einem Gerät gespeicherte Nachrichten erfassen und an die Strafverfolger ausleiten können, andererseits aber alle sonstigen Tastatureingaben, Entwürfe oder ältere Nachrichten aus vorangegangenen Chats ignorieren. Nur unter diesen Voraussetzungen sei das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (IT-Grundrecht) nicht unzulässig eingeschränkt. 

Thomas Hoeren, Professor für IT-Recht an der Universität Münster, der schon mehrfach als Sachverständiger im Bundestag aufgetreten ist, hält die Argumentation für "Unsinn". Das IT-Grundrecht gelte vom Anfang einer Kommunikation bis zu ihrem Ende, daran ändere auch die Interpretation der Bundesregierung nichts. Die Quellen-TKÜ bedeutete einen "massiven Eingriff" in das Grundrecht.