Österreich: Arbeitsgruppe Online-Durchsuchung legt Bericht vor

[heise] Die interministerielle Arbeitsgruppe Online-Durchsuchung der
österreichischen Bundesministerien für Inneres und Justiz hat am
heutigen Mittwoch ihren Abschlussbericht
(PDF-Datei) vorgelegt. Gefordert wird darin, dass eine geheime
Online-Überwachung nur im Einzelfall und durch ein höheres
Richtergremium genehmigt werden dürfe. Gleichzeitig soll der im
Innenministerium angesiedelte Rechtsschutzbeauftragte aufgewertet
werden. Alle Rechtsentscheidungen zu geheimen Überwachungen sollen nach
der Maßnahme, jedenfalls aber nach Ablauf eines bestimmten Zeitraumes,
anonymisiert veröffentlicht werden müssen. Die Arbeitsgruppe war von
den Ministerien im Oktober 2007 zur Klärung rechtlicher Fragen und
technischer Voraussetzungen eingesetzt worden.

Das knapp 100 Seiten starke Papier erörtert technische Fragen der
verschiedenen Varianten von "Online-Durchsuchungen", die Gesetzeslage
in Österreich, verfassungs- und europarechtliche Aspekte sowie die
Rechtslage in einer Reihe anderer Länder (darunter Deutschland).
Gestreift werden auch Rechtsschutz und Rechtmäßigkeitsgarantien, die
Frage des forensischen Beweiswertes und sozio-politische Aspekte. Im
österreichischen Sicherheitspolizeirecht findet sich nach Ansicht der
Arbeitsgruppe keine Bestimmung, "die auch nur annähernd eine taugliche
Rechtsgrundlage für die Online-Durchsuchung abgäbe. Gleiches gilt für
das Militärbefugnisrecht sowie für das Telekommunikationsrecht".

"Aus verfassungsrechtlicher Sicht sind eine Reihe von Grundrechten
betroffen, die der Einführung einer Online-Durchsuchung Schranken
setzen und staatliche Gewährleistungspflichten mobilisieren." Nötig
seien spezielle gesetzliche Ermächtigungen, die "im Wesentlichen
fehlen", bilanzieren die Experten. "Sollte die Entscheidung für
gesetzliche Maßnahmen fallen, mit denen Online-Durchsuchungen erlaubt
werden, so müssten flankierende Instrumente des Rechtsschutzes und der
Kontrolle weiter entwickelt und zum Teil neue geschaffen werden." Dazu
zählen nach Ansicht der Autoren "insbesondere Kontrollen durch ein
höheres Richtergremium, Verbesserungen beim kommissarischen Schutz
durch Rechtsschutzbeauftragte sowie eine wissenschaftliche Kontrolle
durch nachträgliche Veröffentlichung der maßgebenden
Rechtsentscheidungen in anonymisierter Form."

Aus strafrechtlicher Sicht wird festgestellt, dass nach derzeitiger
Rechtslage nur ein Teil der Online-Überwachungen rechtskonform erfolgen
kann. Nachrichtenbezogene Computeranwendungen wie E-Mail oder VoIP
können überwacht werden, nicht aber Datenverarbeitungen, die nicht
nachrichten- oder kommunikationsbezogen sind (Textverarbeitung,
Datenbanken, etc.). Akustische Überwachung darf sich nur auf Äußerungen
einer Person beziehen, nicht jedoch auf die auf einem Speichermedium
abgelegten Informationen. "Allerdings wäre es wohl zulässig, eine
optische Überwachung so einzurichten, dass damit das Verhalten einer
Person in Bezug auf deren Aktivitäten vor einem Bildschirm erfasst und
überwacht werden kann (hochauflösbare Kamera, die eine Auswertung der
Eingaben auf einer Tastatur ermöglicht)", heißt es in dem Bericht.

Der Bericht stellt darüber hinaus fest, dass eine
Online-Durchsuchung auf verschiedene Weise erfolgen kann: Durch die
Untersuchung des physischen Gerätes im Zuge einer verdeckten oder
offenen Hausdurchsuchung oder nach einer Beschlagnahme; durch den
heimlichen Einsatz von Trojanern, neudeutsch "Remote Forensic Software"
genannt; durch Abfangen elektromagnetischer Emissionen
("kompromittierende Abstrahlung"); durch Einbau eines Hardware-Moduls
im Zielrechner ("Remote Forensic Hardware"); schließlich durch die
Überwachung des Datenverkehrs, etwa beim jeweiligen Zugangsanbieter.

Brisant ist die Feststellung, wonach eine bekannt gewordenen Überwachung eines Computers
nicht rechtskonform war: "Einen Graubereich stellt die offenbar in
einem Fall praktizierte Anwendung einer Software dar, durch die der
Bildschirminhalt ("Screenshots") in Abständen von ungefähr einer Minute
und die Keylog-Daten übertragen und überwacht wurden." Auf diese Weise
waren, zusammen mit akustischen Abhörgeräten, der Terrorverdächtige
Mahmoud M. und sein Computer überwacht worden. Das Gericht wertete die
Maßnahmen als zulässig und verurteilte M. im März zu vier Jahren Haft.
Das Urteil ist nicht rechtskräftig. Selbst wenn die Installation einer
solchen Software durch die Strafprozessordnung als gedeckt anzusehen
sei, folgert die Arbeitsgruppe, so müsse eine Eingrenzung auf echte
Kommunikationsvorgänge gefordert werden. (Daniel AJ Sokolov) /
(vbr/c’t)

Source: http://www.heise.de