Abhängig von Digitask: Bundestrojaner nicht mit Datenschutz vereinbar
Die Bewertung, in wie weit die als Bundestrojaner bekannte und von deutschen Behörden wiederholt eingesetzte Überwachungssoftware zur Quellen-Telekommunikations-Überwachung (TKÜ) geltende Datenschutznormen einhalte, könne er ohne den Quelltext nicht leisten, schreibt Bundesdatenschützer Schaar an den Vorsitzenden des Innenausschusses. Schuld haben die Auftraggeber, die bei der Bestellung ihren Pflichten und ihrer Verantwortung nicht nachgekommen seien - und die wenig kompromissbereite Herstellerfirma Digitask.
In dem abschließenden Brief, den der Chaos Computer Club hier veröffentlicht hat, lobt Schaar zwar auch die Kooperationsbereitschaft der beteiligten Behörden, aber ausschlaggebend für sein Aufgeben seien Anforderungen des Herstellers, die sich nicht mit seinem Amt vereinbaren ließen.
Die entscheidenden Fehler jedoch haben die Auftraggeber (BKA und Ministerien) ganz am Anfang, bei der unzureichenden Beschaffung der Software gemacht, als sie darauf verzichteten oder es schlicht vergessen hatten, den Quelltext mit zu kaufen.
Innenministerium: "Kein Handlungsbedarf"
Anders als das Bundesministerium des Inneren, das "keinen rechtlichen Handlungsbedarf" sieht, und das die Trojaner am liebsten gleich wieder einsetzen will, beharrt Schaar auf seiner bereits in seinem Prüfbericht Anfang 2012 festgestellten Position, die Malware entbehre in der derzeitigen Form jeder datenschutzrechtlichen Grundlage:
"Nach wie vor erachte ich die bisherige Funktion zur Löschung kernbereichsrelevanter Inhalte für unzureichend. So können die unzureichenden De[re]ferenzierungsmöglichkeiten hinsichtlich der zu löschenden Inhalte dazu führen, dass vorsorglich bestimmte, zur Wahrung des Kernbereichsschutzes zu löschende Inhalte weiterhin vorgehalten werden. [...] Ich halte an meiner Position fest, dass § 9 BDSG in verfassungskonformer Auslegung die Dokumentation des Quellcodes bei Maßnahmen der QuellenTelekommunikationsüberwachung fordert. [...] Für derartige Eingriffe hat das Bundesverfassungsgericht besondere Maßnahmen der Datensicherheit gefordert. Es hat die mit der Infiltration des Zielsystems verbundene Gefährdungslage hervorgehoben, aus der besondere Anforderungen an die Datensicherheit und damit auch an die Revisionssicherheit und Dokumentation folgen."
Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). (Quelle: Wikimedia Commons, CC-BY-SA-2.0, Images from Heinrich Böll Foundation)
Das bedeute nichts anderes, als dass die Prüfung des Quelltextes derartiger Software unabdingbar sei, um die Einhaltung der Datenschutzgesetze sicherzustellen. Das aber sei im Falle des Staatstrojaners nicht möglich gewesen, weil Hersteller und Behörden unzureichende Absprachen getroffen hätten, rügt Schaar:
"In meinem Prüfbericht hatte ich meine Absicht angekündigt, den Quellcode der Software einzusehen. Diese Absicht kann ich nicht umsetzen, da ich keinen Zugang zum Quellcode der Software erreichen konnte. Dieser liegt den Ermittlungsbehörden nicht vor. Der Hersteller macht den Zugang von vertraglichen Abreden abhängig, die ich nicht akzeptieren kann. Die datenschutzrechtlichen Vorschriften für meine Kontrollkompetenz sind abschließend. Deshalb ist für etwaige Kostenerstattungsansprüche oder Geheimhaltungsabreden kein Raum."
Abhängig vom guten Willen Digitasks
Schaar und seine Mitarbeiter seien hier abhängig von der Kooperationswilligkeit von Digitask, dem Hersteller der Schnüffelsoftware. Die aber verlangen dafür offensichtlich die Unterzeichnung eines NDAs ("eine Geheimhaltungsvereinbarung") und sehen in der Prüfung auch ein Geschäftsmodell, für das aber auch die Ministerien nicht aufkommen wollen:
"Darüber hinaus werde die Firma [Digitask] zum Ausgleich der entstehenden Kosten Ansprüche auf Kostenerstattung geltend machen. Der Tagessatz für 'Consulting-Dienstleistungen' betrage 1.200,00 EUR pro Tag und Mitarbeiter zuzüglich der gesetzlichen Mehrwertsteuer. Das Bundeskriminalamt sieht sich nicht zur Tragung dieser Kosten verpflichtet, man werde sich allenfalls anteilig beteiligen."
Digitask ist aber für Schaar "weder Vertragspartner noch unterliegt sie meiner datenschutzrechtlichen Kontrolle". Letztere beschränkt sich auf Stellen des Bundes. Ein NDA könne er schon deshalb nicht unterzeichnen, weil das wiederum seiner Berichtspflicht nach § 26 BDSG vollkommen widerspreche, es wäre sogar "contra legem", gesetzeswidrig. "Abgesehen davon sind meine Mitarbeiter ohnehin gesetzlich zur Verschwiegenheit verpflichtet, weshalb eine solche Vereinbarung nicht erforderlich ist.", schreibt Schaar.
Pflichtversäumnis
Halb resignierend, halb rügend im Tonfall fährt er fort: Es bleibe ihm nur, festzustellen, dass der Quellcode nicht dokumentiert sei und vom BKA nicht zur Verfügung gestellt worden sei, obwohl sich dieses durchaus bemüht habe. Die Fehler seien aber bereits bei der Bestellung und Auftragserteilung gemacht worden -- schon damit das BKA seinen Pflichten und seiner Verantwortung hätte nachkommen könne, wäre die Einsicht in den Quelltext nötig gewesen. Ohne diese aber müsse er die datenschutzrechtliche Prüfung jetzt ohne Ergebnis für abgeschlossen erklären.
