Bundesdatenschutzbeauftragter konnte Quellcode des Staatstrojaners nicht prüfen

Peter Schaar, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, hat keinen Zugang zum Quellcode der Trojaner-Software erhalten, die unter anderem vom Bundeskriminalamt zur Überwachung von Computern eingesetzt wurde. Das geht aus einem Schreiben (PDF) Schaars an den Vorsitzenden des Innenausschusses des Deutschen Bundestags hervor, das der Chaos Computer Club (CCC) veröffentlicht hat.

In dem Brief vom 14. August fasst der Bundesdatenschutzbeauftragte die Erkenntnisse ergänzender Untersuchungen zu seinem Ende Januar vorgelegten Abschlussbericht zur Quellen-Telekommunikationsüberwachung durch die Sicherheitsbehörden zusammen. Darin heißt es unter anderem, der Hersteller der Software, DigiTask, mache den Zugang zum Quellcode „von vertraglichen Abreden abhängig, die ich nicht akzeptieren kann“.

Da der Quellcode auch den Behörden nicht vorliege, könnten Schaar und seine Mitarbeiter ihn nur einsehen, wenn DigiTask ihn vorlege. Die Firma wollte aber nur unter der Bedingung Einsicht gewähren, dass der Bundesdatenschutzbeauftragte eine Geheimhaltungsvereinbarung unterzeichnet. Zudem verlangte sie 1428 Euro pro Prüfungstag und Mitarbeiter für „Consulting-Dienstleistungen“. Schaar lehnte diese Forderungen mit Verweis auf seine Pflichten als staatlicher Kontrolleur ab. „Daher ist es mir im Ergebnis nicht möglich, den Quellcode zur datenschutzrechtlichen Kontrolle zu sichten“, schreibt er an den Innenausschuss.

An seiner kritischen Beurteilung des Trojaners hält der Bundesdatenschutzbeauftragte auch nach Abschluss der zusätzlichen Untersuchungen fest. Schon Ende Januar hatte er in seinem Bericht darauf hingewiesen, dass die Spionage-Software die Datenschutzanforderungen nicht erfüllt. Er kritisierte vor allem die Verschlüsselung und die „Löschungsmöglichkeiten für Inhalte aus dem Kernbereich privater Lebensgestaltung“. Das Bundesinnenministerium sehe „insgesamt zwar Verbesserungspotential, aber keinen rechtlichen Handlungsbedarf“, so Schaar.

Auch der CCC kritisiert, dass das BMI „die in Anfängermanier zusammengestoppelte Absicherung der Kommunikation zwischen Staatstrojaner und Kontrollcomputer“ weiterhin für ausreichend erachtet. „Damit wird weiterhin in Kauf genommen, daß staatliche Trojaner nicht effektiv kontrolliert und somit auch von Dritten zur Ausspähung und Manipulation von Daten benutzt werden könnten“, sagte CCC-Sprecher Dirk Engling.

Bundesinnenminister Hans-Peter Friedrich (CSU) hatte den Einsatz des Trojaners mehrfach verteidigt. Den Verdacht, die Ermittlungsbehörden spähten mehr Informationen aus, als erlaubt, wies er vehement zurück. Gleichzeitig kündigte er jedoch an, die Software nicht mehr von einer privaten Firma entwickeln zu lassen, sondern von einem Kompetenzzentrum des BKA. Dieses sucht per Stellenausschreibung zur Zeit einen „Software-Designer zur Konzeption und Entwicklung technischer Überwachungsmethoden bei Straftaten im Zusammenhang mit Computernetzwerken“.