© Barbara Wimmer

Netzpolitik
06/25/2019

Bundestrojaner und Gesichtserkennung im Visier der Verfassungsrichter

Experten der Bundesregierung stellten sich den Fragen der Verfassungsrichter zum Bundestrojaner und zur Kennzeichenerfassung.

Der ehemalige Innenminister Herbert Kickl (FPÖ) der Türkis-Blauen-Bundesregierung ließ ihn als „geheim“ einstufen: den Bundestrojaner. Weder Journalisten noch Nationalratsabgeordnete bekamen Auskünfte darüber, wie und mit welcher Software künftig verschlüsselte Nachrichten überwacht werden sollen. Umso bemerkenswerter ist es, dass der Verfassungsgerichtshof (VfGH) am Dienstag seine Verhandlung zu dieser Causa öffentlich machte.

Noch gibt es kein Programm

61 Abgeordnete der SPÖ und der NEOS hatten eine Beschwerde gegen diese und andere Maßnahmen aus dem Überwachungspaket der alten Regierung eingebracht. Für das Justizministerium gaben Sektionschef Christian Pilnacek und ein technischer Experte der Bundesregierung nun also erstmals Auskünfte darüber. Behörden können derzeit WhatsApp oder Skype nicht mitlesen. Die Überwachung scheitere derzeit an der Technik, so Pilnacek. Daher sei es notwendig und verhältnismäßig, dass dies bei schweren Verbrechen möglich sein müsse. „Derzeit gibt es noch kein Programm und es ist noch nicht angekauft“, sagt Pilnacek. Der Einsatz ist für April 2020 geplant.

Auf die Frage der Verfassungsrichter, was im „Leistungskatalog der Anforderungen“ stehen werde, sagte der Sektionschef, dass das Überwachungsprogramm ausschließlich die Kommunikation überwachen dürfe, aber nicht die gesamten Inhalte des Geräts untersuchen dürfe. Auf die Frage, wie das Programm dies identifiziere, sagte Pilnacek: „Auch das darf nicht die Aufgabe des Programms sein.“

VFGH VERHANDLUNG "SICHERHEITSPAKET": GRABENWARTER

Überwachung oder Online-Durchsuchung

Zerpflückt wurde diese Aussage Pilnaceks von Michael Sonntag von der Johannes Kepler Universität, der von den Antragstellern als technischer Experte geladen war. Man müsse den gesamten Computer vorher untersuchen, sonst könne man keine Überwachungssoftware darauf installieren. Die Richter interessierten sich für die Frage, ob man technisch überhaupt unterscheiden könne, ob es sich dabei um eine Überwachung oder eine Online-Durchsuchung handle. Dabei verschwimmen die Grenzen nämlich. Auch der technische Experte der Bundesregierung musste einräumen, dass dies lediglich von der „Freischaltung von bestimmten Funktionen“ abhänge.

Pilnaceck verteidigte die Maßnahme des Bundestrojaners dennoch. 2014 bis 2016 habe es 71 Fälle gegeben, die nicht aufgeklärt werden konnten, weil Nachrichten verschlüsselt gewesen waren. Für den Sektionschef gibt es daher keine „gelinderen Mittel“.

Staat muss Bürger schützen - eigentlich

Laut den Antragstellern der SPÖ und NEOS stellt die Überwachung verschlüsselter Nachrichten zudem eine „Verletzung der positiven Schutzpflichten“ des Staats dar. Übersetzt bedeutet das: Während der Staat, um die Möglichkeit der Überwachung zu gewährleisten, einerseits in die Unsicherheit der am häufigsten verwendeten Computersysteme investierten muss, ist er andererseits verpflichtet, die Unverletzlichkeit der Individualkommunikation gegen Gefahren zu schützen.

Die Vertreterin der Bundesregierung sah bei der Verhandlung jedoch „keine Schutzpflicht verletzt“. Bei der Überwachung der Kommunikation handle es sich um eine Ermittlungsmaßnahme, so die Argumentation. Außerdem müsse man sonst jegliche Kommunikation, die nicht sicher ist, verbieten. Der Anwalt der Antragsteller, Michael Rohregger, berief sich bei den Schutzpflichten auf Artikel 8 der Menschenrechtskonvention. Der Staat dürfe sich in bestimmten Situationen davon freispielen, das sei richtig, aber nur, wenn die Verhältnismäßigkeit gewahrt sei. Das sei der entscheidende Maßstab, so Rohregger.

Wie das mit den Sicherheitslücken funktioniert

Die Kritik, dass der Staat mit einem Bundestrojaner selbst Sicherheitslücken fördern würde, schmetterte Pilnacek folgendermaßen ab: Die österreichischen Sicherheitsbehörden würden selbst keine Sicherheitslücken einsetzen. Das mache nicht die Behörde, sondern der Auftragnehmer, so die Argumentation. „Diese würden den ganzen Tag nichts anderes machen, als Schwachstellen zu suchen. Diese Anbieter versuchen die Expertise im eigenen Haus aufzubauen. Durch bloßes Zukaufen von Lücken würde man nicht weit kommen“, heißt es. Zudem gebe es natürlich zweifelhafte Anbieter im Bereich der Überwachungssoftware, aber es gebe auch „seriöse“.

Rohregger warnte davor, dass der Staat „mit der Brechstange“ anrücke, um an die verschlüsselte Kommunikation von Verdächtigen auf Smartphone oder PC zu gelangen. Was geplant sei, gehe deutlich über das hinaus, was im Rahmen einer Hausdurchsuchung erlaubt sei.

Hausdurchsuchung als Thema

Die Verfassungsrichter hinterfragten zudem, ob es sich um eine Hausdurchsuchung handle, wenn ein Bundestrojaner physisch auf einen Computer oder Smartphone installiert werden muss und dabei heimlich eingedrungen wird. Die Vertreter der Bundesregierung argumentierten damit, dass dies nicht der Fall ist. Die Verfassungsrichter hinterfragen dies jedoch, da sich das Eindringen in Wohnungen sogar auf das Hausrecht bezieht.

Pilnacek argumentierte zudem, dass in vielen Fällen gar kein Eindringen in eine Wohnung notwendig sei. "Wenn ich dasselbe iPhone mit derselben Farbe habe, kann ich es auch im Lokal austauschen, um die Software zu installieren." Überhaupt müsse man weggehen von den Gedanken, dass es sich vorwiegend um Computer-PCs handle. Smartphones seien auf dem Vormarsch und bei diesen würden Nutzer etwa beispielsweise in der Regel auch kaum Backups einspielen. Das wäre eine der Möglichkeiten, um den Bundestrojaner wieder auf das Gerät zu bekommen, wenn dieser bereits von den Behörden aus der Ferne entfernt worden war. 

Im ersten Teil der Verhandlung ging es zudem um die Ausweitung der Kennzeichenüberwachung. Dabei ging es auch darum, ob dadurch die Identifizierung von Fahrzeuglenkern möglich wird. Rohregger warnte davor, dass die ermöglichte Streubreite an Überwachungsmöglichkeiten eine großen Teil der Bevölkerung zu anlasslos überwachten Subjekten zu machen drohe. Laut der Bundesregierung soll auch hier noch kein „technisches System“ angeschafft worden sein.

Kennzeichenerkennung und Gesichtsfelder

Das zukünftige Kennzeichenerkennungssystem soll auf jeden Fall ein "Gesamtbild" erstellen, das den Polizisten zur Verfügung gestellt wird, so die Bundesregierung. Die technischen Vorkehrungen, das dabei nur einzelne Aspekte erkannt werden dürfen, sei noch Gegenstand der Verhandlungen mit den Bietern.

Der automatisierte Abgleich des erfassten Gesichtsfelds zur Fahrererkennung mit Informationen der Behörden, sei aber nicht vorgesehen und derzeit technisch nicht möglich, heißt es im selben Atemzug. Rohregger warnte davor, dass sich Österreich „in eine Warteschlange jener autoritärer Staaten einreihen könnte, die sich um chinesische Überwachungsmöglichkeiten bemühen“.

Noch keine Entscheidung

Die öffentliche Verhandlung dauerte insgesamt vier Stunden. Es ist derzeit noch unklar, ob noch ein Verhandlungstermin anberaumt wird, damit die Verfassungsrichter eine Entscheidung treffen können, oder ob das Urteil direkt ergehen wird.

Vor der Verhandlung haben Aktivisten der NGO epicenter.works mit Transparenten auf ihre Kritik zum Überwachungspaket auf sich aufmerksam gemacht. Auf den Transparenten zu lesen war ein „Nein zum Bundestrojaner“. Die Juristin der NGO, Angelika Adensamer, sagte im futurezone-Gespräch vor der Verhandlung, dass es schwer abzuschätzen sei, ob der Bundestrojaner gekippt werden könne. Bei der Ausweitung der Kennzeichenüberwachung sieht die Juristin „bessere Chancen“.