Die entscheidende Frage ist: Wer überprüft das und wer erfährt von dem Prüfungsergebnis? Die Bundesregierung verweist in der Begründung auf eine von Bund und Ländern erarbeitete Standardisierende Leistungsbeschreibung, laut der unter anderem eine Dokumentation des Quellcodes vorgesehen ist. Da die dort genannten Stellen aber der Geheimhaltung unterliegen, bleibt die Verfassungsmäßigkeit der Staatstrojaner für die Öffentlichkeit eine Vertrauensfrage. Zudem taucht die Leistungsbeschreibung im Gesetzestext selbst gar nicht auf.

Detail am Rande: Ein Staatstrojaner darf, so steht es in der Begründung, "nur auf technischem Wege oder mittels kriminalistischer List" installiert werden. Heimlich in die Wohnung eines Verdächtigen eindringen und dort ein Gerät verwanzen darf die Polizei hingegen nicht. Aber sie dürfte zum Beispiel am Flughafen kurz mit einem Gerät im Hinterzimmer verschwinden.

Wer überwacht werden darf

Paragraf 100a Absatz 3 wird umformuliert. Künftig dürfen Ermittler nicht mehr nur die Anschlüsse von Dritten überwachen, wenn "auf Grund bestimmter Tatsachen" anzunehmen ist, dass die eigentlich Verdächtigen sie mitbenutzen. Die Polizei darf dann auch alle möglichen technischen Geräte der Dritten hacken.

Ob die Belege für "bestimmte Tatsachen" ausreichen, um eine Quellen-TKÜ eines Dritten anzuordnen, muss im Einzelfall ein Gericht entscheiden.

Was die Entwickler der Staatstrojaner sicherstellen müssen

Paragraf 100a Absatz 4 wird (in Form des neuen Absatzes 5) mit einem bemerkenswerten Satz ergänzt. Er lautet: "Das eingesetzte Mittel ist nach dem Stand der Technik gegen unbefugte Nutzung zu schützen."

Das heißt, die Polizei muss ihre Trojaner verschlüsseln und verstecken. Niemand außer den Ermittlern soll damit Daten auslesen können. Das klingt sinnvoll, könnte aber auch ein Versuch sein, einen Fall wie im Jahr 2011 zu verhindern. Damals gelang es dem Chaos Computer Club (CCC), einen Staatstrojaner zu untersuchen und nachzubauen. Der CCC wies damals nach, dass der Trojaner mehr konnte, als die Verfassung erlaubt. So etwas soll der neue Absatz verhindern.

Was die Quellen-TKÜ im Zielsystem anrichtet

Im neuen Absatz 5 heißt es laut Entwurf, dass bei einer Quellen-TKÜ sicherzustellen ist, dass (…) (2.) an dem informationstechnischen System nur Veränderungen vorgenommen werden, die für die Datenerhebung unerlässlich sind, und (3) die vorgenommenen Veränderungen bei Beendigung der Maßnahme, soweit technisch möglich, automatisiert rückgängig gemacht werden.

Der Einschub "soweit technisch möglich" zeigt: Der Bundesregierung ist bewusst, dass sie die IT-Sicherheit in Deutschland gefährdet, weil die staatlichen Hacks einen Zielcomputer mitunter auch dauerhaft manipulieren oder beschädigen können.

Was die Onlinedurchsuchung von der Quellen-TKÜ unterscheidet

Paragraf 100b soll künftig lauten:

Auch ohne Wissen des Betroffenen darf mit technischen Mitteln in ein von dem Betroffenen genutztes informationstechnisches System eingegriffen und dürfen Daten daraus erhoben werden (Online-Durchsuchung), ...

"Daten daraus erhoben" ist die Abgrenzung zur Quellen-TKÜ. Gemeint ist: alles, was auf dem Gerät gespeichert ist, nicht nur ein laufender Kommunikationsvorgang.

wenn 1. bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine in Absatz 2 bezeichnete besonders schwere Straftat begangen oder in Fällen, in denen der Versuch strafbar ist, zu begehen versucht hat, 2. die Tat auch im Einzelfall besonders schwer wiegt und 3. die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre.

Die Quellen-TKÜ darf nicht grenzenlos sein, das hat das Bundesverfassungsgericht 2008 geurteilt. Die neuen Grenzen stehen in Paragraf 100a StPO. Sie sind sehr weit gefasst, die Quellen-TKÜ darf unter anderem beim Verdacht auf Subventionsbetrug, Sportwettbetrug, Urkundenfälschung oder Steuerhinterziehung eingesetzt werden.

Für die Onlinedurchsuchung hingegen muss jemand im Verdacht stehen, eine jener besonders schweren Straftaten begangen zu haben, die in 100b Absatz 2 festgehalten wird. Darunter fallen neben Hochverrat, Mord und Totschlag sowie Kriegsverbrechen auch Hehlerei, Geldwäsche, Bestechung und sogar Paragraf 29, Absatz 1, Satz 1 Nummer 13 des Betäubungsmittelgesetzes. Der stellt schon die Bereitstellung von Geldmitteln zum Verbreiten von Schriften unter Strafe, in denen zum Konsum von illegalen Drogen aufgefordert wird.

Wahrscheinlich ist die separate Liste der Versuch, den Maßgaben des Bundesverfassungsgerichts zu entsprechen, das in seinem Urteil zur Onlinedurchsuchung schrieb: "Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen." Sportwettbetrug und Urkundenfälschung wären mit dem Maßstab des überragend wichtigen Rechtsguts kaum vereinbar. Ob das bei Bestechung und bestimmten Verstöße gegen das Betäubungsmittelgesetz anders ist, könnte eine Frage sein, die irgendwann wieder das Bundesverfassungsgericht beantworten muss. Professor Thomas Hoeren hält die Auflistung jedenfalls für einen "Wunschzettel" aus den verschiedenen Ministerien und die Liste in 100b für den "Versuch der Bundesregierung, das Gesetz zu retten".