Einsatz von Spähsoftware bei der Strafverfolgung (Quellen-Telekommunikationsüberwachung und Online-Durchsuchung)
der Abgeordneten Katja Keul, Dr. Konstantin von Notz, Luise Amtsberg, Canan Bayram, Britta Haßelmann, Monika Lazar, Irene Mihalic, Filiz Polat, Tabea Rößner, Dr. Manuela Rottmann und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Das Straf- und Strafverfahrensrecht als schärfster Eingriff des Staates in das Freiheitsrecht erfordert strikte Wahrung von Rechtsstaatlichkeit und Grundrechten der Verfahrensbeteiligten wie aller Bürgerinnen und Bürger. Nur auf dieser Grundlage sind Effektivität, Praxistauglichkeit und Anpassung an moderne technische Möglichkeiten Maßstäbe der Modernisierung der Strafprozessordnung.
Die von der Großen Koalition 2017 in die Strafprozessordnung (StPO) eingefügte Regelung der Ermittlungsmaßnahmen Quellen-Telekommunikationsüberwachung (TKÜ) und Online-Durchsuchung werden nach Ansicht von Rechtswissenschaftlern und Sachverständigen für Informationstechnik den rechtsstaatlichen und grundrechtlichen Herausforderungen der Digitalisierung nicht gerecht und erscheinen bei Einhaltung der Vorgaben der StPO und des Grundgesetzes als praktisch unanwendbar (vgl. Buermeyer, Stellungnahme zur Anhörung des Ausschusses für Recht und Verbraucherschutz am 31. Mai 2017 (www.bundestag.de/ausschuesse/ausschuesse18/a06/anhoerungen/ stellungnahmen/508846), Stellungnahme Chaos Computer Club (Neumann, Kurz, Rieger) ebenda, Blechschmitt, Zur Einführung von Quellen-TKÜ und Online-Durchsuchung, Strafverteidiger-Forum 2017 S. 361-365, Stellungnahme Chaos Computer Club vom 4. Februar 2018 zur Anhörung im Innenausschuss des Hessischen Landtages, Ausschussvorlage INA 19/63 Teil 3, S 290 ff. (https://hessischer-landtag.de/content/innenausschuss-anhoerung-zum-verfassungsschutz)).
Denn bislang ist es offenbar weder dem eine Quellen-TKÜ oder Online-Durchsuchung anordnenden Gericht noch der die Maßnahme beantragenden oder bei Gefahr im Verzug zunächst entscheidenden Staatsanwaltschaft sowie der durchführenden Behörde sicher möglich, sich Gewissheit über die Gesetzes- und Verfassungskonformität der für die informationstechnische Überwachung jeweils eingesetzten Software (im Folgenden abgekürzt: Spähsoftware) zu verschaffen. Sichere IT-Infrastrukturen und durchgehend hohe Verschlüsselungsstandards dürfen nicht gefährdet werden. Insbesondere nötig sind strikte Beachtung des vom Bundesverfassungsgericht (BVerfG) aus dem allgemeinen Persönlichkeitsrecht hergeleiteten Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, des Grundsatzes der Verhältnismäßigkeit sowie der Nachrangigkeit solcher Ermittlungsmaßnahmen vor anderen Erkenntnismöglichkeiten.
Wir fragen die Bundesregierung:
Fragen22
In wie vielen Fällen haben Bundesbehörden bisher im Auftrag der Bundesanwaltschaft oder in Amtshilfe für Landesstrafverfolgungsbehörden und jeweiliger zugrunde liegender Anordnungen Spähsoftware a) zur Quellen-TKÜ (§ 100a Absatz 1 Sätze 2 und 3 StPO) und b) zur Online-Durchsuchung (§ 100b StPO), c) bei der Verfolgung jeweils welcher Anlasstaten eingesetzt (bitte aufschlüsseln nach jeweiliger Rechtsgrundlage, Anlasstat, durchführender Bundesbehörde)?
In wie vielen Fällen richtete sich die Maßnahme gemäß Frage 1 gegen a) Beschuldigte, b) Angeschuldigte und c) Angeklagte?
In wie vielen Fällen wurden Erkenntnisse, die aufgrund von Maßnahmen gemäß Frage 1 gewonnen wurden, in Verfahren berücksichtigt, die sich nicht gegen Personen gemäß Frage 2 richteten?
In wie vielen Fällen gemäß Frage 1 wurden Informationen nicht verwendet, da sie den Kernbereich privater Lebensführung betrafen, und in wie vielen Fällen wurden Informationen, die bereits Eingang in Ermittlungsakten gefunden hatten, aus diesem Grund später ausgeschlossen?
Wie können sich nach Kenntnis der Bundesregierung das eine Quellen-TKÜ anordnende Gericht und die die Maßnahme beantragende oder bei Gefahr im Verzug zunächst entscheidende Staatsanwaltschaft sowie die durchführenden Behörden Gewissheit darüber verschaffen, dass wie in der StPO vorgeschrieben technisch sichergestellt ist,
a) dass ausschließlich die laufende Telekommunikation überwacht und aufgezeichnet werden kann (§ 100a Absatz 5 Satz 1 Nummer 1a StPO) oder d) dass ausschließlich gespeicherte Inhalte und Umstände der Kommunikation, die ab der TKÜ-Anordnung während des laufenden Übertragungsvorgangs hätten überwacht und aufgezeichnet werden können, überwacht und aufgezeichnet werden können (§ 100a Absatz 5 Satz 1 Nummer 1b StPO) und die Quellen-TKÜ nicht zu einem Vollzugriff auf Inhalte und Ressourcen des Zielsystems führt und damit faktisch eine rechtswidrige Online-Durchsuchung bedeutet;
b) dass am Zielsystem nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind (§ 100a Absatz 5 Satz 1 Nummer 2 StPO) und die vorgenommenen Veränderungen am Zielsystem soweit technisch automatisch rückgängig gemacht werden (§ 100a Absatz 5 Satz 1 Nummer 3 StPO)?
Wie können sich nach Kenntnis der Bundesregierung das eine Quellen-TKÜ anordnende Gericht und die die Maßnahme beantragende oder bei Gefahr im Verzug zunächst entscheidende Staatsanwaltschaft sowie die durchführenden Behörden Gewissheit darüber verschaffen, dass
a) die Spähsoftware („das eingesetzte Mittel“ in der Terminologie der StPO) nach dem Stand der Technik gegen unbefugte Nutzung geschützt ist (§ 100a Absatz 5 Satz 2 StPO) und
b) die Maßnahme nicht unzulässig ist, weil sie allein den Kernbereich privater Lebensgestaltung betrifft (§ 100d Absatz 1 StPO)?
Wie können sich nach Kenntnis der Bundesregierung das eine Online-Durchsuchung anordnende Gericht und die die Maßnahme beantragende Staatsanwaltschaft sowie die durchführenden Behörden Gewissheit darüber verschaffen, dass wie in der StPO vorgeschrieben
a) soweit möglich technisch sichergestellt ist, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden (§ 100d Absatz 3 Satz 1 StPO),
b) technisch sichergestellt ist, dass am Zielsystem nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind (§ 100b Absatz 4 i. V. m § 100a Absatz 5 Satz 1 Nummer 2 StPO),
c) die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisch rückgängig gemacht werden (§ 100b Absatz 4 i. V. m. § 100a Absatz 5 Satz 1 Nummer 3 StPO), und
d) die Spähsoftware („das eingesetzte Mittel“ in der Terminologie der StPO) nach dem Stand der Technik gegen unbefugte Nutzung geschützt ist (§ 100b i. V. m. § 100a Absatz 5 Satz 2 StPO)?
Was bedeutet es für die bei Maßnahme-Antrag und Maßnahme-Anordnung vorzunehmenden Verhältnismäßigkeitsabwägungen, wenn eine Rückgängigmachung (siehe Fragen 5b und 7c) technisch nicht oder nicht vollständig möglich ist?
Wenn eine von einer Privatfirma erstellte Spähsoftware eingesetzt werden soll, wie wird nach Kenntnis der Bundesregierung sichergestellt, dass die eingesetzte Spähsoftware die einzelnen Vorgaben der StPO (siehe Fragen 5 bis 7) einhält?
Liegt nach Kenntnis der Bundesregierung einer die Maßnahme beantragenden Staatsanwaltschaft und einem die Maßnahme anordnenden Gericht sowie den durchführenden Behörden eine von unabhängiger Stelle erstellte Zertifizierung darüber vor, dass die eingesetzte Spähsoftware die einzelnen Vorgaben der StPO (siehe Fragen 5 bis 7) einhält?
Welche Stelle erstellt ggf. eine Zertifizierung (Frage 10) und ist diese Stelle aufgrund welcher Gestaltung unabhängig?
Bedeutet die Antwort der Bundesregierung zu den Fragen 30 bis 32 der Kleinen Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN auf Bundestagsdrucksache 19/1434 (S. 11 und 12), dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Quellcodes der Spähsoftware
a) zugänglich waren oder sind,
b) nicht zugänglich waren oder sind, und im Falle b), warum nicht?
Ist die in der zu Frage 12 bezeichneten Antwort der Bundesregierung mehrfach erwähnte externe Überprüfung von Spähsoftware auf Gesetzeskonformität überhaupt geeignet und in der Lage, die Einhaltung der einzelnen Vorgaben der StPO (siehe Fragen 5 bis 7) festzustellen, oder handelt es sich um eine Überprüfung auf lediglich – wie in der vorgenannten Antwort formuliert – „Einhaltung der geforderten Rahmenbedingungen“ und damit um eine allgemeine und nicht im Hinblick auf die Vorgaben der StPO spezifische Überprüfung?
Ist nach Kenntnis der Bundesregierung einer die Maßnahme beantragenden Staatsanwaltschaft und einem die Maßnahme anordnenden Gericht dabei eine eigene Prüfung der Spähsoftware möglich und ggf. anhand welcher Informationen? Oder müssen Staatsanwaltschaft und Gericht sich ausschließlich auf die Angaben der die Maßnahme durchführenden Behörden verlassen?
Wird nach Kenntnis der Bundesregierung der die Maßnahme beantragenden Staatsanwaltschaft und dem die Maßnahme anordnenden Gericht, ggf. auf Verlangen, der Quellcode der Spähsoftware zur Verfügung gestellt, und wenn nein, warum nicht?
Wenn zum Aufspielen der Spähsoftware – Fälle kriminalistischer List ausgenommen – bislang unbekannte Schutzlücken des Zielsystems genutzt werden, der Staat sich also als Hacker betätigt, wie wirken sich nach Kenntnis der Bundesregierung dann die vielfach beschriebene Gefährdung der IT-Sicherheit insgesamt durch dieses Vorgehen (etwa: Pohlmann/Riedel, Quellen-TKÜ als Gefahr für die allgemeine IT-Sicherheit, in: Deutsche Richterzeitung Heft 2/2018, S. 52 ff.) und die Schutzpflicht des Staates für die IT-Sicherheit auf die Rechtmäßigkeits- und Verhältnismäßigkeitsprüfung der die Maßnahme beantragenden Staatsanwaltschaft bzw. des anordnenden Gerichts aus? Rechtfertigt zum Beispiel die Verfolgung eines Bandendiebstahls als möglicher Anlasstat einer Online-TKÜ oder Online-Durchsuchung (§§ 100a Absatz 2 Nummer 1j, 100b Absatz 2 Nummer 1h StPO) eine Gefährdung der IT-Sicherheit insgesamt?
Umfasst die von der StPO geforderte gerichtliche Anordnung der Maßnahme jeweils das Aufspielen der Spähsoftware auf das Zielgerät zusammen mit dem Ausleiten der Daten, oder kann die Spähsoftware zum Zeitpunkt der Beantragung und/oder Anordnung der Maßnahme schon auf das Zielgerät aufgespielt sein und sich die Beantragung bzw. Anordnung auf das Zulassen des Ausleitens beschränken und so der Richtervorbehalt ausgehöhlt werden? Wie sind die diesbezüglichen Ausführungen in der Gesetzesbegründung zu verstehen (Bundestagsdrucksache 18/12785, S. 51/52)?
Können (ggf. mit welchen Mitteln) – angesichts des Umstandes, dass sich auf insbesondere mobilelektronischen Geräten vielfachst Daten sozusagen des „ganzen Lebens“ der Zielpersonen und vieler anderer Personen (ggf. unbeteiligter Dritter) befinden –
a) Kernbereich der Lebensgestaltung und sonstige Daten überhaupt voneinander klar getrennt werden,
b) dieser Kernbereich bei der Online-TKÜ und der Online-Durchsuchung überhaupt geschützt und
c) mithin insgesamt die Anforderung des BVerfG insoweit erfüllt werden (bitte ggf. Ablauf und Sicherung genau beschreiben)?
Inwiefern ist die u. a. im Fall der Oldschool Society angewandte Ermittlungsmethode, heimlich ein weiteres Smartphone zum Mithören anzumelden, aus kriminalistischer Sicht (ggf. nach Einschätzung der Bundesregierung) geeignet, eine Quellen-TKÜ-Maßnahme auf dem jeweiligen Zielgerät zu ersetzen?
In wie vielen Fällen wurde die Ermittlungsmethode in Frage 19 in den letzten drei Jahren nach Kenntnis der Bundesregierung angewandt?
Welche Kosten insgesamt sind seit 2015 für die Entwicklung und den Ankauf von Spähsoftware sowie den Ankauf von Sicherheitslücken entstanden?
Ist die Kostenangabe in www.sueddeutsche.de/digital/ueberwachung-polizeispioniert-handynutzer-mit-trojaner-aus-1.3842439 („In Haushaltsunterlagen für das Jahr 2017 beantragte das BKA Sachmittel im Umfang von 50 Millionen Euro, um die „operativen IT-Systeme“ zu verbessern. Der Smartphone-Trojaner wurde damals als „3. Produktlinie“ bezeichnet. Die erste und zweite Produktlinie galt Laptops und Desktop-Rechnern.“) zutreffend oder inwieweit unzutreffend, und welcher Betrag für operative IT-Systeme ist für den Haushalt 2018 angemeldet und mit welchen Jahresbeträgen in die Finanzplanung eingestellt?