JurPC Web-Dok. 5/2012 - DOI 10.7328/jurpcb/20122711

Florian Albrecht / Sebastian Dienst *

Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme - Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ **

JurPC Web-Dok. 5/2012, Abs. 1 - 65





Anlässlich seiner Entscheidung zur Online-Durchsuchung hat das Bundesverfassungsgericht festgestellt, dass mit der Infiltration eines komplexen informationstechnischen Systems mittels eines Trojaners die entscheidende Hürde genommen ist, um das System insgesamt auszuspähen und eine Online-Durchsuchung durchzuführen.
(1)
Die Installation eines Trojaners auf dem Zielrechner ist zugleich auch die Voraussetzung der Durchführung einer sog. Quellen-Telekommunikationsüberwachung (Quellen-TKÜ). Beide seitens der Sicherheitsbehörden eingesetzten Instrumentarien sind folglich eng miteinander verwandt. Angesichts der vom Gesetzgeber intendierten unterschiedlichen Eingriffsintensivität und der unterschiedlichen Ermächtigungsgrundlagen bedürfen Online-Durchsuchung und Quellen-TKÜ gleichwohl einer strikten Unterscheidung. Dies gelingt in der Praxis nicht immer.
(2)
Der vorliegende Beitrag erläutert die hinsichtlich der staatlich gesteuerten Infiltration informationstechnischer Systeme einschlägigen Ermächtigungsgrundlagen und geht auf die in diesem Zusammenhang aufgeworfenen Rechtsfragen ein.

JurPC Web-Dok.
5/2012, Abs. 1
A.   Einleitung
Ungeachtet der Verteidigung ihres Einsatzes durch die Politik(3) ist darauf hinzuweisen, dass sowohl die Online-Durchsuchung als auch die Quellen-TKÜ hinsichtlich ihrer Erforderlichkeit, Zweckmäßigkeit und technischen Durchführbarkeit äußerst umstritten sind.(4) Der Nachweis, dass mittels eines der beiden Instrumentarien einer der zu ihrer Legitimierung häufig angeführten Fälle von Terrorismus oder schwerster Kriminalität verhindert oder aufgeklärt worden wäre, wurde bislang nicht geführt. Baum/Schantz merken daher zu Recht kritisch an, dass die rechtspolitische Diskussion der Gebotenheit der Maßnahmen angesichts der Schwere des Eingriffs fortgeführt und deren Verhältnismäßigkeit kritisch hinterfragt werden muss.(5) Abs. 2
Die anzutreffende Realität ist indes eine andere: Der Gesetzgeber neigt dazu, den Ermittlungsbehörden sämtliche Überwachungsinstrumente zur Verfügung zu stellen, die technisch verfügbar(6) und im Rahmen der Vorgaben des Bundesverfassungsgerichts "modellierbar" sind. Thiel konstatiert in diesem Zusammenhang völlig zu Recht einen durch die politischen Entscheidungsträger vorangetriebenen stetigen Ausbau der Befugnisse der Sicherheitsbehörden(7), dem es an dem gebotenen Maß an Vorsicht und Skepsis gegenüber Grundrechtseingriffen mitunter völlig ermangelt.(8) Abs. 3
B.   Rechtsrahmen präventiver Online-Durchsuchungen
Unter einer Online-Durchsuchung versteht man den verdeckten, heimlichen Zugriff des Staates auf informationstechnische Systeme mittels der Kommunikationsnetze unter Zuhilfenahme einer Remote Forensic Software ("Trojaner").(9) Die Installation der zur Durchführung der Online-Durchsuchung benötigten Software wird regelmäßig auf elektronischem Wege oder vor Ort in den Räumlichkeiten des Betroffenen erfolgen.(10) Im Rahmen der Online-Durchsuchung müssen sich die getroffenen Maßnahmen nicht auf den einmaligen Zugriff auf den Zielrechner beschränken (Online-Durchsicht), sondern können sich auch auf die einen längeren Zeitraum andauernde Überwachung des Nutzerverhaltens und eventueller Änderungen erstrecken (Online-Überwachung).(11) Der enorme Eingriffscharakter, zugleich aber auch der Vorteil im Hinblick auf die Zielsetzung der Online-Durchsuchung, sind in der Heimlichkeit der Durchführung der Maßnahme zu verorten.(12) Abs. 4
Auch eine besonders eingriffsintensive Maßnahme wie die Online-Durchsuchung muss Grenzen aufweisen. So gilt es insbesondere zu beachten, dass die Überwachung des informationstechnischen Systems nicht zur Überwachung seines Nutzers mittels des Systems ausgeweitet werden darf.(13) Dies wäre bspw. im Rahmen des Zugriffs auf Mikrofone und Webcams möglich.(14) Eine solche akustische bzw. optische Überwachung ist als Eingriff in  Art. 13 Abs. 1 GG von den jeweiligen Ermächtigungsgrundlagen nicht gedeckt.(15) Abs. 5
Ermächtigungsgrundlagen zur Durchführung von Online-Durchsuchungen finden sich für das Bundeskriminalamt in § 20k BKAG sowie für Bayerische Polizei- und Verfassungsschutzbehörden in  Art. 34d Bay PAG bzw. Art. 6e Bay VSG. Die Online-Durchsuchung ist bundesweit bislang allerdings nur zum Zwecke der Gefahrenabwehr möglich. Ermächtigungsgrundlagen zur Durchführung repressiver Online-Durchsuchungen sind in der StPO nicht enthalten.(16) Abs. 6
I.   Vorgaben des Bundesverfassungsgerichts
Das Bundesverfassungsgericht hat im Rahmen seiner zum Gesetz über den Verfassungsschutz in Nordrhein-Westfalen ergangenen Entscheidung die rechtlichen Rahmenbedingungen der Online-Durchsuchung weitgehend festgelegt.(17) Hiernach ist eine Online-Durchsuchung nur dann zulässig, wenn
  • tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut (z.B. Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt) festgestellt werden;
  • die Maßnahme unter Richtervorbehalt gestellt ist;
  • Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung(18) getroffen wurden.
Abs. 7
Selbstverständlich müssen über diese speziellen Vorgaben des Bundesverfassungsgerichts hinausgehend auch der Grundsatz der Normenklarheit und Normenbestimmtheit sowie der Verhältnismäßigkeitsgrundsatz gewahrt werden. Abs. 8
II.   Online-Durchsuchung gem. § 20k BKAG
Mit § 20k BKAG wurde eine Rechtsgrundlage für einen präventiven verdeckten Eingriff zum Zwecke der kontinuierlichen Überwachung eines Zielrechners geschaffen.(19) Die Regelung der Online-Durchsuchung ist weitgehend an die Vorgaben des Bundesverfassungsgerichts angepasst.(20) Die Vorschrift dürfte sich im Rahmen einer verfassungsrechtlich gebotenen einschränkenden Auslegung in vielen Punkten als verfassungskonform erweisen.(21) Ernsthafte Bedenken bestehen allerdings hinsichtlich der verfassungskonformen Ausgestaltung von Abs. 7 der Vorschrift. Abs. 9
§ 20k Abs. 7 BKAG dient dem Schutz des Kernbereichs privater Lebensgestaltung und ordnet an, dass die Online-Durchsuchung unzulässig ist, wenn tatsächliche Anhaltspunkte für die Annahme vorliegen, dass durch die Maßnahme allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden. Soweit möglich, ist zudem technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Daten, die den Kernbereich privater Lebensgestaltung betreffen und dennoch erhoben wurden, dürfen zudem nicht verwertet werden und sind unverzüglich zu löschen. Abs. 10
Dass die Vorschrift für den verfassungsrechtlich gebotenen Schutz des Kernbereichs zu sorgen vermag,(22) ist durchaus fraglich. Insoweit setzt das Bundesverfassungsgericht nämlich voraus, dass gesetzliche Ermächtigungen zu einer Überwachungsmaßnahme, die den Kernbereich privater Lebensgestaltung berühren kann, so weitgehend wie nur möglich sicherstellen müssen, dass Daten mit Kernbereichsbezug nicht erhoben werden.(23) Im Gegensatz zum Erfordernis eines weitgehenden Kernbereichsschutzes lässt § 20k Abs. 7 BKAG eine Online-Durchsuchung nur dann nicht zu, wenn bei ihrer Durchführung "allein
" Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt würden. Eine solche Situation wird in der Praxis nur schwer anzutreffen sein.(24) Die Zulassung eines aus dem Kernbereich privater Lebensgestaltung stammenden "Beifangs" durch § 20k Abs. 7 BKAG ist mit den verfassungsrechtlichen Vorgaben nicht vereinbar.(25) Verfassungskonform wäre die Vorschrift allenfalls dann, wenn man das Wort "allein" im Rahmen verfassungskonformer Auslegung durch das Wort "auch
" ersetzen würde. Einer solchen Interpretation steht allerdings die Wortlautgrenze entgegen.
Abs. 11
III.   Online-Durchsuchung gem. Art. 34d Bay PAG
Auf landesrechtlicher Ebene findet sich die präventive Online-Durchsuchung bspw. in  Art. 34d Bay PAG geregelt.(26) Die mitunter verwirrende Regelung ist insbesondere vor dem Hintergrund der gebotenen Normenklarheit und Normenbestimmtheit äußerst bedenklich. So merkt Heckmann zutreffend kritisch an, dass es sich bei  Art. 34d Bay PAG "insgesamt […] um eine unmäßig lange, unübersichtliche und selbst für den geschulten Juristen ohne weitere Nachforschungen in Gesetzesbegründung und Kommentaren nicht mehr verständliche Regelungskaskade [handelt]".(27) Abs. 12
Die sowohl für den Bürger als auch für die Polizeibehörden(28) kaum rechtssicher handhabbare Vorschrift könnte folglich mit den sich aus  Art. 2 Abs. 1 i.V.m.  Art. 1 Abs. 1 GG ergebenden Schutzpflichten des Staates(29)und dem Bestimmtheitsgebot unvereinbar sein. Der besonders gefährdete Bereich der Vertraulichkeit und Integrität informationstechnischer Systeme stellt den Staat nämlich vor die Aufgabe, diesen Lebensbereich zu ordnen und zu strukturieren: Die Grundparameter des Zusammenlebens müssen durch den Gesetzgeber ausgestaltet werden. Diesem kommt die Aufgabe zu, die Spielregeln dieses komplexen Handlungsfeldes zumindest in den Grundsätzen festzulegen. Die Zielsetzung ist dabei Rechtssicherheit und Vorhersehbarkeit der an Bürger und staatliche Stellen gestellten Anforderungen. Geschieht dies nicht, obliegt die Konkretisierung der Anforderungen in der Regel den Gerichten. Hier besteht aber die Gefahr einer uneinheitlichen Rechtsprechung und der Entwicklung unterschiedlicher Maßstäbe. Ob diese Gefahr mit  Art. 34d Bay PAG gebannt wurde, ist fraglich. Abs. 13
In materieller Hinsicht geht die in  Art. 34 Abs. 1 Satz 1 Nr. 1 Bay PAG enthaltene Eingriffsschwelle zur Inanspruchnahme von Störern mit dem Erfordernis der "dringenden Gefahr" über die Anforderungen des Bundesverfassungsgerichts hinaus.(30) Während unter "dringender Gefahr" eine konkrete Gefahr für besonders bedeutsame Rechtsgüter gemeint ist(31), lässt das Bundesverfassungsgericht bereits "tatsächliche Anhaltspunkte für eine konkrete Gefahr" als Eingriffsschwelle genügen.(32) Verfassungsrechtliche Bedenken bestehen hinsichtlich der Vorschrift insoweit also nicht. Abs. 14
Problematischer gestaltet sich allerdings die in  Art. 34 Abs. 1 Satz 1 Nr. 2 Bay PAG geregelte Inanspruchnahme sog. Nachrichtenmittler. Ungeachtet der in der Rechtsprechung grundsätzlich zu verortenden Anerkennung der repressiven Inanspruchnahme des Nachrichtenmittlers(33) bleibt offen, wie dieser Personenkreis unter Anwendung von  Art. 34 Abs. 1 Satz 1 Nr. 2 Bay PAG zu bestimmen ist. Eine Beschränkung auf natürliche Personen kann der Vorschrift jedenfalls nicht entnommen werden, weswegen auch Kommunikationsunternehmen als Nachrichtenmittler in Frage kommen.(34) Sankol weist bspw. darauf hin, dass "selbst die Betreiber eines Internet-Servers oder einer über das Internet erreichbaren Mailbox" bereits als (aktiver oder passiver) Nachrichtenmittler in Anspruch genommen wurden.(35) Die hinsichtlich der Bestimmtheit der Norm bestehenden Bedenken werden durch die Rechtsprechung des Bundesverfassungsgerichts noch bestärkt. Dieses weist darauf hin, dass die Inanspruchnahme eines Nachrichtenmittlers im präventiven Bereich nur dann zugelassen werden kann, wenn mittels hinreichend sicherer tatsächlicher Anhaltspunkte auf die Beziehung des Betroffenen zu dem Tatverdächtigen geschlossen werden kann.(36) Nachdem insoweit bestehende Bestimmtheitsdefizite auch im Rahmen einer restriktiven Auslegung regelmäßig nicht beseitigt werden können(37), besteht durchaus die Möglichkeit, dass  Art. 34 Abs. 1 Satz 1 Nr. 2 Bay PAG, der das Verhältnis zwischen Tatverdächtigem und Nachrichtenmittler nur sehr unzureichend ausleuchtet, zu weit gefasst wurde.(38) Abs. 15
IV.   Online-Durchsuchung gem. Art. 6e Bay VSG
Die Regelung des  Art. 6e Bay VSG entspricht in Inhalt und Reichweite sowie den getroffenen Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung in wesentlichen Punkten  Art. 34d Bay PAG. Abs. 16
Verfassungsrechtliche Bedenken von grundsätzlicher Natur äußert hinsichtlich  Art. 6e Bay VSG Gudermann, die darauf verweist, dass die Maßnahme der Online-Durchsuchung seitens des Bundesverfassungsgerichts auf den Bereich der Gefahrenabwehr beschränkt wurde.(39) Angesichts der sich weit im Vorfeld der Gefahr bewegenden Kompetenz der Verfassungsschutzbehörden sei für eine der Gefahrenabwehr dienende Online-Durchsuchung kein Raum.(40) Gudermann stellt fest, dass die bayerischen Verfassungsschutzbehörden mit der Aufnahme der zur Abwehr konkreter Gefahren eingesetzten Online-Durchsuchung zu Gefahrenabwehrbehörden gemacht werden.(41) Damit werde in Abkehr von elementaren sicherheitsrechtlichen Grundsätzen "von der Befugnis auf die Aufgabe geschlossen".(42) Hierdurch werde gegen das in  Art. 1 Abs. 4 Bay VSG verankerte Trennungsgebot zwischen Polizei und Nachrichtendiensten verstoßen.(43) Abs. 17
V.   Beweiswert der mittels Online-Durchsuchung erhobenen Daten
Kritisch zu hinterfragen ist der Beweiswert der mittels einer Online-Durchsuchung erhobenen Daten. Abate verweist in diesem Zusammenhang darauf, dass mittels der behördlichen Infiltration eines Rechners belegt wird, dass dieses Mittel grundsätzlich auch von Dritten eingesetzt werden kann.(44) Hierdurch wird verdeutlicht, "dass nie mit Sicherheit gesagt werden kann, wer die Information, die auf dem Zielcomputer gefunden wird, dort gespeichert hat."(45) Angesichts der nicht vorhandenen Gewährleistung der Authentizität der Daten(46) kann die Online-Durchsuchung immer nur der Verdachtserhärtung dienen.(47) Ein Beweiswert ist den mittels einer Online-Durchsuchung erlangten Daten nicht zuzusprechen.(48) Abs. 18
VI.   Repressive Verwertung mittels präventiver Online-Durchsuchung erhobener Daten
Fraglich ist, ob die Verwertung der mittels einer präventiven Online-Durchsuchung gewonnenen Erkenntnisse im Rahmen eines Strafverfahrens möglich ist. Dem steht grundsätzlich der datenschutzrechtliche Zweckbindungsgrundsatz entgegen, der eine Datennutzung nur zu dem Zweck gestattet, zu dem die betroffenen Daten erhoben wurden. Eine zweckfremde Verwendung bedarf als eigenständiger Eingriff in die informationelle Selbstbestimmung des Betroffenen einer eigenständigen Legitimierung.(49) Eine solche findet sich bspw. in § 161 Abs. 2 StPO. Nach der Vorschrift dürfen aufgrund präventiv ausgerichteter Ermächtigungsgrundlagen erlangte Informationen zu Beweiszwecken im Strafverfahren nur dann verwendet werden, wenn im Ermittlungsverfahren eine entsprechende Maßnahme nach der StPO zugelassen wäre.(50) Nachdem die StPO eine Online-Durchsuchung nicht kennt, scheidet die Verwertung der im Rahmen präventiver Online-Durchsuchungen erlangten Daten im Strafverfahren aus.(51) Abs. 19
C.   Rechtsrahmen präventiver Quellen-TKÜ
Eng mit der Online-Durchsuchung verwandt ist die Quellen-TKÜ.(52) Diese soll in Abgrenzung zur Online-Durchsuchung allerdings nicht den Zugriff auf das gesamte informationstechnische System, sondern vielmehr allein den Zugriff auf übertragene Kommunikationsinhalte gestatten.(53) Die Quellen-TKÜ kommt regelmäßig dann zum Einsatz, wenn Zielpersonen unter Nutzung von Computernetzwerken telefonieren. In diesem Fall findet vor der Übertragung der Gesprächsinhalte häufig deren Verschlüsselung statt. Dies hat zur Folge, dass im Rahmen der Anwendung herkömmlicher Methoden zur Überwachung der Telekommunikation nur kryptierte Daten aufgezeichnet werden können, die nicht oder zumindest nicht zeitnah entschlüsselt werden können.(54) Eine Überwachung ist folglich nur möglich, wenn auf die Telekommunikationsdaten noch vor der Verschlüsselung (oder nach der Entschlüsselung) zugegriffen werden kann.(55) Dieser Zugriff setzt wie bei der Online-Durchsuchung die Installation eines Trojaners auf dem betroffenen informationstechnischen Gerät voraus.(56) Abs. 20
Im Gegensatz zur Online-Durchsuchung dürfen im Rahmen der Quellen-TKÜ aber nur Telekommunikationsdaten erfasst und an die Behörden ausgeleitet werden.(57) Sonstige Daten, die sich gleichwohl auf dem Rechner befinden, dürfen hingegen nicht erhoben werden. Geschieht dies dennoch, findet eine verbotene Online-Durchsuchung statt.(58) Nach zutreffender Auffassung des LG Hamburg beinhaltet eine Quellen-TKÜ allerdings die Überwachung aller im Rahmen der Telekommunikation anfallenden Daten und schließt damit auch visuelle Inhalte (Bild- und Videodaten) mit ein.(59) Abs. 21
Die Grenze zur Online-Durchsuchung wird dann überschritten, wenn bspw. "im Abstand von 30 Sekunden Screenshots von der Bildschirmoberfläche gefertigt wurden, während der Internet-Browser aktiv geschaltet war".(60) Nach zutreffender Auffassung des LG Landshut "besteht für das Kopieren und Speichern der grafischen Bildschirminhalte, also der Fertigung von Screenshots, keine Rechtsgrundlage, weil zum Zeitpunkt dieser Maßnahmen noch kein TK-Vorgang stattfindet."(61) Die dem entgegenstehende Auffassung(62), die auf einen rein technischen Telekommunikationsvorgang abstellt, der bereits im Rahmen des Austauschs von Datenpaketen mit den Diensteanbietern zu verorten ist, verkennt die Rechtsprechung des Bundesverfassungsgerichts zur Telekommunikationsüberwachung.  Art. 10 Abs. 1 GG folgt hiernach nicht dem rein technischen Kommunikationsbegriff, sondern knüpft personal an den Grundrechtsträger und dessen Schutzbedürftigkeit an.(63) Eine laufende Kommunikation setzt folglich voraus, dass eine private Kommunikation zwischen Personen stattfindet.(64) Zudem darf in diesem Zusammenhang nicht unberücksichtigt bleiben, dass allein aus der Aktivschaltung eines Internet-Browsers nicht zwingend auf einen Telekommunikationsvorgang geschlossen werden kann.(65) Abs. 22
Um eine Online-Durchsuchung und nicht um eine Quellen-TKÜ handelt es sich auch dann, wenn im Rahmen der Überwachung eines Internet-Chats mittels eines Key-Loggers die Tastaturanschläge der Zielperson aufgezeichnet werden.(66) Ein solcher Key-Logger kann nämlich zwischen lokal gespeicherten und zu einem Kommunikationsvorgang gehörenden Daten nicht unterscheiden und erfasst folglich alle Tastaturanschläge.(67) Abs. 23
Ermächtigungsgrundlagen zur Durchführung präventiver Quellen-TKÜ finden sich auf Bundesebene in § 20l BKAG und auf Landesebene bspw. in § 15b HSOG, auf die im Folgenden exemplarisch eingegangen wird.(68) Erläuterungsbedürftig erscheint in diesem Zusammenhang auch, weswegen  Art. 34a Abs. 1 Bay PAG entgegen der herrschenden Literaturmeinung gerade nicht zur Quellen-TKÜ ermächtigt. Abs. 24
I.   Vorgaben des Bundesverfassungsgerichts
Hinsichtlich der Quellen-TKÜ betont das Bundesverfassungsgericht, dass mit der Installation eines Trojaners auf dem Zielrechner die entscheidende Hürde genommen wird, um das System insgesamt auszuspähen. "Die dadurch bedingte Gefährdung geht weit über die hinaus, die mit einer bloßen Überwachung der laufenden Kommunikation verbunden ist. Insbesondere können auch die auf dem Gerät abgelegten Daten zur Kenntnis genommen werden, die keinen Bezug zu einer telekommunikativen Nutzung des Systems aufweisen."(69) Sofern ein informationstechnisches System zum Zwecke der Quellen-TKÜ infiltriert wurde, kann es sogar vorkommen, dass unbeabsichtigt Daten ohne Bezug zu laufenden Telekommunikation erhoben werden.(70) Eine Ermächtigung zur Durchführung einer Quellen-TKÜ kann sich folglich nur dann alleine an  Art. 10 Abs. 1 GG messen lassen, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt und dies durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt wurde.(71) Ist dies nicht gewährleistet, so ist das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme der verfassungsrechtliche Prüfungsmaßstab. Abs. 25
Grundsätzlich wurde die Zulässigkeit der präventiven Telekommunikationsüberwachung seitens des Bundesverfassungsgerichts anerkannt.(72) Die materielle Voraussetzung der Telekommunikationsüberwachung ist nach der Rechtsprechung des Bundesverfassungsgerichts, "dass die geschützten Rechtsgüter ein ausreichendes Gewicht haben, dass hinreichend konkrete Anhaltspunkte für eine (drohende) Rechtsgutsverletzung gegeben sind und dass das Gesetz ausreichende Schutzvorkehrungen für die betroffenen Grundrechte, vor allem aber für den unantastbaren Kernbereich privater Lebensgestaltung, vorsieht […]."(73) Abs. 26
II.   Zweifel hinsichtlich der technischen Realisierbarkeit einer Quellen-TKÜ
Ob es technisch überhaupt realisierbar ist, den Überwachungsvorgang im Sinne einer reinen Quellen-TKÜ auf Daten aus dem laufenden Telekommunikationsvorgang zu beschränken, erscheint indes fraglich. Voraussetzung dafür, dass die Maßnahme nur den Schutzbereich des  Art. 10 GG betrifft und damit ausschließlich diese Norm den Prüfungsmaßstab darstellt, wäre die Verwendung einer speziell gestalteten Überwachungssoftware, die sich einerseits ausschließlich bei Kommunikationsvorgängen aktiviert und andererseits nur die abgehenden und ankommenden Gesprächsinhalte an die Strafverfolgungsbehörden weiterleitet, so dass ein Zugriff auf andere Daten mit Sicherheit ausgeschlossen ist.(74) Ist die Sicherstellung einer solch restriktiven Funktionsweise der Software nicht möglich, hat die Überwachung insgesamt zu unterbleiben.(75) Abs. 27
Bär setzt die Existenz einer derart restriktiv gestalteten Software offenbar stillschweigend voraus.(76) Nach Ansicht mehrerer vor dem Bundesverfassungsgericht im Rahmen der Online-Durchsuchungs-Entscheidung angehörten Sachverständigen liegt die Implementierung derartiger technischer Vorkehrungen dagegen nicht im Rahmen des derzeit Möglichen.(77) Abs. 28
Hoffmann-Riem weist darüber hinaus darauf hin, dass es "praktisch unmöglich ist, ein informationstechnisches System zu infiltrieren, ohne sich ein Mindestmaß an Informationen - etwa über dessen Schwachstellen - zu verschaffen".(78) Mit der Kenntnis solcher Schwachstellen gingen zwangsläufig weitere Gefährdungen einher. Abs. 29
III.   Quellen-TKÜ gem. § 20l BKAG
§ 20l Abs. 2 BKAG berechtigt das Bundeskriminalamt zur Durchführung der Quellen-TKÜ, wenn durch technische Maßnahmen sichergestellt ist, dass ausschließlich laufende Telekommunikation überwacht und aufgezeichnet wird (Nr. 1), und der Eingriff in das informationstechnische System notwendig ist, um die Überwachung und Aufzeichnung der Telekommunikation insbesondere auch in unverschlüsselter Form zu ermöglichen (Nr. 2). Die Vorschrift steht folglich grundsätzlich im Einklang mit den durch das Bundesverfassungsgericht aufgestellten Anforderungen. Abs. 30
Allerdings entspricht auch hier der in § 20l Abs. 6 BKAG angeordnete (minimale) Kernbereichsschutz nicht den verfassungsrechtlichen Vorgaben (vgl. B. II.). Roggan hält zudem die im Rahmen von § 20l Abs. 1 Nr. 2, Abs. 2 BKAG erfolgte Gestattung der Quellen-TKÜ bei tatsächlichen Anhaltspunkten für die Vorbereitung einer terroristischen Straftat für mit dem Bestimmtheitsgebot unvereinbar, da eine genauere Spezifizierung dieser Vorbereitungshandlungen nicht erfolge.(79) Abs. 31
IV.   Quellen-TKÜ gem. § 15b HSOG
Mit § 15b HSOG hat der hessische Gesetzgeber für gegenwärtige Gefahren eine Ermächtigung zur Durchführung einer präventiven Quellen-TKÜ geschaffen, die in zeitlicher Hinsicht über die Vorgabe des Bundesverfassungsgerichts, das selbst für die Online-Durchsuchung tatsächliche Anhaltspunkte einer konkreten Gefahr fordert(80), hinausgeht. Eine gegenwärtige Gefahr liegt erst dann vor, wenn die Einwirkung eines schädigenden Ereignisses bereits begonnen hat und der Schaden unmittelbar zu erwarten ist und daher sofortiges polizeiliches Handeln erforderlich ist.(81) Angesichts der Dringlichkeit des polizeilichen Vorgehens bleibt für die Durchführung einer auf mittelfristige Erfolge ausgerichteten Quellen-TKÜ kein Raum mehr.(82) Die Vorschrift weist folglich keinen Anwendungsbereich auf und geht ins Leere. Abs. 32
Verfassungsrechtlich bedenklich ist zudem, dass § 15 Abs. 4 Satz 1 HSOG mit dem Verweis auf § 7 HSOG auch den Zustandsstörer ins Visier nimmt. Hierdurch wird bewirkt, dass mögliche Adressaten der Vorschrift den möglichen Grundrechtseingriff nicht mit hinreichender Gewissheit vorhersehen können. Dies scheint mit dem Grundsatz der Normenklarheit und Bestimmtheit nur schwer vereinbar. Abs. 33
Mit §§ 15b Abs. 5, 15 Abs. 4 Satz 4 HSOG wird abermals ein völlig unzureichender Kernbereichsschutz gewährleistet (vgl. B. II.).(83) Die Vorschrift ist spätestens aus diesem Grunde verfassungswidrig. Abs. 34
V.   Keine Quellen-TKÜ gem. Art. 34a Abs. 1 Bay PAG
Fraglich ist, ob in  Art. 34a Abs. 1 Bay PAG, der die präventive Erhebung personenbezogener Daten durch Überwachung und Aufzeichnung der Telekommunikation gestattet, die Befugnis zur Durchführung einer Quellen-TKÜ enthalten ist. Die Vorschrift erläutert nämlich nicht, in welcher Weise die Überwachung der Telekommunikation stattfinden darf.(84) Die herrschende Literatur folgert hieraus, dass der Gesetzgeber die Art und Weise der Telekommunikationsüberwachung nicht vorschreiben wollte, weswegen auch die Quellen-TKÜ von  Art. 34a Abs. 1 Bay PAG erfasst sei.(85) Abs. 35
Dem lässt sich freilich entgegenhalten, dass nach den Feststellungen des Bundesverfassungsgerichts mit der auch zur Quellen-TKÜ benötigten Einschleusung eines Trojaners auf dem Zielrechner die entscheidende Hürde genommen ist, um das System insgesamt auszuspähen und eine Online-Durchsuchung durchzuführen.(86) Angesichts dieser Gefahr ganz erheblicher Grundrechtsverletzungen bedarf es technischer Vorkehrungen und rechtlicher Vorgaben, die sicherstellen, dass sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt (vgl. C.).(87) Derartige Vorkehrungen werden mit  Art. 34a Abs. 1 Bay PAG nicht getroffen. Die Vorschrift kann folglich nicht zur Durchführung einer Quellen-TKÜ ermächtigen.(88) Abs. 36
Hinzu kommt, dass mit  Art. 34a Abs. 1 Bay PAG wesentliche Entscheidungen hinsichtlich Art und Umfang der Telekommunikationsüberwachung auf den Ermittlungsrichter übertragen werden. Der Bayerische Landesbeauftragte für den Datenschutz kritisiert in seinem 24. Tätigkeitsbericht insoweit völlig zu Recht, dass gemäß der vom Bundesverfassungsgericht entwickelten Wesentlichkeitslehre in grundlegenden normativen Bereichen alle wesentlichen Entscheidungen durch den Gesetzgeber selbst getroffen werden müssen.(89) Gerade dies ist bei  Art. 34d Bay PAG aber nicht der Fall. Abs. 37
Angesichts der Verankerung der Online-Durchsuchung in  Art. 34d Bay PAG (hierzu B. III.) steht bayerischen Polizeibehörden - sofern man von der Verfassungskonformität der Vorschrift ausgeht - ein Rückgriff auf die Online-Durchsuchung zur Verfügung. Die Quellen-TKÜ wird als Minus zur Online-Durchsuchung von  Art. 34d Bay PAG erfasst. Allerdings sind auch die Eingriffsschwellen des  Art. 34d Bay PAG zu beachten. Abs. 38
D.   Fehlender Rechtsrahmen repressiver Quellen-TKÜ
Hinsichtlich des verdeckten hoheitlichen Zugriffs auf informationstechnische Systeme sind grundsätzlich zwei Zielsetzungen voneinander zu unterscheiden: Der Prävention durch Aufklärung steht die Strafverfolgung mittels Beweiserlangungen entgegen.(90) Abs. 39
Eingriffe in das Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme sind zu präventiven als auch repressiven Zwecken möglich.(91) Der vom Bundesverfassungsgericht angeordnete Richtervorbehalt und der Kernbereichsschutz lassen sich auch auf den Bereich der Strafverfolgung übertragen.(92) Wesentlich ist insoweit, dass an die Stelle der tatsächlichen Anhaltspunkte einer konkreten Gefahr für überragend wichtige Rechtsgüter ein entsprechender Straftatenkatalog treten muss.(93) Abs. 40
Zu beachten ist allerdings der Hinweis von Wolter, wonach die Quellen-TKÜ im Bereich der Strafverfolgung angesichts der Schutzwirkung der Grundrechte und der hieraus folgenden Schutzpflichten des Staates noch restriktiver als im präventiven Bereich zu konzipieren wäre, wenn man einen so tiefgreifenden Eingriff überhaupt zulassen möchte.(94) Hierdurch werden die verfassungsrechtlichen Anforderungen an Ermächtigungsgrundlagen im repressiven Bereich noch zusätzlich verschärft. Abs. 41
I.   Quellen-TKÜ gem. §§ 100a, 100b StPO
Im Bereich der repressiven Quellen-TKÜ treffen gegenwärtig zwei divergierende Ansichten aufeinander. Während vor allem die Rechtsprechung grundsätzlich dann, wenn im Rahmen der Quellen-TKÜ ausschließlich Telekommunikationsdaten erfasst werden, den Anwendungsbereich von §§ 100a, 100b StPO eröffnet sieht,(95) wird dies von der herrschenden Literaturmeinung abgelehnt.(96) Joecks vertritt zudem eine vermittelnde Auffassung, wonach der Zugriff auf Telekommunikationsdaten mittels des Einsatzes eines Trojaners nicht schlechthin Taten im Sinne des § 100a StPO erfassen darf, sondern sich auf schwerste Fälle von Kriminalität bzw. Staatsgefährdung beschränken muss.(97) Abs. 42
Die wesentlich überzeugenderen Argumente sprechen für eine Ablehnung der Zulässigkeit der Quellen-TKÜ auf Grundlage von §§ 100a, 100b StPO. Die Ermächtigungsnormen in den §§ 100a, 100b StPO sind nämlich auf eine netzbasierte Telekommunikationsüberwachung zugeschnitten und enthalten nicht die vom Bundesverfassungsgericht verlangten rechtlichen Vorkehrungen, "um die Integrität eines infiltrierten Endgeräts zu schonen und 'Exzesse‘, also Datenänderungen oder Datenerfassungen über die bloße Überwachung der Telekommunikation hinaus, auszuschließen."(98) Abs. 43
Die die strafprozessuale Praxis prägende Auffassung, wonach die Anforderungen des Bundesverfassungsgerichts im Rahmen der den Eingriff begrenzenden Anordnung des Ermittlungsrichters gem. § 100b Abs. 2 Satz 2 Nr. 3 StPO erfüllt werden können,(99) verkennt die Bedeutung der Wesentlichkeitslehre, wonach (insbesondere im grundrechtsrelevanten Bereich) alle grundsätzlichen Entscheidungen durch den parlamentarischen Gesetzgeber selbst gefällt werden müssen (D. II.). Abs. 44
Der Meinungsstreit spielt allerdings dann keine Rolle, wenn im Rahmen der Quellen-TKÜ Daten erhoben werden können, die keinen Bezug zur laufenden Telekommunikation aufweisen, weil bspw. nicht allein die Kommunikationssoftware modifiziert wird, sondern vielmehr auch der allgemeine Zugriff auf die Steuerung der Mikrofone, Webcam, Tastatur usw. ermöglicht wird. Ein solcher Eingriff wäre u.a. auch anhand des aus  Art. 2 Abs. 1 i.V.m.  Art. 1 Abs. 1 GG folgenden Rechts auf Schutz von Vertraulichkeit und Integrität informationstechnischer Systeme zu messen (vgl. B.), weswegen die Anwendung der §§ 100a, 100b StPO im Rahmen dieser Varianten auf keinen Fall in Frage kommt.(100) Abs. 45
II.   Annexkompetenz für "ergänzende Maßnahmen"
Im Rahmen der Durchführung einer Quellen-TKÜ ist im Hinblick auf die für den Eingriff erforderliche Rechtsgrundlage grundsätzlich zwischen dem Primäreingriff (Weiterleitung der Kommunikationsdaten an die Ermittlungsbehörden) und dem zur Durchführung dieser Maßnahme erforderlichen sekundären Eingriff (Aufspielen der Überwachungssoftware) zu differenzieren.(101) Abs. 46
Für die Sekundär-Maßnahme besteht keine ausdrückliche gesetzliche Regelung. Sie könnte demnach allenfalls durch eine sog. "Annexkompetenz" von § 100a StPO gedeckt sein. Die Annahme einer Annexkompetenz setzt allerdings voraus, dass es sich bei dem in Rede stehenden, gesetzlich nicht ausdrücklich geregelten Eingriff um eine mit der gesetzlich geregelten Maßnahme typischerweise verbundene und zu ihrer Durchführung erforderliche Begleitmaßnahme handelt, von der lediglich eine verhältnismäßig geringfügige Beeinträchtigung grundrechtlich geschützter Interessen ausgeht. Die Intensität des Begleiteingriffs muss dabei jedenfalls hinter dem Gewicht des Primäreingriffs zurückbleiben.(102) Es muss sichergestellt sein, dass keine technische Zugriffs- bzw. Kenntnisnahmemöglichkeit von Daten eröffnet wird, die über den laufenden Telekommunikationsvorgang hinausgeht.(103) Abs. 47
Zum Teil wird unter diesen Voraussetzungen die Annexkompetenz der Ermittlungsbehörden für das heimliche Einspielen eines Programms in das informationstechnische System des Überwachten bejaht.(104) Nach hier vertretener Auffassung erübrigt sich die Frage nach einer aus § 100a StPO ableitbaren Annexkompetenz für Sekundärmaßnahmen, da aus dieser Vorschrift schon keine ausreichende Rechtsgrundlage für die Primärmaßnahme der repressiven Quellen-TKÜ hergeleitet werden kann (vgl. D. I.). Abs. 48
Selbst wenn man aber § 100a StPO als ausreichend betrachten möchte, begegnet die Annahme einer so weitreichenden Annexkompetenz berechtigten Zweifeln. Sankol argumentiert, dass es sich bei dem Einsatz sog. Spyware und der dadurch ermöglichten Funktionen schon nicht um eine sachnotwendige und typische Vorbereitungs- oder Begleitmaßnahme einer Telekommunikationsüberwachung handelt, da bei herkömmlichen Telekommunikationsüberwachungsmaßnahmen nach § 100a StPO gerade weder typischer- noch notwendigerweise ein Zugriff auf das Endgerät des Betroffenen erforderlich ist. (105) Vielmehr ermächtige § 100a StPO ohnehin nur zu Zugriffen auf dem Leitungsweg im Herrschaftsbereich des Netzbetreibers unter dessen Beteiligung und nicht am Endgerät des Betroffenen.(106) Abs. 49
Gegen die Annahme einer derartigen Annexkompetenz spricht aber vor allem, dass die Eingriffsintensität des Sekundäreingriffs mit der des Primäreingriffs auf einer Stufe steht, wenn nicht sogar diese überwiegt.(107) Spoenle hebt die eigenständige Eingriffsqualität und - richtung der mit der Infiltration von informationstechnischen Systemen einhergehenden Integritätsverletzung hervor. Diese fände weder in § 100a StPO noch in § 100g StPO ausreichende Berücksichtigung, weswegen die Vorschriften als Ermächtigungsgrundlage für eine Quellen-TKÜ ausscheiden.(108) Primär- und Sekundärmaßnahmen betreffen Gewährleistungsbereiche unterschiedlicher Grundrechte. Bereits die Installation der Überwachungssoftware lässt einen irreversiblen Eingriff in die gem.  Art. 2 Abs. 1 i.V.m.  Art. 1 Abs. 1 GG geschützte Integrität des Zielsystems befürchten.(109) Im Übrigen werden Wesentlichkeitsvorbehalt und Bestimmtheitsgebot verletzt, solange die Einbringung des Trojaners unter Berufung auf die aus § 100a StPO folgende Annexkompetenz erfolgt und somit Art und Weise des hinsichtlich seiner Eingriffsintensität von der Telekommunikationsüberwachung zu unterscheidenden Eingriffs nicht geregelt ist.(110) Abs. 50
III.   Möglichkeit zur Inanspruchnahme des privaten Diensteanbieters
Als vorzugswürdige Alternative geringerer Eingriffsintensität käme die Inanspruchnahme privater Diensteanbieter im Rahmen einer einfachen TKÜ in Betracht.(111) Internetdiensteanbieter könnten gem. §§ 100a, 100b StPO verpflichtet werden, alle über die Internetverbindung des Betroffenen gesendeten und empfangenen Daten in Form von Rohdaten zur Verfügung zu stellen. Mit einigem Aufwand könnten die auf diese Weise erlangten Daten wieder einzelnen Kommunikationsvorgängen zugeordnet werden. Setzt der Betroffene jedoch für die Verbindung - wie etwa bei Voice over IP (VoIP) üblich - eine Ende-zu-Ende-Verschlüsselung ein, sind die abgegriffenen Daten für die Ermittlungsbehörden ohne Kenntnis des verwendeten Verschlüsselungspasswortes wertlos.(112) Eine erfolgreiche Überwachung könnte insofern nur dann erfolgen, wenn den Ermittlungsbehörden das Entschlüsselungspasswort bekannt ist. Abs. 51
Die Fragestellung, ob die Möglichkeit besteht, den Anbieter des jeweiligen Telekommunikationsdienstes um Herausgabe des erforderlichen Schlüssels zu ersuchen, hat bisher in der Fachliteratur nur wenig Beachtung gefunden. Kurz weist etwa darauf hin, dass beispielsweise bei der Verwendung von verschlüsselnder VoIP-Software die Möglichkeit bestünde, "über das die Software anbietende Unternehmen an den gesuchten Schlüssel zu kommen, um die Verschlüsselung des Gesprächs entschlüsseln zu können." Dies gelte insbesondere bei dem Abhören von Gesprächen über die Software Skype.(113) Diesen Eindruck bekräftigt auch die Formulierung der Datenschutzrichtlinien des Unternehmens. Danach stellt Skype "personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen".(114) Bereits seit einiger Zeit wird in Fachkreisen außerdem über die Möglichkeit spekuliert, verschlüsselte Gespräche über eine in Skype versteckt eingebaute "Backdoor" abzugreifen.(115) Bär bezweifelt dagegen, dass den Ermittlungsbehörden die Möglichkeit der Entschlüsselung von Skype oder Zugriff mittels einer sog. "Backdoor" zur Überwachung derzeit zur Verfügung steht.(116) Abs. 52
Laut einer Auskunft der Bundesregierung vom 26.10.2011(117) verhält es sich tatsächlich wohl so, dass jedenfalls bei sog. Skype-out- und Skype-in-Telekommunikation (Kommunikation zwischen Skype und herkömmlichen Telekommunikationsanschlüssen) über den Diensteanbieter die Möglichkeit zur Ausleitung der Telekommunikationsinhalte besteht. Im Übrigen (Skype-to-Skype-Telekommunikation) sei es bereits aus technischen Gründen nicht möglich, Inhaltsdaten über den Diensteanbieter zu beziehen.(118) Abs. 53
Soweit den Ermittlungsbehörden eine Entschlüsselung auf dem Telekommunikationsweg vom Diensteanbieter ausgeleiteter Daten oder der Zugriff auf den Datenstrom mittels technischer Hintertüren tatsächlich möglich ist, wäre diesem Vorgehen der Vorzug gegenüber der Quellen-TKÜ zu geben. Beide Maßnahmen wären als einfache TKÜ ohne Weiteres von § 100a StPO erfasst. Ein integritätsverletzender Eingriff in das Endgerät des Betroffenen wäre hierfür nicht notwendig. Im Vergleich zur Quellen-TKÜ handelt es sich dabei also um die vorzugswürdige, da grundrechtsschonendere Maßnahme.(119) Abs. 54
IV.   Repressive Verwertung mittels präventiver Quellen-TKÜ erhobener Daten
Nachdem nach hier vertretener Auffassung derzeit keine Ermächtigungsgrundlage für eine strafprozessuale Quellen-TKÜ existiert, sind auch im Rahmen einer präventiven Quellen-TKÜ gewonnene Informationen gem. § 161 Abs. 2 StPO im Strafverfahren unverwertbar (vgl. B. VI.).(120) Abs. 55
Für den Fall, dass von der Zulässigkeit der strafprozessualen Quellen-TKÜ ausgegangen wird, ist zu beachten, dass bei Überschreitung der Grenzen zur Online-Durchsuchung in dieser unzulässigen Maßnahme keine rechtechtmäßige Quellen-TKÜ - sozusagen als rechtmäßige Teilmaßnahme - verortet werden kann.(121) Die aus der rechtswidrigen Online-Durchsuchung stammenden Daten sind allesamt unverwertbar. Abs. 56
V.   Strafbarkeit bei Durchführung einer verbotenen Online-Durchsuchung
Das unbefugte heimliche Installieren der Überwachungssoftware auf dem Endgerät eines Betroffenen könnte ebenso wie das Ausleiten von Inhalten und Daten, die nicht aus einer Internettelefonie stammen, die Strafvorschriften der §§ 202a(122), 202b(123) und 202c(124) StGB verletzen. Abs. 57
Für Aufsehen sorgte im Rahmen des Falles "Landshut" die im Auftrag der Piratenpartei gegen den bayerischen Innenminister, den LKA-Präsidenten sowie weitere Personen erstattete Strafanzeige.(125) Diese beruhte auf den Erwägungen, dass sich die eine rechtswidrige Online-Durchsuchung durchführenden bzw. veranlassenden Personen zumindest gem. § 202a Abs. 1 StGB strafbar gemacht haben dürften. Abs. 58
Für die in diesem Kontext zu beachtende Tatbestandsvoraussetzung der Absicherung gegen unberechtigten Zugang würde es bereits ausreichen, wenn der Betroffene die zur Kenntnis gelangten Kommunikationsinhalte mittels einer Firewall oder durch die Verwendung von Passwörtern gesichert hatte, was regelmäßig der Fall gewesen sein dürfte.(126) Abs. 59
Gleichwohl wurde bereits die Einleitung eines Ermittlungsverfahrens nach Angabe des die Strafanzeige erstattenden Rechtsanwalts mit der wenig tragfähigen Begründung, wonach die Installation der betreffenden Software gerade nicht unter Überwindung einer besonderen Sicherung, sondern auf der Grundlage von Gerichtsbeschlüssen erfolgte, abgelehnt.(127) Angesichts der Komplexität des Sachverhalts und der Frage, wie und mit welcher Zielsetzung jene Gerichtsbeschlüsse erwirkt wurden, wäre eine ausführlichere Befassung und Aufklärung sicherlich wünschenswert gewesen. Ob letztlich ein hinreichender Tatverdacht zu bejahen gewesen wäre, ist eine ganz andere Frage. Abs. 60
E.   Fünf Thesen zum verdeckten hoheitlichen Zugriff auf informationstechnische Systeme (Zusammenfassung)
1. Im Rahmen des verdeckten hoheitlichen Zugriffs auf informationstechnische Systeme ist ein verfassungsrechtlicher (personaler) Telekommunikationsbegriff zur Anwendung zu bringen. Die Anfertigung von Application-Shots greift nach dem gegenwärtigen Stand der Technik in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme ein. Abs. 61
2. Verfassungsrechtliche Bedenken können hinsichtlich sämtlicher Regelungen der Online-Durchsuchung im präventiven Bereich angeführt werden. Insbesondere § 20k BKAG ist aufgrund unzureichenden Kernbereichsschutzes verfassungswidrig. Abs. 62
3. Für eine repressive Quellen-TKÜ besteht derzeit keine Rechtsgrundlage. Die §§ 100a, 100b StPO werden dem verfassungsrechtlichen Wesentlichkeitslehre nicht gerecht. Abs. 63
4. Mittels präventiver Online-Durchsuchung und Quellen-TKÜ gewonnene Informationen unterliegen im strafprozessualen Bereich einem Verwertungsverbot. Abs. 64
5. Angesichts der seitens des Bundesverfassungsgerichts aufgestellten Anforderungen muss gegenwärtig die technische Realisierbarkeit einer verfassungskonformen Quellen-TKÜ bezweifelt werden. JurPC Web-Dok.
5/2012, Abs. 65



F u ß n o t e n

* Akad. Rat. a.Z. Florian Albrecht, M.A. ist Geschäftsführer der Forschungsstelle für IT-Recht und Netzpolitik (For..Net). Sebastian Dienst ist Mitarbeiter der Forschungsstelle. Beide Universität Passau. Abs. 66
** Der Beitrag entstand im Rahmen der Vorbereitung auf das Fachgespräch "O'Zapft Is - Der Bayerntrojaner und die Grenzen staatlicher Überwachung" am 23.11.2011 im Bayerischen Landtag. Ein Videomitschnitt ist über http://vimeo.com/32630389 abrufbar. Abs. 66
(1) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311. Abs. 67
(2) Vgl. Albrecht, JurPC Web-Dok. 59/2011 zum Fall "Landshut". Abs. 68
(3) http://www.faz.net/aktuell/politik /online-durchsuchung-friedrich-verteidigt-ueberwachung-durch-trojaner-11494164.html. Abs. 69
(4) Vgl. Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 340. Abs. 70
(5) Vgl. Baum/Schantz, ZRP 2008, 137, 138, die zudem betonen, dass sich der Staat in einen Widerspruch zu seiner eigenen Politik begibt, "wenn er auf der einen Seite E-Government, Informationssicherheit und Vertrauen in moderne Kommunikationstechnologie fördert und auf der anderen Seite selbst die technischen Möglichkeiten des heimlichen Zugriffs auf informationstechnische Systeme vorantreibt." So auch BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311, 316. Abs. 71
(6) Albrecht, JurPC Web-Dok. 59/2011, Abs. 28. Abs. 72
(7) Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 333. Abs. 73
(8) Albrecht, JurPC Web-Dok. 59/2011, Abs. 28. Abs. 74
(9) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 727 f.; zum technischen Hintergrund des verdeckten hoheitlichen Zugriffs auf informationstechnische Systeme Buermeyer, HRRS 2007, 154. Abs. 75
(10) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 728. Abs. 76
(11) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 727; Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 305; BT-Drs. 16/9588, S. 74; Henrichs, Kriminalistik 2008, 438, 439. Abs. 77
(12) Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 305. Abs. 78
(13) Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 305. Abs. 79
(14) Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 305; vgl. Fox, DuD 2007, 827, 830. Abs. 80
(15) Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 305. Abs. 81
(16) BGH, Beschl. v. 31.01.2007 - StB 18/06 - NJW 2007, 930 entgegen BGH, Ermittlungsrichter, Beschl. v. 21.02.2006 - 3 BGs 31/06 - StV 2007, 60; Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 729 f.; vgl. Hornick, StraFo 2008, 281, 282. Abs. 82
(17) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311. Abs. 83
(18) Hierzu Braun/Fuchs, DIE POLIZEI 2010, 185, 187 ff. Abs. 84
(19) BT-Drs. 16/9588, S. 74; Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 731; Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 111. Abs. 85
(20) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 733 und Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 111a. Abs. 86
(21) Vgl. Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 249. Abs. 87
(22) So Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 733 und Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 111a; a.A. Braun/Fuchs, DIE POLIZEI 2010, 185, 190. Abs. 88
(23) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 319. Abs. 89
(24) Vgl. Braun/Fuchs, DIE POLIZEI 2010, 185, 189 f. Abs. 90
(25) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 252 f.; Braun/Fuchs, DIE POLIZEI 2010, 185, 190; Roggan, NJW 2009, 257, 261; Thiel, Die "Entgrenzung der Gefahrenabwehr", 2011, S. 341 m.w.N.; a.A. Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 733 und Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 111a. Abs. 91
(26) Das in § 34e PAG a.F. enthalten Betretungsrecht wurde im Rahmen der Liberalisierung des bayerischen Polizeirechts aufgehoben. Vgl. Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 738. Desweiteren findet sich in § 31c 3 RPf POG eine Regelung der präventiven Online-Durchsuchung. Abs. 92
(27) Heckmann, in: Becker/Heckmann/Kempen/Manssen, Öffentliches Recht in Bayern, 5. Auflage 2011, 3. Teil Rn. 44a; Braun/Fuchs, DIE POLIZEI 2010, 185, 191. Abs. 93
(28) Diesen Bedenken wird im Zusammenhang mit Maßnahmen der Telekommunikationsüberwachung entgegengehalten, dass derartige Befugnisse nur von einem relativ kleinen Kreis von Polizeifachleuten angewendet werden, weswegen ihre Handhabbarkeit gewährleistet sei; so Käß, BayVBl. 2008, 260, 266. Dem stehen allerdings wiederum die Erfahrungen der Praxis entgegen; hierzu Albrecht, JurPC Web-Dok. 59/2011. Abs. 94
(29) Hierzu vertiefend Heckmann, in: FS Käfer, 2009, S. 129 ff. Abs. 95
(30) Dies kritisiert Schmidbauer, in: ders./Steiner, PAG, 3. Auflage 2011, Art. 34d Rn. 22. Abs. 96
(31) Eine besondere zeitliche Nähe der konkreten Gefahr ist allerdings nicht erforderlich; Käß, BayVBl. 2010, 1, 8; Berner/Köhler/Käß, PAG, 20. Auflage 2010,  Art. 34a Rn. 5. Abs. 97
(32) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311, 316. Abs. 98
(33) BVerfG, Beschl. v. 30. 04. 2007 - 2 BvR 2151/06 - NJW 2007, 2752. Abs. 99
(34) Sankol, MMR 2008, 154, 156. Abs. 100
(35) Sankol, MMR 2008, 154, 156. Abs. 101
(36) BVerfG, Urt. v. 27.07.20005 - 1 BvR 668/04 - BeckRS 2005, 28075, Absatz-Nr. 147. Abs. 102
(37) BVerfG, Urt. v. 27.07.20005 - 1 BvR 668/04 - BeckRS 2005, 28075, Absatz-Nr. 132. Abs. 103
(38) Vgl. Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 240. Abs. 104
(39) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 240. Abs. 105
(40) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 240. Abs. 106
(41) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 240. Abs. 107
(42) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 241 m.w.N.; Gudermann will vermutlich so verstanden werden, dass die Normierung einer nicht zum Aufgabenbereich gehörenden Befugnis unzulässig ist. Dem kann im Ergebnis zugestimmt werden, obgleich ein Schluss von der Befugnis auf die Aufgabe zulässig bleiben muss, sofern der Aufgabenbereich seitens des Gesetzgebers nicht anderweitig abschließend konkretisiert wurde; vgl. Heckmann, in: Becker/Heckmann/Kempen/Manssen, Öffentliches Recht in Bayern, 5. Auflage 2011, 3. Teil Rn. 57. Abs. 108
(43) Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts, 2010, S. 241. Abs. 109
(44) Abate, DuD 2011, 122. Abs. 110
(45) Abate, DuD 2011, 122. Abs. 111
(46) Roggan, NJW 2009, 257, 261. Abs. 112
(47) Abate, DuD 2011, 122. Abs. 113
(48) Abate, DuD 2011, 122; kritisch insoweit auch Michalke, StraFo 2008, 287, 292. Abs. 114
(49) Hefendehl, GA 2011, 209, 220 m.w.N. Abs. 115
(50) Hefendehl, GA 2011, 209, 221. Abs. 116
(51) Sog. Gedanke des "hypothetischen Ersatzeingriffs"; Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 734; Hefendehl, GA 2011, 209, 220 f. Die Verwertung der durch das Bundeskriminalamt erlangten im Rahmen einer Online-Durchsuchung erlangten Informationen durch die Polizei ist für den Betroffenen nicht überprüfbar; Knieriem, StV 2009, 206, 211. Abs. 117
(52) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 739. Abs. 118
(53) Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 740. Abs. 119
(54) Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 112; Bär, TK-Überwachung, 2010, § 100a Rn. 31. Abs. 120
(55) Henrichs, Kriminalistik 2008, 438; Käß, BayVBl. 2010, 1, 5. Abs. 121
(56) Vgl. Kurz, Betrifft JUSTIZ Nr. 100 (Dezember 2009), 164, 166 ff. Abs. 122
(57) Hierzu sollen auch während des Kommunikationsvorgangs übertragene Bild- und Videodateien gehören. So LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693. Abs. 123
(58) LG Landshut, Beschl. v. 20.01.2011 - 4 Qs 346/10 - NStZ 2011, 479. Abs. 124
(59) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693. Abs. 125
(60) LG Landshut, Beschl. v. 20.01.2011 - 4 Qs 346/10 - MMR 2010, 690, 691. Abs. 126
(61) LG Landshut, Beschl. v. 20.01.2011 - 4 Qs 346/10 - MMR 2010, 690, 691; zustimmend Albrecht, jurPC Web-Dok. 59/2011; Braun, jurisPR-ITR 3/2011, Anm. 3; Bär, MMR 2010, 690, 693. Abs. 127
(62) Schreiben des Bay StMI v. 17.11.11. Abs. 128
(63) BVerfG, Beschl. v. 22.08.2006 - 2 BvR 1345/03 - NJW 2007, 351, 354.. Abs. 129
(64) Hieraus folgt ein personaler Bezug und ein personales Gefährdungspotenzial, das des Grundrechtsschutzes bedarf. Abs. 130
(65) Das Schreiben einer E-Mail setzt einen Datenaustausch nicht zwingend voraus. Zudem können Internet-Browser auch offline, bspw. zum Lesen und Bearbeiten von Dokumenten, verwendet werden. Abs. 131
(66) Abate, DuD 2011, 122, 124; vgl. Käß, BayVBl. 2010, 1, 5. Abs. 132
(67) Bspw. auch die Eingaben in einem Word-Dokument. Vgl. Abate, DuD 2011, 122, 125. Abs. 133
(68) Desweiteren findet sich in § 31 Abs. 3 RPf POG eine Regelung der präventiven Quellen-TKÜ. Abs. 134
(69) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311. Abs. 135
(70) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311. Abs. 136
(71) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311; Henrichs, Kriminalistik 2008, 438, 439. Abs. 137
(72) BVerfG, Beschl. vom 03.03.2004 - 1 BvF 3/92 - NJW 2004, 2214; BVerfG, Urt. v. 27.07.2005 - 1 BvR 668/04 - NJW 2005, 2603. Abs. 138
(73) So zusammengefasst bei Berner/Köhler/Käß, PAG, 20. Auflage 2010,  Art. 34a Rn. 4.; vgl. BVerfG, Beschl. vom 03.03.2004 - 1 BvF 3/92 - NJW 2004, 2214; BVerfG, Urt. v. 27.07.2005 - 1 BvR 668/04 - NJW 2005, 2603. Abs. 139
(74) Bär, MMR 2008, 423, 426. Abs. 140
(75) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693, 696. Abs. 141
(76) Bär, MMR 2008, 423, 426. Abs. 142
(77) Vgl. Hoffmann-Riem, JZ 2008, 1010, 1022. Abs. 143
(78) Hoffmann-Riem, JZ 2008, 1010, 1022. Abs. 144
(79) Roggan, NJW 2009, 257, 262. Abs. 145
(80) Hierzu Käß, BayVBl. 2010, 1, 3. Abs. 146
(81) Borsdorff, in: Möllers, Wörterbuch der Polizei, 2. Auflage 2010, S. 763. Abs. 147
(82) Hornmann, NVwZ 2010, 292, 295. Abs. 148
(83) Weingarten/Keber, DIE POLIZEI 2010, S. 167, 171. Abs. 149
(84) Käß, BayVBl. 2010, 1, 5. Abs. 150
(85) Schmidbauer, in: der./Steiner, PAG, 3. Auflage 2011,  Art. 34a Rn. 26; Berner/Köhler/Käß, PAG, 20. Auflage 2010,  Art. 34a Rn. 3; Käß, BayVBl. 2010, 1, 5; Honnacker/Beinhofer, PAG, 19. Auflage 2009,  Art. 34d Rn. 7; vgl. LT-Drs. 15/10345, S. 7. Abs. 151
(86) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311. Abs. 152
(87) BVerfG, Urt. v. 27.02.2008 - 1 BvR 370/07 und 1 BvR 595/07 - ZUM 2008, 301, 311; Henrichs, Kriminalistik 2008, 438, 439. Abs. 153
(88) Vgl. Albrecht, JurPC Web-Dok. 59/2011, Abs. 15; vgl. Hoffmann-Riem, JZ 2008, 1009, 1022. Abs. 154
(89) http://www.datenschutz-bayern.de/nav/1002.html. Abs. 155
(90) Hefendehl, GA 2011, 209, 220. Abs. 156
(91) Hornick, StraFo 2008, 281, 282. Abs. 157
(92) Für kernbereichsrelevante Daten wären bspw. Beweisverwertungsverbote vorzusehen. So Hornung, CR 2008, 299, 305. Abs. 158
(93) Hornung, CR 2008, 299, 305. Abs. 159
(94) Wolter, in: SK-StPO II, 4. Auflage 2010, § 100a Rn. 30. Abs. 160
(95) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693; AG Bayreuth, Beschl. v. 17.09.2009 - Gs 911/09 - MMR 2010, 266; Brunst, Anonymität im Internet - rechtliche und tatsächliche Rahmenbedingungen, 2009, S. 460; Bär, TK-Überwachung, 2010, § 100a Rn. 32; Hartmann, in: Dölling/Duttge/Rössner, Gesamtes Strafrecht, 2. Auflage 2011, § 100a Rn. 5; Hornick, StraFo 2008, 281, 284; Löffelmann, in: Krekeler/ders./Sommer, AnwaltKommentar StPO, 2. Auflage 2009, § 100a Rn. 18. Dies soll zumindest für eine Übergangszeit bis zur ausdrücklichen gesetzlichen Regelung der Quellen-TKÜ gelten. So Nack, in: KK-StPO, 6. Auflage 2008, § 100a Rn. 27; a.A. Wolter, in: SK-StPO II, 4. Auflage 2010, § 100a Rn. 30. Abs. 161
(96) Bspw. Wolter, in: SK-StPO II, 4. Auflage 2010, § 100a Rn. 27; Vogel/Brodowski, StV 2009, 630, 632 ff. Abs. 162
(97) Joecks, StGB, 3. Auflage 2011, § 110a Rn. 11. Abs. 163
(98) Braun, jurisPR-ITR, 3/2011, Anm. 3; Buermeyer/Bäcker, HRRS 2009, 433, 439 f. Abs. 164
(99) Meyer-Goßner, StPO, 54. Auflage, § 100a Rn. 7a m.w.N. Abs. 165
(100) Brunst, Anonymität im Internet - rechtliche und tatsächliche Rahmenbedingungen, 2009, S. 460 f.; Heckmann stellt in diesem Zusammenhang fest, dass insbesondere auch die Kombination einzelner Elemente von Ermächtigungsgrundlagen zur Erfassung neuer technischer Ermittlungsmethoden angesichts des aus  Art. 20 Abs. 3 GG folgenden Gesetzesvorbehalts und des Grundsatzes der Normenklarheit und Bestimmtheit unzulässig ist; Heckmann, in: ders., jurisPK-Internetrecht, 3. Auflage 2011, Kap. 9 Rn. 729. Abs. 166
(101) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693, das beide Eingriffe für von § 100a StPO umfasst erachtet; Vogel/Brodowski, StV 2009, 630, 632 ff. Abs. 167
(102) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693. Abs. 168
(103) Beulke, Strafprozessrecht, 11. Auflage 2010, § 12 Rn. 253c m.w.N. Abs. 169
(104) LG Hamburg, Beschl. v. 13.09.2010 - 608 Qs 17/10 - MMR 2011, 693, 694; AG Hamburg, Beschl. v. 28.08.2009 - 160 Gs 301/09 - CR 2010, 249; AG Bayreuth, Beschl. v. 17.09.2009 - Gs 911/09 - MMR 2010, 266; Brunst, Anonymität im Internet - rechtliche und tatsächliche Rahmenbedingungen, 2009, S. 460; Bär, TK-Überwachung, 2010, § 100a Rn. 33; Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 115; a.A. LG Hamburg, Beschl. v. 01.10.2007 - 629 Qs 29/07 - MMR 2008, 423. Abs. 170
(105) Sankol, CR 2008, 13, 17. Abs. 171
(106) Sankol, CR 2008, 13, 17; a.A. LG Hamburg, Beschl. v. 13.09. 2010 - 608 Qs 17/10 - MMR 2011, 693, 694, Graf, in: Beck'scher Online-Kommentar StPO, Stand: 15.10.2011, § 100a Rn. 115; Bär, TK-Überwachung, 2010, § 100a Rn. 32. Abs. 172
(107) Wolter, in: SK-StPO II, 4. Auflage 2010, § 100a Rn. 29. Abs. 173
(108) Spoenle, jurisPR-ITR 6/2010, Anm. 5; a.A. Zimmermann, FD-StrafR 2011, 320161. Abs. 174
(109) Braun/Roggenkamp, K&R 2011, 681, 684. Abs. 175
(110) Weingarten/Keber, DIE POLIZEI 2010, S. 167, 171; vgl. Vogel/Brodowski, StV 2009, 630, 634. Abs. 176
(111) So auch Braun/Roggenkamp, K&R 2011, 681, 685. Abs. 177
(112) Buermeyer, HRRS 2007, 154, 160. Abs. 178
(113) Kurz, Betrifft JUSTIZ Nr. 100 (Dezember 2009), 164, 166. Abs. 179
(114) Skype Datenschutzrichtlinien, Punkt 3, abrufbar über http://www.skype.com/intl/de/legal/privacy/general/#3. Abs. 180
(115) Vgl. Heise Security v. 24.07.2008, Spekulationen um Backdoor in Skype, abrufbar unter http://www.heise.de/security/meldung/Spekulationen-um-Backdoor-in-Skype-189880.html; dazu auch Braun/Roggenkamp, K&R 2011, 681, 685 m.w.N. Abs. 181
(116) Bär, MMR 2011, 690, 691; diese Bedenken teilte auch Mittenzwei, anlässlich des Fachgesprächs vom 23.11.2011, abrufbar über http://vimeo.com/32630389. Abs. 182
(117) BT-Plenarprotokoll 17/135, S. 16064. Abs. 183
(118) BT-Plenarprotokoll 17/135, S. 16064. Abs. 184
(119) So auch Braun/Roggenkamp, K&R 2011, 681, 685. Abs. 185
(120) Vogel/Brodowski, StV 2009, 630, 634. Abs. 186
(121) Wohl a.A. Braun, jurisPR-ITR 3/2011, Anm. 3. Abs. 187
(122) Vertiefend zur Vorschrift Dietrich, NStZ 2011, 247. Abs. 188
(123) Vertiefend zur Vorschrift Kusnik, MMR 2011, 720. Abs. 189
(124) Vertiefend zur Vorschrift Popp, GA 2008, 375; Stuckenberg, wistra 2010, 41. Abs. 190
(125) https://piratenpartei-bayern.de/files/2011/10/StrafanzeigeBayerntrojaner.pdf. Abs. 191
(126) Albrecht, JurPC Web-Dok. 59/2011, Abs. 23. Abs. 192
(127) http://www.internet-law.de/2011/11/staatsanwaltschaft-will-wegen-des-bayerntrojaners-nicht-ermitteln.html.
Abs. 193
* Akad. Rat. a.Z. Florian Albrecht, M.A. ist Geschäftsführer der Forschungsstelle für IT-Recht und Netzpolitik (For..Net). Sebastian Dienst ist Mitarbeiter der Forschungsstelle. Beide Universität Passau.
[ online seit: 10.01.2012 ]
Zitiervorschlag:
Autor, Titel, JurPC Web-Dok., Abs.

Zitiervorschlag: Dienst, Florian Albrecht / Sebastian, Der verdeckte hoheitliche Zugriff auf informationstechnische Systeme - Rechtsfragen von Online-Durchsuchung und Quellen-TKÜ - JurPC-Web-Dok. 0005/2012