Online-Durchsuchung bedeutet den Zugriff von Ermittlungsbehörden auf die Festplatte des Computers einer Person mit Hilfe einer während der Internetnutzung installierten Software, eines sogenannten Trojaners (entsprechend in Deutschland auch Bundestrojaner genannt). Die Übermittlung der auf der Festplatte gespeicherten Daten an die Behörde erfolgt heimlich und über einen längeren Zeitraum. Die Online-Durchsuchung gehört zu den verdeckten Ermittlungsmaßnahmen.^[1]

Im Strafverfahrensrecht wurde mit § 100b StPO mit Wirkung zum 24. August 2017 eine gesetzliche Grundlage der Online-Durchsuchung geschaffen.^[2] 2019 betrug die Anzahl der tatsächlich durchgeführten Online-Durchsuchungen 12.^[3] 2021 wurde er 20 Mal eingesetzt, vor allem wegen Drogendelikten.^[4]

Abzugrenzen ist die Online-Durchsuchung von der offenen Durchsuchung des Computers vor Ort beim Beschuldigten nach § 110 Abs. 3 StPO^[5] sowie der Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) gemäß § 100a Abs. 1 Satz 2 und 3 StPO.^[6] Obwohl die Quellen-TKÜ technisch auf dieselbe Weise (per Hacking) funktioniert, sind im Gegensatz zur Online-Durchsuchung, die eine umfassende Durchsuchung eines Geräts gestattet, die Zugriffsrechte der Behörde bei der Quellen-TKÜ inhaltlich grundsätzlich auf die laufende Kommunikation beschränkt (§ 100a Abs. 5 Satz 1 Nr. 1a StPO).^[7]

Bei der Quellen-TKÜ dürfen Kommunikationsdaten erfasst werden, bevor diese verschlüsselt werden oder nachdem diese entschlüsselt wurden.^[7] Es sollen jedoch darüber hinaus keine Informationen erlangt werden, die nicht auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz hätten erlangt und aufgezeichnet werden können (§ 100a Abs. 5 Satz 1 Nr. 1b StPO). Bei der Online-Durchsuchung wird dagegen ein Computersystem umfassend oder gezielt durchsucht, so dass nicht nur Kommunikationsdaten, sondern sämtliche gespeicherten Daten betrachtet werden können wie Chats, hochgeladene Fotos, verfasste Notizen und Webseiten-Verläufe. Daraus lässt sich ein umfassendes Bild des Online-Verhaltens einer überwachten Person zusammensetzen.^[8]

Ob dies in der Praxis tatsächlich abgrenzbar ist, ist umstritten.^{[9][10][11][12]}

Im Programm zur Stärkung der Inneren Sicherheit der deutschen Bundesregierung von 2006 wird die Online-Durchsuchung als Maßnahme umschrieben, „entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein“. Ob sie als eine Durchsuchung im Rechtssinne anzusehen und inwieweit sie einer Wohnungs- oder Hausdurchsuchung gleichzusetzen ist (womit sie den verfassungsrechtlichen Anforderungen an Eingriffsgesetze in das Wohnungsgrundrecht, z. B. nach der deutschen Strafprozessordnung genügen müsste), ist unter Juristen umstritten,^[13] obwohl die Bundesregierung die Auffassung vertritt, dass für spezielle Datentypen die Online-Durchsuchung bereits von geltendem Recht gedeckt sei. Über eine Ermächtigungsgrundlage verfüge z. B. bereits der Zollfahndungsdienst als die die Maßnahme veranlassende Behörde. Dafür wird ein Programm für eine Quellen-Telekommunikationsüberwachung (auch Quellen-TKÜ, die Überwachung der Telekommunikation am Rechner vor ihrer Verschlüsselung) installiert und eingesetzt, wenn bei der klassischen Telekommunikationsüberwachung die Inhalte verschlüsselt werden.^[14][15]

Die Bayerische Staatsregierung erklärte am 16. Mai 2007, einen Gesetzentwurf zu Online-Durchsuchungen zu Strafverfolgungszwecken auf den parlamentarischen Weg zu bringen. Der bayerische Gesetzentwurf wurde am 4. Juli 2008 im Bundesrat eingebracht, ist dort jedoch gescheitert.^[16]

Im Juli 2007 erkundigten sich Bundesbehörden bei den USA nach dem vom Federal Bureau of Investigation verwendeten Überwachungsprogramm Computer and Internet Protocol Address Verifier. Ob das Programm oder Informationen über seine Funktionsweise an die Bundesbehörden weitergeleitet wurden, ist unbekannt.^[17][18]

Laut Aussage des Bundestagsabgeordneten Hans-Peter Uhl wurden Staatstrojaner zum Zwecke der Online-Überwachung seit 2009 etwa 35 mal pro Jahr durch Landes- und Bundesbehörden eingesetzt. Für etwaige dabei erfolgte Rechtsbrüche sieht Uhl Leutheusser-Schnarrenberger in der Verantwortung.^[19]

Am 8. Oktober 2011 gab der Chaos Computer Club bekannt, dass ihm mehrere Versionen einer staatlichen Spionagesoftware, die in den Medien als „Staats-“ oder „Bayerntrojaner“ bekannt wurden, zugespielt worden sind. Er veröffentlichte die extrahierten Binärdateien einer Version gemeinsam mit einer Bewertung der technischen Analyse und einem Bericht zum Funktionsumfang und kritisierte deren Einsatz durch Ermittlungsbehörden, der gegen das Urteil des Bundesverfassungsgerichts verstoße. Am 10. Oktober 2011 gab der bayerische Innenminister Joachim Herrmann bekannt, diese Software stehe in Zusammenhang mit einem Ermittlungsverfahren im Jahre 2009. Nach Beschluss des Landgerichts Landshut vom 20. Januar 2011^[20] war diese damalige Umsetzung rechtswidrig.^{[21][22][23][24][25]}

Nach Ansicht des Bundestagsabgeordneten Peter Altmaier konnten Landes- und Bundesbehörden die verfassungsrechtliche Unbedenklichkeit des DigiTask-Trojaners nicht nachvollziehbar darlegen.^[26]

Datenschützer kritisieren die Online-Durchsuchung ferner als massiven Eingriff in die Privatsphäre, weswegen am 22. Dezember 2006 eine Petition an den Petitionsausschuss des Deutschen Bundestages eingereicht wurde.^[27]

Im August 2007 wurde bekannt, dass ein Mitarbeiter des BND die technischen Möglichkeiten zu privaten Zwecken nutzte.^[28] Laut einer Presseerklärung des Bayerischen Beauftragten für den Datenschutz von August 2007 sei die Gefahr gegeben, dass der Bürger das Vertrauen in behördliche elektronische Kommunikation (E-Government) verliert. Benannt werden hier die „mit Milliardenaufwand vorangetriebenen E-Government-Projekte in Bund und Ländern bis hin zur elektronischen Steuererklärung (ELSTER) und zur elektronischen Gesundheitskarte“.^[29]

In der Blogger-Szene entstand aus dem Eindruck eines Überwachungsstaates heraus auch die Bezeichnung Stasi 2.0 in Anlehnung an das Ministerium für Staatssicherheit der DDR (kurz Stasi) als Begriff für die verschärften Sicherheitsgesetze Schäubles. In einigen Gegenden Deutschlands fand daraufhin die sogenannte Schäublone, ein Porträtbild Wolfgang Schäubles mit dem Untertitel Stasi 2.0^[30] Verbreitung.

Vor dem Hintergrund, dass die Existenz einer Einrichtung, die Zugriff auf Informationssysteme der Bürger hat, eine erhebliche Schwächung der nationalen IT-Sicherheit darstellt, hat der ehemalige Präsident des BND und des Bundesamtes für Verfassungsschutz, Hansjörg Geiger, die Einführung eines unabhängigen „Bürgeranwalts“ gefordert, der die Rechte der Betroffenen wahrnimmt, weil er eine richterliche Kontrolle nicht für ausreichend hält.^[31]

Beispielhaft für die Unvorhersehbarkeit von Schäden steht ein Fall aus Frankfurt am Main im Jahr 2011: Ein hoher Beamter der Bundespolizei installierte aus eigenem Antrieb ein Trojanisches Pferd auf dem Rechner seiner Tochter, um ihre Computeraktivitäten zu überwachen. Einem Freund des Mädchens fiel der „Trojaner“ jedoch auf: Er drehte den Spieß um und überwachte fortan stattdessen den Datenverkehr des Polizeibeamten. Diese von dem Bundespolizisten selbst geöffnete Sicherheitslücke führte in der Folge dazu, dass der Hacker in das Netzwerk der Bundespolizei eindringen konnte. Daraufhin musste der Polizeiserver für das Observierungsprogramm Patras zeitweilig heruntergefahren werden.^[32]

Im Februar 2012 wurde bekannt, dass das Bundeskriminalamt per Trojaner Telefonsex-Mitschnitte speicherte.^[33]

Innerhalb des Bundesgerichtshofes war die Zulässigkeit der Online-Durchsuchung für Zwecke der Strafverfolgung (repressive Online-Durchsuchung) umstritten.

Zunächst rechtfertigte der 3. Senat mit Beschluss vom 21. Februar 2006 „die Durchsuchung des von dem Beschuldigten […] benutzten Personalcomputers/Laptops, insbesondere der auf der Festplatte und im Arbeitsspeicher abgelegten Dateien“. Die Durchsuchung des PC-Datenbestandes des Beschuldigten ohne sein Wissen sei durch die Befugnisnorm des § 102 StPO gedeckt.^[34] Diese Vorschrift der Strafprozessordnung regelt die offene Haus- und Wohnungsdurchsuchungen.

Mit Beschluss 25. November 2006 lehnte jedoch der 1. Senat diese Rechtsauffassung ab.^[35] Eine entsprechende Anwendung der Vorschriften über die Durchsuchung (§ 102 StPO) komme für den heimlichen Zugriff auf einen Computer zum Zwecke der Strafverfolgung wegen des im Strafrecht geltenden Analogieverbots nicht in Betracht. Eine Online-Durchsuchung finde ohne Wissen des Betroffenen statt, während das Gesetz für eine herkömmliche Durchsuchung die Anwesenheit von Zeugen (vgl. § 105 Abs. 2 StPO) und des Inhabers (vgl. § 106 Abs. 1 StPO) des Durchsuchungsobjektes bzw. seines Vertreters vorsehe.

Die gegen diesen Beschluss gerichtete Beschwerde des Generalbundesanwalts verwarf der 3. Strafsenat mit Beschluss vom 31. Januar 2007 und schloss sich der Rechtsprechung des 1. Senats an.^[36] Die „verdeckte Online-Durchsuchung“ sei mangels einer ausdrücklichen Ermächtigungsgrundlage unzulässig. Sie könne weder auf § 102 StPO noch § 100a StPO gestützt werden. Insbesondere erlaube § 100a StPO verdeckte Online-Durchsuchung nicht. Dort sei die heimliche Überwachung der Telekommunikation, d. i. der Austausch von kommunikativen Elementen zwischen dem Verdächtigen und einem Dritten geregelt, welche bei der geheimen Onlinedurchsuchung gerade nicht vorliege.^[37] Dieser „schwerwiegende Eingriff in das Recht auf informationelle Selbstbestimmung“ bedürfe einer speziellen Ermächtigungsgrundlage. Einzelne Elemente von Eingriffsermächtigungen dürften nicht kombiniert werden, um eine Grundlage für eine neue technisch mögliche Ermittlungsmaßnahme zu schaffen. Dies widerspreche dem Grundsatz des Gesetzesvorbehaltes für Eingriffe in Grundrechte (Art. 20 Abs. 3 GG) sowie dem Grundsatz der Normenklarheit und Tatbestandsbestimmtheit von strafprozessualen Eingriffsnormen.

Das Bundesverfassungsgericht hat mit Urteil vom 27. Februar 2008^[38][39][40] über die Befugnisse der Verfassungsschutzbehörden zu verschiedenen Datenerhebungen, insbesondere aus informationstechnischen Systemen und zum Umgang mit den erhobenen Daten entschieden.^[41] Verschaffe der Staat sich heimlich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liege darin ein Eingriff in Art. 10 Abs. 1 GG. Bei der Teilnahme an öffentlich zugänglichen Kommunikationsinhalten im Internet greife der Staat dagegen grundsätzlich nicht in Grundrechte ein.

Das allgemeine Persönlichkeitsrecht schützt danach vor Eingriffen in informationstechnische Systeme, soweit der Schutz nicht durch andere Grundrechte, wie insbesondere Art. 10 oder Art. 13 GG, sowie durch das Recht auf informationelle Selbstbestimmung gewährleistet ist. Die grundrechtlichen Gewährleistungen der Art. 10 und Art. 13 GG in der bis dahin durch das Bundesverfassungsgericht entwickelten Ausprägung des allgemeinen Persönlichkeitsrechts trügen dem durch die Entwicklung der Informationstechnik entstandenen Schutzbedürfnis nicht hinreichend Rechnung. Soweit der heimliche Zugriff auf ein informationstechnisches System dazu diene, Daten auch insoweit zu erheben, sei die bestehende Schutzlücke durch das allgemeine Persönlichkeitsrecht in seiner Ausprägung als Schutz der Vertraulichkeit und Integrität von informationstechnischen Systemen zu schließen.^[38]

Dieses durch das Urteil quasi neu geschaffene Grundrecht leitete das Gericht aus der Auffangfunktion des allgemeinen Persönlichkeitsrechts her, welches seinerseits in Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG begründet liege.

„Es bewahrt den persönlichen und privaten Lebensbereich der Grundrechtsträger vor staatlichem Zugriff im Bereich der Informationstechnik auch insoweit, als auf das informationstechnische System insgesamt zugegriffen wird und nicht nur auf einzelne Kommunikationsvorgänge oder gespeicherte Daten.“^[38]

Aus verfassungsrechtlicher Sicht bedeutete dies jedoch nicht, dass jede Online-Durchsuchung mit dem Grundgesetz unvereinbar ist. Allerdings erzeuge die besondere Nähe des neuen „Computer-Grundrechts“^[42] zur Menschenwürde einen besonderen Rechtfertigungsdruck für den Gesetzgeber. Demnach bestehen folgende Anforderungen an die Verfassungsmäßigkeit einer gesetzlichen Befugnis zur Onlinedurchsuchung:^[43]

• Die Regelung muss bestimmt genug sein, d. h. sie muss detailliert die Eingriffsvoraussetzungen beschreiben.
• Die Regelung darf Onlinedurchsuchungen nur zulassen zugunsten überragend wichtiger Rechtsgüter wie Leib, Leben und Freiheit der Person sowie Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt.
• Die Regelung muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
• Bei strafprozessualer Onlinedurchsuchung muss die Rechtsgrundlage die Anlasstatbestände (die schweren Straftaten) katalogartig auflisten und die Einschränkung enthalten, dass die Tat auch im Einzelfall schwer wiegen muss.
• Bei gefahrenabwehrrechtlicher Onlinedurchsuchung muss die Regelung eine konkrete Gefahr für eines der genannten Rechtsgüter verlangen.
• Die Regelung muss schließlich zur vorbeugenden Kontrolle einen Richtervorbehalt statuieren und eine nachträgliche Benachrichtigungspflicht enthalten.

Die gesetzliche Grundlage der Online-Durchsuchung zum Zwecke der Strafverfolgung ist seit Inkrafttreten des Art. 3 des Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens am 24. August 2017^[44] der neue § 100b Strafprozessordnung (StPO). Dort ist die Online-Durchsuchung legaldefiniert als Eingriff mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System und Erhebung von Daten daraus auch ohne Wissen des Betroffenen.

Unter den Begriff des informationstechnischen Systems fallen neben klassischen PCs „alle von einem Mikroprozessor gesteuerten Geräte, namentlich auch Mobiltelefone (Smartphones), Organizer oder Server und Router bis hin zu sog. smarten Haushaltsgeräten oder sog. Digitalen Assistenten (z.B. ‚Alexa‘ von Amazon, ‚Hello‘ von Google, ‚Cortana‘ von Microsoft oder ‚Siri‘ von Apple).“^[45]

Es können nicht nur alle neu hinzukommenden Kommunikationsinhalte, sondern auch alle in dem IT-System gespeicherten Inhalte sowie das Nutzungsverhalten der Person überwacht werden.^[46]

In der rechtswissenschaftlichen Literatur wird diskutiert, ob § 100b StPO die Ermittlungsbehörden auch dazu ermächtigt, Mikrofone oder Kameras vernetzter Systeme selbst anzuschalten und hierdurch im Sinne eines „großen Spähangriffs“ Ton- und Bildsignale zu erfassen. Das wird überwiegend abgelehnt. Von § 100b StPO erfasst sei lediglich das – passive – Erheben einschlägiger Daten aus der Nutzung des Systems seitens des Betroffenen.^[47]

Die Maßnahme setzt einen Antrag der Staatsanwaltschaft und eine schriftliche Anordnung des zuständigen Landgerichts durch eine nicht mit Hauptverfahren in Strafsachen befasste Kammer voraus (§ 100e Abs. 2 Satz 1 StPO, § 74a Abs. 4 GVG). Die Anordnung ist auf höchstens einen Monat zu befristen. Eine Verlängerung um jeweils einen weiteren Monat ist zulässig. Ist die Dauer der Anordnung auf insgesamt sechs Monate verlängert worden, so entscheidet über weitere Verlängerungen das Oberlandesgericht.

Durch die Online-Durchsuchung dürfen nicht allein Erkenntnisse aus dem Kernbereich privater Lebensgestaltung (Intimsphäre) erlangt werden, was technisch sicherzustellen ist (§ 100d Abs. 1, Abs. 3 StPO). Derartige Erkenntnisse unterliegen gegebenenfalls einem Verwertungsverbot (§ 100d Abs. 2 StPO). Dasselbe gilt für Äußerungen von Zeugnisverweigerungsberechtigten (§ 100d Abs. 5 StPO, § 53 StPO).

Die Anordnung setzt den begründeten Verdacht voraus, dass der Beschuldigte eine besonders schwere Straftat begangen oder zu begehen versucht hat, die Tat auch im Einzelfall besonders schwer wiegt und die Aufklärung des Sachverhalts auf andere Weise wesentlich erschwert oder aussichtslos wäre (§ 100b Abs. 1 Nr. 1–3 StPO).^[48]

Welche besonders schweren Straftaten eine Online-Durchsuchung rechtfertigen, ist in § 100b Abs. 2 Nr. 1–7 StPO geregelt. Einschlägige Katalogstraftaten sind danach bestimmte Tatbestände aus dem Strafgesetzbuch wie die Gefährdung des demokratischen Rechtsstaates, die Bildung krimineller Vereinigungen oder die Bildung terroristischer Vereinigungen, die Verbreitung, der Erwerb und Besitz kinderpornografischer Schriften sowie Mord und Totschlag, ferner aus dem Asylgesetz, dem Aufenthaltsgesetz (Schleusungskriminalität), dem Betäubungsmittelgesetz, dem Gesetz über die Kontrolle von Kriegswaffen, dem Völkerstrafgesetzbuch und dem Waffengesetz.

Beim 2. Senat des Bundesverfassungsgerichts sind seit dem Jahr 2018 eine Reihe von Verfassungsbeschwerden von unter anderem Rechtsanwälten, Künstlern und Journalisten, darunter einige Mitglieder des Deutschen Bundestages, anhängig zu der Frage, ob die zum 24. August 2017 bewirkten Änderungen der Strafprozessordnung, insbesondere die Möglichkeit der Anordnung der sog. Quellen-Telekommunikationsüberwachung und der Online-Durchsuchung mittels des sog. „Staatstrojaners“ verfassungsgemäß sind.^[49] Zuständige Berichterstatterin ist Sibylle Kessal-Wulf.

Zu den Beschwerdeführern zählen Mitglieder der FDP und der Piratenpartei,^[50] der TeleTrusT – Bundesverband IT-Sicherheit,^[51] der Verein Digitalcourage^[52][53] sowie die Gesellschaft für Freiheitsrechte (GFF) und der Deutsche Anwaltverein (DAV).^[54]

Das Bundeskriminalamt (BKA) verfügt schon seit mehreren Jahren über drei Programme: zwei selbst entwickelte Systeme – Remote Communication Interception Software (RCIS) 1.0 und 2.0 genannt – und die kommerziell erworbene Software FinSpy des Unternehmens FinFisher. Der Generalbundesanwalt hat im Jahr 2019 über 550 neue Terrorismusverfahren eingeleitet, jedoch in keinem dieser Fälle den Einsatz der Quellen-TKÜ oder der Online-Durchsuchung beantragt. Grund sei der noch immer „immense technische Aufwand“, eine für das Zielgerät passende Software zu entwickeln.^[55]

Das BKA kaufte außerdem eine modifizierte Version der Spionagesoftware Pegasus.^[56]

Gem. Art. 73 Abs. 1 Nr. 9a GG hat der Bund die ausschließliche Gesetzgebungskompetenz für die Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalpolizeiamt in Fällen, in denen eine länderübergreifende Gefahr vorliegt, die Zuständigkeit einer Landespolizeibehörde nicht erkennbar ist oder die oberste Landesbehörde um eine Übernahme ersucht.^[57]

§ 20k des BKA-Gesetzes (BKAG) in der Fassung des Gesetzes zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt vom 25. Dezember 2008^[58] sah einen verdeckten Eingriff in informationstechnische Systeme ohne Wissen des Betroffenen vor.^[59] Mit Urteil vom 20. April 2016 erklärte das Bundesverfassungsgericht die Ermächtigung des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zwar für im Grundsatz mit den Grundrechten des Grundgesetzes vereinbar, § 20k BKAG und andere Vorschriften in ihrer damaligen Fassung aber mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1, Art. 10 Abs. 1, Art. 13 Abs. 1 und 3 – auch in Verbindung mit Art. 1 Abs. 1 und Art. 19 Abs. 4 GG – für nicht vereinbar.^[60][61] Die Ausgestaltung solcher Befugnisse, die tief in das Privatleben hineinreichen, müsse dem Verhältnismäßigkeitsgrundsatz genügen und verlange besondere Regelungen zum Schutz des Kernbereichs privater Lebensgestaltung sowie einen Schutz von Berufsgeheimnisträgern, unterliege Anforderungen an Transparenz, individuellen Rechtsschutz und aufsichtliche Kontrolle und müsse mit Löschungspflichten bezüglich der erhobenen Daten flankiert sein.

Das Gesetz zur Neustrukturierung des Bundeskriminalamtgesetzes vom 1. Juni 2017^[62] diente auch der Umsetzung dieses Urteils.^[63][64] § 49 Abs. 1 Satz 3 iVm. § 5 BKAG n.F. ermächtigt zur Online-Durchsuchung zu Zwecken der Abwehr von Gefahren des internationalen Terrorismus von länderübergreifender Bedeutung und entspricht weitgehend dem bisherigen § 20k, um in der Rechtsanwendung Unsicherheiten zu vermeiden, erfolgte jedoch eine ausdrückliche Regelung der Gefahrenlage, die im Vorfeld einer konkreten Gefahr einen Eingriff in informationstechnische Systeme rechtfertigt. § 49 Abs. 5 BKAG n.F. setzt die Anforderungen des Bundesverfassungsgerichts an den zu stellenden Antrag um. § 49 Abs. 7 BKAG n.F. sieht für die Sichtung von Informationen aus verdeckten Eingriffen in informationstechnischen Systemen eine unabhängige Stelle vor.^[65][66]

In ihrer Antwort auf eine Kleine Anfrage führte die Bundesregierung 2018 aus, es sei für die „rechts- und datenschutzkonforme Durchführung von Maßnahmen der informationstechnischen Überwachung“ innerhalb des BKA eine neue Organisationseinheit geschaffen worden. Ihre Aufgabe bestehe darin, die benötigte Software zu entwickeln und zu beschaffen. Außerdem überwache sie die Einhaltung der gesetzlichen und technischen Vorgaben beim Einsatz der Software.^[67]

Am 9. Juli 2021 trat das „Gesetz zur Anpassung des Verfassungsschutzrechts“ in Kraft^[68], das den deutschen Geheimdiensten erweiterte Befugnisse zur Telekommunikationsüberwachung verleiht. Im Einzelnen wurden dabei das Bundesverfassungsschutzgesetz, Sicherheitsüberprüfungsgesetz, MAD-Gesetz, BND-Gesetz und Artikel 10-Gesetz verändert. Zu den Befugnissen gehört es unter anderem: „Auf dem informationstechnischen System des Betroffenen ab dem Zeitpunkt der Anordnung gespeicherte Inhalte und Umstände der Kommunikation dürfen überwacht und aufgezeichnet werden, wenn sie auch während des laufenden Übertragungsvorgangs im öffentlichen Telekommunikationsnetz in verschlüsselter Form hätten überwacht und aufgezeichnet werden können.“ Nach Auffassung von Anwälten^[69] und Journalisten^[70][71] beinhaltet dies die Ermächtigung der Geheimdienste zum Einsatz des sogenannten „Staatstrojaners“. Mehrere Abgeordnete der FDP verorteten den Wirkungsbereich des Gesetzes eher im Bereich der Quellen-TKÜ, halten insbesondere den „Zugriff auf die ruhende Kommunikation“ und die „Infiltration von Geräten“ aber für verfassungswidrig und kündigten eine Klage vor dem Bundesverfassungsgericht an.^[72]

Seit März 2019 gab es diesen Entwurf eines Gesetzes zur Harmonisierung des Verfassungsschutzrechtes („Entwurf BVerfSchG“), auch Gesetz zur „Modernisierung des Bundesamtes für Verfassungsschutz (BfV)“^[73][74] aus dem Bundesinnenministerium. Dieser Entwurf sehe auch eine Befugnis zur Online-Durchsuchung und zur Quellen-TKÜ vor, um Handys und Computer nicht nur an öffentlichen Orten, sondern auch in Privatwohnungen mit einer Spionagesoftware zu infizieren.^[75] In Beantwortung einer entsprechenden Kleinen Anfrage will die Bundesregierung keine Einblicke in noch nicht abgeschlossene Meinungsbildungsprozesse gewähren. Die Kontrollkompetenz des Parlaments erstrecke sich nach der Rechtsprechung des Bundesverfassungsgerichts^[76] grundsätzlich nur auf bereits abgeschlossene Vorgänge und umfasse nicht die Befugnis, in laufende Verhandlungen und Entscheidungsvorbereitungen einzugreifen.^[77]

Bereits im März 2005 wurde der damalige Bundesinnenminister Otto Schily (SPD) vom Präsidenten des Bundesamtes für Verfassungsschutz, Heinz Fromm, gebeten, eine Möglichkeit zu schaffen, heimlich Computer von Verdächtigen auszuspionieren.^[78] Nach Angaben des parlamentarischen Staatssekretärs im Bundesinnenministerium, Peter Altmaier (CDU), wurden somit bereits seit 2005 Online-Untersuchungen per geheimer Dienstanweisung ermöglicht.^[79] Erst im Juli 2005 wurde das Parlamentarische Kontrollgremium informiert.

Umstritten ist, ob die Online-Durchsuchung als nachrichtendienstliches Mittel zulässig ist. So sollen nach Ansicht des Bundesministerium des Innern die heimlichen Durchsuchungen von PCs für den Bundesamt für Verfassungsschutz, den Militärischen Abschirmdienst (MAD) und den Bundesnachrichtendienst (BND) erlaubt sein.^[80]

Die Entscheidung des Bundesgerichtshofes vom Januar 2007 kann zur Beantwortung der Frage der Zulässigkeit im Bereich der Nachrichtendienste nicht unmittelbar herangezogen werden. Sie bezieht sich allein auf die Rechtsgrundlagen für das Gebiet der Strafverfolgung, während für den Bereich der Vorfeldbeobachtung durch die Nachrichtendienste spezielle Eingriffsvorschriften bestehen.

Nachdem Anfang März 2009 bekannt wurde, dass die Online-Durchsuchung und Keylogger vom BND im Rahmen einer Generalvollmacht bis dahin in mindestens 2500 Fällen eingesetzt wurden, wird von Experten der Regierungskoalition und der Opposition eine eindeutigere Rechtsgrundlage gefordert, um illegale Aktionen auszuschließen.^[81]

Nordrhein-Westfalen nahm mit seinem FDP-geführten Innenministerium eine Vorreiterrolle ein. Dort war dem Verfassungsschutz seit dem 30. Dezember 2006 „heimliches Beobachten und sonstiges Aufklären des Internets, wie insbesondere die verdeckte Teilnahme an seinen Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie der heimliche Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ zur Informationsbeschaffung erlaubt. Gegen diese Vorschrift wurde Verfassungsbeschwerde erhoben, der das Bundesverfassungsgericht am 27. Februar 2008 stattgegeben hat.^[38] § 5 Abs. 2 Nr. 11 des Gesetzes über den Verfassungsschutz in Nordrhein-Westfalen (VSG-NRW) wurde für verfassungswidrig und somit für nichtig erklärt.^[38][82] Gem. § 5 Abs. 2 Nr. 11 VSG NRW n.F. ist zwar die Überwachung nicht öffentlicher Kommunikationsinhalte zulässig, eine Online-Durchsuchung aber ausgeschlossen.^[83]

Die 2018 im Gesetzentwurf der Fraktionen der CDU und Bündnis 90/Die Grünen für ein Gesetz zur Neuausrichtung des Verfassungsschutzes in Hessen^[84] vorgesehene Befugnis zur nachrichtendienstlichen Online-Durchsuchung für das Landesamt für Verfassungsschutz wurde nicht beschlossen, ist aber gem. § 15c HSOG für Zwecke der Gefahrenabwehr durch die Polizei zulässig.^[85][86]

Das Brandenburgische Verfassungsschutzgesetz^[87] wurde im Juni 2019 reformiert, ohne die Online-Durchsuchung einzuführen.^[88]

Das Bayerische Landesamt für Verfassungsschutz hat nach Art. 10 des Bayerischen Verfassungsschutzgesetzes^[89] die Befugnis zum verdeckten Zugriff auf informationstechnische Systeme. Die Regelung berücksichtigt insbesondere das BKAG-Urteil des Bundesverfassungsgerichts von 2016.^[90]

Der Koalitionsvertrag für die 19. Legislaturperiode vom 12. März 2018 sieht zur Abwehr von Gefahren des islamistischen Terrors die Erarbeitung eines gemeinsamen Musterpolizeigesetzes vor.^[91] Man wolle keine Zonen unterschiedlicher Sicherheit in Deutschland.

Auf Länderebene gibt es seit 2018 unterschiedliche Bemühungen um eine Novellierung der Landespolizeigesetze.^[92] Zu den je nach Mehrheitsverhältnissen in den Landesparlamenten rechtspolitisch umstrittenen Befugnissen gehört nicht zuletzt die Online-Durchsuchung. Die Entscheidungen des Bundesverfassungsgerichts vom 27. Februar 2008 und vom 20. April 2016 sind auch für die Landesgesetzgebung maßgeblich.

Am 8. Oktober 2011 veröffentlichte der Chaos Computer Club die Binärdateien der Version 3.4.26 eines staatlichen Überwachungsprogramms für 32-Bit-Betriebssystemversionen von Windows.^{[22][111][23]} Die FAZ veröffentlichte einen Teil des disassemblierten Programmcodes, den der CCC mit dem Label „0zapftis“ (mit führender Null) versehen hatte.^[112] Dieses Kunstwort etablierte sich als Name des Schadprogramms, neben weiteren in den Medien gebrauchten Bezeichnungen wie „Staatstrojaner“ oder „Bayerntrojaner“.^[113] Der Trojaner bestand aus den Dateien „mfc42ul.dll“ und „winsys32.sys“.^[114]

Laut F-Secure, das dem Programm den Namen Backdoor:W32/R2D2.A gab, kann die Installation auf einem Zielrechner z. B. durch das Programm scuinst.exe (Skype Capture Unit Installer) erfolgen.^[115] Das Programm überwacht u. a. VoIP-Gespräche via Skype oder Sipgate, besitzt einen Keylogger und fertigt Bildschirmkopien aktiver Chat- und Webbrowser-Fenster an. Durch Verbindungsaufbau zu Command-and-Control-Servern mit den IP-Nummern 83.236.140.90 (QSC in Hessen, Deutschland^[116]) und 207.158.22.134 (Web Intellects in Ohio, USA) kann das Überwachungsprogramm auch weitere Programme zur Erweiterung der Funktionalität nachladen, die dann Inhalte auf der Festplatte des befallenen Computers ändern könnten.^{[111][22][24]}

Der Chaos Computer Club kritisierte unter anderem, dass die untersuchten Trojaner „nicht nur höchst intime Daten ausleiten“, sondern „auch eine Fernsteuerungsfunktion zum Nachladen und Ausführen beliebiger weiterer Schadsoftware“ bieten, zudem würden aufgrund von „groben Design- und Implementierungsfehlern“ eklatante Sicherheitslücken in den infiltrierten Rechnern entstehen, „die auch Dritte ausnutzen können.“^[117] Bundesinnenminister Hans-Peter Friedrich bestätigte, dass die Nachladefunktion des Staatstrojaners gewollt ist und von den Überwachungsbehörden zum Nachladen weiterer Module verwendet wird. In einer Stellungnahme, die sich somit als Falschaussage herausstellte, hatte im August 2010 das Landeskriminalamt Bayern gegenüber dem Amtsgericht Landshut die Existenz der Nachladefunktion bestritten. Die Nachladefunktion ist auch in der neueren Version 3.6.44 des Trojaners, die u. a. im Dezember 2010 zum Einsatz kam, weiterhin aktiv.^[118][119] Eine unabhängige Überprüfung der Sicherheit und Verfassungskonformität der Überwachungsprogramme lehnte Friedrich ab.^[120] Eine aktuellere Version, die von Kaspersky Lab untersucht wurde, unterstützte auch 64-Bit-Systeme von Windows und enthalte 15 Anwendungen.^[121][122]

Die vom Chaos Computer Club analysierte Software wurde von der hessischen Firma Digi Task GmbH – Gesellschaft für besondere Telekommunikationssysteme^[123][124] u. a. im Auftrag der Bayerischen Staatsregierung entwickelt.^[125][126] Ein Anwalt des Unternehmens bestätigte, dass DigiTask die Schadsoftware programmiert habe,^[127] verteidigte sich jedoch gegen den Vorwurf der Inkompetenz und erklärte: „Es ist durchaus möglich, dass im November 2008 gelieferte Software heute nicht mehr den Sicherheitsanforderungen entspricht.“^[128] Zu den verfassungsrechtlichen Bedenken sagte der Anwalt, „die Grenzen der Anwendung seien nicht von der Firma, sondern von den Behörden zu beachten.“^[129] Nach Auskunft des Bayerischen Staatsministeriums der Justiz und für Verbraucherschutz berechnet „DigiTask“ einmalig 2500 Euro für die Installation und Deinstallation der Software, sowie monatlich 3500 Euro für „Skype-Capture“ und 2500 Euro für „SSL-Dekodierung“ je „Maßnahme“. Zusätzlich empfiehlt „DigiTask“ zum Zwecke der Verschleierung der IP-Adresse der Überwachungsbehörde die Anmietung zweier Proxy-Server, von denen sich einer in „Übersee“ befinden sollte.^[130][125] Nach Bekanntwerden und der Veröffentlichung des Programms haben die verschiedenen Antivirenhersteller dieses in ihre Datenbanken aufgenommen und es wird seither von deren Virenschutzprogrammen erkannt.^[131] Laut Experten der Firmen Kaspersky Lab und Symantec reicht zum Schutz gegen diesen Trojaner ein herkömmliches Virenschutzprogramm aus.^[132]

Das deutsche Bundeskriminalamt gründete im Juli 2008 die DigiTask User Group, um den Einsatz der Software innereuropäisch zu koordinieren.^[133] Sicherheitsbehörden Baden-Württembergs und Bayerns trafen sich etwa zweimal jährlich mit Behörden der Schweiz, Belgiens und der Niederlande. Die Gruppe wurde später in Remote Forensic Software User Group umbenannt. Der Abgeordnete Andrej Hunko, auf dessen Frage die Information an die Öffentlichkeit gelangte, kritisierte, dass die „grenzüberschreitende Heimlichtuerei“ des BKA erst durch „zähe Recherchen“ öffentlich werde.^[134]

Im März 2011 und im Januar 2012 hat das Bundeskriminalamt (BKA) in Mailand Gespräche mit der Firma „Hacking Team“ geführt, um „im Rahmen einer üblichen Marktsichtung“ Informationen zum Produkt „Remote Control System“ zu erheben.^[135] Nach Angaben von BKA-Beamten soll es sich dabei um einen spezifischen Keylogger handeln. Dieser soll entweder voll elektronisch oder aber von Observanten persönlich in der Wohnung direkt am Rechner des Tatverdächtigen^[136] installiert werden. In dieser Form wird die Online-Durchsuchung zwingend mit einem Betreten der Wohnung des Verdächtigen gekoppelt, damit die gesamte Maßnahme der Informationsgewinnung Erfolg hat.

Im Mai 2012 berichtete das Nachrichtenmagazin Der Spiegel, dass es dem Bundeskriminalamt bis dato nicht gelungen sei, einen eigenen Staatstrojaner zu entwickeln.^[137] Im August 2014 berichtete Der Spiegel unter Bezugnahme auf die Antwort des Bundesinnenministeriums an den Abgeordneten Hunko, dass der Bundestrojaner fertiggestellt und einsatzbereit sei. Eine Lösung zur Quellen-Telekommunikationsüberwachung befinde sich „nach Abschluss der Architekturarbeiten derzeit in der Implementierungsphase“.^[138]

Unabhängig von der verwendeten Technik wurde angezweifelt, ob insbesondere gezielte Online-Durchsuchungen bei Einsatz üblicher Kommunikationstechnik wie Router, Firewall und Anti-Virus-Scanner überhaupt erfolgversprechend sein können.^{[139][140][141]} Experten waren jedoch der Meinung, dass die bereits im Einsatz befindlichen Abhörschnittstellen, die zur Durchführung von Telekommunikations-Überwachungsverordnungs-Maßnahmen bei jedem Internet-Provider in Deutschland installiert sein müssen, ohne größere Probleme zur Einschleusung von Trojanern während eines beliebigen ungesicherten Software-Downloads umprogrammiert werden könnten – ein klassischer Man-in-the-Middle-Angriff, gegen den auch die beste Firewall machtlos ist.^[142] Um eine derartige Attacke auszuschließen, müsste man sich bei Programmdownloads auf signierte Dateien beschränken. Allerdings gab es schon einzelne Fälle, bei denen signierte Software aus offizieller Downloadquelle Malware enthielt. Viele freie Betriebssysteme tun dies mit dem GNU Privacy Guard ohnehin. Allerdings signieren nur sehr wenige Anbieter von Windows-Software ihre Downloads. Außerdem benötigt man eine garantiert echte Version des jeweiligen öffentlichen Schlüssels. Antivirenprogrammhersteller wie Avira und Kaspersky Lab schlossen eine Kooperation mit dem BKA bereits aus.^[143] Virenschutzprogramme bieten nur bedingte Sicherheiten durch Erkennung von typischen Verhaltensweisen und bereits bekannten Programmmustern über generische und heuristische Verfahren, da staatliche Trojaner sich atypisch verbreiten und den Herstellern erst bekannt sein müssen, um sie in ihren Virenschutzprogrammen durch aktuelle Virensignaturen zuverlässig erkennen zu lassen.^[144] Erschwerend kommt nur hinzu, dass Trojaner oder Ausspähprogramme auf die Zusammenarbeit des Betriebssystems angewiesen sind (und speziell auf dieses zugeschnitten sein müssen).

• Florian Meininghaus: Der Zugriff auf E-Mails im strafrechtlichen Ermittlungsverfahren. Kovac, Hamburg 2007, ISBN 978-3-8300-3158-1.
• Jörg Ziercke: Pro Online-Durchsuchung. In: Informatik Spektrum, Band 31, Heft 1/2008, S. 62–64.
• Fredrik Roggan (Hrsg.): Online-Durchsuchungen – Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27. Februar 2008, Berliner Wissenschaftsverlag, Berlin 2008, ISBN 978-3-8305-1560-9.
• Werner Beulke/Florian Meininghaus: Der Staatsanwalt als Datenreisender – Heimliche Online-Durchsuchung, Fernzugriff und Mailbox-Überwachung. In: Heinz Schöch/Gunter Widmaier (Hrsg.): Strafverteidigung, Revision und die gesamten Strafrechtswissenschaften : Festschrift für Gunter Widmaier zum 70. Geburtstag. Heymanns, Köln 2008, ISBN 978-3-452-26938-6, S. 63–79. 
• André Weiß: Online-Durchsuchungen im Strafverfahren. Kovac, Hamburg 2009, ISBN 978-3-8300-4550-2.
• Anne Gudermann: Online-Durchsuchung im Lichte des Verfassungsrechts. Kovač, Hamburg 2010, ISBN 978-3-8300-5004-9. (Diss. Univ. Münster (Westf.), 2009).
• Christoph Herrmann: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – Entstehung und Perspektiven, Frankfurt/Main 2010
• Friedemann Vogel: Gefechtsspuren im gesetzgebenden Diskurs: Die Debatte um Normierung von „Online-Durchsuchungen“ aus rechtslinguistischer Perspektive. In Sprachreport 3/2011, S. 7–14 (PDF; 1,1 MB).
• Thomas A. Bode: Verdeckte strafprozessuale Ermittlungsmaßnahmen. Springer, Berlin 2012, Schriftenreihe der Juristischen Fakultät der Europa-Universität Viadrina Frankfurt (Oder), ISBN 978-3-642-32660-8.
• Franziska Schneider: Rechtliche Rahmenbedingungen für die Vornahme von Online-Durchsuchungen – Online-Durchsuchungen als Mittel zur Terrorismusbekämpfung in Deutschland und den USA. Lang, Frankfurt am Main 2012, ISBN 978-3-631-63697-8. 
• Friedemann Vogel: Linguistik rechtlicher Normgenese. Theorie der Rechtsnormdiskursivität am Beispiel der Online-Durchsuchung. de Gruyter, Berlin/New York 2012, ISBN 978-3-11-027839-2. (= Sprache und Wissen 6)
• Dieter Kochheim: Onlinedurchsuchung und Quellen-TKÜ in der Strafprozessordnung – Neuordnung der tiefen technischen Eingriffsmaßnahmen in der StPO seit dem 24. August 2017 Kriminalpolitische Zeitschrift KriPoz 2018, S. 60–69

• Übersicht Telekommunikationsüberwachung für 2019 (Maßnahmen nach § 100b StPO). (PDF) In: Bundesamt für Justiz. Abgerufen am 19. Mai 2022. 
• Andreas Bogk, Chaos Computer Club: Antwort zum Fragenkatalog zur Verfassungsbeschwerde 1 BvR 370/07 und 1 BvR 595/07, 23. September 2007 (Memento vom 15. Dezember 2007 im Internet Archive)
• Dirk Fox, Secorvo Security Consulting: Stellungnahme zur „Online-Durchsuchung“. Verfassungsbeschwerden 1 BvR 370/07 und 1 BvR 595/07, 29. September 2007
• Felix Freiling, Lehrstuhl für Praktische Informatik, Universität Mannheim:Schriftliche Stellungnahme zum Fragenkatalog. Verfassungsbeschwerden 1 BvR 370/07 und 1 BvR 595/07, 27. September 2007 (Memento vom 16. April 2014 im Internet Archive)
• Andreas Pfitzmann: Möglichkeiten und Grenzen der Nutzungsüberwachung von Informations- und Kommunikationssystemen in einer freiheitlichen demokratischen Gesellschaft, 26. September 2007
• Bundestrojaner: ein Programmierer erzählt (Memento vom 24. Januar 2013 im Webarchiv archive.today), gulli.com, 21. August 2009.
• Verfassungsrechtliche Vorgaben für die Online-Durchsuchung Wissenschaftliche Dienste des Deutschen Bundestages, Ausarbeitung vom 1. April 2019 (für eine Regelung der sog. Online-Durchsuchung zugunsten der Nachrichtendienste)

Bitte den Hinweis zu Rechtsthemen beachten!