GFF Challenge to use of government spyware (Germany)

Photo by Adam Jones, CC BY-SA 2.0

Federal Constitutional Court (Germany)

Case number: 2 BvR 1850/18

Status: Open

The case was originally brought by the German organisation Gesellschaft für Freiheitsrechte (GFF) in 2018. Specifically, on 22 August 2018, the GFF lodged a constitutional complaint in Karlsruhe against the use of so-called state -trojans and the state’s handling of IT security gaps in the absence of proper accountability.

In 2017, the German Code of Criminal Procedure (StPO) was amended to allow investigating authorities to "impinge" upon information technology systems in order to collect data from them. This, in turn, would require the installation of software that reads data and transmits it to law enforcement authorities extracting it from the device of the person being targeted by surveillance technology. Such software is generally referred to as “state trojans”.

As a form of government surveillance, state trojans present unique and grave threats to privacy and security. It has the potential to be far more intrusive than any other surveillance technique, permitting the government to remotely and surreptitiously access personal devices and all the intimate information they store. It also permits the government to conduct novel forms of real-time surveillance, by covertly turning on a device's microphone, camera, or GPS-based locator technology, or by capturing continuous screenshots or seeing anything input into and output from the device. The use of trojans allows governments to manipulate data on devices, by deleting, corrupting or planting data; recovering data that has been deleted; or adding or editing code to alter or add capabilities, all while erasing any trace of the intrusion. These targets are not confined to devices. They can extend also to communications networks and their underlying infrastructure.

At the same time, the use of state trojans has the potential to undermine the security of targeted devices, networks or infrastructure, and potentially even the internet as a whole. Computer systems are complex and, almost with certainty, contain vulnerabilities that third parties can exploit to compromise their security. Government use of state trojans often depends on exploiting vulnerabilities in systems to facilitate a surveillance objective. Government hacking may also involve manipulating people to interfere with their own systems. These latter techniques prey on user trust, the loss of which can undermine the security of systems and the internet.

Focusing on the privacy and security concerns raised by the government use of state trojans, the statement puts forward the following submissions:

1. The use of state trojans can threaten the essence of the rights to privacy and data protection under international and European human rights law, if not properly constrained;

2. The use of state trojans violates states’ obligations to effectively guarantee the security and integrity of IT systems;

3. The use of state trojans may be incompatible with the principles of necessity and proportionality under both international and European law.

Privacy International believes that the manner in which Germany decides to deal with IT system vulnerabilities, in the context of state trojans, affects not only people residing in Germany, but also potentially everyone that is a user of the World Wide Web. We therefore hope that our statement will assist the Court in assessing the fundamental rights concerns raised by the use of state trojans

***

Bundesverfassungsgericht (BVerfG)

2 BvR 1850/18

Stand: Offen

Am 30. September 2019 hat Privacy International mit einem Schreiben vor dem Bundesverfassungsgericht Stellung genommen, das um den Einsatz von Staatstrojanern im Rahmen von Ermittlungsverfahren geht.

Die Verfassungsbeschwerde wurde ursprünglich von der Gesellschaft für Freiheitsrechte (GFF) im Jahr 2018 eingelegt. Im Einzelnen hat die GFF am 22. August 2018 Beschwerde gegen den Einsatz von sogenannten Staatstrojanern und den unverantwortlichen staatlichen Umgang mit IT-Sicherheitslücken eingelegt.

Im Jahr 2017 wurde die StPO dahingehend geändert, dass die Untersuchungsbehörden in die Informationstechnologiesysteme "eingreifen" können, um Daten von ihnen zu erheben. Dies wiederum würde die Installation von Software erfordern, die Daten liest, um sie aus dem Gerät der Person zu extrahieren, und an die Strafverfolgungsbehörden überträgt. Diese Überwachungstechnologie wird allgemein als "Staatstrojaner" bezeichnet.

Als eine Form der staatlichen Überwachung stellt der Einsatz von Staatstrojanern eine einzigartige und schwerwiegende Bedrohung für die Privatsphäre und Sicherheit dar. Es hat das Potenzial, weitaus eindringender zu sein als jede andere Überwachungstechnik, die es der Regierung ermöglicht, aus der Ferne und heimlich auf persönliche Geräte und alle darin gespeicherten vertraulichen Informationen zuzugreifen.

Der Einsatz von Staatstrojanern erlaubt der Regierung auch, neuartige Formen der Echtzeitüberwachung durchzuführen, indem sie im Geheimen die Mikrofon-, Kamera- oder GPS-basierte Ortungstechnologie eines Geräts einschaltet, kontinuierliche Screenshots macht oder alles sieht, was in das Gerät eingegeben und von ihm ausgegeben wird. Er ermöglicht es Regierungen, Daten auf Geräten zu manipulieren, indem sie Daten löschen, beschädigen oder einpflanzen, gelöschte Daten wiederherstellen oder Code-Änderungen oder -Editierungen vornehmen, um Fähigkeiten zu ändern oder hinzuzufügen, während sie gleichzeitig jede Spur des Eindringens löschen. Diese Ziele sind nicht auf Geräte beschränkt. Sie können sich auch auf Kommunikationsnetze und die ihnen zugrunde liegende Infrastruktur erstrecken.

Gleichzeitig hat der Einsatz von Staatstrojanern das Potenzial, die Sicherheit von Zielgeräten, Netzwerken oder Infrastrukturen und möglicherweise sogar das Internet als Ganzes zu gefährden. Computersysteme sind komplex und enthalten mit an Sicherheit grenzender Wahrscheinlichkeit Schwachstellen, die Dritte ausnutzen können, um ihre Sicherheit zu gefährden. Regierungshacken hängt oft davon ab, Schwachstellen in Systemen auszunutzen, um ein Überwachungsziel zu erreichen. Hacking kann auch die Manipulation von Menschen beinhalten, um in ihr eigenes System einzugreifen. Diese letztgenannten Techniken setzen auf das Vertrauen der Nutzer, dessen Verlust die Sicherheit der Systeme und des Internets untergraben kann.

In dieser Stellungnahme, die sich auf die Datenschutz- und Sicherheitsbedenken konzentriert, die durch den Einsatz von Staatstrojanern hervorgerufen werden, werden die folgenden Punkte aufgegriffen:

I. Der Einsatz von Staatstrojanern kann den Kern des Rechts auf Privatsphäre und Datenschutz nach internationalen und europäischen Menschenrechtsbestimmungen gefährden, wenn er nicht angemessen eingeschränkt wird.

II. Der Einsatz von Staatstrojanern verstößt gegen die Verpflichtung der Staaten, die Sicherheit und Integrität von IT-Systemen wirksam zu gewährleisten.

III. Der Einsatz von Staatstrojanern kann mit den Grundsätzen der Notwendigkeit und Verhältnismäßigkeit sowohl nach internationalem als auch nach europäischem Recht unvereinbar sein.

Privacy International ist der Auffassung, dass die Nutzung von Systemschwachstellen durch Staatstrojaner nicht nur Menschen mit Wohnsitz in Deutschland, sondern auch potenziell alle Internetnutzer betrifft, da die Ausnutzung von Systemschwachstellen in der Regel heißt, dass diese nicht zeitnah geschlossen werden. Wir hoffen, dass unsere Stellungnahme dem Bundesverfassungsgericht bei der Beurteilung der Grundrechtsanliegen, die durch den Einsatz von Staatstrojanern aufkommen, unterstutzen wird.