DuD Datenschutz und Datensicherheit 6 | 2012 401

SCHWERPUNKT

1 Einführung

Die große Online-Durchsuchung („Staatstrojaner“ in Bund und Ländern) sowie die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) sind beide staatliche Ermittlungsmaßnahmen. Sie spähen Computersysteme von Bürgern mit einer Trojanersoft-ware (heimlich) aus. Dabei handelt es sich um Programme, die ähnlich ihrem Namensgeber schädliche Funktionen unter einer „angenehmen Oberfläche“ verstecken.1

1 Gaycken, Cyberwar. Das Internet als Kriegsschauplatz, 2011, 241 f.

Die Verbindung von Taktik und Technik war schon in mythi-schen Zeiten bekannt. Damals handelte es sich technisch um ein Holzpferd, mit dem der listenreiche Odysseus die Trojaner mit Lug und Trug dazu brachte, ihre lange vergeblich berannten Mau-ern eigenhändig einzureißen und die Feinde in die Stadt zu las-sen. Heute geht es bei den sog. Staatstrojanern um eine „Regie-rungs-Maleware“, die der Staat einsetzt, um in das eigene IT-Sys-tem seiner Bürger einzudringen, damit er deren Kommunika-tionsverhalten oder sonstiges Nutzungsverhalten über eine län-geren Zeitraum beobachten kann. Damit die Daten aus dem IT-System des betroffenen Bürgers wahrgenommen werden können, wird eine Verbindung zwischen dessen System und einem Ser-ver hergestellt, auf den Behörden zugreifen können. Sobald die Installation erfolgt ist, gilt das System als „infiziert“ oder „infilt-riert“.2 Ähnliches versuchen auch Dritte, etwa kriminelle Hacker (Cracker), die weltweit Rechner von Bürgern durch Trojaner oder andere Maleware hacken, um sie in ein Botnetz zu entführen.

Das BVerfG hat sich am 27. Februar 2008 mit der Frage befasst, ob und unter welchen Umständen eine eingriffsintensive staat-liche Online-Durchsuchung zulässig ist.3 Das Gericht schöpfte aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) ein Grundrecht auf Gewährleistung der Ver-traulichkeit und Integrität informationstechnischer Systeme (im Folgenden: IT-Grundrecht), das einen lückenschließenden Schutz vor neuen technischen Gefährdungen gewährleisten soll.4 Damit hat das Gericht den Persönlichkeitsschutz nicht nur materiell als Recht auf informationelle Selbstbestimmung/Datenschutz,5 son-dern auch in technischer Hinsicht in Form des IT-Grundrechts gesichert:

2 Skistims/Rossnagel, ZD 2012, 4.3 BVerfGE 120, 274 ff.4 BVerfGE 120, 274, 303; v gl. Rossnagel, NJW 2008, 3534. 5 BVerfGE 65, 1 – Volkszählungsurteil.

Wolfgang Schmale, Marie-Theres Tinnefeld

„Der Bau“ von Kafka oder die (Staats)Trojaner-Architektur

Die im Oktober 2010 aufgebrochene Diskussion über die rechtliche Zulässigkeit von „Staatstrojanern“ fordert weiterhin Bürger und Gesetzgeber heraus. Der Kern des rechtlichen Problems liegt derzeit in der Abgrenzung der kleinen Telekommunikationsüberwachung von der großen Online-Durchsuchung. Die Frage selbst berührt aber eine wesentlich tiefer liegende Fragestellung. Franz Kafka spricht sie in seiner Parabel „Der Bau“ sinngemäß an: Das Scheitern einer Sicherheitsarchitektur, die zur Abwehr gegen potenzielle Feinde errichtet wird und sich in technischen Überlegungen verliert. Der Beitrag folgt zunächst dem konkreten grundrechtlichen Problem rund um die Online-Durchsuchung bis hin zum Szenario von Kafka. Er führt sodann zu historischen Betrachtungen über das Ausmaß, das eine heimliche Durchleuchtung privater Lebenssphären und die Anhäufung persönlicher Daten zu einem elementaren Ordnungsprinzip macht.

Prof. Dr. Wolfgang Schmale

ist Professor für Geschichte der Neuzeit an der Universität Wien.

E-Mail: wolfgang.schmale@univie.ac.at

Prof. Dr. iur. utr. Marie-Theres Tinnefeld

Publizistin mit dem Schwerpunkt Informationsrecht und europäische Rechtskultur

E-Mail: tinnefeld@cs.hm.edu

402 DuD Datenschutz und Datensicherheit 6 | 2012

SCHWERPUNKT

„Ein Eingriff in dieses Grundrecht ist auch anzunehmen, wenn die Integrität des geschützten informationstechnischen Systems an-getastet wird, indem auf das System so zugegriffen wird, dass des-sen Leistungen, Funktionen und Speicherinhalte durch Dritte ge-nutzt werden können; dann ist die entscheidende technische Hür-de für eine Ausspähung, Überwachung oder Manipulation des Sys-tems genommen.“6

Das IT-Grundrecht dient einem vorlaufenden Integrations-schutz. Dabei kommt es nicht auf einen Umgang mit personen-bezogenen Daten an; dieser wird von Seiten des Datenschutzes er-fasst. Die Entscheidung des höchsten deutschen Gerichts kann für den Grundrechtsschutz im Bereich der inneren Sicherheit nicht überschätzt werden: Das Urteil wendet sich gegen ein Sicherheits-recht, das versucht, Freiheitsrechte auch von unbescholtenen Bür-gern dann beiseite zu schieben, wenn es um Fragen der Bekämp-fung von Terroristen und anderen „Feinden“ des Staates geht.

2 Ziel und Rechtsgrundlage der Staatstrojaner

Die Online-Durchsuchung bzw. der „verdeckte Eingriff in infor-mationstechnische Systeme“7 zielt darauf ab, gespeicherte Daten des infiltrierten Systems zu erheben. Dabei kann es sich um bereits vorhandene Dateien handeln, aber auch um die Beobachtung lau-fender Aktionen (z.B. das das Schreiben und Speichern von Nach-richten in E-Mails auf einem Rechner, das Erfassen von Tastatur-angaben oder Bildschirmanzeigen).8 Die hier erfassten Daten be-treffen jedenfalls zunächst nur die Vorbereitung einer Kommu-nikation. Die Quellen-TKÜ soll sich dagegen ausschließlich auf übermittelte Kommunikationsdaten beziehen. Nach den eher bei-läufig getroffenen Feststellungen des Bundesverfassungsgerichts ist im Rahmen einer Quellen-TKÜ „nur“ das Fernmeldegeheimnis (Art. 10 GG) beeinträchtigt, sofern „durch technische Vorkehrun-gen und rechtliche Vorgaben sichergestellt“ ist, dass sich die Über-wachung auf Daten aus einem laufenden Telekommunikations-vorgang (etwa E-Mails und Internettelefonie) beschränkt.9 Es steht jedoch keineswegs fest, „wie weit ein computerbasierter Spähan-griff auf Kommunikationsdaten eingrenzbar ist“.10

Die Überwachung „an der Quelle“ beginnt mit dem endgül-tigen Absenden der Daten. Nutzen die Teilnehmer ein Internet-Telefonie-Angebot wie etwa Skype, so sind die erhobenen Über-wachungsdaten aber aufgrund ihrer Verschlüsselung für die Er-mittlungsbehörden praktisch ohne Wert.11 Idealerweise kann erst der Empfänger mit Hilfe des richtigen Schlüssels das Chiff-rat wieder in den Klartext zurückverwandeln. Diese Möglich-keit fehlt Dritten, welche nur die verschlüsselten Daten abgefan-gen haben.12 Ein Zugriff auf Klarinhalte wäre möglich, wenn der Nutzer z.B. eine lokal gespeicherte verschlüsselte Datei öffnet und entschlüsselt. Es ist verfassungsrechtlich aber nicht zulässig, die Überwachung auf potenzielle Nach- oder Vorstufen der Telekom-

6 BVerfGE 120, 274 , 314 .7 Vgl. die neuen Erlaubnisregelungen auf Bundesebene :§ 20k BKAG und auf

Landesebene: Art. 34d BayPAG und § 31c Rh-Pf. POG. 8 Zur Abgrenzung zwischen IT-Grundrecht und dem Recht auf informatio-

nelle Selbstbestimmung/ Datenschutz vgl. BVerfGE 120, 347, 311; s.a. Tinnefeld/Petri/Buchner, Einführung in das Datenschutzrecht 5. A. 2012 (im Erscheinen).

9 Vgl. BVerfGE 120, 274 (309).10 Sieber, Trojaner. Gut getarnt in FAZ unter: http://www.faz.net/aktuell/poli-

tik/staat-und-rech/trojaner-gut-getarnt-11515396.html.11 So zutreffend Popp, ZD 2012, 52.12 So zutreffen Brunst, DuD Heft 5, im Druck.

munikation auszudehnen. Dann würde die Quellen-TKÜ in die Nähe der Online-Durchsuchung rücken.13

Ein Eingriff in das IT-Grundrecht zu präventiven wie auch zu repressiven Zwecken muss auf der Grundlage von (Parlaments-)Gesetzen geregelt werden.14 Die Online-Durchsuchung ist wegen ihrer hohen Eingriffsqualität in der Strafprozessordnung bisher nicht vorgesehen. Sie ist zur polizeilichen Gefahrenabwehr nach dem BKA-Gesetz (§ 20k BKAG) und einigen Landespolizeige-setzen nur unter viel strengeren Voraussetzungen als die Quel-len-TKÜ erlaubt.15 Die Bestimmungen der Strafprozessordnung (§§ 100a und 100b StPO) enthalten jedoch nur eine Eingriffser-mächtigung für die TK-Überwachung, nicht aber für eine On-line-Untersuchung.16 Soweit Inhalte unverschlüsselt übertragen werden, lassen sie sich grundsätzlich über eine richterliche An-ordnung (§ 100a StPO) aufzeichnen.

Der Chaos Computer Club (CCC) veröffentliche am 8. Oktober 2011 eine Analyse, wonach die im Rahmen der Quellen-TKÜ ein-gesetzte staatliche Überwachungssoftware über Funktionen ver-füge, die weit über das Abhören von Kommunikation und die aus-drücklichen Vorgaben des Bundesverfassungsgerichts zur Quellen-TKÜ hinausgehen.17 Insbesondere sei die Software mit einer Nach-ladefunktion versehen, die es dem Trojaner von Anfang an prinzi-piell ermöglichen würde, Dateien des angegriffenen IT-Systems zu durchsuchen, zu lesen und zu manipulieren. Auch ein ferngesteu-erter Zugriff auf Mikrofone, Kameras und die Tastatur eines ange-griffenen IT-Systems sei grundsätzlich möglich. Die untersuchten Staatstrojaner würden erhebliche Sicherheitslücken aufweisen. Die CCC Analyse löste eine umfangreiche politische Diskussion über die technischen und rechtlichen Grenzen der Quellen-TKÜ aus.18

Die Analyse zeigt, dass die untersuchte konkrete Software Funktionen enthält, die neben der Wahrnehmung der laufen-den Kommunikation auch weitere Überwachungsmaßnahmen ermöglicht. Der skandalisierte bayerische Staatstrojaner wurde zwar für die Quellen-TKÜ entwickelt und durfte mit richterli-cher Genehmigung auch nur für diese genutzt werden. Er soll mit Funktionen ausgestattet worden sein, die eine Online-Durchsu-chung ermöglichen. Ob der Vorwurf zu Recht besteht, konnte bis-her nicht geprüft werden, da das betreffende Programm nur in der begrenzt prüfbaren Maschinensprache vorliegt. Ergänzend ist festzustellen, dass es generell schwierig ist, die Hard- und Soft-ware der gegenwärtigen IT-Systeme der Sicherheitsbehörden, aber auch der Wirtschaftsunternehmen, zu überprüfen.

3 Zweifelhafter Nutzen der Trojaner

Die Frage, ob die aus einer Online-Durchsuchung stammenden Daten tatsächlich im Rahmen eines Strafprozesses verwertet wer-den dürfen, ist naheliegend. Denn aufgrund des Eingriffs besteht die Gefahr, dass „Daten unbemerkt manipuliert oder die bei der

13 BVerfGE (Fn. 9).14 BVerfGE 120, 274 (326).15 Vgl. Erlaubnisregeln (Fn. 7). 16 Vgl. LG Landshut MMR 2011, 690 ; Hoffmann-Riem, JZ 2008, 1009, 102217 CCC-Analyse, abrufbar unter: http://www.ccc.de/system/uploads/76/

original/staatstrojaner-report23pdf.18 Vgl. z.B. BT-Drs. 17/7104, ParlProt. 17/137, S. 16354 ff.; 17/135, S. 16064 ff.;

17/132, S. 15581 ff.; BayLT-Drs. 16/10082, S.1-5, 7-8; 16/9825; 16/9817; 16/9781; 16/9816; 16/9769; 16/9815; 16/9767; 16/9765, 16/9444, 16/8881, S.6-7; 16/8747; 16/8125.

DuD Datenschutz und Datensicherheit 6 | 2012 403

SCHWERPUNKT

Installation genutzten Daten und/oder geschaffenen Sicherheits-lücken von Dritten ausgenutzt werden“.19

Dem Bundesverfassungsgericht war die Möglichkeit eines rechtswidrigen Umgangs mit personenbezogenen Daten bewusst, die Dritte infolge der Computerinfiltration gewinnen können.20 Da die Gefahr einer Fremddarstellung als systemimmanent an-gesehen wird, soll die Online-Durchsuchung nur in erforderli-chen Fällen und im Rahmen einer Maßnahme eingesetzt wer-den dürfen, die die wenigsten Missbrauchsrisiken mit sich bringt.

Der Prozess der Datenerhebung kann nur in seltenen Fällen durch das Gericht oder einen bestellten Sachverständigen über-prüft werden. Eine datenschutzfreundlichere Lösung wäre dann gegeben, wenn die Daten erst nach Genehmigung durch eine zu-ständige Stelle etwa durch ein Gericht für den Zugriff der Ermitt-lungsbehörden freigegeben würden. Dieses Verfahren wird auf politischer Ebene als Alternative zu der umfassenden Vorrats-datenspeicherung diskutiert, welche die Richtlinie 2006/24/EG nicht nur gegen Beschuldigte oder deren Kon takt personen für zu-lässig erklärt, wenn bestimmte Tatsachen den Verdacht der Bege-hung einer Straf tat begründen.

Mit Hilfe von Quick-Freeze würden sich grundsätzlich belie-bige Datenbestände einfrieren und im konkreten Verdachtsfall nutzbar machen lassen.21 Den seit langem schwelenden Streit über eine verdachtslose Vorratsdatenspeicherung will die Europäische Kommission in Brüssel jetzt beenden und den deutschen Gesetz-geber zur Umsetzung der grundrechtlich äußerst fraglichen EU-Richtlinie zur Vorratsdatenspeicherung zwingen.22 Das BVerfG23 hatte im März 2010 die gegenwärtige deutsche Regelung für ver-fassungswidrig, aber die Vorratsdatenspeicherung nicht per se für unzulässig erklärt.

Es sind unterschiedliche Krisen, die immer wieder zu neu-en, auch zu technischen Blockaden von Freiheitsrechten führen. Franz Kafka nähert sich diesem Gedanken in Form einer Indi-

19 Brunst, DuD 2011, 622.20 BVerfGE 120, 274, (323 und 326.21 Zum Quick-Freeze vgl. Brunst, DuD 2011, 620 w.w.N.; s.a. MPI-Studie, Schutz-

lücken durch Wegfall der Vorratsdatenspeicherung (2. erweiterte Fassung) Juli 2011.22 Vgl. Heribert Prantl, EU will Berlin zu Vorratsdatenspeicherung zwingen,

SZ v. 21. März 2012, 1.23 BVerfGE 125, 260.

vidualgeschichte, die gleichzeitig als Beispiel für eine staatliche Entwicklung angesehen werden kann, die auf eine „reine“ Sicher-heitsarchitektur ausgerichtet ist.

4 Botschaft Kafkas an die Bürgergesellschaft

Franz Kafkas später Text „Der Bau“ (1923) handelt von dem Be-richt eines einzelnen Tieres, das sich einen unterirdischen Le-bensraum zur Abwehr gegen potenzielle Feinde konstruiert. Mehr und mehr stellt sich bei dem Tier im Laufe seiner Arbeit die Vorstellung von der Vollkommenheit seines Lebensbaus ein. Es spricht das Tier: „Und damit verliere ich mich in technische Überlegungen, ich fange wieder einmal meinen Traum eines ganz vollkommenen Baus zu träumen an [...] entzückt sehe ich mit ge-schlossenen Augen klare und weniger klare Baumöglichkeiten, um unbemerkt aus- und einschlüpfen zu können.“24 Doch die Hoffnung erfüllt sich nicht. Das Tier stellt fest, dass es ein Ge-räusch hört, das ihm signalisiert, nicht im eigenen architekto-nischen System zu leben, sondern „in einem fremden Bau“, und sich der Besitzer an ihn herangräbt.25 Ein Geräusch vernichtet die Konstruktion als Ganzes. Ist es die selbst paranoide Phantasie des Tieres, die sich als Geräusch äußert? Droht die fehlende Freiheit in ihm selbst, ihn selbst zu zerstören?

Nehmen viele Bürger zu spät wahr, dass sie ihre Privatheit und Intimität im „Labyrinth“ des Internets preisgeben? Verletzt nicht auch der Staat die Intimsphäre seiner Bürger?26 Welche Bedeutung haben Sicherheitsstrategien, etwa kryptografische Verfahren, um virtuelle und reale Orte gegen das Eindringen des Staates oder Dritter zu sichern? Machen „Trojaner“, die nicht fest an Grund- und Menschenrechte, an eine vitale Lebensarchitektur gebunden sind, ihre Bürger zu „Ruinenbewohnern“ im Sinne von Kafka?

Kafkas Parabel steht quer zur perfekten Sicherheitsarchitektur als Ordnungsmuster. Sie zeigt einerseits den extremen Individua-

24 Franz Kafka, Nachgelassene Schriften und Fragmente II, hg. von Schille-meit (1992), 599.

25 Kafka, a.a.O., 627.26 Dazu Peter Schaar zitiert nach Tanjev Schlutz, Liebesgeflüster unter Über-

wachung. Der Bundesdatenschutzbeauftragte hält Trojaner-Software für einen unzulässigen Eingriff in die Intimsphäre, SZ v. 20.02.2012, 5.

Zertifikat zur Auftragsdatenverarbeitung nach § 11 BDSG

Der § 11 BDSG verpflichtet Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten, und zur nachweisbaren Dokumentation dieser Prüfung.

Wir setzen Standards Nutzen Sie unseren strukturierten Prüfansatz mit umfangreicher Dokumentation.

www.datenschutz-cert.de

Ihre VorteileNachweis der gesetzlich geforderten Prüfungen

�

Wettbewerbsvorteil�

reduziert Ihren Aufwand bei Prüfungen sowie �

den Aufwand Ihrer KundenOptimierung Ihres Datenschutz-Niveaus

�

Synergien zu weiteren Standards�

gültig bis:

404 DuD Datenschutz und Datensicherheit 6 | 2012

SCHWERPUNKT

lismus von Menschen, die die Sicherung ihres eigenen Lebensbaus anstreben und plötzlich nicht mehr vor dem Bau, sondern vor sich selber stehen.27 Es kann nicht gelingen, einen Bau, eigene private Lebensprozesse, allein durch technische Abschottung zu sichern. Das Scheitern ist nicht nur durch das Eindringen Fremder, son-dern auch durch das „Fremde“ in diesen Menschen vorprogram-miert.28 Die fehlende innere Freiheit des Einzelnen zerstört zusam-men mit den von außen eindringenden, spähenden Trojanern sei-nen Bau und macht ihn zu einem „Ruinenbürger“.

5 Geschichte

Kulturhistorisch lassen sich die neuen heimlich arbeitenden „Staats-Trojaner“ in eine lange Ahnengalerie einreihen. Die Idee, sie zu legitimieren, befindet sich historisch in einer äußerst frag-würdigen Reihe. „Menschliche Trojaner“ werden schon lange ein-gesetzt. Diese sind vom „Spion“ im engeren Wortsinn zu unter-scheiden, denn ihre Besonderheit ist, dass sie in größerer Zahl auf eine größere Zahl von Betroffenen angesetzt werden, die ein gemeinsames, ihnen zugewiesenes Merkmal besitzen, nämlich ein Verdachtsmerkmal. Die Zuweisung des Verdachtsmerkmals macht sie erst zu Verdächtigen. Die Verdachtsmerkmale sind in der Regel ideologisch konstruiert, oft Ausdruck einer staatli-chen Paranoia, wo alle Bürger potenzielle Staatsfeinde sind. Die menschlichen Trojaner, die meistens Staatstrojaner waren (und sind), bergen wie die neuen das Risiko in sich, dass sie die zu er-fassenden ‚Daten‘ allein durch ihr Tätigwerden verändern oder überhaupt erst produzieren, um sie dann heimlich an die Straf-verfolgungsbehörden ausleiten.

Das historisch nächstliegendste Beispiel waren die IMs der Sta-si der ehemaligen DDR. Auf sie treffen die genannten Merkmale des menschlichen Trojaners zu. Die aktiveren unter den IMs infil-trierten ihre Opfer geradezu, sie stammten aus dem engeren, wenn nicht engsten Verwandten- und Freundeskreis. Nicht selten han-delte es sich um Ehepartner und Kinder. Beschreibungen der Art und Weise ihrer Tätigkeit erinnern oft an solche, die annähernd auch auf die neuen Staats-Trojaner zutreffen können. Ein Beispiel: „Der besondere Wert der inoffiziellen Mitarbeiter besteht in deren Anpassung, Beweglichkeit, und Reaktionsfähigkeit. Die Inoffiziel-len Mitarbeiter sind in der Lage, sich Personen ohne Verdacht zu nähern und anzupassen, Verbindungen und Vertrauensverhält-nisse herzustellen und das Wesen der Person zu studieren.“29 Ein IM berichtete, der Trojaner infiltriert das technisch vernetzte eige-ne System des Bürgers (das Eindringen in die Intimsphäre soll da-bei technisch verhindert werden), die Be- und Auswertung mach-ten bei der Stasi die hauptamtlichen Mitarbeiter. Die allgemeine Aufgabenstellung lässt sich gleichfalls unschwer mit redaktionel-len Änderungen auf die neuen Staatstrojaner übertragen:„Die IM sind vor allem einzusetzen zum,

Einleiten und Realisieren vorbeugender, schadensverhütender Maßnahmen wie zum rechtzeitigen Erkennen und Beseitigen

27 Kafka, a.a.O. 590 f. 28 Zur „animal autobiographique“ vgl. Jaques Derrida: Das Tier, das ich also

bin, hg. von Peter Engelmann, Wien 2010, s.a. zum Menschenbild Kafkas Gerhard Neumann, Verfehlte Anfänge und offenes Ende, hrg von der Carl Friedrich von Siemens Stiftung, München 2009.

29 Bauer, Kontrolle und Repression – individuelle Erfahrungen in der DDR (1971-1989). Historische Studie und methodologischer Beitrag zur Oral History, 2006, 67-68.

bzw. Unterbinden von Mißständen, Schlamperei, Unordnung, Planmanipulation, Fehlinformation, Gefahren, personellen Unsicherheitsfaktoren, sich anbahnenden feindlichen Hand-lungen u.a.

Verhindern von öffentlichkeitswirksamen Aktivitäten feind-lich-negativer Kräfte wie rowdyhaftem Verhalten, dekadentem Auftreten u.a.

Einschränkung des Einflusses feindlich-negativer Gruppen und Gruppierungen im Inneren der DDR (…)“30

Das historische Beispiel des IM zeigt außerdem, dass der mensch-liche Trojaner nicht nur vom Typ des Spions, sondern auch vom Typ des Denunzianten klar unterscheidbar ist und die Ähnlich-keit zwischen elektronischem und menschlichem Staatstrojaner dadurch nur größer wird. Geht es darum, und nur darum, den aufwändigeren menschlichen Trojaner alias IM durch den weni-ger aufwändigen elektronischen Trojaner zu ersetzen? Der ‚Un-fug‘, der mit den ‚Berichten‘ des neuen Staats-Trojaners getrieben werden kann, unterscheidet sich aufgrund von rechtsstaatlicher Kontrollen zwar von IMs und menschlichen Trojanern. Aber wie lange noch? Die heimliche Infiltration der eigenen Computersys-teme sind im Vergleich zu offenen Maßnahmen extrem eingriffs-intensiv und greifen grundsätzlich tiefer in die Privatsphäre der betroffenen Menschen ein.

Schon mit menschlichen Trojanern wurden zahlenmäßig Di-mensionen erreicht, die denen digitaler Methoden sehr nahe kommen. So wurden von der rumänischen Securitate auf 1,5 Millionen zu beobachtende Personen 500.000 Informantinnen und Informanten angesetzt, die 24 laufende Kilometer Berich-te produzierten.31

Die ehemalige DDR, Rumänien und andere Ostblockländer hatten das nicht erfunden, sondern standen, bei aller „Originali-tät“ der Stasi oder der anderen ‚Sicherheits‘dienste, in einer struk-turellen Tradition, die im 18. Jahrhundert einsetzte. Mit den fol-genden Beispielen soll keine monokausale Verwicklungskette be-hauptet werden, es geht um den kulturhistorischen und geistes-geschichtlichen Kontext.

Im 18. Jahrhundert entstand eine äußerst ambivalente Denk-figur, die sehr komplex war und deshalb Ausdeutungsmöglich-keiten in ganz entgegensetzte Richtungen erlaubte. Aus Gründen, die im Detail noch gar nicht so klar sind, entstand im 18. Jahr-hundert die Vorstellung von der Verderbtheit (frz. corruption) der Gesellschaft und des Menschen.32 Der Begriff lehnte sich im Kern an die medizinische Vorstellung an, dass ein Körper durch Krankheit verderbt werde. In Diskursen des 18. Jahrhunderts wimmelt es nur so von Begriffen, die mit der „Regeneration“ des kranken Gesellschafts- und individuellen Körpers zu tun haben. Der Glaube, dass diese Verderbtheit (corruption) heilbar sei, vor allem, dass der Mensch als solcher perfektibel sei, war stark. Und hier teilten sich dann die beschreitbaren Wege. Die einen setzten auf eine ausgefeilte Pädagogik und Erziehung, um die prinzipiell gegebene Perfektibilität ins Werk zu setzen, die anderen griffen zu starken Zwangsmitteln. Für letzteres steht die Phase der Ter-reur in der Französischen Revolution, die mit der Konstruktion der Überwachungskomitees (comités de surveillance) und den

30 Bürgerkomitee Leipzig. Stasi Intern. Macht und Banalität, 1991, 158. Ein Dank geht an Katharina Matuschka, die im Rahmen einer Diplomarbeit (Univ. Wi-en 2010) über die Stasi solche und weitere Zitate recherchiert hat.

31 Nagat, Communism – A Shared Trauma, in: Breier/Muschg (Hg.), Freiheit, ach Freiheit… Vereintes Europa – Geteiltes Gedächtnis, 2011, 79-82, hier 79.

32 Chalmin, Lumières et corruption, 2010.

DuD Datenschutz und Datensicherheit 6 | 2012 405

SCHWERPUNKT

vielen Mitarbeitern (sozusagen Frühformen des IM) den ersten Großeinsatz von menschlichen Staatstrojanern organisierte. Den Opfern wurden Verdachtsmomente zugewiesen und diese durch die Überwacher zumeist bestätigt, das heißt, der Verdacht wur-de zur Wirklichkeit umkonstruiert, der Revolutionsgerichtshof tat, was er tat, und ließ die Guillotine aufstellen.

Zunächst handelte es sich um eine vorübergehende Erschei-nung, die im Kontext der erhitzten Revolution, der Gegner und Anhänger der Revolution sowie der ausgebrochenen Krie-ge Gründe fand, ohne damit vollständig erklärt zu sein. Aber es handelte sich zugleich um einen Präzedenzfall, der über Massa-kerphänomene in der Frühen Neuzeit deutlich hinausging und geistesgeschichtlich mit der Denkfigur von Verderbtheit sowie Perfektibilität zusammenhing.

Während die ursprünglich positive Idee der Perfektibilität im 19. und 20. Jahrhundert in medizinische Experimente am Men-schen mündete, muss uns der Gedanke der Verderbtheit im ‚tro-janischen‘ Kontext weiter beschäftigen. Die Pariser Polizei hat-te im 18. Jahrhundert in diesem geistesgeschichtlichen Kon-text einen Komplex von Verdächtigung, Beobachtung und Aus-wertung gegenüber bestimmten Personen entwickelt, für die sie am Schluss einen neuen Identitätsdiskurs geschaffen hatte, die Homosexuellen. Dass Homosexualität als Identität verstanden wird, ist so erst seit dem 18., vor allem aber 19. Jahrhundert fest-stellbar. In Paris handelte es sich um eine zugewiesene Identi-tät, die die Polizei aus einem Generalverdacht gegenüber mann-männlicher Sexualität, die vielfach dem Verderbtheitsdiskurs unterlag, entwickelte. Die beobachteten und verhörten Männer sahen sich selber anders.33 Heute gehören geschlechtliche Merk-male zu den sensiblen Daten, die im Recht des Datenschutzes einem besonderen Schutz unterliegen.

Die Geschichte des 19. und 20. Jahrhunderts ist voll vom im-mer neuen Aufbau vergleichbarer Komplexe, die in die Zuwei-sung verfolgungswürdiger Identitäten münden, die keine Grund- und Menschenrechte, die keine Privatheit und kein Recht auf Pri-vatheit kennen.

Ist dies zu starker Tobak gegen die Trojanerproblematik von heute und ihre Gefahren? Ist die Idee des heimlich wirkenden Staatstrojaners gegen alle genannten Gefahren gefeit? Offenkun-dig ist sie es nicht, zumal die komplexe Denkfigur, mit der wir es heute zu tun haben, angetan ist, keinerlei Zuversicht aufkom-men zu lassen. Die Denkfigur kombiniert Vorratsdatenspeiche-rung und Staats-Trojaner und beruht letztlich auf der Denkfigur einer allgemeinen Verderbtheit, die nicht so benannt wird. Wei-tere technische Möglichkeiten kommen hinzu: Neue Software-entwicklungen, die von amerikanischen Behörden (US-Heimat-schutzministerium, FBI, Pentagon) eingesetzt bzw. in Auftrag zur Entwicklung gegeben werden34, erlauben es, die in sozialen Netz-werken wie Facebook oder in Plattformen wie Twitter eingegebe-nen Texte bzw. Blogs und Kommentare so zu analysieren, dass sie selbst bei anonymer Veröffentlichung mit einem sehr hohen Grad an Treffsicherheit einer bestimmten Person zugeordnet werden können. Wenn diese Person irgendwo im Internet mit richtigem Namen steht, wird sie über die Textanalyse (syntaktische Eigen-

33 Taeger, Intime Machtverhältnisse. Moralstrafrecht und administrative Kon-trolle der Sexualität im ausgehenden Ancien Régime, 1999.

34 Stirn, Schnüffeln in den Tweets. US-Behörden durchkämmen systema-tisch Twitter und Facebook – eigentlich suchen sie Terroristen und Krankheiten, doch manchmal verhaften sie harmlose Touristen, in: Süddeutsche Zeitung Nr. 59, 10./11. März 2012, 24.

heiten, Satzzeichensetzung, Wortgebrauch etc.) identifizierbar. Und schließlich besteht das altbekannte Problem, dass die digita-len Spuren, die jeder Nutzer im Internet zieht, nicht gelöscht wer-den oder nicht gelöscht werden können, es sei denn, es werden sehr umständliche und aufwändige Prozeduren in Gang gesetzt, die aber nicht mehr hinreichend kontrolliert werden können (wie bei der Grenzziehung zwischen Online-Durchsuchung und Quellen-TKÜ, s.o.). Den schlichten und wirksamen delete-Button gibt es noch kaum.35 Nirgendwo ist man so wenig anonym wie im Inter-net. All diese Nachverfolgungsmöglichkeiten lassen sich kombi-nieren. Die totale Überwachbarkeit des Individuums ist daher längst nicht mehr nur eine „Vision“, sondern durchführbar. Wird sie verstärkt durch den Bürger selbst (das Fremde in ihm – Kafka)?

Der neue Staats-Trojaner kann nicht losgelöst von dieser letzt-lich kulturellen Entwicklung gesehen werden, Überlegungen des Gesetzgebers müssen sich an der tatsächlichen Situation orien-tieren, andernfalls tappt er in dieselbe Falle, in die frühere Gene-ration wie in der Französischen Revolution bereits gefallen sind.

Nähert die kulturelle Gesamtentwicklung sich nicht der Sicher-heitsarchitektur in Kafkas Parabel? Fehlt Bürgern der Mut, tat-sächlich noch die eigene Freiheit zu wollen und dafür Risiken in Kauf zu nehmen? Will man dem Individuum noch die Möglich-keit einräumen, sich gegen staatliche Ein- und Übergriffe wehren zu können, etwa durch effektive Verschlüsselung ihrer E-Mail-Nachrichten? Gelten solche Verfahren nicht jetzt schon in vie-len Ländern als Bedrohung der nationalen Sicherheit? „Müssen“ nicht, sollte man ironisch fragen, Sicherheitslücken in den Com-putersystemen der Bürger etabliert werden, damit die Staatstro-janer ihre Arbeit verrichten können?

6 Fazit

Die Abwehr staatlicher Ein- und Übergriffe gegenüber dem In-dividuum ist immer noch der Kern der Grund- und Menschen-rechtsphilosophie. Die in den europäischen Verfassungen einge-bauten Sicherungen müssen sinngemäß alle informationstech-nischen Systeme erfassen und so schützen, dass der individuel-le Grund- und Menschenrechtsschutz gewährleistet ist. Dies ist auch das Ziel des IT-Grundrechts. Denn die eigenen informa-tionstechnischen Systeme gelten über die Wohnung oder das Telefon hinaus als Inbegriff der Privaheit.

Die Realität von tödlichen Bedrohungen soll dabei keinesfalls aus den Augen verloren werden. Bisher hat aber noch jedes über-steigerte System der Überwachung, das wir historisch kennen, am Schluss kollabiert. Und es hat nicht nur das Überwachungs-system kollabiert, sondern gleich der ganze Staat mit ihm. Es be-steht die Gefahr, dass unsere Demokratie durch eine zu weitrei-chende, unverhältnismäßige Überwachung um die Freiheit ent-kernt und in den Kollaps getrieben wird. Es liegt in der Hand des Gesetzgebers, das richtige Maß zu wahren. Gelingt ihm dies nicht und muss sich der Bürger selber schützen und verteidigen, läuft der Gesetzgeber Gefahr, sich selber außer Funktion zu set-zen, weil er der Aufgabe nicht gewachsen ist. Keine Demokratie hält diese Art der Selbstaushöhlung lange aus. Es ist dieser Ge-danke, der auch in Kafkas Parabel „Der Bau“ steckt: Die Aushöh-lung, die zur Selbstaushöhlung wird.

35 Mayer-Schönberger, Delete. Die Tugend des Vergessens in digitalen Zei-ten, 2010.