You are on page 1of 66

~ I Der Bundesbeauftragte

~ t y fr den Datenschutz und


die Informationsfreiheit
Lohm sich immer: Internet
31 .01.2012
Bericht gem 26 Abs. 2 Bundesdatenschutzgesetz
ber Manahmen der Quellen-Telekommunikationsberwachung
bei den Sicherheitsbehrden des Bundes
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Inhalt
A. Zusammenfassung ............................................................................................... 4
B. Feststellungen ...................................................................................................... 6
I. Bundeskriminalamt ....................... ...... ... ...... ............. ................. ..... ..... .......... .. ..... 6
1. Allgemeiner Verfahrensablauf ... .......... ... ....... .. .... .. ....... .. ...... ................ ......... ... 6
2. Verfahren. in den Manahmen der Quellen-TK getroffen wurden ... .... .... ...... 8
a) Strafrechtlichen Ermittlungsverfahren .... ... ..... .. .. ............... .. .. ....... ..... .. ........ .. 8
b) Verfahren zur Gefahrenabwehr nach 4a, 201 Abs. 2 BKAG .... ...... .. .... .. ... 8
c) Quellen-TK in Amtshilfe fr andere Behrden ............... ....... .............. ........ 8
3. Richterliche Anordnungen ..... .. .... ..... .................. ......... ... .... ........ ..... ......... .. ...... 9
4. Beschaffung der Software ..................... .. ...... ..... ..... .... .... ..... .. ......... .... ..... ........ 9
5. Art der erfassten Inhalte .................. .......... ................... .......... ................... ..... 1 0
6. Sensible Inhalte, insb. Kernbereich privater Lebensgestaltung .... ................ .. 11
7. Reichweite ................. ....... ............. .. ........ ........ ............ ........................ .. ......... 13
8. Zeitrume ....... ........ ................. .......... ... ... ... .... .. .......... ............. ..................... .. 14
11. ZolikriminalamtiZollfahndungsdienst.. ...... ............. .. .. .... .... .......... ...................... . 14
1. Allgemeiner Verfahrensablauf/Organisation ............. ...................................... 15
2. Verfahren, in denen Manahmen der Quellen-TK getroffen wurden ... .. ...... 15
a) Strafrechtliche Ermittlungsverfahren .......... .. ........ ............ ....... ... ........ ......... 15
b) Verfahren zur Gefahrenabwehr nach 23a ff. ZFdG ..... .. .......... ............. . 16
3. Richterliche Anordnungen ........................... .......... ........... ............................. . 16
4. Beschaffung der Hard- und Software .... ................................. ........... ... .... ... ... 16
5. Art der mit der Manahme erfassten Inhalte ...... ................... ......... ......... ... .... 17
6. Sensible Inhalte, insb. Kernbereich privater Lebensgestaltung .................. .... 17
7. Reichweite ... ........ ................................................................................... .. .. .. .. 18
8. Lschung .... ........................................................................... ............. ...... ...... 19
111 . Bundespolizei ...... .... _ ............................................... ... ..... .............. .............. ..... 19
IV. Technische Durchfhrung ..... .. ...... ........................................... .. ........... .. ... .. ... . 20
1. BKA ...... ....................................................... ... .... .. .. ......... .... ....... .... ........ ..... .. . 20
a) Dokumentation der Software beim BKA ..... .. ............... .. ............ ................ 20
b) Einsatzablauf ... .............. .. .................................. ................................ ..... .... 21
c) Proxy-Server ......................... ... ..... ... ... .. ............ ... ........................ ..... . ......... 23
d) Verschlsselung der Datenstrme (Up-Download) ....... ...... .. ..................... 23
e) Authentisierung .................... ...... .......... ... .... ........ .. ... ..... ... .... .. ..... ..... .... ...... 24
f) Benutzerverwaltung (Record-Unit-System) .. ...................... .. .... .... .. .. ........... 24
g) Dokumentation von Updates .. ..... .. ... .. ............................ .. .. ................. ....... 25
h) Darstellung fr die Auswerter .. .. ... .. .. .... .. ... .. ... ..... .. ...... ... .. .. ..... .. .......... .. ..... 26
i) ProtokolIierung im Recording-Unit System und sonstige Protokollierung .... 26
j) Aufzeichnung von Raumgesprchen .................. .. .. ............................ .. .... ... 26
k) Kernbereich privater Lebensgestaltung (technische Lschung) .... .......... ... 26
I) Lschung der Quellen-TK-Software .. ... ....................................... .. ............ 27
m) Lschung der aufgezeichneten Daten ................ ...... ... .. .. .. ..................... ... 27
2. ZKAlZollfahndungsdienst .. .. .......... .. .. .......... .. ...................... ... ..... .. ...... ........... 27
a) Unterschiede bei der Vorgehensweise von BKA und ZKA ........... .. .. ... ....... 27
.m.1 Der Bundesbeauftragte
~ y tr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Interne t
b) TK-Anlage von DigiTask beim ZKA .... ... .. .. .... .. ......... .. ... ... ... .. ...... ...... ..... .. .. 28
c) Dokumentation der DigiTask Software beim ZKA .. ... .. .... .. .. .... .. ... .. .... .. ....... 29
d) Proxy Server beim ZKA .... ...... .... .. ........ .. ......... .. .... .. .... ... ... ..... .. ........ .... ...... 30
e) ERA-Software beim ZKA .. .. .... ... ... .... .. .. .. ... ...... ...... ....... ... .. ... ... ........ ... .. ...... 30
C. Bewertung ........................................................................................................... 32
1. Rechtsgrundlage fr die Durchfhrung der Quellen-TK .... ... ........ ... .. ....... ..... ... 32
1. Vorliegende gerichtliche Beschlsse .................................. .... .... .... ........ ... ..... 32
2. Datenschutzpolitische Bewertung .. .. ... .. ...... ... ..... ......... ........................... ... .... 33
3. Installation der berwachungssoftware .. .... .. ... ..... .. .... .. .. .... .. ......... ... .. .. ... .. .... 35
11. Art der Durchfhrung ........... ........... .. .. ...... .... .... ........ .. .. .. .......... .. .................... .. . 35
1. Rechtliche Anforderungen an die Datensicherheit .. ....................................... 36
2. Technische Umsetzung .................. .... ... ........ .. .. .. ..... ..... ................. .... ...... .. .... 39
a) Prfbarkeit des berwachungssystems ................................................. .... 42
b) Sicherheit der Datenbertragung .. .. ......... .. .. ..... .. ... ...... ...... .. ..... .... .. .. .... .. .. .46
c) Authentisierung ............... ... .. .. ......... .. .... .. .. .. ...... ...... .. ... ....... .. .... .......... .. .... . .49
d) Benutzerver'vvaltung in der Recording-Unit (RU) ............. .. ........ .. .......... .. ... 51
e) Protokollierung und Lschung der Protokolle ............................................. 51
f) Die Nachladefunktion .... .. ...... ........ .... ...... .... .... ............. .. .... ... ... ..... .. ........... . 54
g) Reichweite und Lschung der berwachungssoftware ........ .. ..... .. ... .... .. ... 55
h) Alternative Zugriffsmglichkeiten ... .. .... .... ....... .... .. .... .. ... .. .... ...... .. ...... .. .. .... 56
3. Begrenzung auf bestimmte Telekommunikationsanschlsse ................ .. .. .. .. . 56
4. Rumliche Reichweite .. .. ... ............. ... .... .. ........ ..... .. .... .......... .. ............... ... ..... 58
5. Amtshilfe ...... .... ...... ... .... .... ... ..... .. ... ...... ... ...... ....... ........ .... .......... ..... ... ... ....... .. 60
6. Schutz des Kernbereichs privater Lebensgestaltung .... .. ......... .. ... . ... ... .... ..... 62
7. Lschung der berwachungssoftware ... ... ... ...... .... ... ... ... .. .. .... ..... ... .... ... .. ..... 65
D. Nachrichtendienste des Bundes ....................................................................... 66
.& I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
A. Zusammenfassung
Lohnt sich immer: Internet
1. Die Durchfhrung von Manahmen der Quellen-Telekommunikations-
berwachung (Quellen-TK) durch das Bundeskriminalamt (BKA) , den Zoll-
fahndungsdienst und die Bundespolizei konnte nur begrenzt datenschutzrecht-
lich berprft werden. Zum einen beruht dies auf dem Umstand, dass in der
Mehrzahl Quellen-TK im Rahmen strafrechtlicher Ermittlungen auf Weisung
einer jeweils zustndigen Staatsanwaltschaft eines Landes vorgenommen
wurden, die damit nicht meiner Kontrollkompetenz unterliegen. Zum anderen
lagen den genannten Behrden der Quellcode der bei der jeweiligen Ma-
nahme eingesetzten Software oder eine anderweitige hinreichende Pro-
grammdokumentation nicht vor. Belastbare und abschlieende Aussagen ber
die programmierten Funktionen und Zugriffmglichkeiten der eingesetzten
Software sind daher nicht mglich.
2. Aus den vorhandenen Unterlagen ergab sich jedoch, dass die bei Manahmen
der Quellen-TKO eingesetzte Software nicht den Anforderungen der gem
9 Bundesdatenschutzgesetz erforderlichen technischen und organisatori-
schen Manahmen zur Gewhrleistung des Datenschutzes Rechnung getra-
gen haben. Dies gilt insbesondere fr die unzureichende Verschlsselung der
an lsslich der Quellen-TK ausgeleiteten Daten und die mangelnde Authenti -
sierung der an den Prozessen beteiligten Personen und Systeme.
3. Bei der Durchsicht der Inhalte der im Zuge der Quellen-TK erlangten Infor-
mationen ergaben sich bei keiner der genannten Behrden Anhaltspunkte da-
fr . dass ber die laufende Telekommunikation hinaus Dateninhalte des je-
weils infiltrierten Rechners, wie z. B. Bildschirmdarstellungen, durch diese
Manahmen erlangt worden sind oder dass unzulssige berwachungsfunkti-
onen aktiviert wurden (z.8. Mikrofone und Kameras zur RaumbefVllachung).
4. Unabhngig von der berprfung der Einzeimanahmen bewerte ich die Fra-
ge, ob und inwieweit eine tragfhige Rechtsgrundlage fr die Quellen-TK
vorl iegt wie folgt: In seinem Urteil
1
zur Online-Durchsuchung fordert das Bun-
desvertassungsgericht im Hinblick auf die Risiken , die mit einer Quellen-TK
verbunden sind, neben technischen Vorkehrungen auch .,rechtliche Vorga-
ben", die den mit der Infiltration des Systems verbundenen Eingriff auf die
1 BVerfG NJW 2008, 822
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
berwachung der Telekommunikation beschrnken. Vor diesem Hintergrund
stellen 100a Strafprozessordnung bzw. 23 a Zollfahndungsdienstgesetz
keine hinreichende Rechtsgrundlage fr die Durchfhrung von Manahmen
der Quellen-TK dar. da diese keine entsprechenden Regelungen enthalten.
5. Die bei Manahmen der Quellen-TK durch BKA und Behrden des Zollfahn-
dungsdienstes eingesetzte Software ermglicht es nicht, die den Kernbereich
privater Lebensgestaltung betreffenden Inhalte ausgeleiteter Gesprche ge-
zielt zu lschen. Damit wurde der vom Bundesverfassungsgericht in stndiger
Rechtsprechung entwickelte Schutz zum Kernbereichs privater Lebensgestal-
tung bei heimlicher Telekommunikationsberwachung. nmlich eine unverzg-
liche Lschung und Nichtverwertung kernbereichsrelevante Gesprchsinhalte.
missachtet.
I
Der Bundesbeauftragte
fr den Datenschutz und
di einformationsfreiheit
B. Feststellungen
Lohnt sich immer: Internet
Im Rahmen meiner Prfung habe ich zunchst beim Bundeskriminalamt (BKA) am
19./20.10.2011, bei der Bundespolizeidirektion Mnchen am 25.10.2011 und beim
Zollkriminalamt (ZKA) am 02./03.11.2011 Beratungs- und Kontrollbesuche bzgl. der
dort bis dato durchgefhrten Manahmen der Quellen-Telekommunikations-
berwachung durchgefhrt. Den Behrden habe ich die Mglichkeit eingerumt, vor-
ab zu den von mir festgestellten Sachverhalten Stellungnahmen abzugeben. Diese
haben Eingang in den Bericht gefunden.
I. Bundeskriminalamt
Das BKA hat 23 Manahmen der sog. Quellen-TK durchgefhrt. Davon fhrte es
19 Manahmen in eigener Zustndigkeit sowie vier Manahmen in Amtshilfe fr an-
dere Behrden durch bzw. bereitete diese vor. Acht der vom BKA in eigener Zustn-
digkeit durchgefhrten Manahmen betrafen strafrechtliche Ermittlungsverfahren, elf
der Manahmen erfolgten zur (vorbeugenden) Gefahrenabwehr. Die in Amtshilfe
durchgefhrten Manahmen betrafen strafrechtliche ErmittlungsveIiahren.
Im Rahmen meiner Besuche im BKA wurde mir Einsicht in die Aufnahmeeinheit (Re-
cording Unit) gegeben, wo zu den einzelnen Verfahren die aufgezeichneten perso-
nenbezogenen Daten gespeichert waren. Darber hinaus gewhrte mir das BKA
Einsicht in die Handakten, soweit diese vorlagen. Schlielich erhielten ich Einblick in
alle richterlichen Beschlsse, die mir zudem in Kopie mit geschwrzten Personen-
namen bersandt wurden. Zudem haben die Mitarbeiter des BKA whrend der Kon-
trollbesuche die Manahmen und Hintergrnde umfassend erlutert.
1. Allgemeiner Verfahrensabfauf
Fr die Durchfhrung der Quellen-TK ist innerhalb des BKA eine Organisationsein-
heit des kriminalistischen Instituts zustndig (KI 25), die den Bedarfstrger - die je-
weilige ermittelnde Einheit des BKA, bzw. in Fllen der Amtshilfe die betreffende
Landesbehrde - untersttzt und die Gesamtverantwortung fr das Verfahren trgt.
Das BKA unterteilt das Verfahren in folgende Phasen:
Beratungsphase: Bevor ein richterlicher Beschluss beantragt wird, bert KI
25 den Bedarfstrger, ob die Durchfhrung eine Quellen-TK im konkreten
Fall sinnvoll erscheint. Dabei werden sowohl kriminaltaktische als auch rechtli-
~ I Der Bundesbeauftraate
~ ~ fr den Datenschutz und
die Info rmationsfreih eit
Lohnrsich immer: Internet
ehe Fragen, sowie insbesondere die technische Leistungsfhigkeit und
Reichweite der Manahme errtert. Die Anregung gegenber der ermittlungs-
fhrenden Staatsanwaltschaft. einen entsprechenden Gerichtsbeschluss zu
beantragen, steht unter dem Vorbehalt der Genehmigung der Amtsleitung. In
Fllen der Gefahrenabwehr erfolgt der Antrag auf Erlass einer richterlichen
Anordnung durch den Prsidenten des BKA selbst.
Vorbereitungsphase: Das BKA hatte in allen Fllen bereits Vorermittlungen
durchgefhrt. bevor es richterliche Beschlsse einholte. Die Vorermittlungen
dienten in erster Linie der Feststellung, wie die Zielperson kommunizierte, ins-
besondere ob sie verschlsselte Verfahren wie z. B. Skype nutzte. In der Re-
gel werde dazu eine "konventionelle' Telekommunikationsberwachung des
DSL-Anschlusses der Zielperson durchgefhrt. Mit deren Hilfe knnen ent-
sprechende Erkenntnisse aus dem Datenstrom oder aus Kommunikationsin-
halten gewonnen werden (siehe im Einzelnen zu IV.). Die Vorermittlungen be-
zogen sich auch auf das sonstige Nutzungsverhalten und Eigenarten der Ziel-
person. insbesondere hinsichtlich der Frage, ber welche IT-Kenntnisse diese
verfgt und in welcher Form diese gegebenenfalls in der Lage ist. Angriffe auf
das Zielsystem abzuwehren.
Einbringungsphase: Die Einbringung der Oberwachungssoftware (Capture-
Unit) erfolge in Abstimmung zwischen KI 25 und dem jeweiligen Bedarfstrger.
Bei der Einbringung wird i.d.R. ein Ladeprogramm auf dem Zielsystem zur
Ausfhrung gebracht, durch welches die eigentliche berwachungssoftware
installiert wird. Bevor mit der eigentlichen Manahme begonnen wird, muss
zunchst das Zielsystem anhand bekannter technischer Parameter verifiziert
werden. Jede Einbringung steht unter dem Entscheidungsvorbehalt der Amts-
leitung. Die Software werde entweder mittels physischem Zugriff auf das Ziel-
system oder auf andere Weise eingebracht. Auf die Darstellung der Einzelhei-
ten wird auf Wunsch des BKA hier verzichtet.
Durchfhrungsphase: Die Durchfhrungsphase wird im Einzelnen unter IV.
beschrieben. Fr die Einhaltung des Schutzes des Kernbereichs privater Le-
bensgestaltung sind die fr die Auswertung der Telekommunikationsberwa-
chung im BKA allgemein festgelegten Regelungen zu beachten.
Beendigungsphase: Die Capture-Unit wird auf dem Zielsystem gelscht,
wenn die Manahme aufgrund taktischer Erwgungen oder wegen Auslaufen
des richterlichen Beschlusses beendet werden soll (dazu nher IV.)
~ I Der Bundesbeauftragte
~ t ' f fr den Datenschutz und
die Informationsfrei h eit
Lohnt sich immer: Internet
Nachbereitungsphase: In der letzten Phase wird die Manahme unter tech-
nischen und taktischen Gesichtspunkten nachbereitet, um Erkenntnisse fr
den Einsatz in zuknftigen Fllen zu gewinnen,
2. Verfahren, in den Manahmen der QuelJen- TK getroffen wurden
a) Strafrechtlichen Ermittlunqsvertahren
Oie sechs strafrechtlichen Ermittlungsverfahren des BKA, in denen elf Quellen-TK-
Manahmen vorbereitet bzw. durchgefhrt wurden, betrafen unterschiedliche De-
liktsbereiche. Gegenstand eines Verfahrens war der Verdacht der Bildung einer kri-
minellen Vereinigung in Verbindung mit Delikten aus dem Bereich des sog. Phishing
( 129 StGB nebst weiterer Straftatbestnde), in einem weiteren Verfahren der Ver-
dacht der Untersttzung bzw. Mitgliedschaft in einer auslndischen terroristischen
Vereinigung ( 129b StGB). Ein weiteres Verfahren betraf den Verdacht der Vorbe-
reitung einer schweren staatsgefhrdenden Gewalttat ( 89a StGB), zwei Verfahren
die Betubungsmittelkriminalitt im Bereich der Organisierten Kriminalitt ( 29a
BtMG), ein laufendes Verfahren betraf Betrug im besonders schweren Fall ( 263
Abs. 1 iV.m. Abs. 3 StGB).
Das BKA erluterte, dass 100a. 100b StPO keine nheren Umschreibungen fr
technische Sicherungen bei der Quellen-TK enthielten. Man orientiere sich aber
auch im Bereich der strafprozessualen Manahmen an den zustzlichen Eingren-
zungen des 201 Abs. 2 iV.m. 20k Abs. 2 und 3 BKA-Gesetz (BKAG).
b) Verfahren zur Gefahrenabwehr nach 4a. 201 Abs. 2 BKAG
In den vier Manahmen, die zum Zwecke der Gefahrenabwehr durchgefhrt wurden,
lagen dem Bundeskriminalamt Hinweise auf Gefahrenlagen aus dem Phnomenbe-
reich des internationalen Terrorismus vor.
c) Quellen-TK in Amtshilfe fr andere Behrden
Das BKA fhrte vier Manahmen zur Quellen-TK in strafrechtlichen Ermittlungsver-
fahren in Amtshilfe fr hessische und rheinland-pflzische Landespolizeibehrden
durch. Diese Verfahren betrafen den Verdacht der Geldwsche ( 261 StGB). des
Verstoes gegen das BtMG ( 29 ff. BtMG), des schweren Bandendiebstah\s
( 244a StGB) und des schweren Raubes ( 250 StGB).
~ I Der Bundesbeauftragte
~ t y fr den Datenschutz und
die Informationsfreiheit
3. Richterliche Anordnungen
Lohm sich immer: Internet
Fr alle Manahmen sind mir richterliche Beschlsse vorgelegt worden. Diese sind
magebend fr die datenschutzrechtliche Beurteilung, da die jeweilige Manahme
nur nach den jeweiligen Vorgaben der gerichtlichen Entscheidung durchgefhrt wer-
den darf.
Die Tenorierungen der Beschlsse sind unterschiedlich. Sie sind teilweise auf smtli-
che von der Zielperson genutzten Endgerte bezogen, teilweise aber auf bestimmte
Endgerte beschrnkt. Ein Teil der Beschlsse begrenzt die jeweiligen Manahmen
zudem auf bestimmte Telekommunikationsanschlsse.
In den meisten der Gerichtsbeschlsse wird zudem in der Tenorierung bzw. in der
Begrndung darauf hingewiesen. dass eine ber die berwachung und Aufzeich-
nung der verschlsselten Telekommunikation hinausgehende "Online-
Durchsuchung des jeweiligen Computers des Betroffenen auszuschlieen ist. Zum
Teil wird dem Antragsteller ausdrcklich aufgetragen, dass die Funktionsweise des
Programms, welches zur berwachung und Weiterleitung der verschlsselten Kom-
munikation verwendet wird, sicherstellen muss, dass die belWachung und Weiterlei-
tung anderer als der von dieser Anordnung umfassten Daten ausgeschlossen ist,
bzw. werden die Ermittlungsbehrden verpflichtet, die genutzte Software entweder
selbst fachkundig oder bei Ankauf von einem privaten Hersteller aus eigner techni-
scher Sachkunde auf die Richtigkeit der auf die Quellen-TK beschrnkten Funkti-
onsweise hin zu berprfen. Soweit die Sicherstellung einer solchen Funktionsweise
der eingesetzten Software nicht mglich sei, habe die berwachung insgesamt zu
unterbleiben.
Darber hinaus legen die Beschlsse zumeist fest, dass Vernderungen am informa-
tionstechnischen System nach Beendigung der Manahme rckgngig gemacht
werden mssen.
4. Beschaffung der Software
Das BKA erstellt die Software fr den Quellen-TK-Einsatz nicht selbst, sondern
verwendet Software der Firma DigiTask GmbH, mit der ein Rahmenvertrag abge-
schlossen wurde. Nach Mitteilung des BKA sei der Markt fr die Programmierung von
"berwachungsprogrammen", die fr den Einsatz beim BKA geeignet seien, sehr
klein. Man habe deshalb auf die Firma DigiTask zurckgegriffen, weil diese am Markt
etabliert sei und ber einschlgige Erfahrungen verige.
I Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Der Rahmenvertrag sieht vor, dass das BKA entsprechende Software mit den ge-
wnschten Funktionen abrufen kann. Jede Version wird individuell angepasst und
auch abgerechnet. Die berlassung des Quellcodes (eng!. source code) sieht der
Vertrag nicht vor.
Bemerkenswert ist die Formulierung im Rahmenvertrag : .. Grundmodu! ink!. Skype
(Das Modul .,Onlinedurchsuchung" ist im Preis enthalten und kann bei Bedarf integ-
riert werden)" . Das BKA interpretiert diese Vertragsklausel als deklaratorischen Hin-
weis , dass die Firma OigiTask ein Modul "Onlinedurchsuchung" in ihrem Portfolio
habe, welches technisch integriert werden knne. Tatschlich habe das BKA dieses
Modul niemals abgerufen. Das Modul .,Onlinedurchsuchung" sei zu keinem Zeitpunkt
Bestandteil der im BKA eingesetzten Software zur Durchfhrung von Manahmen
der Quellen-TK gewesen. Fr Manahmen der Onlinedurchsuchung setze das BKA
ohnehin eine andere Software ein .
. __ . _. ____ _ _
Zusatz
Kommuniziert
__ a.
5. Art der erfassten Inhalte
Zu allen Manahmen habe ich das IT-gesttzte Auswerteverfahren (zur technischen
Beschaffenheit siehe IV.) eingesehen, soweit es nach Angaben des BKA zu einer
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Ausleitung von Inhalten gekommen ist. Anhand der Darstellung des Verfahrens war
zu jeder Manahme ersichtlich, zu welchen Zeitpunkten die Betroffenen online waren
und welche Inhalte ausgeleitet wurden. Insbesondere zeigte das System an, welche
Inhalte erfasst worden waren: Tonaufzeichnungen, SMS- oder Chat-Inhalte. Bei
Durchsicht des IT-gesttzten Verfahrens habe ich Audioaufzeichnungen von Ge-
sprchen, die mit entsprechender Software von den Betroffenen ber das Internet
gefhrt wurden, insb. mit der Software "Skype,2, sowie Aufzeichnungen einzelner
Chat-Protokolle vorgefunden. Hingegen fanden sich keine Bildschirmdarstellungen
(Screenshots) oder Dateiinhalte, die vom infiltrierten Rechner des Beschuldigten er-
langt worden waren.
Zu den erfassten Gesprchsinhalten habe ich darber hinaus die Verschriftung ein-
gesehen. Lediglich in einem Verfahren konnte diese nicht vorgelegt werden. Es han-
delte sich dabei aber um ein laufendes Verfahren, bei dem die berwachungsma-
nahme aufgrund der Verffentlichung des Chaos Computer Clubs (CCC)3 zum Ein-
satz von ,.Trojanern" nach Angaben des BKA gestoppt worden sei.
6. Sensible Inhalte, insb. Kernbereich privater Lebensgestaltung
In einem Verfahren wurde folgender Sachverhalt festgestellt: Es fanden zwei Ma-
nahmen zur Telekommunikationsbervvachung statt. Zum einen berwachte das
BKA den DSL-Anschluss eines Internet-Cafes: diese berwachung hat nach Mittei-
lung des BKA neben der umfassenden Einlassung der Beschuldigten mageblich zur
Aufklrung des Straftatenverdachts gefhrt.
Zum anderen wurde der mobile Computer des Beschuldigten mittels Quellen-TK
berwacht. Diese habe nach Angaben des zustndigen Ermittlungsfhrers des BKA
allerdings keine neuen Erkenntnisse erbracht. Zumeist habe der Beschuldigte ber
Skype Gesprche mit seiner Freundin in Sdamerika gefhrt. In den Gesprchen sei
aber nur sehr abstrakt ber Betubungsmittel gesprochen worden. Die Ergebnisse
der Quellen-TK seien von der Staatsanwaltschaft in der Anklage nicht als Beweis-
mittel aufgefhrt worden. Vom Gericht wurde die Verurteilung hierauf nicht gesttzt.
2 Bei Skype handelt es sich um einen KommunikaUonsdlenst, bei dem Sprache, Videa- und Texti:.for-
matlO'len verschlsselt ber das Internet ubertragen werden Voraussetzung ist. dass die Nutzer eine
entsprechende Softviare auf ihren Endgeraten installiert haben und bei dem Diensteanbieter registriert
sind.
~ ., Chaos Computer Club analYSiert Staatstrojaner' , Meldung auf der Website des CCC v. 810.2011,
http://wJw/ccc.del deiupdates/2011/staatstrojarier
~ I Der Bundesbeauftragte
~ t ~ - fr den Datenschutz und
die I nformationsfre iheit
Lohm sich immer: Internet
Anhand der von uns eingesehenen schriftlichen Aufzeichnungen der Gesprche fan-
den sich u.a. folgende Zusammenfassungen zu Gesprchen zwischen dem Beschul-
digten und seiner Freundin in Sdamerika:
" ... kurzes erotisches Gesprch ... ", 20.11.09, 14:31 :54
,.Gesprch bers Wetter und intime Angelegenheiten", 20.11.2009, 15:43:24
" ... Liebesbeteuerungen .. .', 4.12.2009, 15:46:31, weiterer Wortlaut " ... Danach
Sexgesprch (Anm. bers. Ab 15:52:20 bis 16:01 :00 finden offensichtlich
Selbstbefriedigungshandlungen statt) ... ", ., ... weiter privat ber Liebe ... "
Die Tondateien zu diesen Gesprchen lagen noch vor. Das BKA fhrte aus, die
Staatsanwaltschaft habe verfgt, die Dateien nicht zu lschen. Begrndet wurde dies
damit, dass eine Teillschung technisch nicht mglich gewesen sei.
In den brigen Verfahren hatten zahlreiche der erfassten Gesprche fr das Strafver-
fahren nicht relevante Kommunikation zum Inhalt. Soweit diese Gesprche vom BKA
in Schriftform niedergelegt worden waren, beschrnkte es sich in der Regel auf kur-
ze, zumeist auf wenige Stichworte begrenzte, Zusammenfassungen (zum Beispiel
"privates Gesprch"). Gesprchsgegenstnde. die dem Kernbereich privater Le-
bensgestaltung betreffen knnten, habe ich in den brigen Verfahren nicht vorgefun-
den.
Die allgemeine Vorgehensweise zum Schutz des Kernbereichs privater Lebensges-
taltung erluterte das BKA wie folgt: Zunchst markiere der Sachbearbeiter die jewei-
lige Gesprchsstelle. die er als kernbereichsrelevant ansieht. Diese legt er in dem
Kernbereichsbeauftragten (das ist in der Regel der Ermittlungsfhrer des jeweiligen
Verfahrens) vor. Der Kernbereichsbeauftragte bewerte, ob die Stelle tatschlich als
kernbereichsrelevant anzusehen ist und lege sie gegebenenfalls der Staatsanwalt-
schaft vor. Diese entscheide darber, ob der betreffende Gesprchsteil bzw. die Auf-
zeichnung darber zu lschen ist.
Das BKA erluterte, dass die fr Manahmen der Quellen-TK eingesetzte Software
eine gezielte Lschung einzelner Gesprchsteile innerhalb des verwendeten Sys-
tems nicht vorsehe. Eine gezielte Lschung wrde deshalb voraussetzen, dass die
betreffende Tondatei zunchst exportiert werde, um sie anschlieend manuell mit
einer anderen Software zu bearbeiten. Bei einem solchen Vorgehen wrden aber die
Dateien aus dem Protokollierungszusammenhang herausgelst. Inzwischen habe
das BKA bei der Fa. DigiTask aber eine Funktion angefordert, mit der einzelne Ge-
sprchsteile innerhalb des Protokollierungszusammenhangs gelscht werden kn-
nen. DigiTask habe diese Forderung aber noch nicht umgesetzt.
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
7. Reichweite
Lohn! sich immer: Internet
Die auf dem Computer des Beschuldigten installierte berwachungssoftware leitet
die Inhalte zur bervvachungseinheit des BKA unabhngig von den genutzten Tele-
kommunikationsanschlssen aus. Es ist also unerheblich, ob der Beschuldigte - ins-
besondere einen mobilen - Computer von zu Hause aus oder in einem Hotel oder an
einer anderen Stelle nutzt. Die Telekommunikation wird auch dann berwacht, wenn
der Beschuldigte sich im Ausland aufhlt.
In der Praxis ist es zur Erfassung von Gesprchen gekommen, die vom Beschuldig-
ten im Ausland gefhrt wurden. Konkret hat der Beschuldigte zumindest in den oben
erwhnten Verfahren mit seinem Laptop auch vom Ausland aus mit seiner Freundin
telefoniert . In Bezug auf die Datenerhebung im Ausland wurde erlutert, dass seitens
des BKA nicht immer eindeutig bestimmt werden knne. ob Daten im In- oder Aus-
land erhoben werden. Allein auf Grund der verwendeten IP-Adresse
4
sei eine solche
Zuordnung nicht sicher mglich, denn insoweit seien die Geo-IP-Datenbanken nicht
immer genau. Deren Datenbasis sei auf Grundlage von massenhaft, aber dennoch
individuell erhobenen Erfahrungswerten zusammengetragen und solle einen mg-
lichst przisen - aber dennoch nicht verbindlichen Zusammenhang zwischen IP-
Adressen und geografischen Informationen herstellen. Eine nherungsweise Ablei-
tung einer derartigen Information sei allenfalls im Rahmen der Zuordnung einer IP-
Adresse zu einem Adresskontingent eines bestimmten Providers (per sog. ).Whois-
Abfrage") bzw. bei der Verfolgung des Wegs von IP-Datenpaketen im Internet zu ei-
ner bestimmten IP-Adresse (per. sog. ,.Traceroute") mglich.
Das BKA teilte mit. dass hinsichtlich der Unsicherheiten bei mglichen Auslandsauf-
enthalten im konkreten Verfahren der Staatsanwaltschaft die eingeschrnkten tech-
nischen Gegebenheiten dargestellt worden seien . Diese habe daraufhin entschieden,
dass die Manahme aufgrund der technischen Unsicherheiten im vollen Umfang wei-
terzufhren sei. Im genannten Fall seien aber Erkenntnisse aus Begleitmanahmen
vorhanden gewesen seien , wonach der Beschuldigte auch aus dem Ausland ber
Skype kommunizierte, Daher sei mit der Staatsanwaltschaft abgesprochen worden,
dass gegebenenfalls im Nachhinein im Wege der internationalen Rechtshilfe Ge-
nehmigungen eingeholt werden sollten. soweit die Ergebnisse beweiserheblich wr-
den. Dazu sei es aber nicht gekommen, da die Skype-Gesprche letztlich fr die
strafrechtliche Entscheidung nicht tragend waren.
~ IP (Internet Protocolj-Adressen identifizieren die Rechner, die die Kommunikation abwickeln oder an
ihr beteiligt sind. Sie ermoglichen das Senden und ErT.pfangen von Datenpaketen ber das Internet
4 I Der Bundesbeauftragte
J ~ t ~ tr den Datenschutz und
die I nformationsfreih eit
Lohnt sich immer: Internet
Das BKA vertritt die Auffassung, in Fllen, in denen unzweifelhaft feststeht, dass sich
das berwachte Endgert im Ausland befindet, sei grundstzlich ein justizielles
Rechtshilfeersuchen an den betroffenen Staat zu stellen.
8. Zeitrume
In einem Verfahren gab das BKA an. dass aufgrund der Anordnung des Generalbun-
desanwalts (GBA) die Manahme am 16.12.2010 enden sollte, tatschlich die ber-
wachungssoftware aber erst am 26.1.2011 im Remote-Zugriff entfernt werden konn-
te. Aus den Protokolldaten sind aber Online-Zeiten ersichtlich, die deutlich ber den
16.12.2010 hinausgehen. Ab dem 16.12.2010 ist aber keine Gesprchsaufzeichnllng
ersichtlich. Zu diesem Zeitpunkt habe die Bundesanwaltschaft die Beendigung der
Manahme angeordnet. Es sei aber aus technischen Grnden in diesem Fall nicht
mglich gewesen, die berwachungssoftware auf dem Zielsystem per Fernzugriff zu
lschen. Daher sei die in der eingesetzten berwachungssoftware implementierte
Funktion zur Aufzeichnung von Telekommllnikationsinhalten zu diesem Datum deak-
tiviert worden. Die anderen Funktionen der berwachungssoftware, die Rckmel-
dung ihrer Prsenz und Funktionsbereitschaft, auf dem in Betrieb befindlichen Ziel-
system an die Recording Unit zu bermitteln, blieb insoweit aber bis zur manuellen
Lschung auf dem Zielsystem am 26.01.2011 erhalten.
11. Zoll krim i nalamtiZollfahnd ungsd ie nst
Das ZKA und die Zollfahndungsmter (ZF) haben insgesamt 16 Manahmen zur
Quellen-TK durchgefhrt. Vier Manahmen erfolgten durch das ZKA in eigener Zu-
stndigkeit, die brigen zwlf durch die ZF. Drei der vom ZKA durchgefhrten Ma-
nahmen waren auf die Gefahrenabwehr gem 23a Zollfahndungsdienstgesetz
(ZFdG) gerichtet, eine erfolgte im Rahmen eines Ermittlungsverfahrens auf der
Grundlage von 1 OOa StPO. Smtliche Quellen-TK-Manahmen der ZF wurden
im Rahmen von strafrechtlichen Ermittlungsverfahren durchgefhrt. Alle genannten
16 Manahmen betrafen die berwachung von .,Skype-Kommunikation'.
Bei meinem Besuch wurde mir Einsicht in die Aufnahmeeinheit (Recording Unit) ge-
geben, wo zu einzelnen Manahmen die aufgezeichneten Gesprche gespeichert
waren. Darber hinaus gewhrte mir das ZKA Einsicht in die Handakten, soweit die-
se vorlagen. Schlielich erhielt ich Einblick in richterliche Beschlusse, die mir zudem
in Kopie mit geschwrzten Personennamen bergeben wurden. Ich erhielt auch Ko-
pien der Vertrge und Vergabeunterlagen mit den Firmen DigiTask und ERA Soluti-
~ I Der Bundesbeauftragte
~ t ~ - fr den Datenschutz und
die Informationsfreiheit
Lohm sich immer: Internet
ons. die Hard- und Software-Komponenten fr die technische Umsetzung der Quel-
len-TK-Manahmen lieferten. Zudem haben die Mitarbeiter des ZKA die Manah-
men und deren Hintergrnde umfassend erlutert.
1. Allgemeiner Verfahrens ablauf/Organisation
Zwischen dem ZKA und den ZF gibt es gern. 1 Abs. 1 ZFdG eine organisatori-
sche Trennung mit der Folge, dass Manahmen der Quellen-TK vom ZKA und den
ZF jeweils eigenstndig durchgefhrt werden. Innerhalb des ZKA ist fr rechtliche
Angelegenheiten das Referat 11 1 und fr die technischen Belange das Referat 11 5
zustndig. Diese untersttzen auch die ZF bei der Durchfhrung von Quellen-TK-
Manahmen.
Eine Ausnahme von der o.g. organisatorischen Trennung zwischen dem ZKA und
den ZF ist die Beschaffung der notwendigen Hard- und Software. Diese wird zum
Teil vom ZKA fr die ZF mitbeschafft (Nheres siehe 4 a.).
2. Verfahren, in denen Manahmen der Quellen- TK getroffen wurden
a) Strafrechtliche Ermittlungsverfahren
Ein Ermittlungsverfahren des ZKA erfolgte gern. 1 OOa StPO wegen einer Straftat
gegen das Auenwirtschaftsrecht ( 34 Auenwirtschaftsgesetz -AWG) . Hierbei sei
das genutzte Sphprogramm jedoch nicht aktiviert worden .
Die Ermittlungsverfahren der ZF richteten sich gegen nachfolgende Straftaten: Ge-
werbs- und bandenmiger Schmuggel von Arzneimitteln
( 373 AO, 95 Abs. 1 Nr. 1 ArzneimitteiG) , Handel und Einfuhr mit Betubungsmit-
teln ( 29 ff. BtMG), gewerbsmige und bandenmige Steuerhinterziehung durch
Schmuggel von Zigaretten ( 369, 370, 373.374 AO) , Bildung einer kriminelle Ver-
einigung, gewerbsmige und bandenmige Steuerhinterziehung durch Schmuggel
von Zigaretten ( 129 StGB. 369. 370,373,374 AO).
Bei neun von zwlf Manahmen der ZF wurden "Trojaner" erfolgreich aktiviert. Bei
sieben Manahmen bermittelten Trojaner Daten an die ZF. Ein Grund dafr, dass
in den anderen Verfahren keine Daten angeliefert worden seien, knnte nach den
Erluterungen des ZKA darin liegen. dass seitens des Betroffenen ein neues System
~ I Der Bundesbeauftragte
~ ~ fr den Datenschutz und
die Informationsfreiheit
Lohm sich immer: Internet
auf dem infiltrierten Computer aufgespielt worden sei, wodurch der "Trojaner" ge-
lscht worden sein knnte.
Soweit die Betroffenen der Manahmen zu benachrichtigen waren, ist dies nach
Auskunft des ZKA jeweils durch die ermittlungsleitende Staatsanwaltschaft erfolgt.
b) Verfahren zur Gefahrenabwehr nach 23a ff. ZFdG
In den drei Manahmen, die zum Zwecke der Gefahrenabwehr durchgefhrt wurden,
lagen dem Zollkriminalamt nach eigenen Angaben Hinweise auf Gefahrenlagen vor.
Sie betrafen Verste gegen 34 AWG. Es lagen insoweit richterliche Beschlsse
zur Durchfhrung von Manahmen nach 23a ff . ZFdG vor.
Nach Auskunft des ZKA sei bei keinem der drei ZKA-Manahmen das genutzte
Sphprogramm (Trojaner) erfolgreich aktiviert worden. Somit seien auch keine Daten
von Computern Betroffener an das ZKA bermittelt worden.
3. Richterliche Anordnungen
Fr den Inhalt der richterlichen Anordnungen gilt das unter l. 3. Ausgefhrte entspre-
chend.
4. Beschaffung der Hard- und Software
Die Beschaffung von Hard- und Software fr Manahmen der Ouellen-TK erfolgte
von privaten Anbietern. Dies geschah bis 2007 bei der Firma ERA Solutions, danach
bei der Firma DigiTask. Fr jede "Quellen-TK" wurde eine gesonderte Beschaf-
fungsmanahme durchgefhrt, ein Rahmenvertrag existiert nicht. Die technischen
Anforderungen wurden durch das ZKA bzw. durch das jeweilige ZFA eigenstndig
festgelegt
Zum Inhalt der zur Verfgung gestellten Vergabeunterlagen zu den einzelnen Ouel-
len-TK-Manahmen ist Folgendes zu bemerken:
Inwieweit die hierfr durchgefhrte Beschaffung die Grenzen des Gerichtsbeschlus-
ses einhlt, lsst sich aus den vorgelegten Vertragsunterlagen mit den Firmen ERA
und DigiTask nicht feststellen. Insbesondere die Prfung der Funktionsweise der
*1
Der Bundesbeauftragte
fr den Datenschutz und
di einform ationsfreih eit
Lohnt ,ich immer: Internet
eingesetzten .,Sphsoftware" lsst sich daraus nicht erschlieen. Die Vertreter des
ZKA erklrten hierzu, dass durch Tests die Skype-bezogenen Funktionalitten sowie
der Infektionsfhigkeit und der Entfernbarkeit des Trojaners durch die berechtigte
Stelle berprft worden sei. Eine weitergehende berprfung im Hinblick auf Funkti-
onsweisen, die die Software ber die berwachung der laufenden Telekommunikati-
on hinaus haben knnte, sei dem ZKA technisch nicht mglich gewesen, da der
Quelleode der berwachungssoftware der Unternehmen ERA und DigiTask nicht
vorgelegen habe.
Das Unternehmen DigiTask habe mit Schreiben vom 11 .10.2011 sowie in vorange-
gangenen Gesprchen und Besprechungen versichert, dass der Zollfahndungsdienst
eine Software nutzt, die ausschlielich die berwachung von Telekommunikation
(hier: Skype Telekommunikation) ermglicht. Weitere Funktionalitten. wie z.B.
Screenshots fertigen. wren nicht implementiert.
Das genannte Schreiben der Fa. DigiTask wurde mir anlsslich meines Besuchs im
ZKA nicht vorgelegt. Lediglich im Zusammenhang mit einer Manahme des ZFA
Hannover ist aus einem Vermerk des ZFA zu Auftragsvergabe zu entnehmen. dass
von den Firmen ERA Solution und DigiTask besttigt worden sei, dass "eine Online-
Durchsuchung nicht mglich sei".
5. Art der mit der Manahme erfassten Inhalte
Bezglich der Art der mit der Manahme erfassten Inhalte wird auf das unter I. 5.
Ausgefhrte verwiesen.
Bei der Durchsicht der Inhalte fanden sich insbesondere keine von den Anordnungen
nicht gedeckte Bildschirmdarstellungen (Screenshots) oder Dateiinhalte, die vom in-
filtrierten Rechner des Beschuldigten erlangt worden waren.
6. Sensible Inhalte, insb. Kernbereich privater Lebensgesta/tung
Zu den eriassten Gesprchsinhalten habe ich stichprobenartig auch die Verschrif-
tung eingesehen. Dabei haben sich keine Anhaltspunkte ergeben , dass es bei der
berwachung und Aufzeichnung der Telekommunikation zu Verletzungen des Kern-
bereichs privater Lebensgestaltung der Betroffenen gekommen ist.
Die allgemeine Vorgehensweise zum Schutz des Kernbereichs privater Lebensges-
taltung erluterte das ZKA wie folgt: Der Sachbearbeiter markiere die jeweilige Ge-
~ I Der Bundesbeauftragte
- ~ t ) ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
S:: iT-:: 10 '/0'1 3E
sprchsstelle, die er als kernbereichsrelevant ansieht. Diese lege er dem Staatsan-
walt (in repressiven Manahmen) oder dem Manahmeleiter (in prventiven Ma-
nahmen; dies ist eine Person mit Befhigung zum Richteramt) vor. Der Ermittlungs-
leiter bewerte, ob die Stelle tatschlich als kernbereichsrelevant anzusehen ist, und
entscheide darber, ob der betreffende Gesprchsteil bzw. die Aufzeichnung darber
zu lschen ist.
Das ZKA erluterte, dass auch die zum Zeitpunkt meines Besuchs fr Manahmen
der Quellen -TK im Zollfahndungsdienst eingesetzte Software es technisch nicht
ermgliche, einzelne Gesprchsteile aus den Datenbanken zu lschen, ohne dass
dadurch der Protokollierungszusammenhang beschdigt wrde (vgl. 1.6). Bei Ge-
sprchen mit der Firma DigiTask sei eine Funktion angefordert worden. mit der man
auch einzelne Gesprchsteile innerhalb des Protokollierungszusammenhangs l-
schen knne. DigiTask habe dies aber noch nicht umgesetzt. Eine gezielte Lschung
bestimmter Gesprchsteile bei IP-basierter Telekommunikation sei erst mit einer sp-
teren der Software-Version vorgesehen.
7. Reichweite
Auf die Ausfhrungen unter I. 7. wird verwiesen.
Nach dem Aufspielen der berwachungssoftware auf dem Computer des Beschul-
digten konnten ausschlielich Telefonate zwischen dem Tter und seiner im europi-
schen Ausland aufhltigen Verlobten berwacht werden. Der berwachte Computer
sei ausschlielich von der Verlobten genutzt worden. Nach Rcksprache mit der
Staatsanwaltschaft sei die Software umgehend per Lschbefehl deinstaliiert worden,
da fr die berwachung ein Rechtshilfeersuchen notwendig gewesen wre. Die auf-
gezeichneten Gesprche seien gelscht worden.
Die Gerichtsbeschlsse des zustndigen Amtsgerichts bezogen sich auf Festnetzan-
schlsse und Mobilfunknummern des Beschuldigten. Bei dieser Manahme wurde
die Software auf dem Computer des Beschuldigten aber erst installiert, als dieser
sich im europischen Ausland aufhielt und somit einen anderen Telefonanschluss
benutzte. Ausweislieh eines Aktenvermerks wurden deshalb die Beschlsse des
Amtsgerichts im Wege der Rechtshilfe den dortigen Behrden bermittelt und dort in
nationale Ge richtsbesch lsse umgesetzt.
Der Bundesbeauhragte
fr den Datenschutz und
die I nformationsfre i he it
8. Lschung
Lohnt sich immer: Internet
Die berv/achungssoftware auf dem Zielrechner muss bei Beendigung der Ma-
nahme gelscht werden. Dies erfolge entweder per Fernsteuerung ("Remote-
oder durch physischen Zugriff. Die Lschung durch physischen Zugriff erfol-
ge bei Ermittlungs- und Kontrollmanahmen der Zollverv/altung.
111. Bundespolizei
Die Bundespolizei hat bislang nur in einem Fall eine Quellen-TK durchgefhrt. Ei-
nen entsprechenden Beschluss zu deren Durchfhrung hat die Bundespolizeidirekti-
on Mnchen ber die zustndige Staatsanwaltschaft auf der Grundlage des 100a
StPO im Rahmen eines Ermittlungsverfahrens aus dem Bereich der Schleusungs-
kriminalitt am 3. April 2008 erwirkt. Konkret wurde dem betreffenden Beschuldigten
(gemeinsam mit anderen Beschuldigten) das gewerbs- und bandenmige Ein-
schleusen von Auslndern gem. 97 Abs, 2 Aufenthaltsgesetz vorgeworfen. In dem
vom Amtsgericht Mnchen am 3. April 2008 gegen den Beschuldigten erlassenen
Beschluss wird die berwachung und Aufzeichnung der ber den genannten An-
schluss gefhrten Telekommunikation sowie die Vornahme der hierzu erforderlichen
Manahmen im Rahmen einer Fernsteuerung" anordnet. Dabei wird betont, das nur
die laufende Telekommunikation abgehrt werden darf, das Durchsuchen des betref-
fenden Computers dagegen unzulssig ist.
Zur technischen Durchfhrung der Quellen-TK hat die Bundespolizei das Bayeri-
sche Landeskriminalamt (BLKA) um Untersttzung ersucht. Dabei habe die Bundes-
polizei nach eigenen Angaben mndlich darauf hingewiesen, dass nur laufende Te-
lekommunikation erfasst werden drfe. Schriftliche Abmachungen wurden nicht ge-
troffen, Genauere Erkenntnisse dazu, mit Hilfe welcher Software das BlKA die Ma-
nahme technisch umgesetzt hat, liegen der Bundespolizei nicht vor.
Im Ergebnis wurden zwischen dem 14. Mai 2008 utld dem 2. Juli 2008 an 43 Tagen
Daten aus der Manahme ausgeleitet. Die Beendigung der Manahme erfolgte
durch Fernsteuerung.
\fJhrend der laufenden Manahme brannte das BLKA die aus der berwachungs-
manahme erlangten Dateien auf CDs und bergab diese der Bundespolizei . Insge-
samt wurden 13 Datentrger bermittelt , die mit einer speziell dafr bereitgestellten
Software ausgewertet wurden,
-m.1 DerBundesbeauftragte
~ t y fr den Datenschutz und
die Info rmationsfreiheit
Lohnt sich immer: Internet
Die im Rahmen des o.g. Beratungs- und Kontrollbesuchs gesichteten Datentrger
und die dazu erstellten Verschriftlichungen enthielten nur Gesprchsinhalte aus der
vom Beschuldigten gefhrten Internettelefonie. Anhaltspunkte dafr, dass mittels der
vom BLKA aufgespielten Software auch auf sonstige auf dem betreffenden Computer
gespeicherte Daten zugegriffen und ausgeleitet wurden, ergaben sich nicht.
Die Bundespolizei hat whrend der Durchfhrung der Manahme nach eigenen An-
gaben keine kernbereichsrelevante Kommunikation aufgezeichnet. Aus den Stich-
proben, die im Rahmen der Kontrolle nachgelesen bzw. nachgehrt wurden, ergeben
sich keine anderen Erkenntnisse.
Das Strafverfahren gegen den Beschuldigten wurde in der Zwischenzeit abgeschlos-
sen. Nach Aussage der Bundespolizei sei er zu einer dreijhrigen Haftstrafe verurteilt
worden. Die aus der Ouellen-TK gewonnenen Erkenntnisse seien dabei nicht ver-
wertet worden. Die Benachrichtigung sei durch die Staatsanwaltschaft erfolgt, ohne
dass weitere Kenntnisse dazu vorliegen. Eine Anordnung der Staatsanwaltschaft zur
Lschung der durch die verschiedenen Telekommunikationsberwachungen aufge-
zeichneten Gesprche sei noch nicht erfolgt.
IV. Technische Durchfhrung
1. BKA
a) Dokumentation der Software beim BKA
Das BKA hat - mangels Kenntnis des Quellcodes - keinen lesbaren, in einer Pro-
grammiersprache geschriebenen Text der eingesetzten Software, sondern nur die
von einem Computer in Maschinensprache bersetzte Variante (Binrcode).
Eine Einsichtnahme in den Ouellcode durch das BSI bzw. eine Prfung des Quellco-
des durch das BSI hat in keinem Fall stattgefunden.
Die von DigiTask bezogene Software besteht im Wesentlichen aus einem Basis-
Modul, das die Nachladefunktion umfasst und einer Funktion zum Ermitteln der in-
stallierten Software auf dem Zielrechner, sowie Zusatzmodule fr die jeweilige einge-
setzte Kommunikationssoftware. Ob die Software darber hinaus noch ber weitere
Funktionalitten verfgt, konnte aufgrund des fehlenden Quellcodes nicht festgestellt
werden - weder durch das BKA noch durch mich.
-W.I DerBundesbeauftragte
~ - t Y fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Meine Mitarbeiter haben bereits whrend des Kontrollbesuches um den Ouellcode
der Software zum Zwecke der datenschutzrechtlichen Kontrolle gebeten. Dieser Bitte
konnte das SKA zunchst nicht Rechnung tragen, da es ber keine Kopie des Quell-
eodes verfgte.
Nachdem in der Presse bekannt wurde. dass die Firma DigiTask dem Bayerischen
Landesbeauftragten fr den Datenschutz Einsicht in den Quellcode gestatten wolle,
habe ich das SKA mit ergnzendem Schreiben vom 12.12.2011 unter Hinweis darauf
nochmals gebeten, mir den Quelleode zur Verfgung zu stellen. Mit Schreiben vom
17.01 .2012 teilte mir das BKA mit, dass die Firma DigiTask grundstzlich bereit sei,
Einblick in den Quelleode zu gewhren. Dies knne jedoch nur, so die Vorgabe von
DigiTask, in den Rumlichkeiten der Firma erfolgen. DigiTask und BKA \vrden je-
doch Personal bereitstellen, um Fragen zu beantworten. Ich beabsichtige. auf dieses
Angebot einzugehen. Um den Bericht gegenber dem Deutschen Bundestag nicht
ungebhrlich zu verzgern, habe ich jedoch zunchst davon abgesehen, die Ergeb-
nisse der ergnzenden Prfung abzuwarten. ber die Ergebnisse der Kontrolle des
Ouellcodes werde ich nachberichten .
b) Einsatzablauf
Sind die Einsatzbedingungen fr die Quellen-TK-Software bekannt (Hardware. Be-
triebssystem/-Release, Kommunikationssoftware, Virenscanner etc.) wird DigiTask
beauftragt, eine entsprechende ausfhrbare Datei (Binrdatei) mit den bestellten
Funktionalitten bereitzustellen. Anschlieend wird eine Software ohne Aufzeich-
nungsfunktion geliefert. Diese hat nur die Nachladefunktion und eine Funktion zur
Auflistung der Software des infizierten Rechners. Mit einem ebenfalls von DigiTask
bezogenen Programm werden die I P-Adresse eines externen Proxy-Systems und
ggf. die sogenannte U-Nummer - das interne Kennzeichnen der Manahme im BKA
- als Identifizierungsmerkmal in die Binrdatei eingefgt. Die Software wird zunchst
vom BKA soweit wie mglich unter hnlichen Bedingungen (Hardware, Software)
getestet. Sofern die Tests die Funktionalitt der Software ergeben , wird diese vom
BKA freigegeben. Die Freigabe wird elektronisch in einem Web-Tagebuch vermerkt.
Anschlieend wird diese erste Komponente der berwachungssoft\Nare auf den bzw.
die Zielrechner aufgebracht (siehe oben unter 1. Einbringungsphase) .
Nach der Rckmeldung des Zielrechners mit seiner MAC-Adresse oder - wenn vor-
handen - der oben genannten U-Nummer am Aufzeichnungsrechner prft das BKA
per Fernzugriff die Softwarekonfiguration des Zielrechners, um zu verifizieren ob das
richtige System "infiziert" wurde und um die Kompatibilitt der zur Verwendung vor-
*1
!-.
.'
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
gesehenen berwachungssoftware nochmals abzuschtzen. Anschlieend wird
Software mit den eigentlichen belWachungsfunktionen und die U-Nummer - falls
diese noch nicht zugewiesen wurde - in Form eines Updates nachgeladen. Die
Kommunikation luft ber externe Proxy-Server, eine BKA-eigene Firewall und einen
internen Proxy-Server auf den Aufzeichnungsrechner.
5
Die Kommunikation ist laut
BKA mit dem Verschlsselungsverfahren AES gesichert . Die Gte der Verschlsse-
lung wurde allerdings nur grob geprft (siehe unten d)) . Die IP-Adresse bestimmter
externen Proxy-Server ist konfigurierbar. Dieser Server muss auch von auen, d.h.
vom Internet erreichbar sein. Alle externen Proxy-Server standen - laut Auskunft des
BKA - unter seiner exklusiven Kontrolle. Sollten sich bei der ersten Kommunikation
Schwierigkeiten zeigen, wird in der Regel ein Nachladeprozess angestoen. Die
Softvvare wird durch Updates an die Erfordernisse des BKA angepasst. Von Seiten
des BKA wurde explizit darauf hingewiesen, dass nur Funktionalitten die die Soft-
ware besser an die Zielumgebung anpassen, evtl. auch eine Version zur berwa-
chung einer weiteren Internettelefonieanwendung, jedoch keine Erweiterung der
Funktionalitten im Sinne einer Onlinedurchsuchung nachgeladen werden .

=-0.;.-/
Zielrechner
.. . . . . .. . . .. . . . . . . . .. . . . . . . . .. . . . . .

BKA
Firewall BKA
.


Roi! chnoi!r
Wer.bJ di! "
interner Proxy
Zl,;r

1






.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..
5 Ein Proxy-Server ist ein KommuniKationsrechner, der als Vermittler arbeitet. Auf der einen Seite
nimmt der Proxy Anfragen entgegen, um dann ber seine eigene Adresse eine Verbindung zu einer
anderen Seite herzustellen.
~ I Der Bundesbeauftragte
~ f Y fr den Datenschutz und
die Informationsfreiheit
c) Proxy-Server
Lohnt sich immer: Internet
Die auf den Zielsystemen aufgebrachte Nachlade- und berwachungssoftware wird
ber das Internet von einem im SKA betriebenen Server (Recording Unit) gesteuert.
Nach Mitteilung des BKA wurden - als Zwischenstationen - auch im Ausland betrie-
bene Proxy-Server genutzt. Auch diese liefen unter der Verantwortung des BKA. Fr
unterschiedliche Manahmen seien jeweils eigene Server angemietet worden. Der
genaue Standort der verwendeten Server war bei der Prfung nicht mehr verifizier-
bar.
d) Verschlsselung der Datenstrbme (Up-Download)
Laut Auskunft BKA vervvendet DigiTask das AES Block-Cipher-Verfahren zur Ver-
schlsselung von Daten , die ber das Internet bertragen werden. Das BKA habe die
Verschlsselung nur ., grob" dahingehend CIberprft, ob der Datenstrom berhaupt
verschlsselt wird. Dazu fand eine Klartextprfullg statt : Danach wird sowohl der
Ausgangs- wie Eingangsdatenstrom mit AES verschlsselt. AES ist ein symmetri-
sches Verfahren, d.h. zum Ver- und Entschlsseln wird der gleiche Schlssel ver-
wendet . VJie der CCC festgestellt hat. befindet sich dieser Schlssel bei der ihm zu-
gespielten Software im Programmcode (in einer OLL-Datei) . Ich habe im BKA mit
Hilfe eines speziellen Editors (HEX-Editor) denselben AES-Schlssel gefunden. Der
AES-Schlssel der Software beim BKA entspricht der vom CCC untersuchten Varian-
te.
Insofern sehe ich starke Anhaltspunkte dafr, dass die Steuerung des Zielrechners,
insb. der Up- und Download nicht nur mit einem fr Dritte leicht zu findenden Schls-
sel verschlsselt, sondern dass auch mit einer unzureichenden Implementierung des
AES-Verfahren gearbeitet worden sein knnte. Eine Prfung war fr mich ohne die
Analyse des Quellcodes bislang nicht mglich. Eine Prfung oder eine Beratung
durch das BSI hat nicht stattgefunden. Auch im Nachgang zu meiner Kontrolle hat
das BKA nicht mitgeteilt, welcher Schlssel bei den berwachungsmanahmen tat-
schlich verwendet wurde und ob insoweit meine Annahme zutrifft.
*1
' .
~ c I T r : 24 'jeN : ~
Der Bund esbeauftragte
fr den Datenschutz und
die Informationsfreiheit
e) Authentisierunq
Lohm sich immer: Internet
Ein weiterer wichtiger technischer Aspekt ist die gegenseitige Authentisierung der
verschiedenen an der berwachungsmanahme verwendeten Systeme. Die Digi-
Task Software meldet sich mit einem fest einprogrammierten Meldetext, der den vom
CCC publizierten Erkenntnissen entspricht. Dies habe ich vor Ort mit Hilfe eines Edi-
tors kontrolliert und besttigt. Dieser Meldetext wird vom Trojaner zum Server ge-
schickt und soll so sicherstellen, dass die richtige Verbindung geknpft wurde. Durch
den fest programmierten Meldetext ist es leicht mglich die Kommunikation bei-
spielsweise in einer Firewall herauszufiltern und umzuleiten. Ich habe keine Hinweise
darauf gefunden. dass bei den vom BKA durchgefhrten Verfahren ber den Ab-
gleich dieses Meldetexts hinaus eine Authentisierung stattgefunden hat.
f) Benutzerverwaltunq (Record-Unit-System)
Die in den Rumlichkeiten des BKA betriebene "Record-Unit" (RU - eine Komponen-
te des von der Firma DigiTask bezogenen Systems) empfngt und verwaltet die aus-
geleitete Kommunikation. Auerdem dokumentiert das die RU die durchgefhrten
Programm-Updates. Die RU ist auf einem Server installiert, der in einem kleineren
Serverraum untergebracht ist. Zugang haben nur die Administratoren ber einen
Administrations-PC. der in einem verschlossenen Bro untergebracht ist.
Das System verfgt ber eine Benutzervervvaltung. Jeder Nutzer hat eine eigene
Kennung und ein Passwort, mit dem er sich gegenber dem System authentisiert.
Nach der Authentisierung kann er auf die ihm zugeordneten Daten und Programme
entsprechend der eingerumten Rechte zugreifen. Grundstzlich wird zwischen zwei
Rollen unterschieden: Administrator und Auswerter. Die Rolle Auswerter kann jeder
einzelnen Quellen-TK-Manahme zugeordnet werden.
Nur Administratoren haben physisch direkten Zugang zum RU-System. Auswerter
knnen nur ber das BKA-eigene Brokommunikationsnetz auf die RU zugreifen.
Zum Zeitpunkt der Kontrolle waren zustzlich noch zwei besondere Nutzerrollen ein-
getragen: Dolmetscher und Datenschutz. Beide Kennungen waren nicht personali-
siert. Die Datenschutzkennung sei nur fr den BfDI eingerichtet worden. Die Ken-
nung Dolmetscher wird von verschiedenen bersetzern genutzt, die ausgeleitete
Gesprche bersetzen sollen.
Grundstzlich knnen nur Administratoren Updates ausschlielich von dem direkt am
Recording-Unit-Rechner angebundenen Administrations-System auf das Zielsystem
*1
.;
Der Bundesbeauftragt8
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
bertragen. Updates werden innerhalb der RU dokumentiert. Die entsprechenden
Versionen der Software auf dem Zielsystem werden im BKA fr Revisions- und Be-
weiszwecke vorgehalten.
g) Dokumentation von Updates
Das BKA kann neue bzw. genderte berwachungssoftware nur ber die Record-
Unit auf den Zielrechner aufspielen. Hierzu stellt der zustndige Administrator die
entsprechende Updatedatei auf dem RU-Arbeitsplatz bereit und ordnet sie mit der
Nachladefunktion dem Zielrechner anhand dessen U-Nummer oder seiner MAC-
Adresse zu. Sobald der Zielrechner ., online" ist. wird die Nachladefunktion aktiv und
fhrt das Update durch. Bei dem Softwareupdate wird auf der RU auch ein Hash-
Wert der bermittelten Software gespeichert (erzeugt wird ein MD5-Hash)5. Nach
Aussage der zustndigen Mitarbeiter werden von der Capture-Unit gespeichert :
die aufgespielte Software-Version, die von DigiTask bezogen wurde, und
alle beim Zielrechner spter eingespielten Versionen .
Gespeichert werden dabei die IP-Adresse und die Fall-Nummer. Bei der ersten Liefe-
rung bermittelt DigiTask die Capture-Unit zusammen mit einer Text-Datei, welche
den Hash-Wert und eine Beschreibung der Fhigkeiten der Software beinhaltet. So-
mit ist dokumentiert. welche Fhigkeiten - nach Angaben von DigiTask - die Captu-
re-Unit beinhaltet.
Der Hash-Wert der bermittelten Capture-Unit wird in der Datenbank der RU fr je-
den Fall (U-Nummer bzw. Mac-Adresse) gespeichert. Eine nderung ist grundstz-
lich denkbar, da die Administratoren Root-Rechte auf der RU haben. Mangels Do-
kumentation drfte dies jedoch einen erheblichen Aufwand erfordern . Oie verwende-
te Hash-Funktion, MD5. gilt allerdings als veraltet.
7
5 Be: einem Hash-Code handelt es sich um einen mit einer bestimmten Funktion (Hash-Funktion) aus
einer Datei erzeugten Kontroll-Wert der die Integritat der jeweiligen Datei geWhrleisten soll. Smveit
sich der Hash-Code auf eine Programr.1datei bezieht, kann damit auch die jewel:lge Programmversion
werden. MD5 ist ein kryptographischer Hash-Algonthmus.
i Vgl. Mitteilung des BSI vom 8. 1. 2009,
https:llwV1W.bsi bu nd. delContentBSl/P resse/Pressernitteilungen/Presse2009/080 1 09x509zert html:jse
ssionld;::5A9F4B94DBC1 F29FB90277999500BF82 2_cid251
~ I Der Bundesbeauftragte
~ t ~ ' fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
. ~
,
h) Darstellung fr die Auswerter
Die Auswerter erhalten - gesichert durch einen Webserver, der eine Trennung der
Netze ermglicht - Zugriff auf die Obertlche der Recording-Unit (RU) . In der RU
wird fr jede Onl ine-Session des Zielrechners ein Protokolleintrag erzeugt. Dieser
enthlt die IP-Adresse des Zielrechners, die Nutzungs- bzw. Verkehrsdaten der
Kommunikationssoftware und die mittels der Kommunikationssoftware bermittelten
Inhalte.
i) ProtokoHierung im Recordinq-Unit System und sonstige Protokollierunq
In der RU werden Protokolle (Log-Files) auf Betriebssystemebene (linux) und von
der Datenbank gespeichert. Dadurch werden zwar praktisch alle Aktivitten der Nut-
zer mitprotokolliert. Allerdings fehlen eine effektive Auswertemglichkeit der Protokol-
le und eine umfassend Dokumentation der Protokollfunktionen. Ebenfalls ist nicht
erkennbar, dass Manahmen gegen eine Vernderung der aufgezeichneten Proto-
kolle durch den Administrator getroffen wurden.
Es wird, wie oben erwhnt. ein elektronisches Tagebuch gefhrt, in dem die Admi-
nistratoren alle Ttigkeiten zu notieren haben. Somit werden Eintrge in der RU
nachvollziehbar, insbesondere weshalb Ttigkeiten durchgefhrt wurden. Dies dient
auch intern dazu, die Aktionen eines abwesenden Administrators zu verstehen. Bei
einer Stichprobe konnte festgestellt werden, dass Ttigkeiten im Tagebuch eingetra-
gen waren.
j) Aufzeichnung von Raumgesprchen
Ich habe die Funktionsweise der Quellen-TK-Software mit Skype kurz getestet.
Hinweise darauf, dass die berwachungssoft'vvare zur berwachung von Raumge-
sprchen bei nicht aktiver Skype-Kommunikation erfolgen kann, haben sich bei der
Prfung nicht ergeben .
k) Kernbereich privater Lebensqestaltunq (technische Lschung)
Die RU speichert die ausgeleiteten Gesprche jeweils in einer Datei . Teile des Ge-
sprches, soweit sie den Kernbereich privater Lebensfhrung betreffen, knnen nicht
gelscht werden. Es kann immer nur das gesamt Gesprch gelscht werden. An-
hnge. beispielsweise Bilder die whrend des Gesprches bertragen wurden sind
~ I Der Bundesbeauftragte
~ ~ fr den Datenschutz LInd
die Informationsfreiheit
Lohnt sich immer: Internet
lschbar. Beim Lschen von Gesprchen und bertragener Dateien werden in den
Session Lschvermerke angebracht. Ebenso ist die Lschung einer Session mglich,
die ebenfalls dokumentiert wird (vgl. 1.6).
I) Lschung der Ouellen-TK-Software
Die zur Quellen-TK auf dem Zielrechner aufgebrachte Software - einschlielich der
Nachlade-Software - muss bei Beendigung der Manahme gelscht werden. Dies
erfolgt nach Aussage des BKA entweder durch Absetzen eines Lschbefehls ber
den Administratorrechner oder durch physischen Zugriff auf das berwachte System,
etwa wenn der Zielrechner bei einer Durchsuchungsmanahme sichergestellt wor-
den sei. In diesem Fall erfolge die Lschung der Software, bevor weitere Manah-
men zur Beweissicherung durchgefhrt werden. insbesondere bevor ein Abbild der
Festplatte zur Auswertung fr forensische Zwecke kopiert wird.
m) Lschung der aufgezeichneten Daten
Auf der Recording-Unit waren zum Zeitpunkt meines Kontrollbesuchs noch Daten
und Programme einer greren Anzahl von Manahmen gespeichert. Technisch ist
laut BKA die Lschung der Daten einzelner Manahmen mglich. Es ist jedoch nicht
mglich. smtliche Inhalte der Kommunikation zu lschen, und dabei eine Feststel-
lung der erhobenen Daten beizubehalten, sofern der berNachte in Skype die Chat-
Funktion nutzte. Die Chats werden als Texte in den Sessions-Protokollen gespei-
chert .. Eine automatisierte Lschung ist nicht vorgesehen.
In einem Gefahrenabwehrvorgang gem 4a BKAG waren die Daten bereits l-
schungsreif, wurden allerdings im Hinblick auf die vom mir angekndigte Kontrolle
und eine mgliche gerichtliche berprfung lediglich gesperrt.
2. ZKNZollfahndungsdienst
a) Unterschiede bei der Vorqehensweise von BKA und ZKA
Whrend das BKA zunchst eine Version der Ouellen-TK-Software ohne berwa-
chungsfunktion aufbrjngt und diese dann mittels der Nachladefunktion ersetzt wird
vom ZKA direkt eine Software mit berwachungsfunktion auf den lielrechner einge-
~ I Der Bundesbeauftragte
- ~ t y fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
,.
,
SETE 23 <)'J 58
spielt. Nach Aussage des ZKA wurde die - auch hier vorhandene - Nachladefunktion
dort noch nie genutzt.
b) TK-Anlage von DigiTask beim ZKA
Die Funktionsweise des vom ZKA verwendeten Verfahrens ist im brigen - soweit
erkennbar - identisch mit dem BKA. Whrend vom BKA eine Weboberflche ver-
wendet wird, die von der RU zur Verfgung gestellt wird, nutzt das ZKA die (vorhan-
dene) TK-Infrastruktur. Dazu werden die bei der Quellen-TK aufgezeichneten digi-
talen Daten ber ein Mediation Device (von der Firma DigiTask geliefert) in ein For-
mat gewandelt, welches die TK-lnfrastruktur des ZKA verarbeiten kann.
Die umgewandelten Daten werden in einen TK-Aufzeichnungs-Server bermittelt
und dort gespeichert Ferner werden die Daten zur Beweissicherung auf einer
Magneto-Optical-Disk (MOD) gespeichert. Da die Daten auf den TK-
Aufzeichnungs-Servern in einem Rohformat gespeichert werden, werden sie auf ei-
nen "Web-Server" mit Auswertungsfunktion berspielt und dort ebenfalls aufgezeich-
net. Somit werden Daten an vier Stellen gespeichert, siehe Systeme CD-@ in der Gra-
fik unten. Die Auswerter greifen auf diesen "Web-Server" zu.
Die mittels Quellen-TK erhobenen Inhalte fr die Auswerter werden in einer ande-
ren Weise als beim BKA dargestellt. Dabei werden die Gesprchsinhalte, die ber-
tragenen Dateien und der Inhalt von Chats jeweils in einer separaten Baumstruktur
angeordnet. Die IP-Adresse des berwachten Rechners ist nicht mehr erkennbar.
Somit kann der Auswerter selbst nicht feststellen, ob der berwachte Rechner am zu
berwachenden DSL-Anschluss mit dem Internet verbunden ist bzw. war oder ob er
einem anderen Internet-Anschluss, ggf. sogar im Ausland, verbunden ist bzw. war.
Eine Lschung einzelner Gesprche - etwa aufgrund dem Kernbereich zuzuordnen-
der Inhalte - ist nach Angaben des ZKA auf dem ,.WEB-Server" und der RU durch
die jeweiligen Administratoren mglich. Eine Lschung einzelner Gesprche auf der
MOD oder dem TK-Server ist dagegen nicht vorgesehen. Auch das Lschen von
bestimmten dem Kernbereich zuzurechnenden Gesprchsteilen ist nicht mglich. In
der Vergangenheit wurden die Manahmen von den ZF selbststndig durchgefhrt.
Dort und beim ZKA wurde der Aufzeichnungsrechner anfangs nur fr jeweils eine
Manahme gemietet. Aus wirtschaftlichen Grnden wurde dieser Rechner mit der
entsprechenden Software nun dauerhaft vom ZKA erworben. Die nun vorhandene
I nfrastruktur kann so vervvendet werden, dass die Infrastruktur bis zum Mediation-
Device vom ZKA betrieben wird. Die von DigiTask gelieferte TK-Infrastruktur ist
auch bei den ZF in gleicher oder hnlicher Weise vorhanden. ber verschlsselte
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Verbindungen kann auch die TK-lnfrastruktur eines ZFA an das Mediation-Device
des ZKA angebunden werden.

Zielrechner
:- aZK.. :
ZKA oder ZFA
.o\ .... r.:C"'I"' :.Ir:,;:s.

'i .:' , r-,.
.-.!
o ..... 0.; 00
\ .,-,." ..
Al

.
.
. . . . . . . . . . . . . . . . . . . . . .............. .
c) Dokumentation der DigiTask Software beim ZKA
Das ZKA hlt die Versionen der von der Firma DigiTask bezogenen und fr berwa-
chungsmanahmen ver..vendeten Software (Client-Software, berwachungspro-
gramme) nicht vor. Es hat die jeweils verwendete Software nach dem Aufspielen auf
das Zielsystem gelscht. Auch Kopien der von DigiTask bezogenen Software waren
zum Zeitpunkt meiner Kontrollen beim ZKA nicht mehr vorhanden.
Eine Dokumentation der eingesetzten Programme und Systeme lag nicht vor. Auch
der Quellcode wurde von DigiTask nicht bereitgestellt. Daher konnte ich die vom ZKA
verwendete Software und die im einzelnen von ihr bereitgestellten und genutzten
Funktionalitten nicht prfen.
Nach Auskunft des ZKA wird die Versionskontrolle der jeweils eingesetzten Software
nicht durch das Amt sondern durch die Firma DigiTask mit Hilfe einer Hashfunktion
(SHA-1) vorgenommen. Die Hashwerte der verwendeten Software-Version werden in
der RU dokumentiert. Da die Original-Software im ZKA nicht mehr vorhanden ist, war
es mir nicht mglich, die tatschlichen berwachungsvorgnge und die dabei ver-
wendete Software nachzuvollziehen. Eine beliebige ,.Original-Software" knnte des-
halb nur ber den Hashwert wieder identifiziert werden.
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die I nformationsfreih eit
Lohnt sich immer: Internet
\
Hinsichtlich der Funktionalitt und der technischen Einzelheiten der jeweils verwen-
deten Programme vertraute das ZKA allein den Aussagen von DigiTask. Eigene
nachvollziehbare Untersuchungen des ZKA hinsichtlich der Software fanden nicht
statt. Nach Mitteilung des ZKA wurde zwar getestet, ob die von DigiTask gelieferte
Software die bestellten Funktionalitten erfllte. Eine Testung auf eventuelle Pro-
grammfunktionalitten auerhalb der Quellen-TK fand nicht statt.
Das ZKA verfgte zum Zeitpunkt meines Prfungsbesuchs ber kein Sicherheitskon-
zept fr die Durchfhrung von Manahmen der Quellen-TK. Ein Sicherheitskonzept
ber die Infrastruktur ist nach Auskunft des ZKA derzeit aber in der Bearbeitung.
d) Proxy Server beim ZKA
Die IP-Adresse des fr die Steuerung des Ladeprogramms und der berwachungs-
software eingesetzten Servers ( "Command-and-Control-Server") war - wie diejenige
des bei den Quellen-TK des BKA eingesetzten Servers - frei konfigurierbar. Der
Server war zum Zeitpunkt meines Kontrollbesuchs nicht mehr aktiv und erreichbar.
Ein weiterer externer Proxy wurde an einem anderen Standort betrieben. Die beiden
Server wurden vom ZKA angemietet und standen unter seiner Kontrolle.
Die Proxy-Server arbeiten mit dem Betriebssystem Linux. Eine von der Firma Digi-
Task gelieferte ausfhrbare Datei muss auf dem Linux-System installiert und konfigu-
riert werden. Insbesondere wird festgelegt. ob und fr welche Server dynamische IP-
Adressen verwendet werden. Die ausfhrbare Datei wurde von DigiTask ohne Quell-
code geliefert, so dass auch hier auf die Firma vertraut werden musste.
Auf den Proxy-Servern werden Log-Files geschrieben, in dem Verbindungen proto-
kolliert werden. Auf einem Proxy wird auch die IP-Adresse der berwachten Rechner
protokolliert, so dass ein potentieller Angreifer auch im Nachhinein Hinweise auf das
berwachte System erhalten knnte. Allerdings wurden eventuelle Angriffsversuche
auf den Server protokolliert.
e) ERA-Software beim ZKA
In einigen lnger zurckliegenden Fllen wurde die Software der Schweizer Firma
ERA IT Solutions AG genutzt. Die Weiterentwicklung der Software wurde 2008 ein-
gestellt. Beim Besuch wies das ZKA darauf hin, dass insoweit alle Manahmen von
den ZFA durchgefhrt wurden und somit keine Erkenntnisse beim ZKA vorliegen. Da
~ I
jl
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
einige der berlassenen Unterlagen der ERA IT Solutions AG an das ZKA adressiert
sind , ist diese Aussage nicht nachvollziehbar.
Die ERA-Software unterscheidet sich von dem DigiTask-Produkt in einigen Punkten.
Im Hinblick darauf, dass diese Software bereits seit lngerer Zeit nicht mehr vom
ZKA vervvendet wird, wird hier von einer nheren Betrachtung abgesehen .
* I
_ die Informationsfreiheit
Lohm sich lmmer: Internet
C. Bewertung
Die vom BKA. der Bundespolizei, dem ZKA bzw. den ZF durchgefhrten Manah-
men der Quellen-TK kann ich datenschutzrechtlich nur eingeschrnkt bewerten, da
meiner vollstndigen Kontrolle teilweise rechtliche Hindernisse entgegenstehen. Dies
gilt zum einen insoweit, als diese Behrden gerichtliche Beschlsse durchgefhrt
haben (1.1.) . Denn ich bin insoweit an die Wirkung der Entscheidungen
gebunden, auch wenn ich teilweise andere Rechtsansichten vertrete ( 1.2.). Zum an-
deren gilt dies insoweit, als das BKA, die Bundespolizei , das ZKA bzw. die ZF bei
der Durchfhrung Ermittlungen auf Weisung einer jeweils zustndi-
gen Staatsanwaltschaft eines Landes gehandelt haben, die nur der datenschutz-
rechtlichen Kontrolle der nach dem jeweil igen Landesrecht zustndigen Stelle unter-
worfen ist. Soweit es die jeweilige Durchfhrung der Manahme in der Verantwor-
tung der genannten Behrden liegt, bewerte ich im Folgenden die festgestellten
Sachverhalte (11.):
I. Rechtsgrundlage fr die Durchfhrung der Quellen-TK
1. Vorliegende gerichtliche Beschlsse
Zu aUen durchgefhrten Manahmen der genannten Behrden lagen gerichtliche
Beschlsse vor, die sie jeweils dazu ermchtigt haben, eine Quellen-TK gegen die
betroffenen Personen durchzufhren. Damit ist festzustellen, dass die Durchfhrung
der Manahmen als solche dem Grunde nach durchweg datenschutzrechtlich zuls-
Sig war.
Die Manahmen wurden , soweit sie strafrechtliche Ermittlungsverfahren betrafen, auf
1 OOa der StPO gesttzt. Manahmen der Gefahrenabwehr wurden vom BKA auf
der Grundlage der 20k, 201 BKAG, seitens des ZKA auf der Grundlage der 23a
ff. ZFdG durchgefhrt.
Eine eigene datenschutzrechtliche Bewertung, ob im jeweiligen Einzelfall die Anord-
nungsvoraussetzungen der 100a StPO, 20k, 201 BKAG bzw. 23a ff. ZFdG vor-
gelegen haben, ist mir aus Respekt vor der richterlichen Unabhngigkeit verwehrt.
Unmittelbar ergibt sich dies aus 24 Abs. 3 Bundesdatenschutzgesetz (BDSG) , wo-
nach die Bundesgerichte nicht meiner Kontrolle unterliegen, soweit sie nicht in Ver-
waltungsangelegenheiten ttig werden. Fr die Gerichte der Lnder ergibt sich dies
~ I Der Bundesbeauftragte
' ~ t " Y fr den Datenschutz und
die Informationsfrei heit
Lohnt sich immer: Interne t
schon daraus, dass ich fr die Kontrolle von Landesbehrden nicht zustndig bin,
darber hinaus aus Art. 97 GG.
2. Datenschutzpolitische Bewertung
Insofern habe ich mich, auerhalb der konkreten Einzelflle, darauf zu beschrnken,
in allgemeiner Form auf meine grundstzlichen Zweifel hinzuweisen, ob 100a StPO
sowie 23a ZFdG als hinreichende Rechtsgrundlagen fr eine Quellen-
Telekommunikationsberwachung tragfhig sind:
Das Bundesverfassungsgericht hat auf die besonderen Risiken hingewiesen, die mit
einer Quellen-Telekommunikationsberwachung verbunden sind
B
Mit der Infiltration
des Systems sei "die entscheidende Hrde genommen, um das System insgesamt
auszusphen,,,9 Diese Gefahren allerdings entstehen nicht nur durch das gezielte
Auslesen des Systems durch Ermittlungsbehrden, sondern auch durch abstrakte
Gefhrdungen, Diese knnen entstehen, wenn eine Behrde Sicherheitslcken des
betroffenen Systems gezielt ausnutzt und eine berwachungssoftware einfgt. Eine
abstrakte Gefhrdung ber die konkrete Ermittlungsttigkeit der Behrde hinaus ent-
steht etwa dann, wenn die Infiltration es - auch unabsichtlich - Dritten ermglicht. in
das System einzudringen (beispielsweise durch eine unzureichende Authentifizie-
rung und Verschlsselung, durch die es einem unberechtigten Dritten ermglicht
wird, eine Nachladefunktion zu nutzen) , Zudem besteht das Risiko, dass unbeabsich-
tigt Informationen ohne Bezug zur laufenden Telekommunikation erhoben werden.
Diese knnen zum Beispiel den Zustand des eingeschalteten Endgerts betreffen,
Das Bundesverfassungsgericht hat damit nicht allein auf die gezielte Erfassung von
Informationen abgestellt. Fr relevant hielt es bereits "das Risiko, dass ber die In-
halte und Umstnde der Telekommunikation hinaus weitere persnlichkeitsrelevante
Informationen erhoben werden."
Das Gericht hat entschieden, dass Art. 10 GG als alleiniger grund rechtlicher Ma-
stab fr die Beurteilung einer Ermchtigung zu einer Quellen-
Telekommunikationsberwachung ausreichend sei, wenn sich die berwachung
ausschlielich auf Daten aus einem laufenden Telekommunikationsvorgang be-
schrnke.
1c
Hieraus folgt aber lediglich, dass insoweit das - wesentlich hhere Ein-
griffsschwellen verlangende - Grundrecht auf Vertraulichkeit und Integritt informati-
onstechnischer Systeme nicht als Eingriffsmastab heranzuziehen ist.
e BVe:iG NJW 2008, 822, 825. Abs_ Nr, 188
9 BVerfG a_a ,O,
'c BVerrG a a,O,
~ I Der Bundesbeauftragte
~ t ' : r fr den Datenschutz und
die Informationsfreiheit
Lohm sich immer: Internet
Aus dieser Aussage des Bundesverfassungsgerichts kann jedoch nicht geschlossen
werden, dass insoweit eine besondere gesetzliche Regelung nicht erforderlich sei . Im
Gegenteil: Es gengt nicht, Manahmen der Quellen-
Telekommunikationsberwachung lediglich in der Praxis zu beschrnken. Das Bun-
desverfassungsgericht fordert neben technischen Vorkehrungen ausdrcklich "recht-
liche Vorgaben", die den mit der Infiltration des Systems verbundenen Eingriff auf die
berwachung der Telekommunikation beschrnken.
11
Damit kann nichts anderes
gemeint sein als eine hinreichend normenklare und bestimmte Rechtsgrundlage.
12
Diese muss insbesondere die geforderten technischen Beschrnkungen ausdrcklich
regeln, die sicherstellen, dass sich die berwachung auf Telekommunikationsinhalte
beschrnkt. Bereits aus dem Vergleich des 100a StPO mit den neueren 201 Abs.
2 iV.m. 20k BKAG, die ausdrcklich die Quellen-Telekommunikationsberwachung
regeln, zeigt sich, dass die Strafprozessordnung solche Vorgaben nicht enthlt,13
Solche Vorgaben ergeben sich auch nicht aus 1 OOb Abs. 2 Satz 2 Nr. 3 StPO, der
die berwachung auf Daten aus einem laufenden Telekommunikationsvorgang be-
schrnkt;14 denn anders als 20k Abs. 2 und 3 BKAG, auf den in 201 Abs. 2 BKAG
verwiesen wird, ergeben sich aus der strafprozessualen Vorschrift keine besonderen
technischen und verfahrensmigen Sicherungen.
Das Regelungssystem der 100a und 100b StPO ist vielmehr auf das Zusammen-
spiel mit den Vorschriften der Telekommunikations-berwachungsverordnung
(TKV) abgestimmt. Diese ist gem 3 Abs. 1 TKV aber nur anwendbar, wenn
an der berwachung Betreiber von Telekommunikationsanlagen, mit denen Tele-
kommunikationsdienste fr die ffentlichkeit erbracht werden, mitwirken. Dies ist bei
der Quellen-TK aber nicht der Fall. Damit sind wesentliche gesetzliche Vorgaben
zum Verfahren, zur Ausleitung der berwachten Gesprche und zur bermittlung an
die jeweilige Behrde ( 6 ff. TKV) sowie zur Protokollierung ( 16 f. TKV) nicht
anwendbar. Hierbei handelt es sich um technische Verfahrensregeln, die sicherstel-
len sollen, dass die berwachung auch in technischer Hinsicht auf das rechtlich zu-
lssige Ma beschrnkt bleibt. Diese sind fr die verfahrensmige Abfederung des
Grundrechtseingriffs unabdingbar.
Ebenso stellt sich die Frage, ob eine Quellen-TK mit den Regelungen in 100b
Abs. 2 Satz 2 Nr. 2, Abs. 3 StPO kompatibel ist, wenn weder das Endgert genau
benannt noch technisch sichergestellt werden kann, dass nur die ber einen be-
stimmten Anschluss gefhrte Kommunikation berwacht wird.
11 BVerfG a.aO
12 Braun/Rcggenkamp K&R 2011, 681, 683: Buermeyer/Bcker HRRS 2009.433.438.
13 vg1. Klesczewskl ZStW 2011,737,743 m.w.N
.4 Buermeyer/Bcker HRRS 2009, 433, 438.
~ I Der Bundesbeauftragte
~ t y fr den Datenschutz und
die Informationsfreiheit
3. Installation der bervvachungssoftware
Lohnt sich immer: Interne t
Eine I"veitere Frage ist, wie der Eingriff in das Zielsystem durch die Installation der
berwachungssoftvvare zu bewerten ist. Zu Recht wird in der Literatur darauf hinge-
wiesen, dass die Infiltration ein eigenstndiger Eingriff in das Grundrecht auf Vertrau-
lichkeit und Integritt informationstechnischer Systeme ist.
15
Da die Installation aber
von den gerichtlichen Beschlssen dem Grunde nach vorausgesetzt wird, enthalte
ich mich einer datenschutzrechtlichen Bewertung.
Keine Aussagen habe ich in den Tenorierungen allerdings dazu gefunden, dass die
beN/achungssoft\vare nicht nur "von Ferne" (z.B. durch E-Mail), sondern durch die
Manipulation sichergestellter Asservate erfolgen darf. Insoweit ist der Sachverhalt
einer datenschutzrechtlichen Bewertung zugnglich .
Das heimliche Betreten von Wohnungen zur Installation der berwachungssoftware
wrde von vornherein gegen den Grundsatz der Offenheit der Wohnungsdurchsu-
eh ung verstoen und wre daher mit Art. 13 Abs. 2 GG unvereinbar.
16
Einen derarti-
gen Fall habe ich aber nicht vorgefunden.
Allerdings stellt sich die Frage, ob sich eine hnliche Bewertung ergibt. wenn ein bei
einer offenen Manahme beschlagnahmtes Asservat heimlich manipuliert wird. Dies
ist zu bejahen, da die strafprozessualen Vorschriften der Durchsuchung und Be-
schlagnahme insoweit nur die Durchsicht, ggf. die Sicherung von Schriftstcken und
elektronischen Speichermedien gestatten ( 110 StPO) bzw. die Verwendung als
Beweismittel ( 94 Abs. 1 StPO). Die Regelung des 110 StPO enthlt zudem Re-
striktionen ber den Kreis der zur Durchsicht befugten Beamten. Die Manipulation ist
daher von den Vorschriften ber die Beschlagnahme und Durchsuchung nicht ge-
deckt. Die heimliche Manipulation wrde darber hinaus mittelbar gegen den Grund-
satz der Offenheit nach Art. 13 Abs. 2 GG verstoen. 110 Abs. 2 Satz 2 StPO
zeigt, dass auch die Regelungen zur Durchsicht beschlagnahmter Papiere bzw.
Speichermedien vom Grundsatz der Offenheit geprgt sind.
11. Art der Durchfhrung
Die nachfolgenden Ausfhrungen gelten im Wesentlichen fr Manahmen des BKA
und des Zollfahndungsdienstes. Die Quellen-TK-Manahme im Rahmen der von
der Bundespolizeidirektion Mnchen gefhrten Ermittlungsverfahrens wurde in
15 Buermeyer, Backer, HRRS 2009. 433.439. Braun K&R 2011 . 681.684.
~ a Braun a.a.O. m.w.N
,m.1 Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Amtshilfe durch das Bayerische Landeskriminalamt (BLKA) durchgefhrt. Einzelhei-
ten hierzu liegen mir nicht vor. Die diesbezgliche Prfung des Bayerischen Landes-
beauftragten fr den Datenschutz dauern an.
1. Rechtliche Anforderungen an die Datensicherheit
Die rechtlichen Anforderungen an die Datensicherheit stellen sich wie folgt dar:
Das Bundesverfassungsgericht hat - bezogen auf die Quellen-TK - die Infiltration
des Zielcomputers als "die entscheidende Hrde" angesehen, "um das System ins-
gesamt auszusphen" .,7 Damit hat es die mit jeder I nfiltration verbundene abstrakte
Gefhrdung, beispielsweise durch unabsichtliche Datenverluste oder einen Miss-
brauch der verwendeten Software durch Dritte, herausgestellt
18
(siehe dazu auch
oben 1.2.). Aus dieser spezifischen Gefhrdungslage resultieren besondere Anforde-
rungen an die Datensicherheit und die Protokollierung, die ber die allgemeinen An-
forderungen an die Datensicherheit hinausgehen.
Dementsprechend hat der Gesetzgeber fr Manahmen des BKA zur Gefahrenab-
wehr besondere Regelungen in 201 Abs. 2 Satz 2 i.V.m. 20k Abs. 3 BKAG veran-
kert. Gem 37 BKAG, 37 BPolG bzw. 43 ZFdG ist jeweils ergnzend
9 BDSG anzuwenden.
Wie oben unter 1.2 .. ausgefhrt, fehlen entsprechende Spezialregelungen fr den
Bereich der strafprozessualen Telekommunikationsberwachung nach 100a StPO
bzw. 23a ZFdG, die die Quellen-TK nicht erfassen. Das BKA hat allerdings vorge-
tragen. die Eingrenzungen der 20K Abs. 2 und Abs. 3, 201 Abs. 2 BKAG entspre-
chend anzuwenden. M. E. haben die weitergehenden Anforderungen des BKAG bis
zu einer entsprechenden nderung der 100a, 100b StPO bzw. der 23a ZFdG
bei allen Manahmen der Quellen-TK durch Polizeibehrden des Bundes zu gei-
ten. Dies folgt auch aus den Vorgaben , die das Bundesverfassungsgericht u.a. in
seiner Entscheidung zur sog. Online-Durchsuchung 19 herausgestellt hat.
Weitere Anforderungen an die Datensicherheit ergeben sich aus der Frage, welcher
Beweiswert den mittels Online-Zugriffen erhobenen Daten zukommen kann. 9
BDSG soll als verfahrenssichernde Vorschrift den Grundrechtseingriff abfedern. Inso-
fern sind die Anforderungen umso hher, als die mglichen Folgen des Grund-
rechtseingriffs fr den Betroffenen besonders schwerwiegend sind. Dies ist insbe-
,7 BVerfG NJW 2008. 822, 825 f.
18 vgl. BVerfG a.a.O.,
1<; BVerfG NJW 2008, 822.
*1
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
sondere der Fall, wenn erlangte Daten zumindest potentiell als Beweismittel gegen
ihn eingesetzt werden knnen. Das Bundesverfassungsgericht hat in Betracht gezo-
gen. dass der Beweiswert von Informationen, die mittels Online-Zugriff auf ein infor-
mationstechnisches System erhoben wurden. mglicherweise begrenzt sein kann,
weil eine technische Echtheitsbesttigung der erhobenen Daten grundstzlich eine-
hier nicht vorhandene - exklusive Kontrolle des Zielsystems voraussetzt.
20
Es hat
allerdings konstatiert, dass den Daten deshalb nicht der Informationswert abgespro-
chen werden kann. Fr das Gericht war im Zusammenhang mit dem von ihm zu ent-
scheidenden Sachverhalt - der Regelung eines Landesverfassungsschutzgesetzes -
magebend. dass die Verfassungsschutzbehrden Informationen zur Prvention im
Vorfeld konkreter Gefahren nicht mit derselben Beweissicherheit erheben mssen.
wie dies fr die Strafverfolgungsbehrden in einem Strafverfahren gilt. Im Umkehr-
schluss ergeben sich fr die hier in Rede stehenden strafprozessualen Manahmen
besonders hohe Anforderungen an die Authentizitt der als Beweismittel aufgezeich-
neten Telekommunikation.
Dagegen kann nicht eingewandt werden. dass insoweit fr die Quellen-TK - in Ab-
grenzung zur sonstigen sog. Online-Durchsuchung - geringere Anforderungen gelten
wrden. Denn technisch gesehen wird beides mit denselben Methoden durchgefhrt
Geringere Anforderungen bei der Quellen-TK gelten auch nicht deshalb. weil die
Gesprchsinhalte oder die aufgezeichneten Stimmen konkreten Personen zuzuord-
nen sein knnten. Denn dies wrde die technischen Widrigkeiten verkennen , wie sie
fr die Telekommunikationsberwachung nach Auffassung des Bundesverfassungs-
gerichts offenbar recht allgemein gelten. Denn die bei der Telekommunikationsber-
wachung aufgezeichneten Gesprche sind .,auch aus sonstigen, der Nutzung des
Mediums geschuldeten Grnden wie zum Beispiel Hintergrundrauschen oder
schlechter Empfang kaum ohne technische Aufbereitung beim ersten Hren zu ver-
stehen (vgl. BT-Drucks 16/5846. S. 44).,21
Allerdings gilt fr die Quellen-TK die - im Vergleich zur Online-Durchsuchung - zu-
stzliche Anforderung, dass die berwachung technisch auf die laufende Telekom-
munikation zu begrenzen ist.
Jede Sicherheitsbehrde hat demnach unabhngig von der Rechtsgrundlage. auf die
sie sich bei der Quellen-TK sttzt, hinsichtlich der Datensicherheit mindestens fol-
gendes zu beachten:
20 BVerfG NJW 2008. 822, 829.
21 BVertG. Urt vom 12 Oktober 2011 2 BvR 236/08. Abs. Nr. 219.
Vv'W'vIJ. bundesverfassungsgericht de.
I
Der Bundesbeauftragte
fr den Datenschutz und
. die Informationsfreiheit
;;,
Lohnt sich immer: Internet
a) Die Manahme kann nur dann als Telekommunikationsberwachung an Art. 10
GG gemessen werden, wenn sie sich auf die berwachung der laufenden Te[e-
kommunikation bezieht und dies durch rechtliche und technische Vorgaben si-
chergestellt ist.
22
Dieser veliassungsrechtlichen Vorgabe folgend bestimmt 201
Abs. 2 Satz 1 Nr. 1 BKAG fr den Bereich der Gefahrenabwehr ausdrcklich,
dass diese Beschrnkung auf die berwachung der laufenden Kommunikation
durch technische Manahmen sichergestellt sein muss. Fr eine Quellen-TK
auf Grundlage des 100a StPO bzw. 23a ZFdG ist diese Vorgabe zumindest
entsprechend anzuwenden.
b) Gem 20k Abs. 2 Satz 1 BKAG ist technisch sicherzustellen, dass an dem
Zielsystem nur Vernderungen vorgenommen werden, die fr die Datenerhe-
bung unerlsslich sind. Zudem muss die Behrde die vorgenommenen Vernde-
rungen soweit technisch mglich automatisiert rckgngig machen knnen, wenn
sie die Manahme beendet.
Die zur berwachung eingesetzten Mittel sind nach dem Stand der Technik ge-
gen unbefugte Nutzung zu schtzen, 20 Abs. 2 Satz 2 BKAG. Diese Regelung
trgt dem Umstand Rechnung. dass sich der intensive Grundrechtseingriff be-
reits mit der Infiltration des Zielsystems und der dadurch veranlassten Ausleitung
der Daten vollzieht. Dementsprechend mssen hinsichtlich des verwendeten Ge-
samtsystems (Zielsystem, Proxys, Arbeitsplatzrechner) technische Vorkehrungen
getroffen werden, die sicherstenen, "dass die Software nicht durch Dritte (Hacker)
zweckentfremdet werden kann".23 Als Beispiele nennt die Gesetzesbegrndung:
Die Software muss darauf begrenzt sein, Inhalte nur an den vom BKA voreinge-
stellten Server auszuleiten. Zudem darf sie nicht von Dritten ansprechbar sein.
c) Werden Daten kopiert, sind diese gem 20 Abs. 2 Satz 3 BKAG nach dem
Stand der Technik gegen Vernderung, unbefugte Lschung und unbefugte
Kenntnisnahme zu schtzen. Diese Regelung schliet damit nahtlos an Satz 2
an und betrifft den gesamten Ausleitungsvorgang ("vom Zeitpunkt der Bereitstel-
lung fr die bertragung an das BKA an, whrend der Datenbertragung an das
BKA sowie whrend ihrer Speicherung beim BKA. ") und schtzt auch insoweit
die "I ntegritt und Authentizitt der von dem technischen Mittel bereitgestellten
Daten".24
22 BVerfG NJW 2008, 822, 826.
23 BT-Drs 16/9588 S. 27.
24 BT -Drs 16/9588 a.a.O
Lohnt sich immer: Internet
I
0 er Bundesbea uftragte
fr den Datenschutz und
die Informationsfreiheit
.!
Fr den Bereich des mit der Vorratsspeicherung von Telekommunikationsver-
k_ehrsdaten verbundenen besonders intensiven Grundrechtseingriffs fordert das
Bundesverfassungsgericht u.a. eine asymmetrische kryptographische Verschls-
selung verbunden mit fortschrittlichen Verfahren zur Authentifizierung fr den Zu-
gang zu den Schlsseln sowie den Einsatz von automatisierten Fehlerkorrektur-
und Plausibilittsverfahren.
25
Angesichts der Eingriffsintensitt und der mit dem
Online-Zugriff verbundenen Risiken fr die Datensicherheit drften diese Anfor-
derungen hier bertragbar sein.
d) Der Beweissicherheit und der Gewhrleistung effektiven Grundrechtsschutzes
dient die Regelung zur Protokollierung.
26
Gem 201 Abs. 2 Satz 2 iV.m. 20k Abs, 3 BKAG sind bei jedem Einsatz des
technischen Mittels zu protokollieren:
die Bezeichnung des technischen Mittels und der Zeitpunkt seines Einsatzes,
die Angaben zur Identifizierung des informationstechnischen Systems und
die daran vorgenommenen nicht nur flchtigen Vernderungen,
die Angaben, die die Feststellung der erhobenen Daten ermglichen und
die Organisationseinheit, die die Manahme durchfhrt.
e) In den Fllen strafprozessualer Manahmen erscheint insofern fraglich, ob die
Vorgaben des 20k Abs. 3 BKAG, der der Gefahrenabwehr dient, eine hinrei-
chend beweissichere Erhebung von Telekommunikationsinhalten vorgeben. In-
sofern ist neben den vom Bundesverfassungsgericht fr den Bereich der Vor-
ratsspeicherung von Telekommunikationsverkehrsdaten aufgezeigten Mglich-
keiten einer verbesserten Datensicherheit eine revisionssichere Protokollierung
zu fordern.
2. Technische Umsetzung
Die technische Umsetzung der rechtlichen Anforderungen an die Datensicherheit
bewerte ich wie folgt
Die rechtlichen Anforderungen erfordern bei der technischen Umsetzung eine Reihe
technischer Manahmen, die weit ber die Anforderungen an gngige berwa-
chungssoftware hinaus gehen. Software von Sicherheitsbehrden fr Quellen-TK-
~ : vgl. BVerfG NJW 2010, 833.840,
L u BT -Drs_ 16/9588_
~ I Der Bundesbeauftragte
~ : t y fr den Datenschutz und
die Info rmationsfreih eit
Lohn! sich immer: Internet
Manahmen sollen eben technisch nicht wie Schadsoftware, Viren, Spionagepro-
gramme und Hackerprogramme funktionieren und irgendjemanden ausspionieren
knnen . Sie mssen vielmehr die gesetzlichen Vorgaben und Standards des Daten-
schutze und der IT -Sicherheit erfllen. Hierzu gehren Manahmen zu Gewhrleis-
tung der Transparenz, Vertraulichkeit, Verfgbarkeit und Unversehrtheit, aber auch
zu Revisionssicherheit und Lschbarkeit.
Oie Transparenz der Software ist deshalb erforderlich, weil sie nur so zuverlssig
geprft werden kann. Insbesondere muss nachprfbar sein, dass die eingesetzte
Technik den rechtlichen Vorgaben entspricht und insbesondere die berwachung die
vorgeschriebenen Grenzen nicht berschreitet.
Auch die Verhltnismigkeit des mit der berwachung verbundenen Grund-
rechtseingriffs muss gegeben sein. Nicht alles, was technisch machbar ist, darf auch
eingesetzt werden. Dem entsprechend mssen die berwachungsfunktIonen so zu-
geschnitten werden, dass keine unzulssige Informationserhebung stattfindet.
Ob diese Grenzen eingehalten werden, kann nur durch die Begutachtung und sys-
tematisches Testen der Software beurteilt werden. Erforderlich ist hierzu die Vorlage
des sogenannten Quellcodes - einen lesbaren, in einer Programmiersprache ge-
schriebenen Text der eingesetzten Software -, damit sich die verantwortliche Stelle
nachhaltig ber den Umfang der zur Verfgung stehenden programmierten Funktio-
nen berzeugen kann. Auch eine verlssliche und umfassende interne oder externe
Datenschutzkontrolle ist nur unter diesen Voraussetzungen mglich.
Insbesondere ist ohne die Vorlage des Quelleodes eine sichere Beurteilung einer
Software hinsichtlich des Vorhandenseins oder eben Nichtvorhandenseins von Funk-
tionen nicht mglich. Die bersendung oder Vorlage nur eines umfangreichen aus-
fhrbaren Programms (Codes, Binrcodes) reicht zur Beurteilung nicht, denn vor al-
lem das Nichtvorhandensein von Funktionen kann allein anhand eines Binrcodes
nicht abschlieend bewertet werden.
Auch (mgliche) Seiteneinstiege fr Dritte und andere Sicherheitslcken sind allein
mit HHfe des Binrcodes nicht auszuschlieen. Gerade bei berwachungssofuNare,
mit der in einem rechtstaatlichen Verfahren auch gerichtsverwertbare Daten erhoben
werden sollen, sind Fragen nach den Mglichkeiten der Manipulation der Daten von
immenser Wichtigkeit. Die Vertraulichkeit und Unversehrtheit der erhobenen Daten
sind hier von entscheidender Bedeutung. Dies betrifft nicht nur die bertragungswe-
ge, sondern auch die Speicherung der Daten in jedem Stadium der berwachungs-
manahme.
*1
Der Bundesbeauftragte
f r den Datenschutz und
die I nformationsfreihe it
Lohnt sich immer: Internet
Zudem stellen sich Fragen zur Verfgbarkeit, denn die Software soll ja in einem be-
stimmten zeitlichen Rahmen Ergebnisse liefern. Die Verfgbarkeit ist auch entschei-
dend fr die Deaktivierung und Deinstallation von berwachungssoftware und die
Lschung von Daten.
Schlielich muss die Revisionssicherheit des Gesamtsystems gewhrleistet sein .
Nicht nur die Software muss umfassend dokumentiert werden, sondern auch die Be-
dingungen ihres Einsatzes einschlielich aller beteiligten Systeme.
Whrend des gesamten Prozesses mssen die Daten vertraulich, zuverlssig und
unversehrt verarbeitet werden. Dies muss das jeweilige Verfahren garantieren kn-
nen. Zwei Anforderungen spielen dabei eine besondere Rolle: Vertraulichkeit und
Authentisierung . Das Verfahren muss deshalb besonderen Wert auf diese beiden
Anforderungen legen: weil die Software heimlich aufgebracht wird und auch ihr Be-
trieb heimlich ertolg1. Es liegt in der Natur der Sache. dass eine derartige bervva-
chungsmanahme die Mitwirkung des Betroffenen bei allen Vorgngen nicht vorsieht
oder gar mit einbezieht. Der Betroffenen soll gerade von der berwachungsma-
nahme nichts erfahren und erkennen knnen.
Das heimliche Einschleusen von Software bedeutet letztendlich auch , dass sicherge-
stellt sein muss, dass die Daten auf dem Weg zur Sicherheitsbehrde nicht verndert
oder verflscht werden knnen und das der Empfnger sicher sein kann, dass die
Daten vom Rechner des Betroffenen sind und von keiner anderen Person stammen
knnen. Im technischen Sinn ergeben sich daraus strenge Anforderungen an die Da-
ten- und Instanzauthentisierung.
Unter Datenauthentisierung werden (kryptographische) Verfahren verstanden, die
garantieren, dass bersandte und/oder gespeicherte Daten nicht verndert wurden
und/oder verndert werden knnen . Unter Instanzauthentisierung werden (kryp-
tographische) Protokolle verstanden. in denen ein Empfnger einem Sender den Be-
sitz eines Geheimnisses nachweist. Bei symmetrischen Verfahren ist dies ein sym-
metrischer Schlssel, um seine Identitt zu beweisen . Sowohl die Daten- als auch
die Instanzauthentisierung erfolgt meist gegenseitig und geht mit einer Schlsseleini-
gung einher, um die Vertraulichkeit und Integritt zu gewhrleisten. Solche Authenti-
sierungen sichern letztendlich Glaubwrdigkeit und Richtigkeit der Daten und sind
deshalb unter den rechtlichen Voraussetzungen unabdingbar.
Heimlichkeit impliziert aber auch die Unbeobachtbarkeit der berwachungsma-
nahme selbst. Nur, wenn die berwachungsmanahme selbst unbeobachtet ist, ist
sichergestellt, dass keine Dritten Einfluss auf die Manahme nehmen knnen. Die
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sIch immer: Internet
hohen Anforderungen an die Heimlichkeit hat eben auch Folgen fr die Anforderun-
gen an die Daten- und Instanzauthentisierung. Wenn alles heimlich und verdeckt er-
folgen muss, muss sichergestellt sein, dass die Kommunikationspartner sich richtig
ident ifizieren und dass die Daten unversehrt und vertraulich weitergereicht und ge-
speichert werden.
Nach dem Ende der Manahme muss sichergestellt werden, dass einerseits die
Programme nicht weitergenutzt werden knnen und anderseits auch keine Weiter-
verbreitung der berwachungssoftware mglich ist, d.h. die Lschbarkeit der Soft-
ware ist wichtig . Die Programme mssen Mechanismen enthalten , die eine daten-
schutzgerechte Lschung des Programmcodes und aller vernderten Parameter ge-
whrleisten. Dies gilt auch fr die erhobenen Daten - auch sie mssen effektiv und
nicht wiederherstellbar gelscht werden .
Da aufgrund verfassungsrechtlicher und gesetzlicher Vorgaben der Kernbereich pri-
vater Lebensgestaltung besonders geschtzt ist, muss die fr die Manahme einge-
setzte Software entsprechende Vorgaben erfllen, und zwar in jeder Phase der
berwachung. Jedenfalls nach Speicherung der Informationen muss eine gezielte
Lschung kernbereichsrelevanter Inhalte mglich sein.
Um eine Kontrolle durch den Betroffenen oder eine Datenschutzbehrde zu ermgli-
chen, ist eine Protokollierung der wichtigsten Rahmenbedingungen und zu den -
bermittelten Daten erforderlich. 201 Abs. 2 Satz 2 i. V. m. 20k Abs. 3 BKAG macht
hierzu umfangreiche Vorgaben. Eine solche Protokoll ierung muss jedoch auch durch
die aufzeichnende Software angemessen untersttzt werden.
Unter diesen allgemeinen Vorbemerkungen sind die folgenden Ausfhrungen zu se-
hen.
a) Prfbarkeit des berwachungssystems
Die berwachung der Telekommunikation stellt einen erheblichen Eingriff in das
durch Art. 10 GG geschtzte Fernmeldegeheimnis dar. Dies gilt fr Quellen-TK, in
besonderem Mae, weil diese eine Infiltration des von einem Beschuldigten verwen-
deten Computers voraussetzt und damit die Vertraulichkeit und Integritt des infor-
mationstechnischen Systems berhrt.
Dem sollen die Regelungen im BKA-Gesetzes Rechnung tragen, die fr diesen Ein-
griff besondere technische, organisatorische und rechtliche Anforderungen formulie-
~ t y
~ I
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich Immer: Internet
ren. Die bei der Quellen-TK getroffenen technisch-organisatorischen Manahmen
mssen neben den allgemeinen Anforderungen des Datenschutzrechts (insbesonde-
re 9 BDSG) auch diesen besonderen Anforderungen entsprechen.
Seit der Novellierung des BDSG zum 01.09.2010 werden gem der Anlage zu 9
Satz 1 BDSG fr besonders schtzenswerte Daten besondere Manahmen gefor-
dert, u.a. die Verschlsselung nach dem Stand der Technik gefordert. Betroffen hier-
von sind insbesondere Manahmen nach Ziffer 2 (Zugangskontrolle), Ziffer 3
(Zugriffskontrolle) und Ziffer 4 (Weitergabekontrolle) dieser Anlage. Alle geforderten
Manahmen sind auch beim Einsatz einer Quellen-TK-Software von entscheiden-
der Bedeutung.
Da sich der Einsatz einer berwachungssoftware auf dem Rechner des Betroffenen
der direkten Administration durch die Behrde entzieht, muss sichergestellt werden,
dass
nur Befugte Zugriff auf die bervvachungssoftware haben ,
die ausgeleiteten Datenstrme vertraulich und integer bertragen werden,
diese Datenstrme nur berechtigten Empfngern zugeleitet werden,
die Steuerung der beNJachungssoftware nur durch Befugte und
die Lschung nach Beendigung der berwachung (oder bei flschlich infizier-
ten Systemen) nachhaltig erfolgt.
An die Sicherstellung dieser Ziele sind wegen der Eingriffstiefe besonders hohe An-
forderungen zu stellen.
Die verantwortliche Stelle hat zu gewhrleisten, dass die Hard- und Software den
Anforderungen an die Rechtmigkeit entsprechen und insbesondere die Vollstn-
digkeit, Vertraulichkeit, Unversehrtheit der Daten sicherstellen. Die Umsetzung der
Manahmen muss korrekt und sicher erfolgen.
So drfen in der Software keine Funktionen vorhanden sein, die ber die gesetzlich
vorgeschrieben berwachungsmanahmen hinaus gehen. Speziell muss - wie auch
das Bundesverfassungsgericht festgestellt hat
27
(vgl. 1.2.) - sichergestellt werden.
dass keine ber die bervvachung der laufenden Telekommunikation hinausgehende
berwachung stattfindet.
27 BVerfGE NJW 2008.822,826. Abs Nr . 190.
I
Der Bundesbeauftragte
fr den Datenschutz und
die 1 nformationsfreih eit
Lohm sich immer: Internet
>
5::'TE .U .so
Eine Software lsst sich prinzipiell dadurch prfen, dass der Programmcode unter
Hinzuziehung der Verfahrensdokumentation analysiert wird . Dies kann durch
nete Testverfahren untersttzt werden.
Bei Software ist zwischen und Binrcode zu unterscheiden. Bei dem
de handelt es sich um fr Menschen lesbare, in einer Programmiersprache
bene Texte eines Computerprogrammes. Der Ouellcode wird durch spezielle
ware (Compiler und Linker) in vom Computer ausfhrbaren Binrcode bersetzt. Da
letzterer nur aus einer Folge der Werte ,,0" und ,.1' besteht, ist es ohne weitere (Soft-
Hilfsmittel praktisch nicht mglich, die genaue Funktionsweise von Program-
men allein auf Basis des Binrcodes sicher und abschlieend zu begutachten .
Nur durch die Prfung des Quellcodes und die anschlieende kontrollierte
rung des Binrcodes kann sichergestellt werden, dass in der eingesetzten Software
keine verborgenen Funktionalitten vorhanden sind, die beispielsweise einem Dritten
(Unbefugten) erlauben knnten, direkt Zugriff auf die auf einem Zielrechner installier-
te berwachungssoftware zu nehmen und diese fr andere Zwecke zu missbrau-
chen. Eine "hndische" Quelleodeanalyse ist bei umfangreichen Computerprogram-
men auergewhnlich zeitaufwndig. Bei komplexerer Software stt sie zudem auf
kaum zu berwindende Schwierigkeiten. Aus diesem Grund ist es angezeigt, auch
fr die Analyse von Ouellcodes spezielle Software einzusetzen.
Nur durch die Analyse des Quelleodes sichergestellt werden, dass keine Funktionen
benutzt oder vorhanden sind, die ber das erlaubte und gebotene Ma hinaus die
Rechte des Betroffenen beim Einsatz der Software berhren. Alternativen zur Quell-
code-Analyse sind nicht ersichtlich.
Tests knnen zwar sicherstellen, dass die Software bestimmte geforderte Funktiona-
litten enthlt und dass sie den Anforderungen an ihre Handhabung gengt. Allein
durch Testlufe ist aber nicht auszuschlieen, dass eine Software verdeckte Funkti-
onalitten und unzulssige Zugriffsmglichkeiten auf von dieser generierte Daten
enthlt. Auch eine datenschutzrechtliche Prfung ist ohne Einbeziehung des Quell-
codes nicht mglich.
Da dem BKA und dem ZKA die Quellsoftware zu keinem Zeitpunkt vorlag, waren
diese Behrden nicht in der Lage, die Funktionalitt der von ihnen eingesetzten Pro-
gramme zu beurteilen. Dies gilt umso mehr, als ihnen noch nicht einmal eine hinrei-
chende Programmdokumentation zur Verfgung stand.
& I Der Bundesbeauftragte
~ t y fr den Datenschutz und
die lnform ationsfreihe it
Lohnt sich immer: Intern
Auch mir ist eine belastbare und abschlieende Aussage ber die programmierten
Funktionen und die Zugriffsmgl ichkeiten der eingesetzten Software aus den ge-
nannten Grnden nicht mglich.
Das Vorhandensein von nicht zulssigen Funktionen kann damit nicht ausgeschlos-
sen werden. Eventuell vorhandene und genutzte nicht dokumentierte Funktionalit-
ten knnen auch nicht vom Betroffenen bemerkt und geahnt werden, weil der Einsatz
der berwachungsmanahme insgesamt verdeckt erfolgt. Sie knnte aber auch
nicht von der verantwortlichen Behrde nachvollzogen werden, weil deren Existenz
dort nicht bekannt ist. Vor diesem Hintergrund ist das Nichtvorhandensein des Quell-
codes bei 8KA und Zollfahndungsdienst ein schwerwiegender Versto gegen die
Regelungen des 9 BDSG nebst Anlage und des 20k BKAG, dessen Beanstan-
dung ich mir vorbehalte.
In der Gesetzesbegrndung zu 20 k Abs. 3 BKAG wird darauf verNiesen , dass zur
Dokumentation zumindest eine Kopie der eingesetzten Software aufzubewahren ist,
.. damit im Zweifelsfall z.8 . ein gerichtlich bestellter Sachverstndiger sich davon -
berzeugen kann", ob die gesetzlichen Anforderungen eingehalten werden .
28
Eine
Kopie des Binrcodes ist mir vom BKA nicht bergeben worden. Ungeachtet dessen
ist fr eine Dokumentation der Quellcode erforderlich. da die Analyse des Binrcodes
nicht mit derselben Fehlerireiheit und Vollstndigkeit mglich ist. Beschrnkt sich die
Analyse auf den Binrcode kann prakt isch nicht festgestellt werden, ob eine Pro-
grammfunktion nicht vorhanden ist. um etwa auszuschlieen , dass eine unberechtig-
te Funktion implementiert war.
Beim ZKA stellt sich die Situat ion noch problematischer dar, da dort auch der B'lnr-
code beim ZKA nicht vorgehalten wurde. Zwar soll der Binrcode von DigiTask er-
neut abgerufen werden Knnen . dies bedeutet jedoch einen deutlichen Zusatzauf-
wand und aufgrund der Anpassung des Codes fr eine Manahme eine potentielle
Fehlerquelle. die eine sichere Nachvollziehbarkeit weiter erschwert . Die gesetzlich
gebotene Dokumentation wird quasi von der Firma DigiTask bernommen. Eine Pr-
fung, ob und inwieweit diese die Anforderungen erfllt , hat nicht stattgefunden . Dies
stellt insgesamt einen schweren Versto gegen gesetzliche Anforderungen dar.
Im Hinblick darauf, dass das BKA auf meine Nachfrage inzwischen mitgeteilt hat, die
Firma DigiTask sei bereit, den Quellcode in ihren Geschftsrumen - vor Ort - zur
Einsicht zur Verfgung zu stellen, ist folgendes zu bemerken:
29 BT-Drs. 16/9588, S 28.
I
Der BundesbeaLJftragte
fr den Datenschutz und
_c die Informationsfreiheit
Lohmsich immer: Internet
Die Auswertung des Quelleodes ist mit einem erheblichen zeitlichen und per-
sonellen Aufwand verbunden. Darber hinaus kann es enorderlich sein, dafr
technische Hilfsmittel bzw. Tools zu vervvenden. Auch sind nach einer ersten
Sichtung des Quellcodes ggf. weitere Manahmen notwendig, um eine vertief-
te Analyse vorzubereiten und durchzufhren. Diese Voraussetzungen sind je-
doch bei einer Einsichtnahme vor Ort nicht gegeben.
Zum anderen ist eine Zuordnung des Quellcodes zu dem Binrcode der tat-
schlich in der Praxis eingesetzten Software nicht eindeutig herstellbar. Eine
Dokumentation des Zusammenhanges htte bereits in den Unterlagen des
BKA und des ZKA bzw. des jeweiligen ZFA als verantwortlicher Stelle vorge-
nommen werden mssen. Eine solche Dokumentation htte beispielsweise
dadurch enolgen knnen, dass zusammengehrige Kopien von Quell- und Bi-
nrcode der jeweils eingesetzten Versionen aufbewahrt worden wren und
ggf. Signaturzeichen (Hash-Codes) hinterlegt worden wren.
Ich werde gleichwohl von der angebotenen Mglichkeit zur Einsichtnahme vor Ort
Gebrauch machen, behalte mir aber vor, im Hinblick auf die erforderlichen Prfungs-
schritte einen weiter gehenden Zugriff auf die Software zu fordern. Das BKA und das
ZKA sehe ich in der Pflicht. mir entsprechende Prfungen zu ermglichen.
b) Sicherheit der Datenbertragung
Nicht nur die Software, sondern auch die ausgeleiteten Daten mssen sicher vor un-
berechtigter Kenntnisnahme, Manipulationen und versehentlichen nderungen ge-
schtzt werden. Von zentraler Bedeutung ist dabei die kryptographische Verschls-
selung von Daten. die gleichermaen deren Vertraulichkeit und Integritt sicherstel-
len kann.
Die Verschlsselung der Datenstrme ist auch gem Ziffer 4 der Anlage zu 9
BDSG Satz 1 (Weitergabekontrolle) geboten. Gem Satz 3 dieser Anlage sind da-
bei Verfahren einzusetzen die dem Stand der Technik entsprechen. Diese Anforde-
rung ergibt sich zudem auch aus 20k Abs. 2 BKAG.
Aufgrund der Aussagen des BKA whrend des Kontrollbesuchs und meiner Feststel-
lungen vor Ort gehe ich davon aus, dass eine Verschlsselung nach dem Advanced
Encryption Standard (AES) eingesetzt wurde. Der dabei verwendete Schlssel war
fest in den Programmcode implementiert. Vor Ort habe ich festgestellt, dass der Pro-
,m I Der Bundesbeauftragte
~ ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
grammcode denselben Schlssel enthlt, den der CCC bei seiner Analyse aus ihm
zugnglichen Datentrgern extrahiert hat und der nachfolgend verffentlicht wurde.
Hierzu hat das BKA allerdings im Nachgang ausgefhrt: ,.Es mag sein, dass der oben
genannte Meldetext per Editor lesbar gemacht werden konnte. Allerdings kann im
Rahmen Ihrer Prfung im BKA nicht untersucht und festgestellt worden sein. in weI-
chem Kontext unter welchen technischen Rahmenbedingungen der Text Verwen-
dung findet. und ob die Aussagen des Chaos-Computer-Club (CCC) tatschlich zu-
treffen." Statt dieser kryptischen Formulierung htte ich vom BKA eine Aussage er-
wartet, ob die von mir geuerte Annahme zutrifft oder ob ein anderer Schlssel
verwendet wurde. Offenbar ist aber das BKA - mangels detaillierter Kenntnis der von
ihm verwendeten Software - selbst zu einer solchen klaren Stellungnahme nicht in
der Lage.
Auerdem wrde die Aussage des SKA nur dann ein Mindestma an Plausibilitt
besitzen , wenn der Schlssel zwar nach wie vor im Programmcode enthalten ist, die-
ser aber gleichzeitig deaktiviert und durch einen weiteren Schlssel ersetzt worden
wre. Eine s o ~ c h e Programmiertechnik wrde angesichts der Eingriffsintensitt der
Manahme zumindest Fragen aufwerfen, etwa danach, ob neben den offiziellen
noch weitere verdeckte Zugriffsmglichkeiten bestehen.
Hieran zeigt sich nochmals, dass hohe Anforderungen an die Dokumentation des
technischen Verfahrens zu stellen sind: insbesondere ohne einen Rckhalt des
Quellcodes lsst sich ansonsten auch die Qualitt einer in den Programmcode integ-
rierten Verschlsselung nicht mehr beurteilen.
Dem Stand der Technik entsprechen Sicherungsmanahmen dann, wenn das nach
dem jeweiligen Entwicklungsstand technisch-praktisch realisierbare umgesetzt wur-
de)?9 Es existieren in die technische Praxis eingefhrte effektivere Verfahren, die
benutzt werden knnen. um die Daten hinreichend zu schtzen.
Bei dem in der Software verwendeten Verschlsselungsstandard AES handelt es
sich um ein symmetrisches Verfahren, das im Oktober 2000 als Standard bekannt
gegeben wurde. Symmetrische Verfahren haben die Eigenschaft, dass zum Ver- und
Entschlsseln derselbe Schlssel veN/endet wird . Dieser Schlssel ist deshalb ge-
heim zu halten. Der Zugang zum Schlssel ermglicht die Entschlsselung von Da-
ten.
29 Schulte, Beck'scher Kommentar UmlNeltrecht, 3 BImSehG, Rn. 92' vgl Similis. Bundesdaten-
schutzgesetz, 7. Aufiage 2011. 9 Rn . 17'i .
.& I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
di einformationsfreiheit
Lohnt sich immer: Internet
~ :
Die Implementierung des Verfahrens sieht die Speicherung des geheimen Schls-
sels im ausfhrbaren Programm (Binrcode) der DigiTask Software vor. Der Schls-
sel wird von der Firma DigiTask einprogrammiert und ist zudem nur durch Mitarbeiter
dieser Firma nderbar. Der Kreis der Personen die Kenntnis ber den Schlssel ha-
ben, erstreckt sich somit auf:
1. Aktuelle und ehemalige Mitarbeiter des BKA in der IT-Administration die Zu-
gang zur ausfhrbaren Software haben bzw. hatten,
2. aktuelle und ehemalige Mitarbeiter anderer Bedarfstrger, die ebenfalls diese
DigiTask-Software einsetzten,
3. aktuelle und ehemalige Mitarbeiter der Firma DigiTask. die die Software pro-
grammiert haben und/oder die Zugang zur Software zu Testzwecken bentigen,
4. alle brigen Personen, die Zugang zur Software haben und ber entsprechende
IT-Kenntnisse verfgen (beispielsweise der Betroffene selbst).
Der Schutz des verwendeten Schlssels ist damit nicht steuerbar. Auch unbefugte
Dritte mit Zugriff auf den Binrcode, die ber entsprechende IT-Kenntnisse verfgen.
knnen den Schlssel, der unbedingt geheim zu halten wre, zur Kenntnis nehmen.
Die Verwendung eines symmetrischen Verfahrens zur Verschlsselung ist - jeden-
falls' bei fest einprogrammiertem Schlssel - mit unvertretbaren Sicherheitsrisiken
verbunden,
Wie bereits oben erwhnt, ist die nderung des Schlssels nicht vorgesehen. Dies
hat zur Folge, dass verschiedene berwachungsmanahmen, bei denen die Digi-
Task Software eingesetzt wurde, mit dem gleichen Schlssel verschlsselt und gesi-
chert wurde, Mitarbeiter der Firma DigiTask oder andere Nutzer der DigiTask-
Software htten somit die Mglichkeit die Schlssel einzusetzen, um Daten zu ent-
schlsseln oder (evtl. vernderte) Daten zu verschlsseln. Die Vertraulichkeit ist da-
mit nicht hinreichend sichergestellt.
Weitere Faktoren fr die Sicherheit ist die konkrete Implementierungen des Algorith-
mus und die Zuverlssigkeit der verwendeten Hintergrundsysteme. Beides konnte
ich nicht prfen, weil mir keine Analyse des Quellcode mglich war . Die Ausfhrun-
gen im CCC-Report geben Anlass zur Nachfrage, ob der Algorithmus korrekt umge-
setzt wurde.
Bei den Hintergrundsystemen ist der Proxy-Server einerseits in seinem Funktionsum-
fang relativ berschaubar, andererseits durch den Standort in einem externen Re-
chenzentrum schwerer kontrollierbar. Sowohl die Verschlsselung mit einem einheit-
lichen Schlssel und das offensichtlich nicht optimal umgesetzte Verschlsselungs-
~ I Der Bundesbeauftragte
~ t y fr den Datenschutz und
di einform ationsfreih eit
Lohnt sich Immer: Internet
verfahren, als auch die Protokollierung waren mit vermeidbaren Risiken verbunden,.
Durch die nicht vorhandene Dokumentation wird diese Schwachstelle noch verstrkt.
Da beim ZKA keine Kopie der berwachungssoftware vorhanden war, konnte keine
separate Prfung durchgefhrt werden, etwa um zu besttigen, dass es sich um den
gleichen Schlssel handelt.
Die Sicherheit der Verschlsselung ist abhngig von dem eingesetzten Verschlsse-
lungsverfahren, der Schlssellnge und der Implementierung des Verfahrens.
Die bertragung von bei der Quellen-TK ausgeleiteten Daten unter Verwendung
eines Verschlsselungsverfahrens mit in die ber'vvachungssoftware fest einpro-
grammiertem Schlssel durch das BKA war nach den genannten rechtlichen Ma-
stben ungengend. Sie entspricht auch nicht dem Stand der Technik. Die Sicherheit
der Datenbertragung bei den durch das ZKA durchgefhrten Manahmen war nicht
prfbar.
Insofern haben beide Behrden gegen 9 BDSG verstoen.
cl Authentisierung
Die IT-Sicherheit hngt zum groen Teil davon ab, dass alle am Verarbeitungspro-
zess beteiligten Daten und Systemkomponenten nur im Rahmen ihrer Zugriffsrechte
handeln und dass die Daten nicht unberechtigt verndert oder unterdrckt werden.
Dies wiederum setzt eine sichere Feststellung hinsichtlich der Identitt aller an den
Prozessen Beteiligten voraus. Die dabei eingesetzten Techniken und Verfahren wer-
den als Authentisierung bezeichnet.
Dabei muss z\Nischen Datenauthentisierung und Instanzauthentisierung unterschie-
den werden.
Unter Datenauthentisierung werden (kryptographische) Verfahren verstanden, die
garantieren, dass bersandte oder gespeicherte Daten nicht verndert wurden
und/oder verndert werden knnen (Anforderung aus 20 k Ab2. 2 Satz 2 BKAG).
Dabei benutzt ein Sender (in diesem Fall die berwachungssoftware) ein (kryp-
tographisches) Verfahren zur Erzeugung einer Prfsumme der zu authentisierenden
Daten. Der Empfnger prft dann ob die empfangene Prfsumme mit der von ihm
selbst errechneten Prfsumme bereinstimmt. Somit kann hinreichend sicher die Un-
verflschtheit der empfangenen Daten und die Richtigkeit des Senders festgestellt
werden. Die Prfsumme bleibt whrend der gesamten Speicherdauer erhalten. Der
Lohnt sich immer: Internet
Schutz erstreckt sich somit nicht nur auf die bertragung, sondern auch auf die
Speicherung der Daten.
Unter Instanzauthentisierung werden (kryptographische) Protokolle verstanden, in
denen ein Empfnger (z. B. BKA) einem Sender (berwachungssoftware) den Besitz
eines Geheimnisses nachweist. Bei symmetrischen Verfahren ist dies ein symmetri-
scher Schlssel. Sowohl die Daten- als auch die Instanzauthentisierung erfolgt meist
gegenseitig und geht mit einer Schlsseleinigung einher, um die Vertraulichkeit und
Integritt zu gewhrleisten. Die Verfahren mssen den Anforderungen der Techni-
schen Richtlinie 02102 des BSI (Kryptographische Verfahren: Empfehlungen und
Schlssellngen) angepasst werden. Das BSI empfiehlt darin die Anwendung unter-
schiedlicher Verfahren zu Sicherstellung der Authentizitt. Im Falle des Einsatzes der
berwachungssoftware muss aus folgenden Grnden auf die Sicherheit der Verfah-
ren geachtet werden:
Sicherstellung der U nversehrtheit und Unverflschtheit der Daten,
Richtigkeit des Senders (Nichtabstreitbarkeit des Senders),
Richtigkeit des Empfngers (Nichtabstreitbarkeit des Empfngers),
Richtigkeit des Senders im Falle der Steuerung der Software (also aus der
Sicht des BKA muss sichergestellt sein. dass Steuerungseingriffe (Nachlade-
funktion) auch nur vom BKA ausgefhrt wurden.
Bei der vorliegenden Software wurde das zur Verschlsselung verwendete AES-
Verfahren auch zur Daten- und Instanzauthentisierung mit fest programmierten
Schlssel eingesetzt.
Der Einsatz eines symmetrischen Verfahrens sowohl fr die Daten- als auch fr die
Instanzauthentisierung ist aus den oben erwhnten Grnden unzureichend. Es wird
nur der bermittlungsweg selbst abgesichert (und dies auch nur, soweit ein mgli-
cher Angreifer den verwendeten Schlssel nicht kennt), die Unverflschtheit der Da-
ten whrend der Speicherung und gar die Richtigkeit des Senders bzw. Empfngers
eben nicht. Das hat zur Folge, dass nicht ausgeschlossen werden kann, dass Dritte
die Rolle "BKA" oder "Zielrechner" bernehmen, ohne dass diese "bernahme" durch
BKA oder das Zielsystem erkannt wird. Der Einsatz des Verschlsselungsverfahrens
zur Datenauthentisierung entspricht deshalb nicht dem Stand der Technik und ist
deshalb nicht ausreichend.
Die Ergnzung der Instanzauthentisierung im BKA durch Eingabe einer Benutzer-
kennung und eines Passwortes zur Verwaltung der Daten und zur Steuerung der
berwachungssoftware reicht nicht aus. Die Sicherheit des eingesetzten Verfahrens
~ I Der Bundesbeauftraate
~ ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
wird gem dem eGovernment Handbuch des 881 (Kapitel "Merkmale von Authenti-
sierungs-Mechanismen") nur mit der kleinsten Stufe ,.niedrig" bewertet. Eine hinrei-
chende Instanzauthentisierung wird dadurch nicht erreicht. Hherwertige Verfahren
basieren auf Chipkartenverfahren. Auf solche Verfahren wurde aber beim Einsatz der
berwachungssoftware verzichtet.
Die in der vom BKA berwachungssoftware verwendete Authentisierung ist als
schwach zu bezeichnen. Sie erfllt nicht die Anforderungen aus Ziffer 3 (Zugriffs-
schutz) der Anlage zu 9 BDSG sowie den Anforderungen aus 20k Abs. 2 BKAG
und stellt damit einen erheblichen Mangel dar.
d) Benutzerverwaltunq in der Recording-Unit (RU)
Aus Grnden der !nstanzauthentisierung muss sich jeder Nutzer authentisieren, der
die berwachungssoftware bedient oder der Daten mittels der berwachungssoft-
ware verarbeitet oder nutzt. Diese Authentisierung muss sicherstellen, dass nach-
vollzogen werden kann. welcher Nutzer, wann welche Daten verarbeitet und/oder
genutzt hat. Daraus folgt, dass nur Benutzerkennungen verwendet werden knnen.
die sich eindeutig auf eine Person beziehen. Gruppenkennungen: hinter denen sich
mehrere Personen verbergen , sind dazu nicht geeignet, weil die Nachvollziehbarkeit
der Verarbeitung und/oder Nutzung der Daten nicht lckenlos geWhrleistet werden
kann.
Vor diesem Hintergrund stellt die Gruppenkennung "bersetzer" auf dem RU des
BKA einen Versto gegen Vorschriften der Ziffer 3 der Anlage zu 9 BDSG dar. Die
Gruppenkennung ermglicht es nicht nachzuvollziehen wer die personen bezogenen
Daten zu welcher Zeit verarbeitet hat. Die Einrichtung einer individuellen Kennung ist
angesichts der SchutzwLlrdigkeit der Daten angezeigt, insbesondere unter den As-
pekten der besonderen Bedrohungen.
e) ProtokolIierung und Lschunq der Protokolle
201 Abs. 2 Satz 2 i. V. m 20k Abs. 3 BKAG fordert eine Protokollierung u. a. der
Angaben, die die Feststellung der erhobenen Daten ermglicht. Diese Protokolldaten
drfen nur fr Prfungen, etwa bei der gerichtlichen oder der Datenschutzkontrolle,
verwendet werden.
Die vorhandenen Protokolle in Verbindung mit anderen Informationen ermglichen
zwar eine gute Nachvollziehbarkeit der Aktionen/Zugriffe, entsprechen aber sonst-
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohm sich immer: Internet
'.
"i
.'
z.B. hinsichtlich der Form - nicht den gesetzlichen Regelungen, die implizit eine se-
parate Speicherung und Lschung der Protokolldaten voraussetzen.
30
Beispielsweise
wre eine Auskunft an den Betroffenen nur der in 20k Abs. 3 Satz 1 BKAG genann-
ten Daten nicht ohne umfangreiche manuelle Aufbereitung mglich. Diese wre feh-
leranfllig und knnte theoretisch leicht manipuliert werden. Auch im Sinne von Ziffer
8 der Anlage zu 9 BDSG wre eine Trennung der Protokolle zur Datenschutzkon-
trolle und der fr die Strafverfolgung genutzten Daten angezeigt.
In den Protokollen sind nicht die erhobenen Daten selbst zu speichern?1 Weiter ist
eine automatisierte Lschung der Protokolle vorzusehen. Eine solche findet nicht
statt. Die gesetzliche Vorgabe wird insofern nicht eingehalten.
Zu den einzelnen in 20k Abs. 3 Satz 1 BKAG geforderten Gegenstnden der Pro-
tokollierung kann folgendes gesagt werden:
aa) Bezeichnung des technischen Mittels und der Zeitpunkt seines Einsatzes
In der RU wird der Hash-Wert der Quellen-TK-Software protokolliert. Ferner
wurde beim BKA die Software im Lieferzustand und mit IP-Adresse und U-
Nummer versehen gespeichert Bei der Lieferung hat die Firma DigiTask auch
die jeweiligen Versionsnummern und Fhigkeiten der Software in einer Text-
datei beigefgt. Somit war beim BKA zumindest prinzipiell nachvollziehbar,
welches technische Mittel verwendet wurde, auch wenn die Prfbarkeit der
eingesetzten Software mangels Dokumentation und Quellcodekenntnis unzu-
reichend war. Dagegen hatte das ZKA die Software nicht gespeichert. Somit
ist dort eine Nachvollziehbarkeit nicht erfllt.
Der Einsatzzeitpunkt (im Sinne von erster Kontaktaufnahme mit der RU) war
beim BKA und beim ZKA anhand der Protokollierung in der RU nachvollzieh-
bar, sobald die Softvvare sich dort anmeldete. Die Aufbringung selbst - etwa
ein Aufspielen - war technisch nicht protokolliert knnte allenfalls anhand an-
derer Informationen nachvollzogen werden.
bb) Angaben zur Identifizierung des informationstechnischen Systems und zu den
daran vorgenommenen nicht nur flchtigen Vernderungen
:;0 Siehe auch 8T -Drucksache 16/9588, Begrndung zu 20k Abs 3 Satz 2 , S. 28 links unten.
31 Siehe BT-Drucksache 16/9588, Begrndung zu 20k Abs. 3 Satz 1 Nr. 3, S 28 links
,m.1 Der Bundesbeauftragte
~ y fr den Datenschutz und
die Informationsfreiheit
Lohmslch immer: Internet
Welches informationstechnische System mittels Quellen-TK berwacht wur-
de, also ob der richtige Rechner "infiziert" wurde, war anhand der von der RU
protokollierten Daten nur durch Heranziehung der Software-Liste und der IP-
Adresse annhernd nachvollziehbar. Dabei handelt es sich jedoch nicht um
eindeutige Angaben. Eine eindeutige Identifizierung des Zielrechners knnte
bei der Einbringung der Software durchgefhrt worden sein oder kann sich
anhand anderer Informationen ergeben (z. B. wenn IP-Adresse von einer pa-
rallel durchgefhrten TK-Manahme bekannt ist und es sich um den einzi-
gen Rechner im Haushalt handelt). Diese Informationen sind aber ggf. an an-
derer Stelle niedergelegt, z. B. der Fallakte. Wie sicher ein System identifiziert
werden kann, ist in jedem Einzelfall unterschiedlich.
Bei den "nicht nur flchtigen Vernderungen" handelt es sich zumindest um
das Aufbringen von zwei Dateien. Dies wird nicht explizit protokolliert, das
BKA verfgt jedoch ber diese information. Ob weitere nderungen durchge-
fhrt werden , z. B. eine nderung an der Registry, ist nicht bekannt. Hier wre
eine detaillierte Beschreibung der Funktionsweise der Software oder Untersu-
chung des Quellcodes erforderlich . der leider nicht vorliegt.
cc) Angaben, die die Feststellung der erhobenen Daten ermglichen
Es werden alle erhobenen Daten in der RU gespeichert. Damit kann anhand
der Protokolle nicht nur nachvollzogen werden, wann welche Daten erhoben
wurden (Metadaten), sondern auch die vollstndigen Inhalte. Eine getrennte
Protokollierung, die nur eine Feststellung der erhobenen Daten ermglicht,
ohne dass die Daten selbst (also etwa die Gesprchsinhalte oder der Texte
eines Chats) enthalten wren, findet nicht statt.
dd) Organisationseinheit, die die Manahme durchfhrt
Eine explizite Protokollierung zu diesem Punkt war nicht zu erkennen. Oie be-
teiligten Organisationseinheiten ergaben sich insoweit aus der Aktenlage.
Die Betrachtung der einzelnen Forderungen zeigt auf, dass die geforderten Informa-
tionen weitgehend vorhanden sind: aber nicht in Form der geforderten Protokollie-
rung.
~ I Der Bundesbeauftragte
~ t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Durch die Mehrfachspeicherung (vgl. B VI 2. b)) wird im ZKA zustzlich zur Protokol-
lierung der Manahme in der Recording-Unit auch im vorhandenen System fr die
klassische TK eine Protokollierung durchgefhrt. Eine Protokollierung in genau der
Form, wie sie im BKA-Gesetz gefordert wird, findet ebenfalls nicht statt. Es wre al-
lerdings zu diskutieren, ob die im BKA-Gesetz geforderte Form auch vom ZKA ver-
langt werden konnte.
D Die Nachladefunktion
Prinzipiell bietet die Nachladefunktion die Mglichkeit, auf einem Zielsystem zustzli-
che Software zu installieren oder vorhandene Software zu verndern oder zu
deinstallieren. Wegen ihrer besonderen Flexibilitt stellt sie einen besonders kriti-
schen Faktor der eingesetzten berwachungssoftware dar, vor allem im Hinblick auf
die gesetzlich und verfassungsrechtlich gebotene Beschrnkung der berwachung
auf die laufende Telekommunikation.
Ob schon das Aufbringen einer Funktion zum Nachladen von Software einen Versto
gegen diese gesetzlichen Vorgaben darstellt, oder erst deren unzulssige Aktivie-
rung und Nutzung. ist schwierig zu beantworten. Eine entsprechende Bewertung
setzt die abschlieende Kenntnis der Funktionalitten der berwachungssoftware
und der gegen Missbrauch der Nachladefunktion getroffenen Schutzmanahmen
voraus - Voraussetzungen. die auf Grund der fehlenden Dokumentation und Quell-
codeanalyse nicht gegeben sind.
Das BKA hlt die die Nachladefunktion fr erforderlich, um die berwachungssoft-
ware an die normalen Updates auf dem Zielcomputer anpassen zu knnen. Aller-
dings wird diese Funktion vom BKA auch verwendet , um d'le berwachungssoftware
mit aktiver berwachungsfunktion bei Beginn der Manahme auf dem Zielsystem zu
installieren.
Das Nachladen unzulssiger Funktionen knnte durch eine starke Instanzauthenti-
sierung verhindert werden, die hier allerdings - wie oben ausgefhrt - nicht vorliegt.
Darber hinaus zwingen die mit der Nachladefunktion verbundenen Risiken zu einer
revisionssicheren automatisierten Protokollierung. Kontrollierbar ist sie zudem nur
dann, wenn der Programmeode zur Verfgung steht und eventuell zur Prfung offen-
gelegt ist.
Bei meinem Kontrollbesuch habe ich keine Anhaltspunkte festgestellt, dass das BKA
gezielt unzulssigen Funktionen nachgeladen oder aktiviert hat.
~ I Der Bundesbeauftragte
~ ~ fr den Datenschutz und
die lnformationsfreiheit
Lohnt sich immer: Internet
Vom ZKA wurde - anders als vom BKA - die Nachladefunktion nicht verwendet . Ein
Verzicht auf die Nachladefunktion hat einerseits den Vorteil, dass die hier angespro-
chene Problematik nicht mehr relevant ist. Andererseits msste ohne Nachladefunk-
tion die Software ggf. mehrfach neu aufgebracht werden. Falls die Software auf ei-
nem falschen Rechner installiert wrde, wre dieser mit einer funkt ionsfhigen Quel-
len-TK-Software versehen . ohne dass dieses Versehen rckgngig gemacht wer-
den knnte.
Im Hinblick auf diese Problemlage bedrfen die Nachladefunktion selbst und die An-
forderungen an ihre Ausgestaltung weiterer Analyse.
g) Reichweite und Lschunq der berwachunqssoftware
Die Quellen-TK-Software soll ein informationstechnischen System nur soweit ver-
ndern, wie dies fr die berwachungsmanahme erforderli ch ist.
Inwieweit das Aufbringen von Software erforderl ich ist und welche Funktionen sie
aufzuweisen hat, hngt eng mit den zu berwachenden Zielsystemen und den von
den Beschuldigten verwendeten Kommunikationsprogrammen zusammen . Soll z.8.
die Kommunikat ion ber Skype berNacht werden, drfen darber hinaus in der
Software keine weiteren Funkt ionalitten vorhanden sein.
Ohne Analyse des Quellcodes ist mir eine abschlieende Bewertung , welche Funkti -
onen in der auf Zielsystemen aufgebrachten Software implementiert waren. derzeit
nicht mglich. Die von mir gesichteten Protokolle und sonstigen Unterlagen ber
durchgefhrte ber...'1achungsmanahmen haben keine Anhaltspunkte dafr erge-
ben, dass vom BKA und ZKA Funktionen genutzt wurden, die ber die gesetzlichen
Anforderungen hinausgehen. leider stand zur meiner Prfung weder der Quellcode
zur Verfgung, noch wurde mir der vorhandene Binrcode zur Analyse bergeben.
Nach Abschluss der Manahme soll die lschung der berwachungssoftware ber
einen Steuerbefehl (Remote) erfolgen. Die lschung setzt also zumindest einen fort-
gesetzten Online-Zugriff des BKA auf das Zielsystem voraus . Sollte dieser Zugriff auf
Grund zustzlicher Sicherungsmanahmen des Betroffenen (etwa durch Einsatz
verbesserter Virenschutzsoftware) nicht mehr mglich sein, bl iebe das berwa-
chungsprogramm weiterhin aktiv.
~ I Der Bundesbeauftragte
~ ~ y fr den Datenschutz und
die lnform ationsfreiheit
Lohnt sich immer: Internet
SEITE :5 VSN 65
Der ausgelste Lschvorgang ist allerdings dann nur ein logisches Lschen. Die
Software kann deshalb mit geringem Aufwand wieder hergestellt werden, und zwar
nicht nur durch den Bedaristrger sondern ggf. auch durch andere Personen, die
Zugang zu dem System haben. Auf den Einsatz eines Programms zum .,physikali-
schen Lschens" durch berschreiben hat das BKA verzichtet. Es hat allerdings mit-
geteilt, dass im Falle einer Beschlagnahme des Rechners die Lschung noch vor-
handener Daten vor Ort eriolge.
Festzuhalten bleibt allerdings, dass bei einer Beschlagnahme des Rechners die ein-
gebrachte Software durch physikalisches berschreiben gelscht werden kann. Die
Anforderungen aus 20 k BKAG wren erst dann umgesetzt. Der Deaktivierungs-
mechanismus bedari auch im brigen weiterer Analyse, die ohne entsprechende
Quellcodekenntnis nicht mglich ist.
h) Alternative Zugriffsmqlichkeiten
Laut Presseberichten haben andere Staaten (beispielsweise Italien) mit Unterneh-
men wie Skype Mglichkeiten zur Entschlsselung von VolP-Telefongesprchen
vereinbart. Auch wren die Mglichkeiten, die verschlsselten Datenstrme bei VoIP-
Gesprchen ohne Untersttzung der Softwarehersteller (Skype usw.) zu entschls-
seln, zu untersuchen und zu bewerten.
Ein direktes Entschlsseln der Daten beim "Provider oder mit dessen Hilfe" wre -
wie die konventionelle TK - ein deutlich geringerer Eingriff als die Quellen-TK. Mir
ist nicht ersichtlich, warum die deutschen Bedarfstrger nicht diesen Weg gegangen
sind.
3. Begrenzung auf bestimmte Telekommunikationsanschlsse
Die Reichweite der zulssigen Manahme ergibt sich aus dem jeweiligen gerichtli-
chen Beschluss. Wesentlicher Bestandteil der Entscheidungsformel der gerichtlichen
Beschlsse in strafprozessualen Fllen gem 100b Abs. 2 Satz 2 Nr. 2 StPO "die
Rufnummer oder eine andere Kennung des zu berwachenden Anschlusses oder
des Gertes, sofern sich nicht aus bestimmten Tatsachen ergibt, dass diese zugleich
einem anderen Endgert zugeordnet ist". Damit wird konkret festgelegt , welche Ge-
rte und welche Telekommunikationsverbindungen berwacht werden drien und
welche Telekommunikationsanbieter zur Mitwirkung verpflichtet sind.
~ I Der Bundesbeauftragte
~ ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Wie genau die Gerichte diese Festlegungen treffen mssen, habe ich nicht zu bewer-
ten. Soweit die Ausfhrung der datenschutzrechtlichen Kontrolle unterliegt, betrifft
diese allerdings auch die Frage, ob sich die kontrollierten Sicherheitsbehrden inner-
halb der von den Gerichten vorgegebenen Tenorierung bewegt haben.
Technisch gesehen findet die Quellen-TK unabhngig vom Provider oder bestimm-
ten Anschlssen statt. Die berwachungssoftware wird auf dem - in einigen Be-
schlssen jeweils ausdrcklich benannten - Zielgert aufgebracht und aktiviert. So-
bald die berwachungssoftware "bemerkt"', dass das Zielgert online ist, leitet sie die
Telekommunikation auf dem oben beschriebenen Weg an die Polizeibehrde aus.
Dabei arbeitet die Software vllig unabhngig davon, ob der Nutzer des Gerts die-
ses an einen bestimmten Telekommunikationsanschluss angeschlossen hat. Die
Software arbeitet zum Beispiel auch dann, wenn der Nutzer ber den WLAN-
Anschluss eines Nachbarn, eines Freundes, eines Hotels oder ber einen Hotspot
online geht. Die Software unterscheidet zudem nicht danach, ob dieser weitere An-
schluss im In- oder Ausland liegt.
Die vorliegenden gerichtlichen Beschlsse waren insofern recht unterschiedlich teno-
riert. Teilweise enthielten die gerichtlichen Beschlsse keine Begrenzung auf einen
bestimmten Telekommunikationsanschluss. Insoweit konnte auch keine durch das
Gericht gesetzte Beschrnkung berschritten werden.
Anders liegt dies jedoch in den Fllen, in denen sich die gerichtliche Anordnung auf
einen bestimmten Telekommunikationsanschluss bezog (z.B. "berwachung und
Aufzeichnung smtliche ber die informationstechnischen Systeme des Beschuldig-
ten [ ... ] kryptisiert gefhrte Telekommunikation zum Anschluss [ ... ] (DSL-Leitung)"' .
Strukturell war durch die eingesetzte Software jedoch - wie ausgefhrt - nicht si-
chergestellt, dass nur ber diesen Anschluss ausgeleitete Verbindungen berwacht
werden. Wie oben ausgefhrt , leitet die auf dem Computer des Beschuldigten instal-
lierte berwachungssoftware Inhalte zur berwachungseinheit der ermittelnden Be-
hrde unabhngig von den genutzten Telekommunikationsanschlssen aus. Die
Software enthielt auch keine Funktion, die eine Ausleitung abschaltete, wenn von
einem anderen als dem im gerichtlichen Beschluss genannten Anschluss kommuni-
ziert wurde.
Ich habe nicht in allen Einzelfllen der Frage nachgehen knnen, ob der Rechner der
jeweiligen Beschuldigten auch an anderen , nicht im jeweiligen Beschluss genannten
Anschlssen verwendet worden ist. Dass dies vorgekommen ist, zeigt die oben unter
B. I. 7. und B. 11. 7. aufgefhrten Fallkonstellation, in der die berwachte Personen
.w.1 DerBundesbeauftragte
~ t ~ - fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
die Sphsoftware erst im Ausland und somit ber einen anderen als den im Ge-
richtsbeschluss genannten Anschluss auf dem eigenen Laptop verwendete. Damit
wird deutlich, dass es sich - bezogen auf die Umsetzung der richterlich festgelegten
Eingrenzungen - um einen strukturellen Mangel der Vorgehensweise handelt, der
auch zumindest in einem Fall konkret relevant wurde.
Damit ist festzustellen, dass die Vorgaben der gerichtlichen Beschlsse insoweit
teilweise berschritten wurden. Ob es sich dabei um eine nach 20k, 201 BKAG
bzw. 100a StPO ggf. in Verbindung mit dem Grundsatz der Verhltnismigkeit zu
beachtende allgemeine Anforderung oder um spezielle Bercksichtigungen besonde-
rer Einzelflle handelt, habe ich nicht zu bewerten. Entscheidend ist im vorliegenden
Zusammenhang, dass die Beschrnkung auf bestimmte Telekommunikationsan-
schlsse durch die gerichtlichen Beschlsse angeordnet war, die auch fr meine da-
tenschutzrechtliche Kontrolle insoweit bindend sind . Dagegen wurde insofern versto-
en.
4. Rumliche Reichweite
Aus den vorstehenden Ausfhrungen ergibt sich auch, dass die auf dem Zielsystem
angesetzte berwachungssoftware nicht danach unterscheidet, ob die Kommunikati-
on aus dem Inland erfolgt, oder ber einen auslndischen Telekommunikationsan-
schluss. Das ist insbesondere in Fllen relevant, in denen der oder die BeschUldigte
ein mobiles Gert mit ins Ausland nimmt.
Wie oben beschrieben, ist es in einem Verfahren nach Darstellung des BKA dazu
gekommen, dass vom europischen Ausland aus Gesprche des Beschuldigten
ausgeleitet wurden. Bei den Telekommunikationsber...vachungen der ZF ist diese
Konstellation mindestens zweimal aufgetreten (siehe unter 8.11.7.)).
In solchen Fllen ist innerhalb der EU Art. 20 des Europischen Rechtshilfeberein-
kommens (EU-Rhbk) zu beachten. Dieser regelt eine passive Form der Amtshilfe
bei einer mobilen Zielperson in Fllen, in denen diese sich in das Hoheitsgebiet eines
anderen Mitgliedsstaats begibt und den berwachten Anschluss - bzw. hier das -
berwachte Endgert - von dort aus nutzt.
32
Hatte das BKA Kenntnis, bevor der Be-
schuldigte in das Ausland ging, wre der betroffene Staat gem Art. 20 Abs. 2
Buchst. a LV.m. Abs. 3 EU-Rhbk. vor der berwachung zu unterrichten. In anderen
Fllen htte diese Pflicht nach Kenntniserlangung bestanden, Art. 20 Abs. 2 Buchst.
b EU-Rhbk. Fr den Bereich auerhalb der EU gelten die allgemeinen Rechtshilfe-
32 vgl. Schuster NStZ 2006,657,660.
~ I Der Bundesbeauftragte
~ ~ ~ fr den Datenschutz und
di einform ati onsfreiheit
Lohnt SlCh immer: Internet
regeln. Wenn technisch gesehen auf ein Gert Zugriff genommen wird, welches sich
zum Zugriffszeitpunkt im Ausland befindet, handelt es sich um einen in das Hoheits-
gebiet des auslndischen Staats ausgreifenden hoheitlichen Akt ; dies ist grundstz-
lich nur im Wege eines Rechtshilfeersuchens mglich?3 Soweit eine vorlufige Si-
cherung fr grundstzlich zulssig angesehen wird.
34
ist das Rechtshilteersuchen
nicht erst zu stellen. wenn es um die Verwertbarkeit der Beweise geht. Denn der
Grundrechtseingriff erfolgt nicht erst mit der Verwertung der Beweise, sondern be-
reits bei der Erhebung und bedati daher einer vorherigen Rechtfertigung. Darber
hinaus spricht vieles dafr, dass auch die vorlufige Sicherung einer ausdrcklichen
Regelung bedari. wie dies etwa bei 20 Abs. 2 des EU-Rhbk. der Fall ist. der dazu
allerd ings eine ausd rckliche Unterrichtungspflicht enthlt.
Vorliegend sind die Darstellungen des BKA widersprchlich. Im Gesprch whrend
des Kontrolltermins wurde uns mitgeteilt, dass im betreffenden Fall Erkenntnisse aus
Begleitmanahmen vorgelegen htten, nach denen der Beschuldigte "Skype" auch
vom Ausland aus genutzt habe. Im Schreiben vom 20.12.2011 fhrte BKA dann al-
lerdings aus. dass hinsichtlich der Unsicherheit bei mglichen Auslandsaufenthalten
im konkreten Verfahren der Staatsanwaltschaft die eingeschrnkten technischen
Gegebenheiten dargestellt worden seien. Diese habe daraufhin entschieden, dass
die Manahme aufgrund der technischen Unsicherheiten im vollen Umfang weiterzu-
fhren sei. Insofern ist nicht nachvollziehbar: dass auf der einen Seite mit den tech-
nischen Unsicherheiten argumentiert wird . auf der anderen Seite aber aufgrund von
Begleitmanahmen der Aufenthaltsort des Beschuldigten zumindest annherungs-
weise bestimmbar war.
Dazu ist im vorliegenden Fall zu ergnzen. dass es sich um ein Ermittlungsverfahren
im Bereich der organisierten Kriminalitt handelte. In solchen Fllen ist es blich -
und wurde nach Darstellung des BKA auch hier praktiziert - die ,.gesamte Klaviatur"
strafprozessualer Manahmen auszuschpfen (aus Grnden der Verhltnismigkeit
ist es ohnehin erforderlich, zunchst die weniger eingriffsintensiven Mittel auszu-
schpfen, weshalb die Ermittlungen sich ohnehin nie auf die Quellen-TK beschrn-
ken drften) . Gleichzeitig ging es inhaltlich um den Verdacht, dass der Beschuldigte
aus Sd amerika Drogen in die Bundesrepublik einfhren wollte, weshalb der Aufent-
haltsort fr das konkrete Verfahren eine besondere Rolle gespielt hat. Die beschrie-
bene "Unsicherhelt"' erscheint insoweit nicht nachvollziehbar.
33 vgl Rau WM 2006, 1281 , 1287 m.w.N .. Br, Handbuch zur EDV-Be'Neissicherung im Strafverfah-
ren, 2007. Rn. 374 ff.
~ 4 'Igl. 82r a.o O. Rn . 376.
~ I Der Bundesbeauftragte
? t ~ fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
\
~
Zu den technischen Unsicherheiten ist zu ergnzen: Im Gegensatz zur Auffassung
des BKA drften Geo- IP-Datenbanken bei regulr genutzten Internetzugngen fr
Privatkunden (z. B. DSL, Mobilfunk) eine relativ hohe Zuverlssigkeit haben, soweit
nicht die Stadt, sondern das Land ermittelt werden soll. Lediglich bei Nutzung von
Firmennetzen, bei VPN oder Anonymisierungsdiensten (z. B. TOR) drfte eine rele-
vante Unsicherheit bestehen, in welchem Land sich ein Nutzer aufhlt. Vor diesem
Hintergrund bedarf der Sachverhalt weiterer Klrung.
Beim ZKA besteht grundstzlich eine vergleichbare Problematik. Allerdings knnen
die Ermittier an den Auswertepltzen die IP-Adresse nicht erkennen. Eine Prfung.
von welcher IP-Adresse Daten bermittelt wurde, erfordert einen erhhten Aufwand .
Insofern drfte die IP-Adresse - und somit der Standort des berwachten Rech-
ners - im Regelfall nicht beachtet werden. In dem Fall, in dem der Betroffene seinen
Computer mit installierter berwachungssoftware im Ausland verwendete, wurde
ausweislieh eines Aktenvermerks um Rechtshilfe der estnischen Behrden ersucht.
In dem Fall, in dem die Sphsoftware auf dem sich im Ausland befindlichen Compu-
ter der Freundin des Beschuldigten installiert wurde, sei die Software unmittelbar
wieder deinstaliiert und die aufgezeichneten Gesprche gelscht worden.
5. Amtshilfe
Die vorgefundenen Amtshilfekonstellationen betreffen die Bundespol izei als ersu-
chende Behrde und das BKA als ersuchte Behrde.
Soweit das SKA in Amtshilfe gehandelt hat. ist fr die damit verbundene Erhebung
und Verwendung personenbezogener Daten eine eigenstndige Rechtsgrundlage
erforderlich.
35
Materiell knnen sich alle die Manahmen durchfhrenden Behrden zur Erhebung
personenbezogener Daten mittels Quellen-TK fr die strafprozessuale Telekom-
munikationsberwachung allenfalls auf 100a StPO und die jeweils ergangenen Ge-
richtsbeschlsse sttzen; insoweit gilt das oben zu 1.2.) Gesagte, auch im Hinblick
darauf, dass eine Bewertung durch mich im Hinblick auf die richterliche Unabhngig-
keit nicht erfolgen kann. Die Amtshilfe ist jedenfalls insofern auch nicht generell un-
zulssig, weil keine der beteiligten Behrde ihre Eingriffsbefugnisse durch eine
Amtshilfemanahme erweitert hat.
35 vgl BVerfGE 65, i, 46.
*1
Der Bundesbeauftragte
f r den Datenschutz und
die Informationsfreiheit
Lohne sich immer: Interne t
Fr die Zulssigkeit der Amtshilfe ist darber hinaus zu prfen, ob die beteiligten Be-
hrden Amtshilfe ersuchen bzw. leisten durften und welchen rechtlichen Grenzen sie
dabei unterlagen, insbesondere im Hinblick auf die Intensitt des Grundrechtsein-
griffs durch eine Quellen-TK. Die Zulssigkeit drfte letztlich auch im Falle der Bun-
despolizei als ersuchender Behrde anzunehmen sein, weil die rechtmige Durch-
fhrung einer Quellen-TK hohe technische Anforderungen hat. eine groe sachli-
che Nhe zwischen den beteiligten Polizeibehrden besteht und zudem bermitt-
lungsvorschriften in den jeweiligen Polizeigesetzen vorgesehen sind (vgl. 32 Abs. 1
BPoIG).
Kritisch sehe ich jedoch, dass die Bundespolizei in ihrem Ersuchen an das BLKA auf
die besonderen rechtlichen und technischen Anforderungen, die an eine Quellen-
TK zu richten sind , nicht gesondert hingewiesen, sondern die technische Umset-
zung ohne weitere Ausfhrungen zu den Besonderheiten des Ersuchens in den
Hnde des BLKA gelegt hat.
FCir das BKA als in verschiedenen Fllen ersuchte Behrde ist die Zustndigkeit fr
die Durchfhrung der Manahme anzunehmen. Gem 4 Abs. 2 Satz 1 Nr. 1
BKAG ist das BKA zustndig, die polizeilichen Aufgaben auf dem Gebiet der Straf-
verfolgung wahrzunehmen, wenn eine zustndige Landesbehrde darum ersucht. In
seinem Wortlaut "die polizeilichen Aufgaben" betrifft 4 Abs. 2 Satz 1 Nr. 1 BKAG
die bernahme der gesamten Zustndigkeit die polizeilichen Aufgaben in einem
Ermittlungsverfahren wahrzunehmen. 17 BKAG sieht als Untersttzungshandlung
fr Zwecke der Strafverfolgung lediglich die Entsendung von Bediensteten vor.
Gleichwohl wird in der Literatur fr zulssig gehalten. ein an das BKA gerichtetes
Ersuchen als "Minus" nicht auf die bernahme des gesamten Ermittlungsverfahrens
zu richten. sondern dieses auf einzelne Ermittlungshandlungen zu beziehen.
36
Hier-
fr spricht nach dem Sinn und Zweck der Vorschrift, dass das BKAG, der Kompe-
tenzverteilung des Grundgesetzes folgend, fr die Strafverfolgung eine Primrzu-
stndigkeit der Lnder vorsieht ( 1 Abs. 3 BKAG) und deshalb eine direkte Zustn-
digkeit des BKA als Bundesbehrde lediglich als Ausnahme anzusehen ist. Vor die-
sem Hintergrund ist auch die Durchbrechung der Ausnahme in 4 Abs. 2 BKAG re-
striktiv zu interpretieren. Auf der anderen Seite zwingen die datenschutzrechtlichen
Grundstze. amtshilferechtliche Vorschriften restriktiv zu interpretieren. da diese ins-
besondere nicht zum pauschalen Austausch von Eingriffsbefugnissen fhren dr-
fen .
37
Hier ist allerdings zu bercksichtigen, dass sich die beteiligten Behrden inso-
fern auf dieselbe Eingriffsgrundlage sttzen ( 100a StPO), es insofern jedenfalls
3 Ahlf/Oaub/Lersch/Strzer. BKAG, 4 Rn 18
37 vgl. ausfhrlich Schlink NVwZ 1986. 249 251
ml Der Bundesbeauftragte
~ t y fr den Datenschutz und
die Informationsfreiheit
Lohnt sich lmmer: Internet
nicht zur Befugniserweiterung kommt. Insofern spricht vieles dafr, die Regelung des
4 Abs. 2 Satz 1 Nr. 1 BKAG insoweit nicht als abschlieend anzusehen und des-
halb als "Minus" die Zustndigkeit des BKA fr einzelne Ermittlungshandlungen im
Ersuchen der Landesbehrde auf diese Vorschrift zu sttzen. Die bermittlung der
mit der Quellen-TK erhobenen Daten kann das BKA (nur) auf die Generalermchti-
gung nach 10 Abs. 1 BKAG sttzen,
6. Schutz des Kernbereichs privater Lebensgestaltung
Zum Schutz des Kernbereichs privater Lebensgestaltung ist bei Manahmen der Te-
lekommunikationsberwachung ein zweifach gestufter Schutz zu gewhrleisten.
Auf der ersten Stufe hat die Erhebung von Inhaltsdaten zu unterbleiben, wenn diese
den Kernbereich privater Lebensgestaltung betreffen. Das Bundesverfassungsgericht
ging ursprnglich davon aus, dass Gesprche in der Regel durch eine Gemengelage
unterschiedlicher Inhalte geprgt sind,38 Ein berwachungsverbot, das erst eingreift,
wenn smtliche Erkenntnisse einem Verwertungsverbot unterliegen wrden, sei un-
zureichend. Denn dies wrde dazu fhren, dass ein berwachungsverbot selbst
dann, wenn der Beschuldigte allein mit engsten Vertrauten kommuniziere, "praktisch
niemals anzunehmen" sei. Diese Rechtsprechung hat das Bundesverfassungsgericht
zumindest in Bezug auf die Telekommunikationsberwachung mit seiner Entschei-
dung vom 12. Oktober 2011 nun wieder eingeschrnkt.
39
Es hat dabei die Regelung
des 100a Abs. 4 StPO zum Kernbereichsschutz fr die strafprozessuale Telekom-
munikationsberwachung fr verfassungskonform erachtet, nach der auf der Erhe-
bungsebene eine berwachung erst dann unzulssig ist, wenn diese "allein" den
Kernbereich privater Lebensgestaltung berhrt, "Ein ausschlielicher Kernbereichs-
bezug kann vor allem dann angenommen werden, wenn der Betroffene mit Personen
kommuniziert , zu denen er in einem besonderen, den Kernbereich betreffenden Ver-
trauensverhltnis - wie zum Beispiel engsten Familienangehrigen, Geistlichen, Tele-
fonseelsorgern, Strafverteidigern oder im Einzelfall auch rzten - steht (vgl. BVerfGE
109,279 <321 ff.. Soweit ein derartiges Vertrauensverhltnis fr Ermittlungsbehr-
den erkennbar ist, drfen Manahmen der Telekommunikationsberwachung nicht
durchgefhrt werden .. , ~ a
Diese Einschrnkungen des Kernbereichsschutzes hat das Bundesverfassungsge-
richt aber mit dem notwendigen Schutz in der Auswertungsphase kompensiert, der
auf der zweiten Stufe sicherzustellen ist. Dieser Schutz ist durch das in 1 OOa Abs.
3E BVerfGE 109, 279, 330
33 BVerfG, Beschl . v. 12.10.2011,2 BvR 236/08, Abs.-Nr. 213 ff ., www.bverfg.de
40 BVerfG, Beschl. v. 12. Oktober2011, 2 BvR 236/08, Abs. Nr. 215.
~ I Der Bundesbeauftragte
~ f f ' fr den Datenschutz und
di e 1 nformationsfreih eit
Lohnr sich immer: Internet
..
>
4 Satz 2 StPO normierte Verwertungsverbot sowie das unverzgliche Lschungsge-
bot gewhrleistet.
41
Fr den Bereich der Gefahrenabwehr ergibt sich dies aus 201
Abs. 6 BKAG bzw. aus 23a Abs. 4a ZFdG.
Zu den Manahmen, bei denen Gesprche ausgeleitet wurden, haben meine Mitar-
beiter die Gesprchsprotokolle darauf durchgesehen, ob diese kernbereichsrelevant
waren.
Zur Entfaltung der Persnlichkeit im Kernbereich privater Lebensgestaltung gehrt
die Mglichkeit. innere Vorgnge wie Empfindungen und Gefhle sowie berlegun-
gen, Ansichten und Erlebnisse hchstpersnlicher Art zum Ausdruck zu bringen.
42
Vom Schutz umfasst sind auch Gefhlsuerungen, uerungen des unbewussten
Erlebens sowie Ausdrucksformen der Sexualitt (a.a.O.).
In einem Verfahren des BKA (siehe oben B.1.6.) haben meine Mitarbeiter entspre-
chende Inhalte vorgefunden. Es handelte sich um Gesprche zwischen dem Be-
schuldigten und seiner Freundin in Sdamerika, mit der dieser offenbar eine intime
Beziehung pflegte. Erfasst wurden dabei insbesondere sexuelle Handlungen, die
whrend des Gesprchs stattfanden. Dies lsst sich mhelos unter den Kernbereich
privater Lebensgestaltung subsumieren.
Keine Bewertung kann ich hinsichtlich der Frage vornehmen, ob die berwachung
von vornherein htte unterbleiben mssen, da sie die Kommunikation zwischen dem
Beschuldigten und seiner Freundin betraf, mit der dieser eine intime Beziehung
pflegte. Denn es ist davon auszugehen dass bereits das anordnende Gericht im Vor-
feld der berwachung dieser Frage nachgegangen ist und diese in seiner Entschei-
dung bercksichtigt hat. "Durch die Vorbefassung eines Richters bei der berwa-
chung der Telekommunikationsberwachung ist somit sichergestellt, dass der Kern-
bereichsschutz bereits im Vorfeld von einer unabhngigen Instanz in den Blick ge-
nommen wird und Beachtung findet.,4 3
Nach Auskunft des BKA \Naren die Gesprchsaufzeichnungen auf Weisung der
Staatsanwaltschaft nicht gelscht worden. Die Staatsanwaltschaft habe dies aller-
dings deshalb so entschieden, weil eine sequenzielle Lschung nicht mglich gewe-
sen sei. Die Entscheidung, die Daten nicht zu lschen, habe ich nicht zu bewerten,
da ich fr die Staatsanwaltschaft eines Landes nicht kontrollbefugt bin. Ich beabsich-
4' BVerfG a.a.O., Abs. Nr. 220.
~ 2 BVerfGE 109, 279, 313.
<3 BVerfG, Besehl v. 12 Oktober 2011 , Abs. NI . 223.
.m.1 Der Bundesbeauftragte
~ t ~ - fr den Datenschutz und
die Informationsfreiheit
Lohm sich immer: Internet
tige insoweit, den Sachverhalt an den zustndigen Landesbeauftragten fr den Da-
tenschutz weiterzugeben.
Allerd ings tritt in dem konkreten Fall ein struktureller Mangel zu Tage. Nach Darstel-
lung sowohl des BKA als auch des ZKA ist es in Fllen der ,.normalen" Telekommu-
nikationsberwachung technisch unproblematisch, auch Teile der Gesprchsauf-
zeichnungen zu lschen (nach Zeitabschnitten), soweit diese den Kernbereich priva-
ter Lebensgestaltung betreffen. Bei der Quellen-TK sei eine entsprechende Funkti-
on von DigiTask in Gesprchen angefordert, aber (noch) nicht realisiert worden. Es
wurden keine Mglichkeiten implementiert, kernbereichsrelevante Teile von Gespr-
chen oder Chats gezielt zu lschen. Es knnen bei Gesprchen nur die ganzen Ge-
sprche und bei Chats nur ganze Sitzungen gelscht werden. Beim Lschen einer
Sitzung wren ggf. auch Gesprche betroffen. Dies hat dazu gefhrt, dass kernbe-
reichsrelevante Inhalte berhaupt nicht gelscht wurden.
In allgemeiner datenschutzpolitischer Hinsicht mchte ich noch folgendes hinzuf-
gen: Die Regelungen zum Kernbereichsschutz bei der Telekommunikationsbervva-
chung nach 201 Abs. 6 BKAG, nach 23a Abs. 4a ZFdG bzw. nach 1 OOa Abs. 4
StPO sind weniger weitreichend ausgestaltet, wie dies etwa fr den Bereich des ver-
deckten Eingriffs in informationstechnische Systeme nach 20k Abs. 7 BKAG der
Fall ist. Bei der sog. Online-Durchsuchung sind smtliche erhobenen Daten unter
Sachleitung des zustndigen Gerichts vom behrdlichen Datenschutzbeauftragten
auf kernbereichsrelevante Inhalte durchzusehen. Fr den Bereich der TK fehlt eine
solche Regelung, weshalb es zunchst auf die Beurteilung durch die ermittelnde Or-
ganisationseinheit und die Staatsanwaltschaft ankommt. Dies wurde zwar in der Ent-
scheidung des Bundesverfassungsgerichts vom 12. Oktober 2011 im Grundsatz mit
Verweis auf die Mglichkeiten nachtrglichen Rechtsschutzes ( 101 Abs. 7 Satz 2
bis 7 StPO) akzeptiert. Der vorliegende Fall zeigt jedoch, dass im Hinblick auf den
Kernbereich privater Lebensgestaltung auch in der Praxis ein unterschiedliches
Schutzniveau anzutreffen ist.
Hervorzuheben ist, dass das Bundeskriminalamt aktuell in Zusammenarbeit mit dem
GBA eine Arbeitshilfe erstellt hat, wie der Schutz des Kernbereichs privater Lebens-
gestaltung in der Praxis sicherzustellen ist. Darber hinaus hat das BKA Manahmen
zur Fortbildung von "Kernbereichsbeauftragten" getroffen, die in den jeweiligen Or-
ganisationseinheiten bei Manahmen der Telekommunikationsberwachung die
Durchsicht der Gesprchsaufzeichnungen auf kernbereichsrelevanten Inhalte ber-
nehmen.
~ ~ y
~ I
Der Bundesbeauftragte
fr den Datenschutz und
die Informationsfreiheit
Lohnt sich immer: Internet
Im Falle des ZKA besteht noch die Besonderheit, dass die Daten mehrfach gespei-
chert werden und eine Lschung einzelner Gesprche nur in zwei von vier Systemen
gezielt durchfhrbar ist. Insofern wre eine Lschung kernbereichsrelevanter Ge-
sprche nicht durchfLihrbar.
Unabhngig davon halte ich es fr unabdingbar sicherzustellen, dass bei der Quel-
len-TK nur solche Software eingesetzt wird. bei der eine gezielte und sichere L-
schung von Gesprchsinhalten mglich ist.
7. Lschung der berv,;achungssoftware
Gem 20k Abs. 2 Satz 2 BKAG sind die mit der Installation der berwachungs-
software am Zielsystem vorgenommenen Vernderungen bei Beendigung der Ma-
nahme soweit technisch mglich automatisiert rckgngig zu machen. Fr den Be-
reich der strafprozessualen TelekommunikationsbervlJachung nach 100a StPO
bzw. fr den spezifischen Anwendungsbereich des 23a ZfdG fehlen entsprechende
Regelungen. Dies fhrt zu besonderen Problemen. weil gerade in diesem Bereich die
Beweissicherheit von hoher Bedeutung ist.
Problematisch ist dabei die Frage. wann und wie die Lschung erfolgt: Vor einer fo-
rensischen Untersuchung, wie anlsslich des Besuches beim BKA bekannt wurde
oder erst nach der forensischen Untersuchung? Jeder Eingriff - auch die Lschung
der Software ist ein Eingriff - fhrt nmlich zu nderungen in verschiedenen Sys-
temdateien und kann das forensische Untersuchungsergebnis beeinflussen.
Es entspricht daher den Grundstzen der forensischen Beweissicherung, dass vor
jeder forensischen Untersuchung eine Kopie des sichergestellten Datentrgers er-
stellt wird und die Untersuchung nur an dieser Kopie vorgenommen werden , um jede
Vernderung des Originalasservats zu verhindern.
44
Alls datenschutzrechtlicher Sicht ist dies ebenfalls problematisch. Denn der Zustand
des Rechners zum Zeitpunkt der Sicherstellung wird als Beweismittel fr oder gegen
den Betroffenen vervvendet, ist also in seiner Gesamtheit ein personenbezogenes
Datum. das ihm zugerechnet wird. Jede Beeinflussung kann zur Unrichtigkeit fhren.
Gerade wenn es um die Frage geht, ob bestimmte Datenflsse dem Betroffenen zu-
zurechnen sind oder sogar durch die berwachungssoftware - ggf. versehentlich -
ausgelst wurden, kann ein ggf. vom Gericht bestellter Sachverstndiger dies nach
44 vgl Widmaier. Anwaltshandbuch StrafverteidigLng, 1. Aufl. 2006, Rn. 32 ff.; vgl. auch Bar, Hand-
bucn zur EDV-Bewelssicherung im Strafverfahrerl, 2007. Rn. 432.
I
0 er Bundesbeauftragte
fr den Datenschutz und
'. die Informationsfreiheit
Lahm sich immer: Internet
der Lschung nicht mehr prfen. Die Lschungsverpflichtung des 20k Abs. 2 BKAG
gilt insofern nach ihrem Sinn und Zweck fr ein laufendes System des Betroffenen,
der vor einer unzulssigen berwachung geschtzt werden soll.
D. Nachrichtendienste des Bundes
Sofern und soweit vom Bundesamt fr Verfassungsschutz (BN) Beschrnkungen
i.S.d . 3 G10 im Wege der sog. Quellen-Telekommunikationsberwachung durchge-
fhrt wurden, unterliegt dies nicht meiner Kontrollbefugnis. Diese ist gem 24
Abs. 2 Satz 3 BDSG beschrnkt, soweit die Manahme der Kontrolle der Kommissi-
on nach 15 des Artikel 10-Gesetzes unterliegt.