Erstens: Der Fall
Der Generalbundesanwalt hat den Verdacht, dass X ein Terrorist sein könnte. Er beantragt beim Ermittlungsrichter (für so schlimme Sachen ist gleich der beim BundesGerichtsHof zuständig) die Erlaubnis, auf die Festplatte des X einen Trojaner zu schmuggeln. Trojaner sind Computerprogramme, die mehr machen, als dem Nutzer mitgeteilt wird. Also z.B. ein Freeware-Spiel, das nebenher beim Surfen für die passende Werbung sorgt. Oder ein anderes, scheinbar nützliches Programm, das es der Generalbundesanwaltschaft ermöglicht, die Festplatte von X heimlich auszuspionieren. So war es hier. In der öffentlichen Diskussion erhielt das Programm den Namen “Bundestrojaner”.
Der Ermittlungsrichter spielte aber nicht mit und erlaubte die Verwendung des Bundestrojaners nicht. Da erhob die Generalbundesanwältin Beschwerde. Und über diese Beschwerde haben drei BGH-Richter letzten Mittwoch entschieden.
Zweitens: Der Beschluss
Die Generalbundesanwaltschaft wollte den Bundestrojaner aufgrund § 102 StPO verwenden. Das ist der Paragraph, mit dem man auch Wohnungen durchsuchen kann. Und der BGH hat nun gesagt, dass man mit diesem Paragraphen eben keine Festplatten durchsuchen kann.
Denn nach 102 kommen noch ein paar andere Zahlen: § 106 Abs. 1 S. 1 StPO zum Beispiel, der vorschreibt, dass der Wohnungsinhaber dabei sein darf. Und wenn er nicht da ist, soll wenn möglich sein Vertreter, Hausgenosse oder Nachbar zugezogen werden. Außerdem gibt es noch § 105 Abs. 2 StPO, in dem steht, dass entweder ein Richter oder Staatsanwalt dabei sein soll, oder ein Gemeindebeamter oder zwei Gemendemitglieder zugezogen werden sollen.
Außerdem kann der Durchsuchte hinterher eine schriftliche Durchsuchungsbestätigung verlangen. (§ 107 S. 1 StPO). Das geht allerdings nur, wenn er von der Durchsuchung überhaupt erfährt.
Die Richter setzen sich ausführlich mit der Gegenmeinung auseinander und kommen zu dem Schluss:
“Nach alledem ist es den Ermittlungsbehörden […] verboten, eine richterliche Durchsuchungsanordnung bewusst heimlich durchzuführen […].”
Und - logo: Wenn die Ermittler das nicht machen dürfen, darf der Ermittlungsrichter auch keine Durchsuchung anordnen, die die genannten Schutzvorschriften außer Kraft setzen würde.
Dieses Ergebnis wird jetzt noch nach verschiedenen Seiten abgesichert:
- Es gibt Leute, die meinen, eine Online-Durchsuchung sei ein weniger starker Eingriff als eine Wohnungsdurchsuchung. Das sehen die Richter anders, und zwar vor allem wegen der Heimlichkeit des Bundestrojaners.
- Es gibt auch heimliche Maßnahmen, die erlaubt werden können, z.B. Telefonüberwachung. Aber hierfür muss es um besonders schwere Straftaten gehen, es muss notwendig sein und es ist detailliert geregelt, was mit Dritten passiert (z.B. der Gesprächspartner am Telefon), wie die Erkenntnisse verwertet werden dürfen, und wie die personenbezogenen Daten vernichtet werden müssen. Für den Bundestrojaner aber bleibt nur die Vorschrift über die Wohnungsdurchsuchung übrig, und dafür genügt Anfangsverdacht “jeder beliebigen Straftat” und der Umgang mit den Daten “ist nicht annähernd streng geregelt”.
- Es geht hier wirklich um die Heimlichkeit, nicht aber um die sensiblen Daten. Denn bei einer Wohnungsdurchsuchung darf der PC auch mitgenommen werden, und die Daten kommen doch in staatliche Hände.
- Der Ermittlungsrichter hatte den Bundestrojaner mit einer Wohnraumüberwachung verglichen. Die geht über einen längeren Zeitraum. In dem jetzigen Beschluss wird ausdrücklich festgestellt, dass auch eine einmalige Durchsuchung mit dem Bundestrojaner nicht ok ist, eben wegen der Heimlichkeit.
- Auch wenn der Computernutzer online sein muss, um sich den Trojaner einzufangen, ist er doch nicht anwesend im Sinne der Schutzvorschriften. Diese bezwecken ja gerade, dass er sich wehren kann. Das kann er aber nicht, wenn es heimlich geschieht.
- Der Trojaner ist keine Überwachung der Telekommunikation (§ 100a StPO), weil es hier ja nicht um Datenfluss geht, sondern um Daten auf der Festplatte.
(Bei dieser Gelegenheit wird am Rande erwähnt, dass die - auch heimliche - Durchsuchung einer passwortgeschützten Mailbox zulässig sei.)
Der Bundestrojaner ist auch dann nicht zulässig, wenn es - wie hier - tatsächlich um eine besonders schwere Straftat geht. Denn das kommt aus einem anderen Paragraphen und man kann die nicht einfach so vermischeln, wie’s einem gerade passt.
Drittens: Was bedeutet das?
Erst mal natürlich, dass dieser konkrete Mensch keine Angst mehr haben muss. Außerdem: Mit den bestehenden Gesetzen ist die Anwendung des Bundestrojaners nicht möglich. Und das heißt: Man könnte ein Gesetz für ihn machen. Genau das fordern jetzt viele.
Genau wie für die anderen heimlichen Überwachungsmaßnahmen, für die es Hürden gibt, kann auch für die Online-Durchsuchung eine Regelung geschaffen werden, deren Hürden groß genug sind, dass das Ganze verfassungsgemäß bleibt. Ein solches Gesetz muss in einer Demokratie vom Parlament geschaffen werden. Die Parteienvielfalt sollte zu einer lebendigen Diskussion führen, an deren Ende eine Regelung steht, mit der die Mehrheit der Bürger gerne leben möchte. So sollte Demokratie sein.
Die Oppositionsparteien nutzen die Gelegenheit, den Innenminister anzugreifen. Wie sie in der Sache entscheiden werden, wenn es dann so weit ist, steht in den Sternen. Wenn die Bürger nicht genügend Interesse für ein Thema aufbringen, kann es auch mal Stoff für eine Mauschelei werden.
Wenn aber die Bürger deutlich machen, dass ihnen das Thema am Herzen liegt, dass sie ihre Wahlentscheidung danach richten werden; wenn sie bloggen und Petitionen einreichen, dann könnte es sein, dass tatsächlich ein guter Kompromiss dabei rauskommt. Und mehr als ein Kompromiss ist in einer Demokratie - wie auch sonst im Leben - IMHO selten möglich.
In Nordrhein-Westfalen allerdings kann man sehen, was passiert, wenn solches Engagement nicht in ausreichender Menge vorhanden ist: Dort gibt es ein solches Gesetz schon. Und eine Verfassungsbeschwerde dagegen.
Und jetzt noch zum technisch-Sozialen: Der Bundesdatenschutzbeauftragte weist darauf hin, dass die Anwendung von Trojanern Sicherheitslücken voraussetze, die z.Zt. eigentlich noch vom Staat bekämpft werden. Darunter könne das Vertrauen in das Internet leiden. Uups, das will ich gar nicht so genau wissen, was das für unseren zarten Wirtschaftsaufschwung bedeuten könnte…
Und der CCC ist auch gegen Online-Durchsuchungen, findet allerdings das Wort verharmlosend. Tatsächlich machen die Details eine Gänsehaut. Und wer sollte so was besser wissen als der CCC? Es muss darauf hingewirkt werden, dass in die (von mir gewünschte, erhoffte, erträumte) politische Diskussion auch solches Fachwissen einfließt. “Einen nachhaltigen Schutz des heimischen Computers vor staatlichen Schnüfflern bietet nur eine klare politische Absage an derartige Stasi-Methoden”, sagt CCC-Sprecher Dirk Engling. “Wir warnen davor, sich nur auf einen aktuellen Virenscanner oder die Personal Firewall zu verlassen.”
Update: In einem Interview des Kölner Stadtanzeigers wurde Innenminister Schäuble gefragt:
“Hat der Verfassungsschutz schon bislang Computer gehackt?”
Seine Antwort:
“Zu operativen Fragen nehme ich nur im parlamentarischen Kontrollgremium Stellung.”
Man möchte als Öffentlichkeit doch ganz gerne wissen, was das genau heißen soll, oder? Und habe ich mich durch diesen Blogeintrag schon verdächtig gemacht? Antwort bitte auf meiner Festplatte platzieren. Danke.