Auch wenn mir derzeit leider nicht die notwendige Zeit bleibt, meinen Blog hinreichend mit Beiträgen zu versehen, an der aktuellen Diskussion um den vom
CCC analysierten Staatstrojaner kann ich nicht kommentarlos vorbeigehen.
Aktuell scheint festzustehen, dass jedenfalls das LKA Bayern diese Schnüffelsoftware eingesetzt hat, bei der - werkseitig sozusagen - weit mehr ausspioiert wird, als dies von Gesetzes und den verfassungsrechtlichen Vorgaben des Bundesverfassungsgerichts wegen zulässig wäre. In der „Leistungsbeschreibung“ des Herstellers DigiTask sollen gar
alle Spionage-Funktionen detailliert erläutert sein, die jetzt beim Staatstrojaner als rechtswidrig
gebrandmarkt werden, wie etwa die „Live-Ausleitung“, des
Sprach-, Video-, und Chatverkehrs sowie der kompletten Dateiübertragung. Ebenso die Möglichkeit des heimlichen Hochladens weiterer Programme auf den Rechner des Überwachten. Dies soll aus Schriftwechsel zwischen Ministerium, Oberlandesgerichtspräsidenten und Generalstaatsanwälten hervorgehen.
Quer durch Blogs und Presse ist die Empörung groß und das völlig zu
Recht. Bemerkenswerter Weise habe ich jedoch fast ausschließlich
Überlegungen zu notwendigen politischen Konsequenzen vernommen, bis hin
zu Rücktrittsforderungen in Richtung verantwortliche Behördenleiter oder
Minister.
Wenig beleuchtet habe ich bislang aber die strafrechtliche Seite des Vorganges gefunden. Dabei liegt das meiner Ansicht nach sehr nahe. Unterstellen wir also den Einsatz des Trojaners in der vom CCC beschriebenen Weise und werfen dann einen Blick auf §§ 202a, c StGB.
§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Hierzu heißt es im Tröndle/Fischer, dem Standardkommentar zum StGB: "Sichverschaffen ist gegeben bei Infizierung mit sog. Trojanern, also versteckten Programmen zur Erlangung von Informationen über Vorgänge und zur Ausspähung von Daten." Das dürfte also unproblematisch erfüllt sein.
Weiter müssen diese Daten gegen unberechtigten Zugriff besonders gesichert sein. Die besondere Sicherung kann eine solche mechanischer Art zur Außensicherung sein, wie z. B. verschlossene Räume. Dazu wissen wir nun nichts Konkretes, doch dürfte zu erwarten sein, dass die im Fall eines Trojanereinsatzes betroffenen Rechner nicht in unverschlossenen Räumen oder auf der Straße stehen dürften. Auf Basis kriminalistischer und Lebenserfahrung, die Strafjuristen bei der Frage nach dem hinreichenden Tatverdacht regelmäßig als ausreichend erachten, kann man also davon ausgehen, dass die besondere Sicherung gegen unberechtigten Zugriff vorhanden gewesen war. Zumal man sonst kaum aufwändig einen Trojaner hätte installieren müssen.
Schließlich muss der Täter unbefugt handeln. Da sich beim Einsatz eines solchen Staatstrojaners in der vom CCC beschriebenen Weise die Ermittlungsbehörden eindeutig außerhalb sie legalisierender, sprich: rechtfertigender Grenzen bewegen, handelten sie unbefugt.
In staatsanwaltschaftlicher Manier lässt sich weiter konstatieren: Der Täter handelt bewusst und gewollt. Und schon ist der Tatbestand erfüllt.
Doch auch ohne konkreten Einsatz scheinen mir strafrechtliche Erwägungen angebracht:
§ 202c Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
(2) § 149 Abs. 2 und 3 gilt entsprechend.
Dass der Einsatz des Trojaners vermutlich unter § 202a fallen würde, haben wir gerade geklärt. Bereits das Sichverschaffen eines solchen Programmes wird hier nun ebenfalls unter Strafe gestellt, wie auch das Überlassen an einen anderen, Verkaufen oder sonst Zugänglichmachen.
Und schon wird es sowohl für die Herstellerfirma ("verkauft") aber auch für die involvierten Mitarbeiter des Ministeriums, die Oberlandesgerichtspräsidenten und Generalstaatsanwälte sowie die LKA-Beamten ziemlich eng. Gerade auch die in der Presse in Bezug genommene Leistungsbeschreibung erlangt hier im Hinblick auf den Vorsatz besondere Bedeutung. Wenn dort gerade die außerhalb der Legalität liegenden Fähigkeiten des Programms angepriesen werden, fällt es doch eher schwer, ein "Wissen und Wollen" zu verneinen. Ein Jurastudent, der dies in einer Arbeit umfassender problematisieren würde, müsste sich höchst wahrscheinlich Punktabzüge gefallen lassen. Ich kenne aus meiner Praxis Fälle, in denen Strafverfolger und Gerichte auf wesentlich dünnerer Indizenlage sogar dringenden Tatverdacht für den Erlass von Haftbefehlen erkannt haben.
Nun ist natürlich einzuräumen, dass wir bislang nicht sicher feststellen können, ob dieser Staatstrojaner von DigiTask konkret eingesetzt wurde. Das festzustellen ist jedoch Aufgabe staatsanwaltschaftlicher Ermittlungen. Aufgrund der vorliegenden Erkenntnisse ist jedenfalls zumindest ein Anfangsverdacht gegeben. Und der richtet sich gegen die Verantwortlichen bei DigiTask, dem bayerischen Innenministerium, den Präsidenten der und den Generalstaatsanwälten bei den Oberlandesgerichten Bamberg, München und Nürnberg sowie dem Präsidenten des LKA Bayern.
Leider bin ich nicht wirklich zuversichtlich, dass etwas geschieht. Dagegen steht die Erkenntnis vom Sozialverhalten der Krähen. Und auch die tragen bekanntlich schwarz...