Das Verfassungsgericht zur Online-Durchsuchung
27. Februar 2008 / von Leonidas / Seite 1 von 1
Am heutigen Mittwoch hat es endlich das lange erwartete Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung gegeben. Wie bekannt, sollten die Verfassungsrichter hierbei eigentlich nur über ein entsprechendes Gesetz des Bundeslandes Nordrhein-Westfalen befinden, aber natürlich befasste man sich nicht nur mit diesem einzelnen Gesetz allein, sondern auch mit der gesamten Themenlage. Daher ist der Richterspruch nicht nur indirekt, sondern sogar ausdrücklich verwendbar für ähnliche Gesetzesvorhaben in anderen Bundesländern wie auch im Bund, zudem wurden durch die Grundsätzlichkeit des Urteils auch für artverwandte Gesetzesvorhaben der Zukunft bereits einige rechtliche Eckpfeiler geschaffen.
Denn positiverweise haben die Verfassungsrichter deutlich mehr gesagt als sich nur auf jenes NRW-Gesetz zu beziehen, mit welchem die Online-Durchsuchung wie auch die sogenannte Quellen-Telekommunikationsüberwachung (Abhören einer verschlüsselten IP-Telefonverbindung mittels Trojaner auf dem PC, entspricht technisch der Online-Durchsuchung, nur daß eben nur Telefoniedaten verfolgt werden) rechtlich bereits in Nordrhein-Westfalen möglich ist(bzw. nunmehr war). Jenes Gesetz wurde zuerst einmal deutlich als verfassungswidrig zurückgewiesen, es genügt gleich in mehrfacher Weise nicht dem Grundgesetz.
Wie gesagt blieb es aber nicht bei einer einfachen Ablehnung, vielmehr erklärte das Bundesverfassungsgerichts eine Reihe von neuen rechtlichen Grundsätzen. Der hauptsächlichste ist hierbei das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, technisch eingegliederte in das allgemeine Persönlichkeitsrecht. Damit wird ein deutlicher rechtlicher Schritt getan, welcher die bisher bestehende Grundrechte-Charta um ein auf die Belange des Informationszeitalters ausgerichtete neues Grundrecht erweitert. Das neue Grundrecht, welches allerdings derzeit noch in keinen Gesetzestext gegossen ist und daher nur in dem (rechtlich allerdings gleichwertigen) Grundsatz-Urteil aus Karlsruhe besteht, soll grob gesagt die Hoheit des Nutzers von informationstechnischen Systemen rechtlich absichern.
Informationstechnische Systeme sind dabei prinzipiell alle Systeme, welche Informationen verarbeiten können - für eine Firma sind das deren Industrie-Computer, das Büro-Netzwerk sowie die informationstechnische Ausstattung der Mitarbeiter (Handys, Notebooks), für den Privatbürger fallen darunter Heim-PC, Handy und andere technische Spielereien, sofern sie halt in weitestem Zusammenhang der IT-Welt zugehören. Selbst ein Kühlschrank, welcher mit dem Internet verbunden ist, würde unter diese Regelung fallen - und dies nicht einmal zu Unrecht, denn über den unberechtigten Zugriff auf dieses "informationstechnische System" würden sich schließlich Daten über die Essgewohnheiten des Benutzers ermitteln lassen, welche nicht nur für Werbetreibende, sondern auch aus medizinischer Sicht interessant sein könnten.
Jenes neue Grundrecht ist nun natürlich noch nicht wirklich ausformuliert - allerdings ist dies bei Grundrechten sowieso selten, deren genauer Wirkungsraum ergibt sich in aller Regel erst durch weitere Urteile zu Streitfällen. Die faktische Deklarierung dieses Grundrechts gibt aber den Richtern in späteren Fällen die Möglichkeit, sich auf dieses Grundrecht zu beziehen und daher auch ganze Gesetzesvorlagen (oder Teile davon) zu Fall zu bringen. Insofern ist hiermit ein großer, vorher in dieser Form eigentlich nicht erwarteter Schritt getan worden, welcher sich sicherlich in Zukunft noch als sehr nützlich erweisen wird.
Ein konkreter Nutzen ergibt sich so schon, wenn unsere Ermittlungsbehörden wie üblich einmal neue technische Möglichkeiten einfach so ausnutzen, ohne daß diese durch ein Gesetz gedeckt wären oder man sich vorher eine richterliche Rückendeckung eingeholt hätte. Ein Beispiel hierfür ist der bekannte IMSI-Catcher zum Überwachen von Handy-Telefonaten, welcher auch jahrelang ohne jede gesetzliche Grundlage eingesetzt wurde. Einer solchen Praxis sollte die Deklaration des Grundrechts auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme eigentlich einen klaren Riegel vorschieben, weil ab sofort solcherart Methoden automatisch gegen dieses neue Grundrecht verstoßen.
Noch viel relevanter ist aber, daß damit die Quellen-Telekommunikationsüberwachung als (angebliche) Maßnahme der gewöhnlichen Telefonüberwachung illegal wird. Einige Bundesländer haben diese Maßnahme unter dem Schutz der Telefonüberwachungs-Gesetzgebung eingesetzt, obwohl sie technisch dem Weg des Bundestrojaners entspricht und damit für diese Maßnahme eigentlich keine ausreichende Rechtslage existiert. Diese Praxis ist nunmehr verfassungswidrig - wer die Quellen-Telekommunikationsüberwachung einsetzen will, benötigt dieselbe rechtliche Grundlage wie für eine Online-Durchsuchung, kann diese Maßnahme nun also nicht mehr einfach so als von den Telefonüberwachungs-Gesetzen gedeckt ausgeben.
Allerdings hat das Bundesverfassungsgericht im Gegenzug für dieses neue Grundrecht auch eine kleine, aber klar definierte Lücke offengelassen, nach welcher dieses neue Grundrecht von Vater Staat doch wieder gebrochen werden darf. Was sich beim ersten Lesen gefährlich anhört, ist allerdings der absolute Normalfall - es gibt nur sehr wenige Grundrechte, für welche es keine Ausnahmeregelungen für bestimmte Situationen gibt. Wichtig ist in solchen Fällen in erster Linie, daß die Ausnahmen gut begründet und eng genug formuliert sind, so daß Mißbrauch wie auch schleichender Aushöhlung vorgebeugt werden kann.
Und zwar kann dann dieses Grundrecht vorübergehend für einzelne Personen außer Kraft gesetzt werden, wenn in einem konkreten Fall "überragend wichtige Rechtsgüter" wie Menschenleben oder der Bestand des Staates konkret gefährdet sind. Genau trifft dies nach unserem derzeitigen Kenntnisstand auf die folgenden Fälle zu:
- konkrete Vorbereitung oder/und Ausführung von Totschlag, Mord oder Geiselnahme
- konkrete Vorbereitung oder/und Ausführung terroristischer Taten sowie ähnlicher Taten, welche den Bestand des Staates gefährden
Dies bedeutet nach unserem Rechtsverständnis beispielsweise auch, daß das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme im Fall der reinen Aufklärung einer der vorgenannten Straftaten nicht aufgehoben werden kann. Die Ausnahme gilt allein nur dann, wenn Menschenleben in Gefahr sind - und dann wie gesagt unter den sehr hohen Auflagen, daß es sich um eine konkrete Vorbereitung oder aber die Durchführung der Straftat handelt. Diesen harten Einschränkungen sind sehr wichtig, weil gerade gerade mit dem Terrorismus-Vorwurf hierzulande leider auch hier und da mal einfache Systemkritiker in die Mangel genommen wurden und werden.
Leider ist gerade ein einfacher Terrorismus-Vorwurf (d.h. keine konkrete Straftat, sondern einfache Unterstützung) ziemlich einfach zu konstruierten, unglücklicherweise ermöglicht dieser Vorwurf den Ermittlungsbeamten aber auch die weitreichendsten Möglichkeiten an "Maßnahmen". In diesem Fall ist diese Praxis nun glücklicherweise nicht anwendbar, da dem Verdächtigen bereits eine konkrete Tatvorbereitung (oder eben Ausführung) zur Last zu legen sein muß, ehe für diesen das genannte Grundrecht vorübergehend außer Kraft gesetzt werden kann. Es reicht hier also nicht der wirklich einfach zu konstruierende Vorwurf der "Mitgliedschaft in einer terroristischen Vereinigung" aus. Was eigentlich der Normalfall sein sollte - es muß jedoch extra betont werden, denn leider gibt es gerade in unseren Tagen hierfür negative Gegenbeispiele.
Darüber hinaus existiert natürlich noch ein Richtervorbehalt - allerdings war dieser erwartet wurden und stellt in der Rechtspraxis der Bundesrepublik Deutschland leider keine große Hürde mehr dar. Sofern diese letzte Hürde übersprungen ist, kann aber auch das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zeitweilig für einzelne Personen ausgesetzt werden, was dann auch in einer heimlichen Online-Durchsuchung durch Vater Staat münden kann. Bevor sich die staatlichen Ermittler allerdings auf diese Möglichkeit stürzen, braucht es dafür natürlich noch einer gesetzlichen Grundlage, welche allerdings allem Anschein nach in Kürze durchgeboxt werden dürfte.
Was ist damit nun gewonnen oder verloren? Gewonnen wurde zumindest über das neue Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme reichlich - wir gehen davon aus, daß dieses in Zukunft noch oftmals bemüht werden wird, um die Grenze zwischen den Interessen des Staates und denen der Bürger zu ziehen. Auf der anderen Seite hat das Bundesverfassungsgericht die Online-Durchsuchung aber auch nicht grundsätzlich ausgeschlossen, sondern in (durchaus nachvollziehbaren) Fällen sogar zweifelsfrei ermöglicht.
Dabei hätte es allerdings durchaus noch Ansatzpunkte gegeben, die Online-Durchsuchung auch ganz radikal zu verbieten. Beispielsweise ist das durch einen Fremd-Eingriff in eben jene informationstechnischen Systeme entstehende IT-Sicherheitsriko bisher nirgendwo ernsthaft zur Sprache gekommen. Immerhin wird hierbei (ganz egal wie man es macht) das Zielsystem in jedem Fall und immer komprimitiert - und wenn man sich so einige staatliche IT-Projekte ansieht, dann sollte man diesen Punkt wohlweislich nicht auf die leichte Schulter nehmen ;). Relevant ist dabei vor allem, daß dies ein gehöriger Qualitätsunterschied zu anderen Überwachungsmaßnahmen ist, wo möglicherweise Gespräche abgehört oder eMails mitgelesen werden, aber niemals in den Rechner der Zielperson eingegriffen wird.
Denn möglich an Schaden ist dabei alles: Über ausversehen gelöschte wichtige Daten bis hin zum Einfangen von Trojanern, welche dieselbe Sicherheitslücke nutzen, über welche die Online-Durchsuchung hereingekommen ist - oder vielleicht sogar die Software zur Online-Durchsuchung direkt anzapfen. Über mögliche Folgeschäden sowie eventuellen Schadensersatzforderungen nach Online-Durchsuchungen hat sich von staatlicher Seite aus allerdings noch niemand irgendwelche Gedanken gemacht - was auch folgerichtig ist, denn dann würde automatisch auch die Frage auftauchen, was man da denn eigentlich tut. Schade ist in diesem Zusammenhang genauso, daß auch das Bundesverfassungsgericht auf diesen Punkt bisher nicht eingegangen ist und nicht neben dem Richtervorbehalt den staatlichen Ermittlern auch eine Schadensersatzpflicht bei eventuell aufgetretenen Schäden nach einer Online-Durchsuchung aufgebrummt hat.
Ein anderer Ansatzpunkt gegenüber der Online-Durchsuchung ist der Vertrauensverlust der Bürger gegenüber dem Staat bei einer solch invasiven Maßnahme. Hier kommt entscheidend hinzu, daß die Online-Durchsuchung durch die in Karlsruhe gesetzten Standards nur für wenige Fälle von schwerster Kriminalität sowie konkreten Terrorismus-Absichten einsetzbar ist - ergo bei einem Personenkreis, welcher sich üblicherweise mehr als ausreichend gegenüber so etwas absichert. In der Summe könnte der Erfolg dieser Maßnahme so gering sein, daß sie sich faktisch nicht lohnt - jedenfalls nicht, wenn man wie gesagt den Vertrauensverlust der Bürger in den Staat gegenrechnet. Dies wird sicherlich nicht jeden Bürger betreffen, aber es ist generell nicht von der Hand zu weisen, daß ein solcher Effekt da ist.
Auf der anderen Seite sind diese Fälle, wo das Bundesverfassungsgericht die Online-Durchsuchung nun doch möglich gemacht hat, wirklich an einer Hand abzuzählen und dürften damit auf keine nennenswerte Stückzahl im Jahr kommen sowie aller Wahrscheinlichkeit nicht die falschen Personen treffen. Dies läßt sich ergo durchaus als großen Erfolg werten, zieht man wie gesagt die Deklaration des neuen Grundrechts mit hinzu. Demzufolge können wir auch locker darauf verzichten, in diesem Artikel zu erklären, wie (einfach) man sich vor der Online-Durchsuchung schützt - wir gehen schlicht mal davon aus, daß dies auf dieser Rechtbasis nie für einen unserer Leser relevant sein wird.
Natürlich kann damit keine Gewissheit für die Ewigkeit gegeben werden, ist die Angelegenheit jederzeit wachsam zu begleiten. Erstens einmal kann Ermittler-Praxis jederzeit anders aussehen als die Gesetzes-Theorie und zweitens können sich Gesetze schließlich auch ändern. Der Online-Durchsuchung ist hier sicherlich das Schicksal der Telefonüberwachung zu ersparen, die in den 50er Jahren mal als "Ausnahme" für besonders schwere Straftaten erlaubt wurde, welche aber durch scheibchenweise Gesetzesänderungen die Bundesrepublik Deutschland inzwischen zum unangefochtenen Abhör-Weltmeister mit jährlich neuen Abhörmaßnahme-Rekordzahlen gemacht hat.
Festgehalten werden kann allerdings, daß zumindest für eine absehbare Zeit verhindert worden ist, daß es eine Online-Durchsuchung im Sinne einer Gesinnungsprüfung gibt, wie sie von einigen Politikern teilweise angestrebt wurde. Bei dieser Idee der Gesinnungsprüfung sollte die Online-Durchsuchung weniger eingesetzt werden, um konkrete Straftaten zu verhindern, sondern eben in die Leute bzw. deren ausgelagertes Gehirn in Form des Computers hineinzuschauen. Und auch wenn dies bei einigen speziellen Fällen durchaus manchmal nutzvoll erscheinen mag, erinnert diese Idee doch zu deutlich an das Gebaren der Stasi in der DDR. Solcherart breitester Anwendung der Online-Durchsuchung hat das Bundesverfassungsgericht heute aber einen ausgesprochen kräftigen und hoffentlich lang anhaltenden Riegel vorgeschoben.
Nachtrag vom 28. Februar 2008:
Zum gestern eigentlich schon behandelten Urteil des Bundesverfassungsgerichts zur Online-Durchsuchung noch ein paar Nachträge: Erstens einmal hat das mit dem Urteil deklarierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht nur die beschriebenen Auswirkungen auf das Verhältnis der Bürger zum Staat, sondern auch auf das Verhältnis der Bürger zur Privatwirtschaft. Denn auch diese wird zukünftig dieses Grundrecht beachten müssen und kann nicht mehr einfach so jede Idee umsetzen, für welche es kein spezielles gesetzliches Verbot gibt. Dies gilt beispielsweise für diverse Auswüchse von Trusted Computing, wo dem Nutzer unbemerkt die Kontrolle über das eigene Systeme entzogen werden soll. Inzwischen ist die Industrie zwar aufgrund energischer Proteste von solcherart Plänen offiziell abgerückt, das neue Grundrecht steckt aber gleich einmal für zukünftige ähnliche Überlegung den rechtlichen Rahmen ab.
Ein zweiter wichtiger Punkt ist, daß das Bundesverfassungsgericht mit seiner Differentierung, wo das genannte Grundrecht dann doch ausnahmsweise aufgehoben werden kann, indirekt auch eine Aussage zur Frage getroffen hat, ob jegliche Ermittlungsmaßnahme eingesetzt werden soll, sofern sie nur Nutzen verspricht. Dies ist gern die Argumentation der Sicherheitsbehörden und auch einiger Politiker, diesem hat das Bundesverfassungsgericht aber eine gehörige Abfuhr erteilt: So darf das neue Grundrecht nur noch bei einer konkreten Gefahr aufgehoben werden - und wenn diese Gefahr vorbei ist, hat auch der Grundrechtseingriff zu unterbleiben. Konkret bedeutet dies, daß beim Verdacht auf ein konkret geplantes Tötungsdelikt online-durchsucht werden darf, bei der Aufklärung einer begangenen gleichwertigen Tat dieses Untersuchungsmittel aber schon wieder tabu ist.
Was sich erst einmal widersprüchig anhört, hat durchaus seinen Sinn: Das Bundesverfassungsgericht gibt dem neuen Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme als Teil des allgemeinen Persönlichkeitsrechts einen so hohen Rang, daß prinzipiell erst einmal keinerlei Ausnahmen vorgesehen sind. Nur dann, wenn sich eine konkret geplante Tat verhindern läßt, wird dieses ausnahmsweise doch zulässig. Der Aufhänger ist hierbei also nicht die Höhe der verfolgten Straftat, sondern nur der Punkt der Rettung von Leib und Leben. Damit gibt es die Online-Durchsuchung also nicht als reguläre Maßnahme zur Straftatenaufklärung - womit wie gesagt indirekt auch ausgesagt wird, daß mitnichten jede erfolgversprechende Maßnahme auch benutzt werden darf. Gerade die hier dem Urteilsspruch zugrundeliegende Idee der freiwilligen Möglichkeits-Beschneidung dürfte sich als Richtschnur für ähnliche Fälle in der Zukunft noch bezahlt machen.
Und letztlich müssen wir uns im Fall der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) noch etwas korrigieren: Diese ist gemäß Richterspruch nun doch erlaubt und wird auch nicht direkt der Online-Durchsuchung zugehörig gesehen. Dies allerdings unter der Voraussetzung, daß mittels der Quellen-TKÜ keine anderen Inhalte des Zielcomputers betroffen sind oder abgehört werden können. Hier wird es entscheidend darauf ankommen, wie man diese Aussage letztlich auslegt - denn rein technisch entspricht die Quellen-TKÜ einwandfrei einer Online-Durchsuchung. Daß sich die Ermittler bei einer Quellen-TKÜ freiwillig die Verpflichtung auferlegen, nur Telefongespräche mitzuhören, ändert an der technischen Konstellation erst einmal gar nichts.
Somit stellt sich die Frage, ob es überhaupt möglich ist, eine Quellen-TKÜ durchzuführen, ohne das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme zu verletzen - wenn dabei irgendwelche Dateien auf den Zielcomputer übertragen werden, erscheint dies eigentlich unmöglich mit diesem Grundrecht vereinbar. Denn das Grundrecht bezieht sich schon des Namens her auf die Integrität von IT-Systemen - wenn da auf dem eigenen Computer eine polizeiliche Software zur Telefonüberwachung schlummert, widerspricht dies schon dem Namen des Grundgesetzes, selbst wenn wirklich und ausschließlich nur Telefoniedaten mitgeschnitten werden. Wenn, dann erscheint eine Quellen-TKÜ nur mit dem neuen Grundrecht vereinbar, wenn man nicht direkt in den für die Telefonverbindung benutzten Computer einsteigt - was dann wiederum an der Verschlüsselung von Voice-over-IP-Verbindungen scheitern sollte.
Dieser Punkt der Quellen-Telekommunikationsüberwachung ist bislang unserer Meinung nach noch halbgar geklärt, weil das Bundesverfassungsgericht diese zum einen als zulässig erklärt hat, andererseits diese Maßnahme in der heutigen Durchführungsform (mittels Trojaner) sich automatisch mit dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme beißt. Sollte das Bundesverfassungsgericht wirklich meinen, das ein Trojaner-Einsatz nur für die Quellen-TKÜ nicht das neu deklarierte Grundrecht verletzen würde, wäre jenes in der Tat nur halb so viel wert. In diesem Punkt bleibt die Angelegenheit also weiterhin spannend - noch dazu, wo unsere Strafermittler und Verfolger von vermeintlichen, echten und einfach mal so deklarierten Terroristen in Zukunft die Quellen-TKÜ sicherlich noch viel häufiger einsetzen wollen, da Voice-over-IP nun einmal weiterhin rasant an Bedeutung gewinnt.
Nachtrag vom 7. März 2008:
Der Kurier berichtet über einen Fall, wo die Online-Durchsuchung auch schon in Österreich in einem Fall von Terrorismus-Verdacht angewandt wurde. Zwar gibt es in Österreich ebenso wie in Deutschland noch keine gesetzliche Grundlage, die Ermittler beriefen sich allerdings auf den (richterlich für diesen Fall erlaubten) großen Lauschangriff, um auf den Computer des Verdächtigen eine Software zu schleusen, welche die Tastatureingaben protokollierte und aller 60 Sekunden einen Screenshot des Bildschirms schoss. Über den ermittlungstechnische Sinn dieser Maßnahme können wir mangels weiterer Informationen zu diesem konkreten Fall kaum urteilen, mitzunehmen ist aus diesem Einzelfall aber vor allem die Kreativität der Beamten zur Verschleierung der Tatsache, daß man es mit einer der Online-Durchsuchung gleichzusetzenden Maßnahme zu tun hat.
Insbesondere hervorzuheben ist dabei die Aussage eines Ermittlers vor Gericht, wonach es sich schließlich nicht um eine Online-Durchsuchung, sondern "nur" um eine "Online-Überwachung" gehandelt hätte. Dies ist allerdings aus zweierlei Sicht Nonsens: Erstens einmal ist eine Live-Überwachung faktisch noch invasiver als nur das nachträgliche Durchfilzen einer Festplatte. Und zweitens sind die technischen Ansetzungen bei beiden Maßnahmen die absolut selben: Es wird ohne Wissen des Computer-Besitzers (was der Beamte vor Gericht im übrigen erstaunlicherweise bestritt) eine Software auf dessen Computer gebracht, welche diesen in der einen oder anderen Form ausspioniert. Ob man sich hierbei dann auf Live-Daten beschränkt oder gleich die komplette Festplatte filzt, ist nur noch eine Unterscheidung niedrigeren Ranges - noch dazu, wo es technisch keinerlei Unterschied gibt, dieselbe Spionage-Software prinzipiell für alle diese Zwecke eingesetzt werden kann.
Dieses Beispiel aus Österreich zeigt damit, daß der Fall Online-Durchsuchung leider noch lange nicht ausgestanden ist - vielmehr weichen die Überwachungs-Beführworter einfach auf andere Namensnennungen aus. In Österreich erfindet man so die "Online-Überwachung", in Deutschland die "Quellen-TKÜ". Beide Möglichkeiten sollen dann an weniger Regeln gebunden werden, womit den Ermittlern ein höherer Spielraum zum Einsatz solcherart Maßnahmen bleibt. Beide Möglichkeiten verletzen aber weiterhin strikt das zumindest in Deutschland deklarierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme - denn ob man mit diesen nur bestimmte Daten erfasst, ändert nichts daran, daß durch diese die Integrität des jeweiligen Computers zweifelsfrei komprimitiert wird. Aufgrund des vorgenannten Grundrechts müssten also auch in diesen Fällen, wo weniger Daten erhoben werden als durch einen kompletten Festplatten-Scan möglich, die gleichen hohen gesetzlichen Hürden wie bei der regulären Online-Durchsuchung gelten. Setzt sich diese Auslegung nicht durch, dann kommt die Online-Durchsuchung dann doch noch - durch die Hintertüren "Online-Überwachung" oder "Quellen-TKÜ".