Es ist ein Bilderbuchfall für die Datenschützer : Seit dem Wochenende ist bekannt, dass Landesbehörden für die Überwachung digitaler Kommunikation zwischen Verdächtigen höchst umstrittene Software verwenden: Sie kann erheblich in die Grundrechte der Betroffenen eingreifen, ohne dass dies rechtlich gedeckt ist.

Eben solche Fälle sollen die Datenschutzbeauftragten der Bundesländer sowie der Beauftragte des Bundes für den Datenschutz eigentlich selbst an die Öffentlichkeit bringen, sie kritisieren, Änderungen an der umstrittenen Praxis fordern. Doch in diesem Fall war es der Chaos Computer Club , der die Öffentlichkeit herstellte.

Was wissen die Datenschutzbeauftragten über den Einsatz von Staatstrojanern in ihrem Tätigkeitsbereich? Schließlich war es kein Geheimnis, dass die Sicherheitsbehörden Überwachungssoftware zur Kriminalitätsbekämpfung einsetzen. Die Onlinedurchsuchung ist seit Jahren politisch umstritten, viel ist darüber geschrieben worden.

Jörg Klingbeil, Baden-Württembergs Datenschutzbeauftragter, gibt sich selbstkritisch. "Ich war mir bis vor wenigen Tagen sicher, dass der Einsatz von unerlaubter Späh-Software in meinem Bundesland auszuschließen ist", sagt er. "Das war etwas naiv." Denn bei dem Thema habe er immer nur die Online-Durchsuchung im Sinn gehabt – diese könne er für sein Bundesland ausschließen. Dass allerdings bei der Überwachung verschlüsselter Gespräche wie der Internet-Telefonie Spähprogramme mit unzulässigen Kompetenzen zum Einsatz kamen, sei ihm bisher nicht bewusst gewesen.

Inzwischen hat Klingbeil reagiert. Gestern ließen sich zwei seiner Mitarbeiter die umstrittene Software von Kriminalbeamten präsentieren. Die Protokolle der Überwachungen habe er bereits angefordert. "Uns interessiert vor allem, welche Funktionen die eingesetzte Software hatte. Waren Screenshots möglich? Wurden Kamera und Mikrofon angezapft?", sagt Klingbeil. Wie das Innenministerium bestätigte, wurde in Baden-Württemberg die umstrittene Software zur Überwachung von digitalen Telefongesprächen eingesetzt. Es sei um Kapitalverbrechen und in einem Fall um Terrorismusvorwurf gegangen, sagte Klingbeil ZEIT ONLINE.

Mit seiner Ahnungslosigkeit steht der Datenschützer keinesfalls allein. "Wir haben von dem Einsatz der umstrittenen Software erst aus der Presse erfahren", sagte der Sprecher der brandenburgischen Datenschutzbeauftragten. Auch hier wurde die umstrittene Software eingesetzt  – zweimal und mit richterlicher Genehmigung nur für eine Quellen-TKÜ. Die Datenschutzbeauftragte Dagmar Hartge habe inzwischen entsprechende Unterlagen von der Landesregierung eingefordert, sagte ihr Sprecher. Er verteidigt die Ahnungslosigkeit seiner Behörde: "Es gab keine Pflicht, uns einzubeziehen, konkrete Beschwerden lagen auch nicht vor." Außerdem sei das eine Frage der Arbeitskapazität: "Würden wir von uns aus die Behörden in solchen Fällen überprüfen, kämen wir zu gar nichts mehr."

Auch in Schleswig-Holstein geht man jetzt erst der Quellen-TKÜ auf den Grund. "Wir haben dem Landeskriminalamt ein Schreiben geschickt, wir wollen Einsatzprotokolle und Software. Die Prüfung wird wohl einen Monat dauern, weil wir das genau machen wollen", sagt Datenschützer Thilo Weichert. In den vergangenen drei Jahren nutzten die schleswig-holsteinischen Ermittler nach Angaben des Landeskriminalamts die Software dreimal, um Onlinekommunikation abzufangen: In zwei Fällen ging es um Rauschgiftkriminalität, einmal um organisierte Kriminalität. Jetzt will Weichert herausfinden, ob nur die Kommunikation oder auch private Dateien überwacht wurden.

Auch in Sachsen beginnt man erst jetzt zu prüfen. "Natürlich wäre es der beste Zustand, wenn die Datenschutzbeauftragten der Behörden gleich mit uns zusammenarbeiten würden, um Fehlern vorzubeugen", sagte ein Sprecher des Landesdatenschützers Andreas Schurig. In der Verwaltungspraxis sei das aber nicht üblich.

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat sich immerhin der Materie schon vor den Enthüllungen des CCC angenommen. In seinem im April vorgestellten Tätigkeitsbericht kündigt er an, sich die vom Zollkriminalamt benutzte Software für die Quellen-TKÜ bald genauer anschauen zu wollen. Es gelte die Frage zu beantworten, schreibt Schaar, ob das ZKA die "erforderliche Software so aufspielt, dass ausschließlich Daten des laufenden Telekommunikationsvorgangs erfasst werden." Veröffentlichungswürdige Ergebnisse hatte Schaar bis zu den Enthüllungen zum Wochenende offenbar nicht bekommen.