NRW: Ab sofort staatliches Hacking und Phishing erlaubt

Der nordrhein-westfälische Landtag hat am Mittwoch dieser Woche das neue Verfassungsschutzgesetz NRW (VSG NRW) verabschiedet. Dieses Gesetz berechtigt den Verfassungsschutz zum staatlichen Hacking und Phising.

Gegenstand ist der neue § 5 Abs. 2 Nr. 11 VSG NRW:

"Die Verfassungsschutzbehörde darf (...) als nachrichtendienstliche Mittel die folgenden Maßnahmen anwenden: (...)

Nr. 11: heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche
Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel. Soweit solche Maßnahmen einen Eingriff in das Brief-, Post- und Fernmeldegeheimnis darstellen bzw. in Art und Schwere diesem gleichkommen, ist dieser nur unter den Voraussetzungen des Gesetzes zu Artikel 10 Grundgesetz zulässig;"

Der Entwurf begründet die neue Norm wie folgt:

"Mit der Einfügung der neuen Nr. 11 wird das bisher schon zulässige nachrichtendienstliche Mittel des Eindringens in technische Kommunikationsbeziehungen durch Bild-, Ton- und Datenaufzeichnungen für den Bereich des Internets näher modifiziert.

Die zunehmende Kommunikationsverlagerung extremistischer Bestrebungen auf das Internet, insbesondere auf dessen verdeckte oder verschlüsselte Bereiche und die Cyber-Angriffe von Extremisten auf fremde Systeme macht eine wirksame Nachrichtenbeschaffung auch in diesem technischen Umfeld erforderlich. Hierzu soll zukünftig neben der Beobachtung der offenen Internetseiten auch die legendierte Teilnahme an Chats, Auktionen und Tauschbörsen, die Feststellung der Domaininhaber, die Überprüfung der Homepagezugriffe, das Auffinden verborgener Webseiten sowie der Zugriff auf gespeicherte Computerdaten ermöglicht werden.

Während die Abfrage von IP-Adressen beim Provider oder das durch Telekommunikationsgesellschaften ermöglichte Mithören von Gesprächen im Art. G10-Gesetz geregelt sind, bedarf es hinsichtlich der übrigen Maßnahmen zur offensiven Nutzung des Internets einer Präzisierung der schon bestehenden landesrechtlichen Vorschrift.

Entsprechend der Rechtsprechung des BVerfG stehen Verbindungsdaten unter dem Schutz des Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG, sobald sie sich im Herrschaftsbereich des Betroffenen befinden (BVerfG, Urteil v. 2.3.2006). Das Bestimmtheitsgebot verlangt vom Gesetzgeber, dass Eingriffsinstrumente in dieses informationelle Selbstbestimmungsrecht genau bezeichnet werden, ohne dass aber Formulierungen erforderlich wären, die jede Einbeziehung technischer Neuerungen ausschließen (BVerfGE 110, 33 (53); 112, 304 (316f. )).

Daher bedarf es einer Spezifizierung der heute schon bestehenden Ermächtigung in § 5 Abs. 2 Nr. 11 alte Fassung. Die Gesetzgebungskompetenz in diesem Bereich der Datenerhebung ergibt sich
aus Art. 70 Abs. 1 GG und der Befugnis für den Verfassungsschutz in den Ländern, da nicht die technische Seite, sondern der jeweilige Zweck der Datengewinnung ausschlaggebend ist (BVerfG, Urteil vom 27.7.2005). Die Zuständigkeit der Länder wird auch nicht dadurch beseitigt, dass die Wirkungen der Maßnahmen über ihre territorialen Grenzen hinausreichen; entscheidend ist lediglich, dass die zu beobachtende Bestrebung Auswirkungen im jeweiligen Land hat (BVerfG, Beschluss vom 24.5.2005) und die Datengewinnung, ihre Auswertung und Verarbeitung bei der
ermächtigten Landesbehörde erfolgt (BVerfGE 100, 313 (363)."

Schon vor knapp 2 Jahren hatte der Oberstaatsanwalt beim Bundesgerichtshof, Manfred Hofman, in einem juristischen Aufsatz die Meinung vertreten, dass es den Strafverfolgungsbehörden erlaubt sei, mittels technischer Gegebenheiten (z.B. Trojanische Pferde oder Backdoor-Programme) unbeobachtet die Rechner von Beschuldigten auszuforschen, vgl.die Kanzlei-Infos v. 07.04.2005.

Nach einem Heise-Bericht hat der BGH erst vor kurzem einen entsprechenden Antrag der Bundesanwaltschaft auf Online-Durchsuchungen mit Hilfe von Trojanern nicht genehmigt.