Online-Überwachung mit Trojanern: Ein deutsches Urteil und wie das in Österreich aussieht

Von Franziska Trautmann

Grundrechtsverletzung oder Kriminalprävention – wie weit darf Überwachung gehen? Mittlerweile findet sie nicht mehr nur mit Kameras an Bahnhöfen oder in Geschäften statt, sondern auch am Smartphone und Computer. Klingt abwegig, ist aber in Deutschland seit acht Jahren der Fall: der sogenannte Staatstrojaner wird für die Online-Telekommunikationsüberwachung (TKÜ) bei Straftaten eingesetzt. Ob das überhaupt mit den Grundrechten der deutschen Verfassung vereinbar ist, wurde erst jetzt in Frage gestellt. 

"Schnüffel-Software" überwacht heimlich

Das Bundesverfassungsgericht in Karlsruhe widmete sich Anfang August dem umstrittenen Thema der TKÜ. Ihr Urteil: der Staatstrojaner ist verfassungskonform, ist aber nur mehr unter strengeren Voraussetzungen als bisher gehabt anzuwenden. Denn zuvor durften die Behörden den Staatstrojaner bei Straftaten ab drei Jahren Haft einsetzen – jetzt nur mehr ab mindestens fünf Jahren.

Die Richter begründeten ihre Entscheidung damit, dass es sich bei der Überwachung um einen schwerwiegenden Grundrechtseingriff handle und deswegen auch nur bei schweren Straftaten zum Einsatz kommen darf. 

Denn der Staatstrojaner ist wie jeder Trojaner eine „Schnüffel-Software“ die heimlich auf Geräten installiert werden kann. Damit können Behörden Programme auf den Computer laden, um zum Beispiel Passwörter herauszufinden oder Dateien und Dokumente zu durchsuchen. Die deutsche Polizei darf also bei Verdacht von bestimmten Straftaten die Smartphones von Tätern anzapfen und somit laufende Kommunikation überwachen – vom Telefon abhören bis zum WhatsApp-Nachrichten mitlesen. Ein Eingriff in Datenschutz und Privatsphäre, aber trotzdem legitim. In Deutschland ist das Gesetz bereits 2017 in die Strafprozessordnung aufgenommen worden. 

Den Ball ins Rollen gebracht hat eine Klage vom Verein Digitalcourage. Laut dem Verein sei diese Art von Überwachung ein Eingriff in die Grund- und Menschenrechte. Gestützt wurde die Anklage von Journalisten und Anwälten – Personen, die befürchten wegen vertraulicher Informationen mit Trojanern ausgeforscht zu werden. 

Auch Daniela Birnbauer, österreichische Rechtsanwältin mit Fokus auf Datenschutz- und Technologierecht in der Kanzlei Schönherr, äußerte sich kritisch gegenüber dem KURIER: „Rechtlich handelt es sich um einen tiefgehenden Eingriff in die Grundrechte, insbesondere das Recht auf Privatsphäre. Die Gefahr des Missbrauchs ist real, wie zahlreiche internationale Beispiele zeigen, bei denen Überwachungssoftware auch gegen Journalisten, Anwälte oder politische Gegner eingesetzt wurde.“ 

Laut ihr bringe dieses strafrechtliche Vorgehen auch gesellschaftliche Risiken mit sich: „Gesellschaftlich besteht das Risiko eines Vertrauensverlusts in staatliche Institutionen und einer schleichenden Normalisierung von Überwachung, was das demokratische Gefüge und die Meinungsfreiheit nachhaltig beeinträchtigen kann.“

Österreichischer Bundestrojaner als "Ultima Ratio"

Aber wie sieht die Rechtslage in Österreich aus? Auch bei uns ist eine Messenger-Überwachung nicht mehr weit entfernt. Im Juli stimmte das Parlament für den sogenannten Bundestrojaner. Damit möchte man verschlüsselte und unverschlüsselte digitale Kommunikation überwachen, um vor allem schwerwiegende verfassungsgefährdende Angriffe abzuwehren, zum Beispiel Terroranschläge.

Laut Innenminister Gerhard Karner sei diese Maßnahme notwendig, um „auf Augenhöhe“ gegen Terroristen kämpfen zu können. Die Direktion Datenschutz und Nachrichtendienst (DSN) soll künftig die digitale Kommunikation überwachen können – aber nur als "Ultima Ratio". Außerdem sollen unabhängige Rechtsschutzbeauftragte und das Bundesverwaltungsgericht den Einsatz von Trojanern überprüfen. 

Anders als in Deutschland wird bei uns das rechtliche Korsett enger geschnürt: erst bei Freiheitsstrafen von mindestens zehn Jahren oder bei Spionage kommt der Bundestrojaner zum Einsatz. Außerdem darf er nur auf Messenger-Dienste wie WhatsApp oder Telegram zugreifen. Lokal gespeicherte Daten auf dem betroffenen Computersystem dürfen nicht ausgeforscht werden. 

Ob das in der Praxis so einfach umgesetzt werden kann, bezweifelt Birnbauer: „Kritiker bemängeln, dass die technische Trennung zwischen Messenger-Überwachung und vollständigem Zugriff auf das Gerät kaum realisierbar ist.“

EU-weite Chat-Kontrolle

Auch in Brüssel wird über Telekommunikationsüberwachung diskutiert, genauer eine Chat-Kontrolle. Über den Sommer hat die Europäische Kommission versucht die heiß-umstrittene CSAM/Chat-Kontrolle, offiziell „Verordnung zur Bekämpfung des sexuellen Missbrauchs von Kindern“, wiederzubeleben. Damit hat sich die EU vorgenommen, verschlüsseltes Bildmaterial über sexuellen Kindesmissbrauch im Internet zu bekämpfen. Das Gesetzesvorhaben wird seit 2022 in der EU diskutiert.

Und das nicht ohne Grund, denn der aktuelle Entwurf sieht eine flächendeckende automatisierte Durchsuchung privater Kommunikation vor – unabhängig von konkretem Verdacht. Das würde nicht nur öffentlich gemachte Inhalte, sondern auch private Chats, E-Mails und gespeicherte Daten betreffen. Und laut Birnbacher haben mehrere Studien bereits eine Fehlerquoten von bis zu 12 Prozent ergeben. 

Hochgerechnet auf die gesamte EU-Bevölkerung könnte das zu einer enormen Zahl falsch-positiver Verdachtsmeldungen führen und unschuldige Nutzer zu Unrecht verdächtigen. „Ein solch umfassender und anlassloser Zugriff auf Kommunikationsinhalte aller Bürgerinnen und Bürger ist in demokratischen Rechtsstaaten bislang beispiellos und würde einen Paradigmenwechsel im Umgang mit digitaler Privatsphäre bedeuten.“, gibt Birnbauer zu Bedenken.

Ob bei der nächsten Abstimmung dafür gestimmt wird, steht zwar noch in den Sternen, diesmal aber mit besseren Chancen. Denn Dänemark hat im Juli die Führung des Europäischen Rates bis Ende des Jahres übernommen. Und das nordische Land setzt sich schon länger für die Chat-Kontrolle ein.