Das Innenministerium lässt den Einsatz von Software prüfen, die – vom Nutzer unbemerkt – Daten auf Computern untersucht. Das wirft massive rechtliche Probleme auf.
WIEN. Computerschädlinge werden in aller Regel von Hackern zur Ausspionierung oder Beschädigung elektronisch gespeicherter Daten eingesetzt. Nun wird laut überlegt, ob die Behörden zur Verbrechensbekämpfung über das Internet Programme auf den Festplatten heimischer Computernutzer ohne deren Wissen installieren dürfen, um vom Nutzer unbemerkt E-Mails und Daten auf der Festplatte oder im Arbeitsspeicher prüfen zu können.
Ein solches Prüfen stellt einen massiven Eingriff in das Recht auf Privatsphäre und den Datenschutz dar. In Deutschland haben die Behörden in Bezug auf ähnliche Programme bereits eine Rüge des BGH kassiert: So führte der 3. Strafsenat des BGH im Beschluss vom 31. Jänner 2007 (StB 18/06) aus, dass sich die Behörden insbesondere wegen der Heimlichkeit des Einsatzes solcher Programme nicht auf die bestehenden Ermächtigungen zur Durchsuchung von Personen und Papieren stützen können. Die „verdeckte Online-Durchsuchung“, die erheblich in Grundrechte des Betroffenen eingreift, ist daher mangels einer formell-gesetzlichen Befugnisnorm unzulässig. Auch in Österreich mangelt es an einer gesetzlichen Grundlage für den Einsatz solcher Behördenprogramme; der Gesetzgeber müsste erst eine Eingriffsnorm schaffen und zugleich Vorkehrungen gegen den Missbrauch von Daten ergreifen.
In jedem Fall müsste für eine derartige Überwachungsmaßnahme wie bei allen anderen ähnlichen technisch komplexen Ermittlungsmethoden (wie dem Lauschangriff) der dringende Verdacht einer strafbaren Handlung vorliegen sowie die beobachtete Person ausreichend individualisiert sein. Einer Pauschalüberwachung mit nachträglicher Auswertung von Zufallsfunden hat der VfGH erst kürzlich im Section-Control-Erkenntnis eine klare Absage erteilt.
Probleme ergeben sich aber nicht nur bei der grundrechtlichen Rechtfertigung: Es ist zu erwarten, dass sich auch Hacker über kurz oder lang dieser Behördensoftware bemächtigen werden, um sie für eigene, illegale Zwecke zu nutzen. Damit wird für findige Hacker Tür und Tor für die Ausspionage von Betriebsgeheimnissen und sensiblen Daten geöffnet. Nachdem das Programm von staatlichen Behörden verbreitet werden würde, müssten dann Zivilgerichte klären, ob bei unrechtmäßigem Einsatz dieser (allenfalls auch leicht abgeänderten) Software durch Hacker eine Amtshaftung des Bundes in Betracht kommt. In diesem Zusammenhang sind auch Schäden in erheblicher Höhe bei in- und ausländischen Unternehmen nicht auszuschließen, für die allenfalls der Bund einzustehen hätte, falls sein Überwachungsmittel eben nicht „hackersicher“ war. Besonders pikant wäre der Fall, dass mit dieser Software andere Staaten direkt geschädigt würden, etwa durch ein Eindringen in dortige Behördencomputer. Dies würde die völkerrechtliche Verantwortlichkeit der Republik Österreich nach sich ziehen.
Ist Selbstschutz erlaubt?
Für den Nutzer, der ein solches Behördenprogramm auf seiner Festplatte entdeckt, stellt sich aber auch die Frage, ob er im Wege des Selbstschutzes dieses Prüfprogramm unschädlich machen darf, zumal er mangels Verständigung von der Installation auch nicht zweifelsfrei wird feststellen können, ob er nun im Fokus der Behörden oder Opfer eines illegalen Hackerangriffes ist. In diesem Zusammenhang ist auch zu klären, ob Personen, die vermuten oder gar wissen, dass sie überwacht werden, einfache Abwehrmaßnahmen setzen dürfen. So werden bereits jetzt zur Abwehr illegaler Angriffe von Hackern Firewalls, Router oder Virenscanner und weitere Programme zum Auffinden von Computerschädlingen eingesetzt; sie zählen längst zum notwendigen Standard. Auch ist abzuwarten, ob weltweit tätige Hersteller derartiger Software zur Abwehr von Computerschädlingen Rücksicht auf das Behördenprogramm nehmen oder dieses womöglich sogar als Trojaner qualifizieren werden.
Dass der Einsatz einer solchen Behördensoftware zur Verbrechensbekämpfung ein untaugliches Instrument ist, beweisen auch schon deutsche Websites, die einfache Tipps zur Abwehr des ungeliebten Eindringlings parat halten, die selbst Laien leicht befolgen können und die Behörden vor schier unüberwindliche technische Hindernisse stellen dürften; es ist geradezu zu erwarten, dass sich die eigentlichen Zielpersonen behördlicher Hackerangriffe zu wehren wissen werden. Nachdem ein derart schwerwiegender Eingriff in die Privatsphäre und den Datenschutz neben weiteren zwingenden Voraussetzungen auch nur dann gerechtfertigt wäre, wenn er zur Zielerreichung (etwa der Terrorbekämpfung) tatsächlich geeignet ist, kann es auch als höchst fraglich angesehen werden, ob eine gesetzliche Ermächtigung zum Einsatz solcher Programme aus verfassungs- und grundrechtlicher Sicht überhaupt zulässig wäre.
Mag. Dr. Bresich LL.M und
Mag. Klingenbrunner arbeiten am Institut für Staats- und Verwaltungsrecht der Universität Wien.
("Die Presse", Print-Ausgabe, 27.06.2007)