Am 20.4.2018 wurde im Nationalrat ein aus zwei Änderungsgesetzen bestehendes „Sicherheitspaket” beschlossen, das wohl treffender als Überwachungspaket zu bezeichnen ist. Laut epicenter.works, einem spendenfinanzierten Verein, der sich für Datenschutz und Schutz der Privatsphäre einsetzt, schaffen die darin beschlossenen Maßnahmen zunehmend das Bild, dass Österreich in einen Polizei- und Überwachungsstaat umgebaut wird: Beispielhaft dafür werden die Anlassdatenspeicherung („Quick-Freeze“), eine Rechtsgrundlage
für den IMSI-Catcher (Funkzelle zur Lokalisierung von Mobiltelefonen), die Straßenüberwachung, die Registrierungspflicht von Prepaid-SIM-Karten, die Beschränkung des Briefgeheimnisses und die Videoüberwachung genannt. Zu den besonders eingriffsintensiven und bedenklichen Maßnahmen zählt der Bundestrojaner, der hier näher dargestellt und dessen Grundrechtskonformität erörtert werden soll.
Bereits 2016 und 2017 wurde dem Nationalrat ein Entwurf zur Überwachung verschlüsselter Nachrichten vom Justizministerium vorgelegt, konnte jedoch beide Male aufgrund massiver Kritik der Opposition und seitens Expert*innen im Begutachtungsverfahren (über 9000 Stellungnahmen) erfolgreich abgewendet werden.1Vgl 192/ME XXV; 325/ME XXV. Mit dem kürzlich beschlossenen Bundestrojaner soll nun aber eine Rechtsgrundlage für die Installation staatlicher Spionagesoftware auf Geräten, insbesondere Smartphones, geschaffen werden. Dieser soll ab 1.4.2020 eingesetzt werden können.
Die Überwachung verschlüsselter Nachrichten iSd § 135a StPO ist technisch nur möglich, wenn sich die Behörde unter Ausnutzung von Sicherheitslücken in das Gerät des bzw der Betroffenen hackt und dort Nachrichten abfängt, bevor diese ver- bzw nachdem sie entschlüsselt werden. Um derartige Sicherheitslücken nutzen zu können, muss der Staat diese entweder bei Hersteller*innen direkt, über Beauftragte wie „Finfisher“ oder am Schwarzmarkt zu kaufen. Dabei wird in Kauf genommen, dass das Bestehen von Sicherheitslücken begünstigt und mit Steuergelder finanziert wird. Der deutsche Innenminister Thomas de Maizière forderte bereits Ende 2017 dazu auf, die Industrie zu verpflichten, Geräte mit Zugriffsrechten oder „Hintertüren“ auszustatten, um Überwachung zu ermöglichen. Richtigerweise sollten die in Geräten erkannten Sicherheitslücken den Hersteller*innen gemeldet und von diesen geschlossen werden. Stattdessen werden sie in vielen Fällen vom Ministerium, das vor Cyberkriminalität schützen soll, geheim- und somit gleichzeitig offengehalten, wodurch diese Lücken zu jeder Zeit auch von Dritten zu kriminellen Zwecken missbraucht werden können.
Um technisch zu funktionieren, muss der Zugriff durch den Bundestrojaner auf Systemebene erfolgen. Dabei wird jede Manipulation am Gerät ermöglicht: nicht nur der Zugriff auf alle bestehenden Funktionen und Datenbestände des Geräts, wie etwa die Standortdaten, sondern auch das Hinzufügen, Verändern oder Löschen von Daten. Damit greift der Staat tiefgehend in die Grundrechte auf Datenschutz und auf Privatsphäre nach § 1 DSG bzw Art 8 EMRK sowie in das Fernmeldegeheimnis2Das Fernmeldegeheimnis schützt die Vertraulichkeit der über Telekommunikationsnetze vermittelten und nicht zur Kenntnisnahme durch Dritte bestimmten Kommunikation (Berka, Verfassungsrecht6 (2016), Rz 1428). nach Art 10a StGG ein. Gerechtfertigt werden sollen diese Eingriffe mit dem Ziel der Aufrechterhaltung der öffentlichen Sicherheit und Ordnung, insbesondere mit dem Schutz vor terroristischen Angriffen. Dass der Bundestrojaner aber zur Aufklärung von Straftaten ungeeignet ist, liegt auf der Hand: Nach einem Eingriff kann nicht eindeutig festgestellt werden, welche Daten von den Besitzer*innen des Geräts stammen und welche ggf von Dritten hinzugefügt oder verändert wurden. Die mangelnde Verlässlichkeit des Beweismaterials führt also dazu, dass dieses in einem Strafverfahren wenig aussagekräftig ist.3Vgl epicenter.works, Stellungnahme zu 17 d.B. XXVI. GP, 15. Auch wurde die Notwendigkeit der Maßnahmen in den entsprechenden Erläuterungen4Vgl ErläutRV BlgNR 17. GP, 26. nicht dargelegt und eine Evaluierung der bestehenden Überwachungsmöglichkeiten nicht durchgeführt, wie von vielen Expert*innen und Politiker*innen gefordert.
Um einen Zugriff auf das Gerät zu gestatten, muss die von der Überwachung betroffene Person selbst nicht einmal verdächtig sein: Nach § 135a Abs 1 Z 3 lit b StPO reicht es, dass aufgrund bestimmter Tatsachen anzunehmen ist, eine Person werde zu dem Computersystem einer verdächtigen Person eine Verbindung herstellen. Daraus ergibt sich eine weite Streubreite potentiell Betroffener, die nicht nur Verdächtige selbst umfasst.
Zwar ist für die Überwachung verschlüsselter Nachrichten eine gerichtliche Bewilligung auf Antrag der Staatsanwaltschaft erforderlich, allerdings wären angesichts des tiefgreifenden Eingriffs in die Privatsphäre – über Rechtsschutzbeauftragte hinausgehende – Schutzmaßnahmen notwendig: etwa ein strengerer Rechtsschutz durch ein richterliches Gremium anstelle von Einzelrichter*innen, klar ausgestaltete Protokollierungspflichten und eine Schnittstelle für die Datenausleitung. Die Bestimmung des künftigen § 135a StPO ist daher unverhältnismäßig und verletzt die genannten Grundrechte.
Ali Al Awadi
Quellen
| 1. | ↑ | Vgl 192/ME XXV; 325/ME XXV. |
| 2. | ↑ | Das Fernmeldegeheimnis schützt die Vertraulichkeit der über Telekommunikationsnetze vermittelten und nicht zur Kenntnisnahme durch Dritte bestimmten Kommunikation (Berka, Verfassungsrecht6 (2016), Rz 1428). |
| 3. | ↑ | Vgl epicenter.works, Stellungnahme zu 17 d.B. XXVI. GP, 15. |
| 4. | ↑ | Vgl ErläutRV BlgNR 17. GP, 26. |