Quellen-Telekommunikationsüberwachung (TKÜ): Das heißt, Behörden dürfen ab jetzt zum Beispiel Skype-Gespräche und Chats abhören, die verdächtige Personen über ihre Computer und Smartphones führen. Das dafür vorgesehene Programm ist eine Eigenentwicklung des Bundeskriminalamts. Es wird entweder physisch oder aus der Ferne auf dem Computer einer Zielperson installiert, schneidet dort die Kommunikation mit und übermittelt sie dann unbemerkt an die Ermittler.
Wichtig: Es geht dabei nur um die laufende Kommunikation. So genannte „ruhende“ Daten, die auf der Festplatte von Verdächtigen liegen, darf das BKA nicht lesen oder kopieren, auch Screenshots sind nicht erlaubt. Das wäre eine „Online-Durchsuchung“ und diese hat das Verfassungsgericht in einem Urteil aus dem Jahr 2008 unter strenge Auflagen gestellt: Nur „bei überragend wichtigen Rechtsgütern“ ist sie gestattet, etwa wenn ein konkreter Verdacht besteht, das Straftaten gegen den Bestand des Staates geplant werden. Auch muss sie von einem Richter genehmigt werden. Das „Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme“ stehe erst mal höher, so die Verfassungsrichter damals.
Für das Abhören der Kommunikation auf einem Computer definierten die Richter allerdings niedrigere Hürden – und nur das soll der neue Bundestrojaner tun. Datenschutz-Aktivisten sind allerdings skeptisch, dass diese Einschränkung eigehalten werden kann: „Man kann sehr einfach nachweisen, dass eine Software eine bestimmte Funktion hat“, sagt Falk Garbsch, Sprecher des Chaos Computer Clubs der Süddeutschen Zeitung. „Aber es ist fast unmöglich, nachzuweisen, dass eine Software eine bestimmte Funktion nicht hat.“ Ein weiteres Problem sei, dass der Trojaner nicht nur vom BKA, sondern auch von dritten Parteien als Hintertür in den Computer genutzt werden könnte. Kriminelle oder ausländische Geheimdienste könnten Schwachstellen des Programmes ausmachen und über diese in die Rechner der Personen eindringen, die vom BKA überwacht werden.
Konstantin von Notz, netzpolitscher Sprecher der Grünen im Bundestag, bezweifelt ebenfalls, dass der Bundestrojaner verfassungskonform ist. „Die Bundesregierung muss die Rechtmäßigkeit des Einsatzes und die Verfassungskonformität des Programms nachweisen“, schreibt er auf seiner Webseite. „Dies geht nur, wenn der dem Programm zugrundeliegende Quellcode offengelegt wird.“ Frühere Späh-Programme des BKA waren von privaten Softwarefirmen entwickelt worden, ein Einblick in den Code, um die Funktionen zu überprüfen, war also nicht möglich. Die Behörden und jene, die sie beaufsichtigen sollten, mussten sich auf das Wort der Firmen verlassen.
Das ist diesmal anders, weil das BKA diese Software selbst entwickelt hat. Es könnte den Code zumindest ausgewählten Kreisen gegenüber offenlegen und so demonstrieren, dass das Programm tatsächlich nur über jene Fähigkeiten verfügt, die den Auflagen des Bundesverfassungsgerichtes entsprechen. Allerdings bestätigte das Innenministerium, dass es neben der Eigenentwicklung eine kommerzielle Späh-Software als „Backup“ gekauft hat: ein Programm der Firma Finfisher.
Das Unternehmen steht in der Kritik, weil es seine Überwachungssoftware auch an autoritäre Staaten verkauft. Notz schreibt dazu: „Ein Outsourcing in einem verfassungsrechtlich derart heiklen Feld und Black Box-Systeme darf es in Rechtsstaaten nicht geben. Die Bundesregierung muss die Zusammenarbeit mit Firmen, die ihre mit deutschen Steuergeldern gebauten Systeme auch an autoritäre und totalitäre Staaten liefern, umgehend beenden.“
