Vor einem Monat hatte das Bundesverfassungsgericht in Deutschland zum zweiten Mal die Zulässigkeit von Staatstrojanern in der Strafverfolgung und zur «präventiven Gefahrenabwehr» zu beurteilen. Es hat – ganz anders als die Geschäftsprüfungskommission des Kantons Zürich in dieser Woche – die Massnahme weitgehend als unzulässig taxiert. Dieser Artikel beleuchtet das Urteil und stellt Parallelen zu Zürich, dem Überwachungsgesetz BÜPF und dem Nachrichtendienstgesetz her.
In dieser Woche hat die Geschäftsprüfungskommission des Kantons Zürich den Bericht über die Beschaffung und den Einsatz von Government Software (sic!) veröffentlicht.
Der Bericht erstaunt: Obwohl er selber genügend technische Ungenauigkeiten aufweist (welche zu Gunsten der Strafverfolgung gedeutet werden), kritisiert er die Strafanzeige der Juso, wie auch die Berichterstattung der Medien hinsichtlich der Rolle von Regierungsrat Mario Fehr bei der Beschaffung des Trojaners bei der italienischen Firma «Hacking Team». Schwerwiegender ist jedoch, dass die Frage der rechtlichen Zulässigkeit nicht geklärt wird – und der Bericht lapidar mit der Aussage schliesst, dass für eine erfolgreiche Strafermittlung der Einsatz von GovWare unerlässlich sei.
Eine sorgfältigere Analyse hat vor einem Monat das Bundesverfassungsgericht in Deutschland vorgenommen. In seinem Urteil zum BKA-Gesetz hat es u.a. die nötigen Voraussetzungen für den Einsatz von Staatstrojanern beurteilt. Das Gericht kommt zum Schluss, dass ein Einsatz nur unter strengsten Bedingungen zulässig ist. Der Grund liegt in der Eingriffstiefe:
Zur Entfaltung der Persönlichkeit im Kernbereich privater Lebensgestaltung gehört die Möglichkeit, innere Vorgänge wie Empfindungen und Gefühle sowie Überlegungen, Ansichten und Erlebnisse höchstpersönlicher Art zum Ausdruck zu bringen. […]
Der Schutz des Kernbereichs privater Lebensgestaltung ist strikt und darf nicht durch Abwägung mit den Sicherheitsinteressen nach Maßgabe des Verhältnismäßigkeitsgrundsatzes relativiert werden. Dies bedeutet jedoch nicht, dass jede tatsächliche Erfassung von höchstpersönlichen Informationen stets einen Verfassungsverstoß oder eine Menschenwürdeverletzung begründet. Angesichts der Handlungs- und Prognoseunsicherheiten, unter denen Sicherheitsbehörden ihre Aufgaben wahrnehmen, kann ein unbeabsichtigtes Eindringen in den Kernbereich privater Lebensgestaltung im Rahmen von Überwachungsmaßnahmen nicht für jeden Fall von vornherein ausgeschlossen werden. Die Verfassung verlangt jedoch für die Ausgestaltung der Überwachungsbefugnisse die Achtung des Kernbereichs als eine strikte, nicht frei durch Einzelfallerwägungen überwindbare Grenze. […]
Des Weiteren folgt hieraus, dass bei der Durchführung von Überwachungsmaßnahmen dem Kernbereichsschutz auf zwei Ebenen Rechnung getragen werden muss. Zum einen sind auf der Ebene der Datenerhebung Vorkehrungen zu treffen, die eine unbeabsichtigte Miterfassung von Kernbereichsinformationen nach Möglichkeit ausschließen. Zum anderen sind auf der Ebene der nachgelagerten Auswertung und Verwertung die Folgen eines dennoch nicht vermiedenen Eindringens in den Kernbereich privater Lebensgestaltung strikt zu minimieren.
Moderne Smartphones und Personal Computer widerspiegeln durch ihre Vielseitigkeit unser Leben in vielen Bereichen: Sie dienen zur Kommunikation mit den Liebsten und zum Festhalten von Gedanken und Gefühlen. Mit einem Zugriff auf die gespeicherten Informationen und Sensoren lassen sich Krankheiten, sexuellen Vorlieben und höchstpersönlichen Erlebnisse nachvollziehen. Ein Staatstrojaner dringt daher potentiell in die (digitale) Intimsphäre der betroffenen Personen ein.
Wie im BKA-Gesetz wird auch in der Schweiz zwischen zwei Eingriffen unterschieden: Einerseits soll die «reine» Telekommunikation überwacht werden können. Diese Befugnis soll analog mit der Totalrevision des Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) geschaffen werden. Andererseits soll weitergehend auch auf die Computer selber zugegriffen werden dürfen. Die Rechtsgrundlage soll mit dem neuen Nachrichtendienstgesetz eingeführt werden.
Die beiden Überwachungsmassnahmen unterscheiden sich in der Eingriffstiefe. Folgerichtig stellt das Bundesverfassungsgericht in der Beurteilung des BKA-Gesetzes unterschiedlich hohe Hürden an die beiden Massnahmen:
Für Maßnahmen, die der Gefahrenabwehr dienen und damit präventiven Charakter haben, kommt es unmittelbar auf das Gewicht der zu schützenden Rechtsgüter an. Heimliche Überwachungsmaßnahmen, die tief in das Privatleben hineinreichen, sind nur zum Schutz besonders gewichtiger Rechtsgüter zulässig. Hierzu gehören Leib, Leben und Freiheit der Person sowie der Bestand oder die Sicherheit des Bundes oder eines Landes. Einen uneingeschränkten Sachwertschutz hat das Bundesverfassungsgericht demgegenüber nicht als ausreichend gewichtig für solche Maßnahmen angesehen. […]
Die Erhebung von Daten durch heimliche Überwachungsmaßnahmen mit hoher Eingriffsintensität ist im Bereich der Gefahrenabwehr zum Schutz der genannten Rechtsgüter grundsätzlich nur verhältnismäßig, wenn eine Gefährdung dieser Rechtsgüter im Einzelfall hinreichend konkret absehbar ist und der Adressat der Maßnahmen aus Sicht eines verständigen Dritten den objektiven Umständen nach in sie verfangen ist.
Bei einer konkreten und unmittelbaren Gefährdung von Leib, Leben, Freiheit oder des Bestandes der Schweiz müssten jedoch – anstatt der Geheimdienst – die Bundesanwaltschaft und die Polizeibehörden ermitteln können. Dies ist die Voraussetzung für ein rechtsstaatlich korrektes Verfahren, das zur Verurteilung der verantwortlichen Personen führen kann.
Geringer sieht das Bundesverwaltungsgericht die Hürden bei der «reinen» Telekommunikationsüberwachung für die Strafverfolgung:
Weniger streng sind zwar die Anforderungen an die Telekommunikationsüberwachung. Doch setzen die Datenerhebung und entsprechend eine zweckändernde Übermittlungsbefugnis auch hier zumindest die Ausrichtung an schweren Straftaten voraus. Es ist deshalb unverhältnismäßig, wenn […|das] BKAG schon Straftaten mit einer Höchststrafe von mindestens fünf Jahren genügen lässt, womit auch Delikte eingeschlossen sind, die nur zur mittleren Kriminalität zu rechnen sind und unter Umständen auch Delikte der Massenkriminalität wie den einfachen Diebstahl, die öffentliche Verleumdung oder die einfache Körperverletzung umfassen.
Dazu muss auch gewährleistet sein, «dass eine Quellen-Telekommunikationsüberwachung nur bei einer technisch sichergestellten Begrenzung der Überwachung auf die laufende Telekommunikation erlaubt ist». Falls dies nicht adäquat sichergestellt werden kann, müssen die Voraussetzungen zur Online-Durchsuchung erfüllt sein.
In der Schweiz sollen hingegen mit dem neuen Überwachungsgesetz BÜPF auch Staatstrojaner zur Verfolgung von Delikten mittlerer Kriminalität bis hin zum einfachen Diebstahl zugelassen werden. Eine technische Einschränkung auf «reine» Telekommunikation ist dabei nicht vorgesehen.
Bereits diese wichtigen Fragen zur digitalen Intimsphäre zeigen, dass eine klare Rechtsgrundlage für den Einsatz von Staatstrojanern zwingend nötig wäre. Diese lässt sich nicht aus den bereits vorhandenen Bestimmungen zur Überwachung der Telekommunikation (StPO Art. 269 ff) oder mit technischen Überwachungsgeräten (StPO Art. 280 ff) ableiten. Ein entsprechendes Gesetz müsste zudem auch weitere, technische Fragen beantworten:
- Dürfen Sicherheitslücken aus dem Grau- oder Schwarzmarkt verwendet werden?
- Wie wird sichergestellt, dass die Sicherheit des betroffenen Datenverarbeitungssystems durch die Massnahme nicht beeinträchtigt wird?
- Wie wird sichergestellt, dass nach Abschluss der Massnahme das Datenverarbeitungssystem in seinen Ursprungszustand versetzt werden kann?
- Wer haftet bei Schäden?
- Dürfen unrechtmässig erlangte Daten und Erkenntnisse verwendet werden (Zufallsfunde)?
Aus all diesen Gründen ist es unverständlich, wie Mario Fehr weiterhin erwägen kann, «zusammen mit anderen Kantonen und allenfalls mit Hochschulen eine Verbundlösung für die eigene Entwicklung einer solchen Software anzustreben».