Petition gegen das BÜPF - Vorratsdatenspeicherung und Staatstrojaner
tl/dr: Die geplante Ausweitung der Vorratsdatenspeicherung und der als geheime Überwachungsmassnahme vorgesehene Staatstrojaner verstossen gegen verfassungsrechtliche Vorgaben zum Umfang und zur Auslegung der Grundrechte auf informationelle Selbstbestimmung, Privatsphäre und Unverletzlichkeit der Wohnung. Dies wird dem Parlament anhand von sieben Verfassungsgerichtsentscheiden zum Thema nahegebracht. Dargelegt werden auch grundsätzliche technische Probleme beider Systeme, die an der Nützlichkeit und Beweiskraft der vorgesehenen Massnahmen stark zweifeln lassen.
Petition - Zum Geschäft 13.025 – Keine Erweiterung der Vorratsdatenspeicherung, Kein Staatstrojaner in der Schweiz! (Verfassungswidrigkeit beider Systeme)
An die Kommission für Rechtsfragen des Nationalrates
Gestützt auf Art. 33 BV, Art. 71 lit. g ParlG sowie Art. 21 Abs. 1 GRN,
bitten die Petenten die Kommission bei der Vorberatung des Geschäftes folgende verfassungsrechtlichen Problempunkte zu beachten, nach Art. 126 Abs. 2 Satz 2 ParlG zu verfahren und dem Nationalrat die Ablehnung des Geschäftes im Wege des Antrags vorzuschlagen.
Eventual bitten die Petenten die Kommission und den Rat, das Geschäft bis zur Entscheidung des EuGH über die Vereinbarkeit der Richtlinie 2006/24/EG mit der europäischen Grundrechtscharta (GRC) zu sistieren, um eine verfassungswidrige Vorlegiferierung zu vermeiden.
Begründung:
1. Anforderungen an die Vorratsdatenspeicherung nach der Verfassungsrechtsprechung
Der oberste Verwaltungsgerichtshof von Bulgarien (Върховния административен съд, SAC) hat mit Entscheidung vom 11. Dezember 2008[1], festgestellt, dass der auch physische Zugriff von Ermittlungsbehörden auf die Computer-Terminale der auf Vorrat gespeicherten Daten mit dem durch Artikel 32 der bulgarischen Verfassung (Конституция на Република България) garantiertem Recht auf Privatsphäre (Личният живот на гражданите е неприкосновен.) unvereinbar ist. Es hat weiter entschieden, dass die generelle Erlaubnis zur Datenverwertung für Belange des Strafprozess sowie der nationalen Sicherheit gegen Artikel 8 der europäischen Menschenrechtskonvention verstösst.
Der rumänische Verfassungsgerichtshof (Curtea Constituțională a României, CCR) hat mit Entscheidung vom 07. Oktober 2009[2] die rumänische Umsetzung der Vorratsdatenspeicherung für verfassungswidrig erklärt, weil diese, dadurch, dass die Verwendung der Daten nicht strikt auf den Strafprozess beschränkt war, das Recht auf Brief-, Post- und Fernmeldegeheimnis (Secretul corespondenţei) nach Artikel 28 der rumänischen Verfassung (Constituția României, CR) verletzt hat. Das Gericht stellte weiter fest, dass die sechsmonatige Frist zur Speicherung und Aufbewahrung aller Verbindungsdaten, wie es Artikel 6 der Richtlinie 2006/24/EG vorsieht, gegen die nach Art. 53 Abs. 2 CR einzig mögliche Einschränkung von Grundrechten nach demokratischer Notwendigkeit (Restrângerea exerciţiului unor drepturi sau al unor libertăţi) verstösst, weil sie unverhältnismässig und unnötig lang ist.
Das deutsche Bundesverfassungsgericht hat mit Urteil vom 02. März 2010[3] ausdrücklich bestätigt dass die deutsche Umsetzung der Vorratsdatenspeicherung gegen das Grundrecht auf Brief-, Post- und Fernmeldegeheimnis nach Art. 10 Abs. 1 GG verstösst. Es lässt eine vorsorgliche Datenspeicherung nur als Ausnahme, nicht jedoch als generelles Instrument und auch nur dann zu, wenn sowohl hinsichtlich des Umfangs der gespeicherten Daten als auch hinsichtlich der Verwertungsregeln seitens des Gesetzgebers und den ausführenden Behörden mit besonderer Zurückhaltung gehandelt wird.[4]
Die Vorratsdatenspeicherung wird dabei explizit als schwerer Eingriff in die Privatsphäre erachtet. [5] Die Speicherdauer von sechs Monaten liegt dabei gerade an der Oberdauer dessen, was noch äusserst knapp als verhältnismässig angesehen werden kann. Erforderlich ist auch eine (gesetzlich) garantierte Löschroutine nach Ablauf der Speicherdauer. Die Löschung muss protokolliert werden. [6] Weiter notwendig ist eine im Gesetz selbst vorgeschriebene, normenklare verbindliche Vorgabe eines besonders hohen Standards zur Datensicherung, der über das Schutzniveau, welches nach den Datenschutzgesetzen für die Lagerung und Bearbeitung von Personendaten erforderlich ist, hinauszugehen hat.[7] Verwendung finden dürfen die Daten nur, soweit eine besonders starke Rechtsgüterschutzverletzung stattfindet, also nur in Fällen schwerster Straftaten. [8]
Dies erfordert einen durch Tatsachen erhärteten dringenden Tatverdacht einer schweren Straftat, blosse Vermutungen oder gar einzig die Möglichkeit der Begehung genügen nicht, reine Verdachtsausforschung über das Mittel der Vorratsdatenspeicherung ist verboten. Die Schwere der Straftat muss zudem über den Strafrahmen objektiv ersichtlich sein, eine rein deklarative Bestimmung als „schwer“ genügt nicht. Die Tat muss zudem auch im Einzelfall schwer wiegen.[9] Die Abfrage der Daten erfordert in jedem Fall der Genehmigung durch den zuständigen Richter.[10]
Kann die Verwendung der Daten offen erfolgen, so darf sie nicht geheim vorgenommen werden, der Betroffene ist zeitgleich oder im Voraus mit der getroffenen Massnahme zu benachrichtigen.
Der Betroffene ist in jedem Fall nachträglich zu benachrichtigen, wobei in diesem Fall eine richterliche Anordnung erforderlich ist.[11]
Schliesslich hat es festgehalten, dass eine flächendeckende vorsorgliche Datenspeicherung aller für Strafverfolgung oder Gefahrenabwehr nützlichen Daten unabhängig von der Ausgestaltung der Verwertungsregeln verfassungswidrig ist. Die Vorratsdatenspeicherung darf insbesondere nicht „zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen“[12]
Sie führt als „chilling effect“ zudem auch ohne diese Möglichkeit zu einem ständigen Gefühl der Überwachung beim Bürger, weil sie in unvorhersehbarer Weise tiefe Einblicke in das Privatleben erlaubt, ohne dass diese seitens des Bürgers in irgendeiner Form bemerkt oder direkt gerügt werden können, sodass dieser davon ausgehen muss, dass der Staat über seine höchstpersönlichen Geheimnisse jeglicher Art zu jeder Zeit umfassend Bescheid weiss.[13]
Der Oberste Gerichtshof von Zypern (ΑΝΩΤΑΤΟ ΔΙΚΑΣΤΗΡΙΟ ΚΥΠΡΟΥ), hat am 01. Februar 2011[14] entschieden, dass die aus der Vorratsdatenspeicherung gewonnen Informationen nicht für die gewöhnliche Polizeiarbeit, sondern nur für Strafverfolgung innerhalb eines förmlichen Strafverfahrens und bei besonders gefährlichen Personen, insbesondere bei Häftlingen verwendet werden dürfen. Soweit sie gleichwohl für die alltägliche Bewältigung von Problemen des Polizeirechts, insbesondere zur Gefahrenabwehr verwendet wird, verstösst sie gegen das in Art. 17 der zypriotischen Verfassung (Σύνταγμα της Κυπριακής Δημοκρατίας) verbürgte Recht auf Wahrung des Brief-, Post- und Fernmeldegeheimnisses. (Έκαστος έχει το δικαίωμα σεβασμού και διασφαλίσεως του απορρήτου της αλληλογραφία)
Das Verfassungsgericht der Republik Tschechien (Ústavní soud České republiky, ÚS) hat mit Entscheidung vom 22. März 2011[15] festgestellt, dass die tschechische Umsetzung der Vorratsdatenspeicherung gegen das Grundrecht auf Informationelle Selbstbestimmung (Každý má právo na ochranu před neoprávněným shromažďováním údajů o své osobě. / Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.) nach Art. 10 Abs. 3 und Art. 13 der Urkunde der grundlegenden Rechte und -freiheiten (Listina základních práv a svobod), dem tschechischen Grundrechtskatalog verstösst.
Dieser ist integraler Bestandteil der tschechischen Verfassung (Ústava České republiky) gemäss deren Artikel 3 (Součástí ústavního pořádku České republiky je Listina základních práv a svobod.), sodass ein Verstoss gegen die Urkunde einem Verfassungsverstoss gleichkommt. Das Gericht hat damit im Ergebnis die tschechische Umsetzung der Vorratsdatenspeicherung für verfassungswidrig erklärt. Dies namentlich aufgrund der folgenden Überlegungen:
Ein allwissender Staat führt unweigerlich dazu, dass die fundamentalen Rechte auf Privatsphäre, Meinungsfreiheit und die persönliche Freiheit illusionär und inexistent werden.[16]
Aus diesem Grund darf der Staat nicht über sämtliche Informationen seiner Bürger verfügen. Dies gilt auch für Informationen, die über moderne Kommunikationsmittel versandt werden und insbesondere auch für solche Informationen, welche der Bürger seinen Freunden und Bekannten preisgibt (nicht aber veröffentlichen möchte), weil dieser Aspekt der individuellen Privatsphäre, das Recht auf informationelle Selbstbestimmung als Grundrecht in seiner Wichtigkeit gerade in modernen Zeiten gar nicht überschätzt werden kann![17]
Nicht nur der Inhalt von Kommunikation erfährt zurecht höchsten Grundrechtsschutz, sondern auch die sogenannten Randdaten (besser „Metadaten“), die angeben, wann, wer, wo und mit wem, wielange kommuniziert hat.[18] Teilweise sind diese Daten sogar weit bedeutsamer, als der – häufig belanglose – Inhalt der Kommunikation, da anhand ihrer eruiert werden kann, welche Freunde und Bekanntschaften eine bestimmte Einzelperson hat, wie ihr ungefährer Tagesablauf aussieht, in welchen Räumlichkeiten sie sich aufhält etc...[19]
Angesichts der häufig überschäumenden Phantasie der Strafverfolgungsbehörden ist es für unschuldige Personen nämlich besonders leicht, anhand der Metadaten ihrer Kommunikation unbegründet unter Tatverdacht zu geraten. So genügt unter Umständen bereits der einmalige Kontakt zu einer verdächtigen Person (anhand der Metadaten ist nicht ersichtlich, ob dieser überhaupt relevant ist), um selbst unverschuldet in das Radar der Untersuchungsbehörden zu fallen.
Um solche gleichermassen ausufernde wie sinnlose Verdachtsausforschungen zu verhindern, sind auch – und gerade! – die Strafverfolgungsbehörden an die engen verfassungsrechtlichen Grenzen zur Einschränkung der Privatsphäre in Ausnahmefällen! gebunden.[20]
Das Gericht äussert zudem – zurecht – grundlegende Bedenken gegenüber der Notwendigkeit der Vorratsdatenspeicherung. Insbesondere bezweifelt es, dass die generelle Speicherung aller Metadaten jeglichen Datenverkehrs im Internet angesichts der besonderen Schwere des damit erfolgten Eingriffs in die Privatsphäre in einer demokratischen Ordnung überhaupt notwendig und adäquat, also erforderlich sein kann.[21]
Weiter zweifelt das Gericht an, dass es zulässig, oder auch nur rechtsphilosophisch wie sozialpolitisch erwünscht sein kann, dass private Unternehmen dazu berechtigt und verpflichtet werden, den Datenverkehr ihrer Kunden zu observieren, diesen generell zu sichern und den Strafbehörden auf Anfrage weiterzuleiten oder auch nur für interne Angelegenheiten (Abrechnungen bei säumigen Zahlern, statistische Auswertung für Marketing und Entwicklung) zu verwenden.[22]
Aus der Verfassungsrechtsprechung dieser fünf Nationen sind demnach folgende 16 Punkte als zwingend erforderliche Voraussetzungen für eine verfassungskonforme Umsetzung der Vorratsdatenspeicherung zu entnehmen:
Datenspeicherung
2. Generelle verfassungsrechtliche Bedenken zur Vorratsdatenspeicherung, Sistierung
Gegenüber der Vorratsdatenspeicherung als Instrument bestehen zudem auch grundsätzliche verfassungsrechtliche Vorbehalte. So ist insbesondere noch unklar, ob
Der Österreichische Verfassungsgerichtshof hat mit Beschluss vom 28. November 2012[23] gerade obige Problempunkte angemahnt und dem europäischen Gerichtshof zur Entscheidung über die Frage, ob die Vorratsdatenspeicherung an sich mit den Artikeln 7, 8 und 11 der europäischen Grundrechtecharta vereinbar ist, vorgelegt.
In diesem Zusammenhang (Eignung und Erforderlichkeit der Massnahme) erlauben sich die Petenten ein Gutachten des Wissenschaftlichen Dienstes des deutschen Bundestags[24], sowie eine Auswertung der deutschen Kriminalstatistik im fraglichen Zeitraum von privater Seite[25] (Arbeitskreis Vorratsdatenspeicherung) anzuführen, die belegen, dass die Vorratsdatenspeicherung nicht nur zu keinem signifikanten positiven Effekt auf die Aufklärungsrate schwerer Straftaten oder typischer „Internetdelikte“ führte, sondern vielmehr mit sehr hoher Wahrscheinlichkeit für einen Rückgang der Aufklärungsrate verantwortlich ist.
In Anlehnung an den sehr umsichtigen Entscheid[26] des Bundesrates, die Ratifizierung von ACTA bis zum (dann ablehnend erfolgten) Entscheid des europäischen Parlaments auszusetzen, ist das Geschäft bis zur rechtsverbindlichen Klärung obiger verfassungsrechtlicher Fragen zu sistieren.
3. Unvereinbarkeit des vorliegenden Entwurfs mit der verfassungsrechtlichen Vorgaben
Der vorliegende Entwurf[27] zum Geschäft 13.025 genügt den aufgezeigten Anforderungen nicht im Geringsten. Er hält grundlegende Vorgaben aller drei Bereiche (Datenspeicherung, Datenverwertung, Datensicherung) nicht ein und ist demzufolge verfassungsrechtlich unzulässig.
Datenspeicherung
Artikel 8 des Entwurfs bezeichnet den Inhalt des Verarbeitungssystems des Überwachungsdienstes. Er listet dabei sowohl inhaltliche Kommunikationsdaten im Rahmen einer konkreten Fernmeldeüberwachung (lit. a), als auch die aus der Vorratsdatenspeicherung anlasslos gewonnen Metadaten (lit. b) gemeinsam auf und vereint sie im selben System. Das ist unzulässig.
Diese Daten dürfen nicht miteinander verknüpft werden. Sie sind daher institutionell zu trennen. Sie dürfen nicht im selben Verarbeitungssystem vorhanden sein, weil ansonsten die Kontrolle, dass keine umfassende Speicherung aller für die Strafverfolgung nützlicher Daten erfolgt und dass insbesondere das Verbot der Verdachtsausforschung beachtet wird, nicht gewährleistet werden kann.
Artikel 11 des Entwurfs bezeichnet die Aufbewahrungsfrist von Inhalts- und Metadaten, die im Rahmen der strafprozessrechtlichen Überwachung nach Art. 269ff. nStPO gesammelt wurden. Die Höchstfrist zur Aufbewahrung soll dabei gem. Art. 11 Abs. 2ff. nBÜPF bei 30 Jahren liegen. Kein einziges anderes Beweismittel wird über eine derart unverhältnismässig lange Zeit aufbewahrt. Eine Begründung dafür, weshalb ausgerechnet die hochsensiblen Kommunikationsdaten und Metadaten derart lange aufbewahrt werden sollen, obwohl diese Zeit sogar noch weit über der Verfolgungsverjährung der meisten von Art. 269 Abs. 2 nStPO erfassten, überwachungsauslösenden Straftaten liegt, also die Beweise auch dann noch vorgehalten werden sollen, wenn sie ihren Wert längst verloren haben, ist aus dem Gesetzestext nicht ersichtlich. Es ist auch offensichtlich nicht sinnvoll, unnütze Beweise zu stapeln, die – auch wenn sie aufgrund ihrer Digitalität kaum Platz wegnehmen werden – doch allein durch ihre Lagerung weiter einen empfindlichen Eingriff in die Privatsphäre des Betroffenen darstellen.
Artikel 22 des Entwurfs bestimmt, welche Informationen die Internetanbieter gezwungenermassen an den Überwachungsdienst des Bundes zur Identifikation von Nutzern übermitteln müssen. Zumindest sollte er dies zufolge entsprechender Marginalie tun. Art. 22 Abs. 2 nBÜPF verweist hingegen erneut allein auf den Bundesrat zur Ausfertigung einer entsprechenden Ausführungsverordnung. Der Umfang der Vorratsdatenspeicherung muss jedoch im Gesetz selbst explizit zum Ausdruck kommen, eine Delegation der Bestimmung dessen ist unzulässig.
Dasselbe gilt auch für die nach Artikel 23 des Entwurfs vorgenommene Delegation an den Bundesrat zum Erlass der Bestimmungen über die Form der Erfassung und die Aufbewahrung der erfassten Daten seitens der Internetanbieter.
In beiden Fällen besteht aufgrund des starken Grundrechtseingriffs, welche die Vorratsdatenspeicherung an sich darstellt, keinerlei Spielraum für die Regierung, die Details zu regeln, auch nicht durch Gesetzesdelegation.
Dies ist vielmehr die ureigenste Aufgabe der Bundesversammlung, die dies in Erfüllung ihrer Funktion als Gesetzgeber nach Art. 164 Abs. 1 lit. b BV sowie Art. 36 Abs. 1 Satz 2 BV selbständig zu vollziehen hat und im Gesetz ausdrücklich und unter Wahrung der Grundrechte festhalten muss. Will sie das nicht tun, so bleibt ihr einzig die Möglichkeit, die betroffenen Artikel und damit auch deren Rechtswirkung durch ersatzlose Streichung zu erledigen.
Artikel 26 des Entwurfs legt einerseits Duldungspflichten der Internetanbieter fest und ordnet andererseits die Dauer der Speicherungsfrist fest. Beides ist in der konkreten Ausgestaltung nach den verfassungsrechtlichen Vorgaben unzulässig. So ist es insbesondere nicht statthaft, den Ermittlern unmittelbaren physischen Zugriff auf die Informatiksystem, insbesondere die Computer-Terminale (Server), auf welchen die gespeicherten Daten vorhanden sind, einzuräumen, wie dies Art. 26 Abs. 2 lit. b nBÜPF vorschreibt. Dadurch wird namentlich das Recht der Internetanbieter auf Unverletzlichkeit der Wohnung, sowie auf Privatsphäre verletzt. (Art. 13 Abs. 1 BV)
Auch die Pflicht der Internetanbieter zur Entfernung der von ihnen angebrachten Verschlüsselungen nach Art. 26 Abs. 2 lit. c nBÜPF erscheint seltsam. Soweit damit Dienstleistungen für den Kunden gemeint sind, dürfte es regelmässig kaum möglich sein, die Verschlüsselung überhaupt zu entfernen, weil der Kunde der Einzige ist, welcher über den Schlüssel, das Passwort verfügt.[28] Soweit es um Verschlüsselungen geht, die der eigenen Datensicherung dienen, ist völlig unverständlich, weshalb die Sicherung selbst abgebaut werden soll und nicht einfach verlangt ist, dass der entsprechende Schlüssel respektive dessen Kopie herausgegeben wird.
Art. 26 Abs. 2 lit. c nBÜPF führt in vorliegender Formulierung jedenfalls zu einem Absinken des Schutzniveaus der Datensicherung und verstösst insofern gegen den durch das Verfassungsrecht vorgegebene Grundsatz auf besondere technische Sicherung der Vorratsdaten gegenüber internem und externem Missbrauch.
Klar unverhältnismässig ist auch die vorgesehene Speicherdauer. Gem. Art. 26 Abs. 5 nBÜPF soll diese neu 12 Monate betragen. Nach den verfassungsrechtlichen Vorgaben ist jedoch bereits eine sechsmonatige Speicherfrist gerade an der äussersten Kante dessen, was noch als verhältnismässig vertreten werden kann und selbst diese gilt – zurecht – schon als unnötig lang.
Seitens des Bundesrates[29] wird ausgeführt, die Verdopplung der Speicherfrist würde die Verbrechensbekämpfung verbessern. Dem ist nicht der Fall. Wie angeführt (siehe Fn. 24f.) verbessert die Vorratsdatenspeicherung generell die Aufklärungsrate von Straftaten nicht.
Es gab bislang auch nur einen bekannten Fall, in welchem eine Ausweitung der Frist auf zwölf Monate bei der Ermittlung hätte helfen können, und ausgerechnet dieser betraf Straftaten, für welche die Vorratsdatenspeicherung aufgrund der fehlenden Schwere der Tat gar nicht erst hätte ausgewertet werden dürfen![30]
(Unbefugtes Eindringen in ein Datenverarbeitungssystem,
Art. 143bis StGB, nicht im Katalog nach Art. 269 Abs. 2 lit. a nStPO gelistet, der Täter war minderjährig (16) und handelte aus sportlichem Ehrgeiz, ohne jegliche Bereicherungsabsicht)
Es gibt keinerlei Hinweis dafür, dass eine längere Speicherfrist sich signifikant positiv auf die Aufklärungsrate von Verbrechen auswirkt. Dies ist eine blosse und unbegründete Vermutung des Bundesrates. Die längere Speicherfrist geht allerdings mit einer enormen Ausweitung des Eingriffs in das Grundrecht auf Privatsphäre und ins Fernmeldegeheimnis einher und wird daher mit an Sicherheit grenzender Wahrscheinlichkeit zu einem signifikant negativen Effekt auf den demokratisch erwünschten Meinungspluralismus im Internet sowie dem allgemeinen Vertrauen der Bürger in den Staat und speziell in Fragen der Überwachung und Regulierung des Internets führen.
Angesichts dessen rechtfertigt sich nicht nur die Erhöhung der Speicherdauer in keiner Weise, sie wäre vielmehr von der schon jetzt zu langen Frist von sechs Monaten auf ein erträgliches Mass, in Anlehnung an die gegenwärtigen, jeweils kürzeren, Regelungen zur Haftdauer
(Art. 227 Abs. 1 et 7 StPO), zur Observation
(Art. 282 Abs. 2 StPO) und zur verdeckten Fahndung
(Art. 298b Abs. 2 StPO), etwa auf zwei Monate abzusenken.
Artikel 27 des Entwurfs und Artikel 28 des Entwurfs unterwerfen auch abgeleitete Kommunikationsdienste und interne Fernmeldedienste der Duldungspflicht auf Gewährleistung des physischen Zugriffs auf die Informatiksysteme der Datensammlungen. Ist dies schon bei den Internetanbietern als unzulässiger Eingriff in die Privatsphäre zu werten, so muss dies um so mehr für abgeleitete Kommunikationsdienste und interne Fernmeldedienste gelten, die beide in aller Regel ihrerseits wieder Kunden von Internetanbietern sind. Es ist weiter auch nicht ersichtlich, warum diese Dienste überhaupt Überwachung betreiben sollten, wenn nach Artikel 22 und 26 des Entwurfs doch bereits die Internetanbieter für die Erhebung, Sammlung und Weitergabe der notwendigen Daten zuständig sind. Soweit das Ziel Redundanz der Datensammlung sein soll, so ist unabhängig von der Zulässigkeit dieses Ziels völlig unverständlich, weshalb nicht einfach Sicherheitskopien der gespeicherten Daten angefertigt werden, anstatt die selben Daten durch unterschiedliche Dienste unnötigerweise mehrfach zu erheben.
Artikel 29 des Entwurfs sieht vor, dass jede Person mit Internetanschluss, die diesen einem Dritten zur Benutzung überlässt, dessen vollständige Kommunikation samt aller Metadaten zu überwachen hat. Diese Bestimmung ist nicht nur offensichtlich unmöglich durchführbar sondern auch in gerade zu sträflicher Weise unverantwortlich in einer freiheitlichen Demokratie. Namentlich wird übersehen, dass Internetzugänge keineswegs nur an professionelle Informatiker vergeben werden, sondern mittlerweile in der ganzen Bevölkerung weite Verbreitung finden. Dementsprechend sind auch die Kenntnisse über Sicherheitsstandards und Verschlüsselungsarten, so überhaupt vorhanden, in der Gesellschaft eher rudimentär verbreitet. Dies führt mitunter dazu, dass zur Absicherung von Netzwerken noch immer veraltete Mechanismen wie etwa WEP[31] verwendet werden, die nicht dazu geeignet sind, wirksamen Schutz gegenüber Eindringlingen zu bieten.
Rein rechtlich gesehen sind solche Netzwerke unverschlüsselten Netzwerken gleichzustellen. Dadurch gewähren sie, mag es auch unwissentlich sein, unbekannten Dritten Zugang zum Internet und sind dementsprechend von Artikel 29 des Entwurfs erfasst. Erfasst sind aber auch Netzwerke, die zwar mit einem derzeit noch für ausreichenden befundenen Verschlüsselungsprotokoll wie etwa WPA2[32] versehen sind, jedoch nicht nur einen einzigen, sondern mehrere Benutzer haben. Dies trifft auf so gut wie alle in privaten Haushalten verwendeten drahtlosen Netzwerke zu (W-LAN). Artikel 29 des Entwurfs verpflichtet nun jeden Administrator eines W-LANs rechtlich dazu, seine Nutzer zu überwachen. Wie dies faktisch geschehen soll, lässt der Gesetzesentwurf freilich offen.
Die Petenten verfügen als gewöhnliche Privatpersonen nicht über die notwendige Ausbildung und das Fachwissen um Kommunikationsdaten und Metadaten erfassen zu können, geschweige denn über die Möglichkeit, einen solchen Eingriff gegenüber den übrigen Benutzern des eigenen Netzwerks zu verheimlichen. Wie dieses Unwissen überwunden werden kann, und weshalb es überhaupt strafwürdig sein sollte, die Überwachung aufgrund fachlicher Unkenntnis nicht vorzunehmen, erschliesst sich aus dem Gesetzestext nicht im geringsten.
Es lässt sich weiter auch mit dem vorbehaltlos garantierten Kerngehalt des Grundrechts auf Privatsphäre nach Art. 13 Abs. 1 BV i.v. mit Art. 36 Abs. 4 BV nicht vereinbaren, dass jeder Betreiber eines offenen oder geschlossenen W-LANs mit mehreren Benutzern diese auch im intimsten Freundeskreis und unter Bekannten bespitzeln muss. Ebensowenig lässt sich der mit Art. 29 Abs. 1 lit. a nBÜPF verbunden Zwang zum Zugang der Informatikanlagen von Privatpersonen verfassungsrechtlich halten, da dies in extremo die Folge hätte, dass der Grundsatz der Hausdurchsuchung nur mit Einwilligung des Hausrechtsberechtigten gem. Art. 244 Abs. 1 StPO hinfällig würde und anlasslose Wohnungskontrollen nach völligem Belieben der Polizeibehörden zulässig würden, was einem demokratischen Rechtsstaat selbstredend diametral widerspricht.
Datenverwertung
Artikel 1 des Entwurfs stellt mit Art. 1 Abs. 1 lit. b/c/d nBÜPF i.v. mit Art. 9 Abs. 1 nBÜPF und Art. 35f. nBÜPF die Erlaubnis auf, die Erkenntnisse der Vorratsdatenspeicherung ausserhalb des Strafverfahrens zu verwenden, insbesondere im Bereich der Rechtshilfe, der zivilrechtlichen! Suche nach vermissten Personen, sowie der polizeilichen Fahndung.
Nach den verfassungsrechtlichen Vorgaben ist die Verwertung der Daten strikt auf den Strafprozess zu beschränken. Artikel 1, 35 und 36 des Entwurfs verstossen gegen diese Vorgabe, indem sie die Verwertung von gespeicherten Daten ausserhalb des Strafverfahrens legitimieren.
Artikel 14 des Entwurfs will eine Schnittstelle zwischen polizeilichem Informationssystem und dem Überwachungsdienst des Bundes sein, also den beiden Institutionen vice versa Zugang auf die jeweils gespeicherten Daten gewähren. Dies soll gem. Art. 14 Abs. 1 nBÜPF durch Kopien der entsprechenden Informationen und Einfügen in die jeweils andere Datenbank erfolgen.
Abgesehen von der Frage, ob das BPI angesichts seiner ausgesprochenen Datenhungrigkeit selbst überhaupt verfassungskonform ist, welche hier nicht behandelt und nur bezweifelt werden kann, ist jedenfalls die Kopie der Vorratsdaten in die polizeilichen Informationssystem unzulässig, weil dieses gem. des Geltungsbereichs von Artikel 2 BPI sowohl zur Gefahrenabwehr, als auch im Rechtshilfeverfahren und zur Fahndung Verwendung findet. Für alle diese Zwecke dürfen Vorratsdaten jedoch keine Verwertung finden, weshalb sie auch nicht in eine Datenbank mit entsprechender Zweckbindung kopiert werden dürfen.
Artikel 15 des Entwurfs regelt, welche Behörden vom Überwachungsdienst des Bundes Vorratsdaten zur Verwertung beziehen dürfen. Dabei wird gem. Art. 15 Abs. 1 lit. b nBÜPF diese Kompetenz dem Bundesamt der Polizei sowie den kantonalen und kommunalen Polizeibehörden eingeräumt. Nach Art. 15 Abs. 2 lit. a/b nBÜPF sind dazu zudem auch der Nachrichtendienst des Bundes sowie die Bundesbehörden zur Bekämpfung des unlauteren Wettbewerbs befugt.
Das ist nicht zulässig. Die Verwertung von Vorratsdaten hat sich strikt am Grundsatz der allein zulässigen Aufklärungshilfe schwerster Straftaten auszurichten, sie ist weder zur Gefahrenabwehr noch zur nachrichtendienstlichen Ausforschung zulässig. Sie sind auch nicht dazu gedacht, den Bundesbehörden bei Strafanzeigen behilflich zu sein, weil dies stark am Verbot der Verdachtsausforschung kratzt.
Datensicherung
Unklar ist weiterhin, was Art. 9 Abs. 4 nBÜPF mit „nach Möglichkeit verschlüsselten Dokumenten auf dem Postweg“ meinen möchte. Eine Postsendung mit Dokumenten, also etwa Ausdrucke auf Papier, kann nur mittels herkömmlichen Chiffren in analoger Weise, etwa dem doppelten ROT13-Verfahren[33] oder der Enigma-Maschine[34] etc.[35] verschlüsselt werden. Alle diese Systeme sind jedoch entweder bereits geknackt worden und daher als Sicherheitsmassnahme faktisch wirkungslos oder können jedenfalls keine mathematische Sicherheit gewährleisten, die allerdings aufgrund der gegenüber den Datenschutzbestimmungen erhöhten Anforderungen zwingend erforderlich ist.
Da Art. 9 Abs. 4 lit. a nBÜPF dieses Verfahren aber hauptsächlich für den Verkehr mit ausländischen Behörden, an welche ohnehin keine Vorratsdaten geliefert werden dürfen, vorsieht und deshalb ebenfalls verfassungsrechtlich unzulässig ist, ist die Praxisrelevanz dieses, gegen den Grundsatz der Datensicherheit verstossenden Verfahrens, glücklicherweise wohl sehr gering, zumindest falls Art. 9 Abs. 4 lit. b nBÜPF nicht dahingehend auszulegen ist, dass „technische Gründe“, die das Abrufverfahren nach Art. 9 Abs. 1 nBÜPF verunmöglichen nicht schon dann vorliegen, wenn die untersuchende Person an ihrem Arbeitsplatz nicht über einen (internetfähigen) Computer verfügt.
Artikel 10 des Entwurfs sieht bezüglich der Auskunft über die im Rahmen einer Überwachungsmassnahme gespeicherten Daten in Art. 10 Abs. 1 lit. b nBÜPF einen Verweis auf das nationale rsp. das kantonale Datenschutzrecht vor.
Das genügt nicht. Der Gesetzgeber muss für solche Auskünfte, die zudem aktiv seitens der Behörden erfolgen müssen und nicht nur passiv als Recht des Bürgers auf Antrag formuliert sein dürfen, ein höheres Schutzniveau vorsehen als für das Auskunftsrecht nach Datenschutzgesetz.
In dieser Hinsicht gibt auch Art. 10 Abs. 4 nBÜPF Anlass zur Sorge. Da es sich bei den Vorratsdaten naturgemäss um elektronisches Material handelt, welches in beliebiger Form verlustfrei kopiert werden kann, ist kaum ein Fall vorstellbar, in welchem der Vorbehalt des „unverhältnismässigen Aufwand“ anders denn als ein Vorwand zur Nichtgewährung der Informationsrechte wirken könnte.
Artikel 12 des Entwurfs regelt die Sicherheit der gespeicherten Daten. Dies soll gem. Art 12 Abs. 1 nBÜPF durch den Überwachungsdienst des Bundes sichergestellt werden. Diese Blankettnorm regelt weder, in welcher Form die Sicherung zu erfolgen hat, noch welche Standards dazu eingesetzt werden, internen und externen Missbrauch der Daten zu verhindern.
Diese grobe Missachtung der Vorgabe auf Normenklarheit wird auch nicht dadurch geheilt, dass Art. 12 Abs. 2 nBÜPF den Bundesrat dazu ermächtigt, die entsprechenden „technischen und organisatorischen Schutzmassnahmen“ in Bundesverordnungen zu regeln.
Die Regelung der Datensicherheit durch Verweis ist nicht zulässig. Verlangt wird eine ausdrückliche, normenklare und verbindliche Vorgabe direkt im Gesetz, NICHT in dessen Ausführungsverordnungen oder sonstigen technischen Vorschriften des Bundesrats, die diesbezügliche Delegation ist nicht statthaft und verletzt das Rechtsschutzinteresse sowohl der zur Mitwirkung gezwungenen Internetanbieter als auch der von der Überwachung betroffenen Bürger.
Im Übrigens ist auch die alleinige Verantwortung der Internetanbieter für die Datensicherung, wie sie Art. 12 Abs. 3 nBÜPF aufstellt, nicht zulässig, zumal diese als unter Zwang stehenden Erfüllungsgehilfen des Staates nach Art. 35 Abs. 2 BV bereits der selben Verantwortlichkeit und Bindung an die Grundrechte wie dieser unterstehen, sodass der entsprechende Passus zumindest überflüssig, und damit - wegen offensichtlicher Sinn- und Zweckwidrigkeit - auch willkürlich[36] ist.
Die aufgezeigten Massnahmen sind offensichtlich auf die nachhaltige Zerstörung der freiheitlichen, direktdemokratischen Natur des Internets gerichtet. Es mag sein, dass dem Parlament die Freiheit im Internet mittlerweile lästig geworden ist, insbesondere deshalb, weil die internetaffine Generation recht zuverlässig alle eklatanten Fehler im Gesetzgebungsprozess aufspürt, doch sollte dies, wenn überhaupt, dann zur Fehlerkorrektur anregen, nicht aber dazu verleiten, den Übermittler der schlechten Nachrichten und dessen Medium zensorisch einem absoluten Überprüfungsvorbehalt und einer generellen Überwachung ohne jeglichen Anlassgrund zu unterwerfen.
4. Unvereinbarkeit des Staatstrojaners mit der Bundesverfassung
Der Entwurf sieht eine Änderung der Strafprozessordnung vor.[37] Mit Art. 269bis nStGB will der Entwurf den Staatsanwaltschaften erlauben, Abhörgeräte auf privaten Computern zu installieren.
Mit Art. 269ter nStGB soll das Unterwandern von Datenverarbeitungsanlagen durch Einschleusen von Malware sowie der Einbruch in Privaträume legitimiert werden.
Damit zeigt der Entwurf sein gleichermassen technisch wie juristisch bestehendes grundsätzliches Unverständnis gegenüber neuen Medien und dem Internet in geradezu beschämender Weise.
Diese vom Bundesrat euphemistisch „Govware“[38] genannten „technischen Geräte“ und „besonderen Informatikprogramme“ sind nämlich nichts anderes als Schadprogramme, die einem Staatstrojaner gleichkommen, also eine Software, die dazu bestimmt ist, die Computersicherheit gezielt zu beeinträchtigen, um an Informationen zu kommen, welche aus der Privat- und Intimsphäre der einzelnen Person stammen und auf welche diese verfassungsrechtlich Anspruch auf Geheimhaltung hat. (Art. 13 Abs. 1 BV, Art. 8 Abs. 1 EMRK, Art. 17 Abs. 1 UNO-Pakt II[39])
Durch die Verwendung solcher Schadprogramme wird der Objektive Tatbestand der Unbefugten Datenbeschaffung (Art. 143 StGB), des unbefugten Eindringens in ein Datenverarbeitungssystem (Art. 143bis Abs. 1 StGB), der Datenbeschädigung (Art. 144bis Ziff. 1 StGB) sowie der Herstellung von datenbeschädigenden Programmen (Art. 144bis Ziff. 2 StGB) erfüllt.
Da es der Gesetzgeber versäumt hat, eine zu Art. 179octis StGB analoge Regelung der Straflosigkeit amtlicher Überwachung bei Computersabotage (Art. 143ff. StGB) zu schaffen, können die Änderungen der Strafprozessordnung, die durch den Entwurf vorgenommen werden, schon strafrechtlich nicht gerechtfertigt werden.
Doch selbst wenn eine solche Regelung bestünde, ist höchst fraglich, weshalb die Strafverfolgungsbehörden Straftaten – die nach ihrer eigenen Ansicht – schwer wiegen, begehen können dürfen sollten, um Straftaten aufzuklären, die weniger schwer wiegen, teils sogar blosse Übertretungen sind.
Übersehen wird bei beiden Regelungen zudem, wie auch bei der Vorratsdatenspeicherung allgemein, dass eine verdeckte Überwachung nach Vorgaben des Verfassungsrechts nur dann zulässig ist, wenn es sich um die einzig mögliche Methode handelt, um die Informationen zu erhalten. Die Komplexität von Alternativmassnahmen spielt hierbei keine Rolle, eine Abwägung der betroffenen Grundrechtsinteressen zugunsten der Prozessökonomie findet ausdrücklich nicht statt!
Soweit Art. 269bis nStGB und Art. 269ter nStGB die Überwachung auch ohne vorgängige erfolglose Durchführung anderer Massnahmen erlauben wollen, wenn „die Überwachung mit diesen Massnahmen aussichtlos wäre oder unverhältnismässig erschwert würde“, sind sie mit Verfassungsrecht unvereinbar.
Art. 269bis nStPO geht ferner auch deutlich an der Wirklichkeit vorbei. Nach den Ausführungen des Bundesrats sei diese Bestimmung erforderlich, um verschlüsselte Internet-Telefonie (Voice over IP, VoIP) abhören zu können. Das entspricht schlicht nicht den Tatsachen. Alle Anbieter von VoIP (etwa Skype[40], Facetime[41], GoogleTalk/Hangouts[42], Viber[43]) verfügen über eine sogenannte „offene Schnittstelle“ für den Zugriff von Ermittlungsbehörden auf Kommunikationsdaten und sie verpflichten sich selbst zur Kooperation und Herausgabe der Daten.
Insoweit besteht gar kein Problem, welches gesetzgeberisch zu lösen wäre. Art. 269bis nStPO kann demnach nur auf die unrechtmässige Aufnahme von Gesprächen gerichtet sein, die dadurch nun legitimiert werden soll. Dies wiederum ist jedoch eindeutig verfassungswidrig, da der Grundrechtsschutz des Fernmeldegeheimnisses von Art. 13 Abs. 1 BV ganz offensichtlich vollständig erlischt, wenn jegliche Kommunikation abgehört werden soll, unabhängig davon, ob dies nun rechtlich zulässig ist oder nicht.
Noch weit bedenklicher ist demgegenüber das Einschleusen des Staatstrojaners zur Liveüberwachung, dem Ausspähen von Passworten und der Suche nach Beweismitteln in den persönlichen Daten der betroffenen Person. Dies insbesondere vor der Hinsicht, dass hierbei die Rechtsprechung des Bundesverfassungsgericht[44] zur Auslegung des Grundrechts auf informationelle Selbstbestimmung vollständig ignoriert wird. Dieses stellt im zweiten Leitsatz des zitierten Urteils unmissverständlich klar, dass die Infiltration eines informationstechnischen Systems zwecks Überwachung nur zur Verfolgung schwerster Rechtsgutsverletzungen, insbesondere solche, die sich gegen Leib und Leben, Freiheit oder die Existenzgrundlage des Menschen richten, verwendet werden darf.
Der in Art. 269 Abs. 2 nStPO verwendete Katalog an als schwer definierten Straftaten genügt dieser Anforderung nicht im geringsten. Er listet über weite Teile Strafnormen ohne geschütztes Rechtsgut auf (insbesondere die Artikel 115, 135, 144bis Ziff. 2, 197, 220, 226, 260bis, 260quater, 261bis und 305bis des Strafgesetzbuchs sowie Art. 20 Abs. 2 BetmG) und wirft weiter bunt Übertretungen, Vergehen und Verbrechen durcheinander. Dem Grundsatz des Einsatzes „nur zur Aufklärung von besonders schweren Straftaten“, so der Bundesrat, ist demnach durch den vorliegenden Entwurf keinesfalls Genüge getan, wenn noch nicht einmal eine Beschränkung rein auf Straftaten der höchsten Strafkategorie, welche gem. Art. 10 Abs. 1 StGB das Verbrechen ist, vorgenommen wird.
Ein Verbrechen ist dadurch definiert, dass seine Begehung mit einem Strafrahmen von mehr als drei Jahren Freiheitsstrafe bedroht ist.
(Art. 10 Abs. 2 StGB).
Vor diesem Hinblick sind namentlich die Artikel 135, 144, 144bis, 158, 180, 181, 182, 185, 188, 192, 197, 220, 221, 223, 224, 227, 228, 232, 233, 237, 238, 240, 244, 258, 259, 261bis, 271, 272, 273, 274, 285, 301, 303, 305, 310, 319 des Strafgesetzbuchs keine Verbrechen, sie sind aufgrund fehlender Tatschwere umgehend von dieser Liste zu streichen, soweit diese ausschliesslich „besonders schwere Straftaten“ enthalten soll.
Soll sie das nicht, so ist jedenfalls der Verweis in Art. 269bis nStPO und Art. 269ter nStPO verfassungsrechtlich unzulässig, weil diese Normen einen klar definierten, abschliessenden Katalog von Straftaten, die mit enormen Rechtsgüterschutzverletzungen gegen Leib und Leben oder die Freiheit der Person einhergehen, als Existenzgrundlage zwingend benötigen.
Da diese Korrektur aber offensichtlich politisch nicht erwünscht ist, muss daher festgehalten werden, dass faktisch jeder beim kleinsten Verdacht eines Bagatelldelikts in empfindlichem Masse durch den Staatstrojaner ausgespäht und seiner Privatsphäre vollständig entzogen werden kann.
Auch hinsichtlich des Einsatzes an sich bestehen grundsätzliche Bedenken, da eine rechtsstaatliche Beweiserhebung, die vor Art. 139 Abs. 1 StPO, Art. 140 Abs. 1 StPO und Art. 141 Abs. 2 StPO stand hält, durch den Staatstrojaner aufgrund dessen Arbeitsweise eigentlich von vornherein unmöglich ist.
Ein Trojaner, der dazu bestimmt ist, im Verborgenen Informationen zu sammeln und diese weiterzuleiten, ist systembedingt darauf bedacht, möglichst wenige Belege für sein eigenes Handeln auf dem Angriffsziel, dem betroffenen Rechner zu hinterlassen, um die betroffene Person nicht von der geheimen Überwachungsmassnahme in Kenntnis zu setzen. Das bedeutet aber gleichzeitig, dass das Handeln des Trojaners selbst nicht in genügender Weise protokollierbar ist. [45]
Es kann daher nicht rechtssicher bestätigt werden, dass die Dateien, welche der Ermittler vom Trojaner übermittelt erhält, auch tatsächlich diejenigen sind, die von der Software beim betroffenen Rechner aufgefunden – oder im Fall des Screenshot-Verfahrens selbst erstellt – wurden. Weiter kann auch nicht rechtssicher ausgeschlossen werden, dass allenfalls inkriminierende Dateien durch den Trojaner selbst auf den Rechner eingeschleust werden, um diese dann inszeniert zu „finden“.
Problematisch ist in diesem Zusammenhang auch die Sicherheitslücke, die durch den Staatstrojanern auf den befallenen Rechnern hinterlassen wird. Der betroffene Rechner ist damit korrumpiert und muss als unzuverlässig gewertet werden. Jedermann mit etwas technischen Kenntnissen, insbesondere auch ein aussenstehender Angreifer mit bösen Absichten, kann dieselbe Sicherheitslücke, welche zum Aufspielen des Trojaners sowie zur Übermittlung dessen Daten an den Ermittler ausgenützt wird, selbst dazu verwenden, die Kontrolle über das befallene System zu erhalten und ist somit in der Lage sowohl den Staatstrojaner mit falschen Daten zu füttern als auch den betroffenen Rechner in seinem Sinne zweckzuentfremden, etwa zur Eingliederung in ein Bot-Netz, zum Versenden von SPAM oder gar zur Begehung sogenannter Internetdelikte.
Letztendlich ist damit nicht mehr nachvollziehbar, aus welcher Quelle die beanstandeten Daten stammen, ob sie überhaupt existieren, ob sie echt oder gefälscht sind und selbst wenn ersteres der Fall sein sollte, bleibt unklar und ist nicht rechtssicher feststellbar, wer dafür verantwortlich ist, dass diese auf dem betroffenen Rechner gelandet sind. Damit erledigt sich freilich jeglicher Beweiswert des Datenstroms eines vom Staatstrojaner befallenen Rechners, womit sich die strafprozessuale Massnahme sehr elegant selbst ad absurdum führt. [46]
Völlig unverständlich ist sodann die von Art. 269ter Abs. 2 lit. a nStPO geforderte Beschränkung auf bestimmte, von der Staatsanwaltschaft im Einzelfall zu bezeichnende „Datentypen“.
Auch hier wurde einmal mehr nicht an die Realität gedacht.
So gibt es etwa allein für Grafiken 108 verschiedene Dateitypen[47] und darüber hinaus insgesamt wenigstens 2990 bekannte Dateiformate[48]. Die Chance dafür, dabei zufällig auf den richtigen Dateityp zu stossen ist winzig klein (1/108 = 0.93%, 1/2990 = 0.33‰, jeweils gerundet).
Soll denn letztlich die Verwertung von Beweisen tatsächlich daran scheitern, dass die Staatsanwaltschaft nicht korrekt das zutreffende Dateiformat unter den tausenden von Möglichkeiten beantragt hat? Das erscheint – soweit man den Staatstrojaner als sinnvolles Ermittlungsinstrument ansieht, was die Petenten ausdrücklich bestreiten – völlig absurd.
Demgegenüber auch rechtsstaatlich bedrohlich und nicht bloss abwegig erscheint hingegen das durch Art. 269ter Abs. 2 lit. b StPO mittels Überwachungsanordnung zugebilligte Recht für die Staatsanwaltschaften, zur Installation des Schadprogramms in nicht öffentliche Räume, – insbesondere Privatwohnungen – eindringen zu dürfen.
Weshalb dieses Einbruchsrecht überhaupt erforderlich sein sollte, wenn aufgrund von Artikel 29 des Entwurfs doch bereits ein physisches Zugriffsrecht auf die Informatikanlagen der zur Überwachung verpflichteten Privatpersonen existiert, ist völlig schleierhaft. Es kann aber offen bleiben, was damit bezweckt werden sollte, da es jedenfalls sowohl strafrechtlich als auch verfassungsrechtlich unzulässig ist. Verfassungsrechtlich lässt es jeden Respekt vor dem Kernbereich des Grundrechts auf Unverletzlichkeit der Wohnung vermissen (Art. 13 Abs. 1 BV i.v. mit Art. 36 Abs. 4 BV), strafrechtlich erfüllt es klar den Tatbestand des Hausfriedensbruch, strafbar gem. Art. 186 StGB.
Auch hierfür hat der Gesetzgeber keine Ausnahme von der Strafbarkeit für das Handeln von Ermittlungsbehörden direkt im Strafgesetzbuch festgelegt, wie er dies hätte tun müssen, hielte er das Eindringen in private Räumlichkeiten zwecks Anbringen geheimer Überwachungsmittel für eine zulässige Ermittlungsmethode. Eine reine Änderung der Strafprozessordnung – wie durch den hier vorliegenden Entwurf vorgesehen – vermag strafbaren Ermittlungshandlungen weder die Tatbestandsmässigkeit noch die Rechtswidrigkeit zu nehmen.
Einen Trojaner durch Einbruch und physischen Zugriff auf den Computer aufspielen zu wollen ist zudem – sehr freundlich ausgedrückt – keine besonders sinnvolle Methode der Verbreitung, weil sie nicht nur Vortaten bedingt, sondern auch vollständig ineffektiv ist, falls der betroffene Rechner wirksam verschlüsselt wurde.
Man kann zwar auch Systeme mit Pre-Boot-Authentifikation mittels Life-CD dazu überzeugen, direkt zu starten und kann dann wohl auch die Neuinstallation und die damit verbundene Formatierung des bestehenden Betriebssystems gewaltsam erzwingen, doch vernichtet man dadurch gerade diejenigen Dateien, die man als Beweismittel gerne gesichert hätte. Verbergen lässt sich eine solche Aktion allerdings nicht, weil der Nutzer schon an der fehlenden Passwort-Abfrage merken wird, dass sich jemand seines Systems physisch bemächtigt hat.
Da davon auszugehen ist, dass Personen, die fortgesetzt und mit Erfolg „besonders schwere Straftaten“ unter Zuhilfenahme „moderner Technologien“ begehen, über ein gewisses Niveau an technischem Fachwissen verfügen werden, welches regelmässig den Kenntnissen des normalen Benutzers überlegen sein dürfte, und daher die Verwendung von wirksamer Verschlüsselung seitens der Delinquenten sehr wahrscheinlich ist, erweist sich dieser Passus schliesslich nicht nur als freiheitsfeindlich, sondern auch als in hohem Masse sinnbefreit.
[1]SAC РЕШЕНИЕ No 13627 12/11/2008
[2]CCR DECISION No.1.258 of October 8th 2009
[3]BVerfGE - 1 BvR 256/08 - , - 1 BvR 263/08 - , - 1 BvR 586/08 -
[4]Ebenda E. 206
[5]Ebenda E. 212 Satz 1
[6]Ebenda E. 215, E. 235
[7]Ebenda E. 225
[8]Ebenda E. 227 Satz 3
[9]Ebenda E. 228f.
[10]Ebenda E. 247
[11]Ebenda E. 240, E. 243 Satz 7, E. 244 Satz 1f.
[12]Ebenda E. 218
[13]Ebenda E. 241
[14]Πολιτικές Αιτήσεις Αρ. 65/2009,78/2009, 82/2009 και 15/2010 -22/2010
[15]Pl. ÚS 24/1020 - 2011/03/22
[16]Ebenda E. 30 Satz 4
[17]Ebenda E. 31 Satz 4
[18]Ebenda E. 32
[19]Ebenda E. 44 Satz 4, so auch das BVerfG E. 211
[20]Ebenda E. 36 Satz 3, so auch das BVerfG E. 212
[21]Ebenda E. 55
[22]Ebenda E. 57
[23]VfGH G47/12‐11, G59/12‐10, G62,70,71/12‐11
[24]WD 7 – 3000 – 036/11
[25]Serious criminal offences, as defined in sect. 100a StPO, in Germany according to police crime statistics
(Deutsche Übersetzung mit Schaubildern)
[26]Medienmittelung des Bundesrats vom 09.05.2012
- Schweiz wartet mit der Unterzeichnung des ACTA-Abkommens zu
[27]Entwurf: Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
[28]AES etwa gilt nach wie vor als sicheres Kryptosystem, auch wenn Angriffe theoretisch und praktisch denkbar sind
[29]Medienmitteilung des Bundesrates vom 27.02.2013 - Überwachung des Fernmeldeverkehrs
[30]Vorratsdatenspeicherung in der Polizeipraxis (Heise News)
[31]WEP-Schwachstellen, einen Beweis für die Unsicherheit liefert Sepmer-kun (geknackt in 5:44)
[32] Auch WPA2 kann praktisch umgangen werden, es erfordert jedoch wesentlich grösseren technischen und zeitlichen Aufwand sowie tatsächliche Fachkenntnisse aus dem Bereich der Informatik:
Part-I, Part-II (Semper-kun)
[33]ROT13-Verfahren (Wikipedia-Eintrag)
[34]Enigma-Maschine (Wikipedia-Eintrag)
[35]Weitergehende Übersicht zu analogen Chiffren
[36]So BGE 131 I 1 E. 4.2 bzg. der Definition von Willkür.
[37]Die Argumentation wird hier nur bezüglich der Artikel betreffend das bürgerliche Strafgesetzbuch ausgeführt. Da die Normen der militärischen Gerichtsbarkeit (die vor Hinblick von Art. 30 Abs. 1 Satz 2 BV ohnehin in ihrer Gesamtheit kritisch zu sehen ist) jedoch wesensgleich ausgebildet sind, können die Argumente analog angewendet werden. Die Petenten ersparen es sich, der Umwelt und dem Parlament, sich unnötig zu wiederholen.
[38]Der Begriff ist schon sachlich völlig falsch, weil solche Überwachungsprogramme in aller Regel eben gerade nicht durch die Regierung selbst erstellt sondern von privaten Dritten (IT-Sicherheitsunternehmen) eingekauft werden.
[39]Der Schutzumfang der direkt anwendbaren (self-executing!) Norm des UNO-Pakts II geht dabei am weitesten, er schützt namentlich vorbehaltlos jede Art von individueller Selbstverwirklichung sowie der Kommunikation darüber. Vgl. NOWAK, UNO-Pakt über bürgerliche und politische Rechte und Fakultativprotokoll S. 304, 310f., 313f., 315 festgehalten als Recht darauf, anders zu sein und selbst zu bestimmen, wer davon wissen darf.
[40]Auszug aus den Datenschutzbestimmungen: Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte und/oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype stellt zur Erfüllung dieser Anforderungen angemessene Unterstützung und Informationen bereit, und Sie stimmen hiermit einer derartigen Offenlegung zu.
[41]Auszug aus den Datenschutzbestimmungen: Mitunter kann es für Apple notwendig sein – aufgrund von gesetzlichen Bestimmungen, rechtlichen Verfahren, Rechtsstreitigkeiten und/oder Aufforderungen von öffentlichen und Regierungsbehörden innerhalb oder außerhalb deines Wohnsitzlandes – personenbezogene Daten offenzulegen. Außerdem können wir Daten über dich offenlegen, wenn wir der Überzeugung sind, dass dies für die nationale Sicherheit, den Gesetzesvollzug oder andere öffentliche Interessen notwendig oder angemessen ist.
[42]Auszug aus den Datenschutzbestimmungen: Wir werden personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb von Google weitergeben, wenn wir nach Treu und Glauben davon ausgehen dürfen, dass der Zugriff auf diese Daten oder ihre Nutzung, Aufbewahrung oder Weitergabe vernünftigerweise notwendig ist, um anwendbare Gesetze, Regelungen, oder anwendbares Verfahrensrecht einzuhalten oder einer vollstreckbaren behördlichen Anordnung nachzukommen.
[43]Auszug aus den Datenschutzbestimmungen: We may disclose your Personal Information if we believe such action is necessary to comply with the law, or legal process served on us. We may disclose information about you if we determine that for national security, law enforcement, or other issues of public importance that disclosure of information is necessary.
[44]BVerfGE - 1 BvR 370/07 - , - 1 BvR 595/07 -
[45]IT-Gutachten zur Funktionsweise und zum Beweiswert des Staatstrojaners, erstellt vom Chaos Computer Club
[46]Zur Unverwertbarkeit von durch Trojaner erstellten Beweisstücken aufgrund fehlender Authentizität
[47]Grafikformat - Auf eine Wiedergabe als Textliste wird verzichtet,
sie wäre seitenfüllend
[48]Liste aller bekannten Dateiformate
(Aus Platzgründen auch hier ohne Abbildung)
Petition - Zum Geschäft 13.025 – Keine Erweiterung der Vorratsdatenspeicherung, Kein Staatstrojaner in der Schweiz! (Verfassungswidrigkeit beider Systeme)
An die Kommission für Rechtsfragen des Nationalrates
Gestützt auf Art. 33 BV, Art. 71 lit. g ParlG sowie Art. 21 Abs. 1 GRN,
bitten die Petenten die Kommission bei der Vorberatung des Geschäftes folgende verfassungsrechtlichen Problempunkte zu beachten, nach Art. 126 Abs. 2 Satz 2 ParlG zu verfahren und dem Nationalrat die Ablehnung des Geschäftes im Wege des Antrags vorzuschlagen.
Eventual bitten die Petenten die Kommission und den Rat, das Geschäft bis zur Entscheidung des EuGH über die Vereinbarkeit der Richtlinie 2006/24/EG mit der europäischen Grundrechtscharta (GRC) zu sistieren, um eine verfassungswidrige Vorlegiferierung zu vermeiden.
Begründung:
1. Anforderungen an die Vorratsdatenspeicherung nach der Verfassungsrechtsprechung
Der oberste Verwaltungsgerichtshof von Bulgarien (Върховния административен съд, SAC) hat mit Entscheidung vom 11. Dezember 2008[1], festgestellt, dass der auch physische Zugriff von Ermittlungsbehörden auf die Computer-Terminale der auf Vorrat gespeicherten Daten mit dem durch Artikel 32 der bulgarischen Verfassung (Конституция на Република България) garantiertem Recht auf Privatsphäre (Личният живот на гражданите е неприкосновен.) unvereinbar ist. Es hat weiter entschieden, dass die generelle Erlaubnis zur Datenverwertung für Belange des Strafprozess sowie der nationalen Sicherheit gegen Artikel 8 der europäischen Menschenrechtskonvention verstösst.
Der rumänische Verfassungsgerichtshof (Curtea Constituțională a României, CCR) hat mit Entscheidung vom 07. Oktober 2009[2] die rumänische Umsetzung der Vorratsdatenspeicherung für verfassungswidrig erklärt, weil diese, dadurch, dass die Verwendung der Daten nicht strikt auf den Strafprozess beschränkt war, das Recht auf Brief-, Post- und Fernmeldegeheimnis (Secretul corespondenţei) nach Artikel 28 der rumänischen Verfassung (Constituția României, CR) verletzt hat. Das Gericht stellte weiter fest, dass die sechsmonatige Frist zur Speicherung und Aufbewahrung aller Verbindungsdaten, wie es Artikel 6 der Richtlinie 2006/24/EG vorsieht, gegen die nach Art. 53 Abs. 2 CR einzig mögliche Einschränkung von Grundrechten nach demokratischer Notwendigkeit (Restrângerea exerciţiului unor drepturi sau al unor libertăţi) verstösst, weil sie unverhältnismässig und unnötig lang ist.
Das deutsche Bundesverfassungsgericht hat mit Urteil vom 02. März 2010[3] ausdrücklich bestätigt dass die deutsche Umsetzung der Vorratsdatenspeicherung gegen das Grundrecht auf Brief-, Post- und Fernmeldegeheimnis nach Art. 10 Abs. 1 GG verstösst. Es lässt eine vorsorgliche Datenspeicherung nur als Ausnahme, nicht jedoch als generelles Instrument und auch nur dann zu, wenn sowohl hinsichtlich des Umfangs der gespeicherten Daten als auch hinsichtlich der Verwertungsregeln seitens des Gesetzgebers und den ausführenden Behörden mit besonderer Zurückhaltung gehandelt wird.[4]
Die Vorratsdatenspeicherung wird dabei explizit als schwerer Eingriff in die Privatsphäre erachtet. [5] Die Speicherdauer von sechs Monaten liegt dabei gerade an der Oberdauer dessen, was noch äusserst knapp als verhältnismässig angesehen werden kann. Erforderlich ist auch eine (gesetzlich) garantierte Löschroutine nach Ablauf der Speicherdauer. Die Löschung muss protokolliert werden. [6] Weiter notwendig ist eine im Gesetz selbst vorgeschriebene, normenklare verbindliche Vorgabe eines besonders hohen Standards zur Datensicherung, der über das Schutzniveau, welches nach den Datenschutzgesetzen für die Lagerung und Bearbeitung von Personendaten erforderlich ist, hinauszugehen hat.[7] Verwendung finden dürfen die Daten nur, soweit eine besonders starke Rechtsgüterschutzverletzung stattfindet, also nur in Fällen schwerster Straftaten. [8]
Dies erfordert einen durch Tatsachen erhärteten dringenden Tatverdacht einer schweren Straftat, blosse Vermutungen oder gar einzig die Möglichkeit der Begehung genügen nicht, reine Verdachtsausforschung über das Mittel der Vorratsdatenspeicherung ist verboten. Die Schwere der Straftat muss zudem über den Strafrahmen objektiv ersichtlich sein, eine rein deklarative Bestimmung als „schwer“ genügt nicht. Die Tat muss zudem auch im Einzelfall schwer wiegen.[9] Die Abfrage der Daten erfordert in jedem Fall der Genehmigung durch den zuständigen Richter.[10]
Kann die Verwendung der Daten offen erfolgen, so darf sie nicht geheim vorgenommen werden, der Betroffene ist zeitgleich oder im Voraus mit der getroffenen Massnahme zu benachrichtigen.
Der Betroffene ist in jedem Fall nachträglich zu benachrichtigen, wobei in diesem Fall eine richterliche Anordnung erforderlich ist.[11]
Schliesslich hat es festgehalten, dass eine flächendeckende vorsorgliche Datenspeicherung aller für Strafverfolgung oder Gefahrenabwehr nützlichen Daten unabhängig von der Ausgestaltung der Verwertungsregeln verfassungswidrig ist. Die Vorratsdatenspeicherung darf insbesondere nicht „zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen“[12]
Sie führt als „chilling effect“ zudem auch ohne diese Möglichkeit zu einem ständigen Gefühl der Überwachung beim Bürger, weil sie in unvorhersehbarer Weise tiefe Einblicke in das Privatleben erlaubt, ohne dass diese seitens des Bürgers in irgendeiner Form bemerkt oder direkt gerügt werden können, sodass dieser davon ausgehen muss, dass der Staat über seine höchstpersönlichen Geheimnisse jeglicher Art zu jeder Zeit umfassend Bescheid weiss.[13]
Der Oberste Gerichtshof von Zypern (ΑΝΩΤΑΤΟ ΔΙΚΑΣΤΗΡΙΟ ΚΥΠΡΟΥ), hat am 01. Februar 2011[14] entschieden, dass die aus der Vorratsdatenspeicherung gewonnen Informationen nicht für die gewöhnliche Polizeiarbeit, sondern nur für Strafverfolgung innerhalb eines förmlichen Strafverfahrens und bei besonders gefährlichen Personen, insbesondere bei Häftlingen verwendet werden dürfen. Soweit sie gleichwohl für die alltägliche Bewältigung von Problemen des Polizeirechts, insbesondere zur Gefahrenabwehr verwendet wird, verstösst sie gegen das in Art. 17 der zypriotischen Verfassung (Σύνταγμα της Κυπριακής Δημοκρατίας) verbürgte Recht auf Wahrung des Brief-, Post- und Fernmeldegeheimnisses. (Έκαστος έχει το δικαίωμα σεβασμού και διασφαλίσεως του απορρήτου της αλληλογραφία)
Das Verfassungsgericht der Republik Tschechien (Ústavní soud České republiky, ÚS) hat mit Entscheidung vom 22. März 2011[15] festgestellt, dass die tschechische Umsetzung der Vorratsdatenspeicherung gegen das Grundrecht auf Informationelle Selbstbestimmung (Každý má právo na ochranu před neoprávněným shromažďováním údajů o své osobě. / Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.) nach Art. 10 Abs. 3 und Art. 13 der Urkunde der grundlegenden Rechte und -freiheiten (Listina základních práv a svobod), dem tschechischen Grundrechtskatalog verstösst.
Dieser ist integraler Bestandteil der tschechischen Verfassung (Ústava České republiky) gemäss deren Artikel 3 (Součástí ústavního pořádku České republiky je Listina základních práv a svobod.), sodass ein Verstoss gegen die Urkunde einem Verfassungsverstoss gleichkommt. Das Gericht hat damit im Ergebnis die tschechische Umsetzung der Vorratsdatenspeicherung für verfassungswidrig erklärt. Dies namentlich aufgrund der folgenden Überlegungen:
Ein allwissender Staat führt unweigerlich dazu, dass die fundamentalen Rechte auf Privatsphäre, Meinungsfreiheit und die persönliche Freiheit illusionär und inexistent werden.[16]
Aus diesem Grund darf der Staat nicht über sämtliche Informationen seiner Bürger verfügen. Dies gilt auch für Informationen, die über moderne Kommunikationsmittel versandt werden und insbesondere auch für solche Informationen, welche der Bürger seinen Freunden und Bekannten preisgibt (nicht aber veröffentlichen möchte), weil dieser Aspekt der individuellen Privatsphäre, das Recht auf informationelle Selbstbestimmung als Grundrecht in seiner Wichtigkeit gerade in modernen Zeiten gar nicht überschätzt werden kann![17]
Nicht nur der Inhalt von Kommunikation erfährt zurecht höchsten Grundrechtsschutz, sondern auch die sogenannten Randdaten (besser „Metadaten“), die angeben, wann, wer, wo und mit wem, wielange kommuniziert hat.[18] Teilweise sind diese Daten sogar weit bedeutsamer, als der – häufig belanglose – Inhalt der Kommunikation, da anhand ihrer eruiert werden kann, welche Freunde und Bekanntschaften eine bestimmte Einzelperson hat, wie ihr ungefährer Tagesablauf aussieht, in welchen Räumlichkeiten sie sich aufhält etc...[19]
Angesichts der häufig überschäumenden Phantasie der Strafverfolgungsbehörden ist es für unschuldige Personen nämlich besonders leicht, anhand der Metadaten ihrer Kommunikation unbegründet unter Tatverdacht zu geraten. So genügt unter Umständen bereits der einmalige Kontakt zu einer verdächtigen Person (anhand der Metadaten ist nicht ersichtlich, ob dieser überhaupt relevant ist), um selbst unverschuldet in das Radar der Untersuchungsbehörden zu fallen.
Um solche gleichermassen ausufernde wie sinnlose Verdachtsausforschungen zu verhindern, sind auch – und gerade! – die Strafverfolgungsbehörden an die engen verfassungsrechtlichen Grenzen zur Einschränkung der Privatsphäre in Ausnahmefällen! gebunden.[20]
Das Gericht äussert zudem – zurecht – grundlegende Bedenken gegenüber der Notwendigkeit der Vorratsdatenspeicherung. Insbesondere bezweifelt es, dass die generelle Speicherung aller Metadaten jeglichen Datenverkehrs im Internet angesichts der besonderen Schwere des damit erfolgten Eingriffs in die Privatsphäre in einer demokratischen Ordnung überhaupt notwendig und adäquat, also erforderlich sein kann.[21]
Weiter zweifelt das Gericht an, dass es zulässig, oder auch nur rechtsphilosophisch wie sozialpolitisch erwünscht sein kann, dass private Unternehmen dazu berechtigt und verpflichtet werden, den Datenverkehr ihrer Kunden zu observieren, diesen generell zu sichern und den Strafbehörden auf Anfrage weiterzuleiten oder auch nur für interne Angelegenheiten (Abrechnungen bei säumigen Zahlern, statistische Auswertung für Marketing und Entwicklung) zu verwenden.[22]
Aus der Verfassungsrechtsprechung dieser fünf Nationen sind demnach folgende 16 Punkte als zwingend erforderliche Voraussetzungen für eine verfassungskonforme Umsetzung der Vorratsdatenspeicherung zu entnehmen:
Datenspeicherung
- Absolute Höchstfrist der Speicherung von sechs Monaten oder wesentlich kürzerer Dauer
- Kein Zugriff der Behörden auf die technischen Anlagen der gespeicherten Daten
- Umfang der Vorratsdatenspeicherung benötigt besonders starke Begrenzung, gespeichert werden dürfen nur Daten, die zur Verfolgung schwerster Straftaten unabdingbar sind
- Keine umfassende Speicherung aller für die Strafverfolgung nützlicher Daten, keine generelle Speicherung aller Kommunikationsdaten, das gilt insbesondere auch für sogenannte Rand- oder Metadaten, nicht bloss für den Inhalt der Kommunikation
- Keine Generalerlaubnis zur Verwertung für Belange des Strafprozesses und der nationalen Sicherheit
- Keine Verwertung zur Gefahrenabwehr
- Keine Verwertung ohne richterliche Genehmigung
- Keine Verdachtsausforschung, es bedarf zur Verwertung der Daten einen durch Tatsachen erhärteter dringenden Verdacht einer begangenen, schweren Straftat
- Strikte Beschränkung der Verwertung auf den Strafprozess
- Umfang der Verwertung benötigt besonders starke Begrenzung, die gespeicherten Daten dürfen nur zur Verfolgung schwerster Straftaten mit jeweils aussergewöhnlicher Rechtsgüterschutzverletzung im Einzelfall und auch nur dann verwendet werden, wenn es keine einzige andere Möglichkeit gibt, die notwendigen Beweise zu erheben, unabhängig davon, wie kompliziert die Alternativen sein mögen
- Die Schwere der Straftat muss aus dem Gesetz selbst hervorgehen, abzustellen ist auf den Strafrahmen, eine blosse Deklaration als „schwer“ oder ein simpler Verweis genügt nicht
- Die Verwertung darf nicht geheim vorgenommen werden, wenn auch eine offene Verwendung mit vorgängiger Benachrichtigung des Betroffenen möglich ist, dies insbesondere im ordentlichen Strafverfahren
- Die Verwertung darf nur gegenüber besonderes gefährlichen Personen durchgeführt werden, worunter namentlich Untersuchungsgefangene und Häftlinge fallen
- Im Gesetz selbst muss eine Löschroutine nach Ablauf der Speicherdauer sowie für irrelevante Daten vorgesehen sein. Die Löschung muss protokolliert werden, die Protokollierung muss das Gesetz selbst vorsehen
- Das Gesetz muss eine normenklare verbindliche Vorgabe zur Datensicherung vorgeben, die Vorgabe muss dabei über dem Schutzniveau des Datenschutzgesetzes zum Umgang mit Personendaten deutlich hinausgehen
2. Generelle verfassungsrechtliche Bedenken zur Vorratsdatenspeicherung, Sistierung
Gegenüber der Vorratsdatenspeicherung als Instrument bestehen zudem auch grundsätzliche verfassungsrechtliche Vorbehalte. So ist insbesondere noch unklar, ob
- die Mindestfrist von sechs Monaten Speicherung der Metadaten konform zur GRC ist
- die enorme Spanne zwischen der Mindestdauer von sechs Monaten und der Höchstdauer von zwei Jahren als Vorgabe an die Mitgliedsstaaten dazu geeignet ist, das Ziel der europarechtlichen Harmonisierung in der Sachfrage zu erreichen
- der enorme Umfang („Streubreite“) der gesammelten Daten mit der Einhaltung von Treu und Glauben bei der Erfassung vereinbar ist, wie dies Art. 8 Abs. 2 GRC fordert
- die Anlassunabhängigkeit als Kernmerkmal der Vorratsdatenspeicherung vor dem Grundrecht auf Informationelle Selbstbestimmung der unschuldigen, aber gleichwohl von der Massnahme betroffenen Bürgern, Bestand hat
- die gespeicherten Daten gegenüber staatlichem oder privatem Missbrauch geschützt sind
- die Vorratsdatenspeicherung dazu geeignet ist, ihr Ziel, die Aufklärungsquote schwerer Straftaten und typischer „Internetdelikte“ zu erhöhen, zu erreichen
- die Vorratsdatenspeicherung erforderlich ist, um dieses Ziel zu erreichen
- die Vorratsdatenspeicherung den Grundsätzen der Verhältnismässigkeit entspricht, insbesondere hinsichtlich der Zumutbarkeit der Massnahme für die zur Mitwirkung verpflichteten Internetanbieter einerseits und für die betroffenen Bürger andererseits
- die Vorratsdatenspeicherung mit dem Kerngehalt des Rechts auf Achtung der Privatsphäre vereinbar ist und demzufolge nicht bereits von vornherein ungerechtfertigt erscheint
Der Österreichische Verfassungsgerichtshof hat mit Beschluss vom 28. November 2012[23] gerade obige Problempunkte angemahnt und dem europäischen Gerichtshof zur Entscheidung über die Frage, ob die Vorratsdatenspeicherung an sich mit den Artikeln 7, 8 und 11 der europäischen Grundrechtecharta vereinbar ist, vorgelegt.
In diesem Zusammenhang (Eignung und Erforderlichkeit der Massnahme) erlauben sich die Petenten ein Gutachten des Wissenschaftlichen Dienstes des deutschen Bundestags[24], sowie eine Auswertung der deutschen Kriminalstatistik im fraglichen Zeitraum von privater Seite[25] (Arbeitskreis Vorratsdatenspeicherung) anzuführen, die belegen, dass die Vorratsdatenspeicherung nicht nur zu keinem signifikanten positiven Effekt auf die Aufklärungsrate schwerer Straftaten oder typischer „Internetdelikte“ führte, sondern vielmehr mit sehr hoher Wahrscheinlichkeit für einen Rückgang der Aufklärungsrate verantwortlich ist.
In Anlehnung an den sehr umsichtigen Entscheid[26] des Bundesrates, die Ratifizierung von ACTA bis zum (dann ablehnend erfolgten) Entscheid des europäischen Parlaments auszusetzen, ist das Geschäft bis zur rechtsverbindlichen Klärung obiger verfassungsrechtlicher Fragen zu sistieren.
3. Unvereinbarkeit des vorliegenden Entwurfs mit der verfassungsrechtlichen Vorgaben
Der vorliegende Entwurf[27] zum Geschäft 13.025 genügt den aufgezeigten Anforderungen nicht im Geringsten. Er hält grundlegende Vorgaben aller drei Bereiche (Datenspeicherung, Datenverwertung, Datensicherung) nicht ein und ist demzufolge verfassungsrechtlich unzulässig.
Datenspeicherung
Artikel 8 des Entwurfs bezeichnet den Inhalt des Verarbeitungssystems des Überwachungsdienstes. Er listet dabei sowohl inhaltliche Kommunikationsdaten im Rahmen einer konkreten Fernmeldeüberwachung (lit. a), als auch die aus der Vorratsdatenspeicherung anlasslos gewonnen Metadaten (lit. b) gemeinsam auf und vereint sie im selben System. Das ist unzulässig.
Diese Daten dürfen nicht miteinander verknüpft werden. Sie sind daher institutionell zu trennen. Sie dürfen nicht im selben Verarbeitungssystem vorhanden sein, weil ansonsten die Kontrolle, dass keine umfassende Speicherung aller für die Strafverfolgung nützlicher Daten erfolgt und dass insbesondere das Verbot der Verdachtsausforschung beachtet wird, nicht gewährleistet werden kann.
Artikel 11 des Entwurfs bezeichnet die Aufbewahrungsfrist von Inhalts- und Metadaten, die im Rahmen der strafprozessrechtlichen Überwachung nach Art. 269ff. nStPO gesammelt wurden. Die Höchstfrist zur Aufbewahrung soll dabei gem. Art. 11 Abs. 2ff. nBÜPF bei 30 Jahren liegen. Kein einziges anderes Beweismittel wird über eine derart unverhältnismässig lange Zeit aufbewahrt. Eine Begründung dafür, weshalb ausgerechnet die hochsensiblen Kommunikationsdaten und Metadaten derart lange aufbewahrt werden sollen, obwohl diese Zeit sogar noch weit über der Verfolgungsverjährung der meisten von Art. 269 Abs. 2 nStPO erfassten, überwachungsauslösenden Straftaten liegt, also die Beweise auch dann noch vorgehalten werden sollen, wenn sie ihren Wert längst verloren haben, ist aus dem Gesetzestext nicht ersichtlich. Es ist auch offensichtlich nicht sinnvoll, unnütze Beweise zu stapeln, die – auch wenn sie aufgrund ihrer Digitalität kaum Platz wegnehmen werden – doch allein durch ihre Lagerung weiter einen empfindlichen Eingriff in die Privatsphäre des Betroffenen darstellen.
Artikel 22 des Entwurfs bestimmt, welche Informationen die Internetanbieter gezwungenermassen an den Überwachungsdienst des Bundes zur Identifikation von Nutzern übermitteln müssen. Zumindest sollte er dies zufolge entsprechender Marginalie tun. Art. 22 Abs. 2 nBÜPF verweist hingegen erneut allein auf den Bundesrat zur Ausfertigung einer entsprechenden Ausführungsverordnung. Der Umfang der Vorratsdatenspeicherung muss jedoch im Gesetz selbst explizit zum Ausdruck kommen, eine Delegation der Bestimmung dessen ist unzulässig.
Dasselbe gilt auch für die nach Artikel 23 des Entwurfs vorgenommene Delegation an den Bundesrat zum Erlass der Bestimmungen über die Form der Erfassung und die Aufbewahrung der erfassten Daten seitens der Internetanbieter.
In beiden Fällen besteht aufgrund des starken Grundrechtseingriffs, welche die Vorratsdatenspeicherung an sich darstellt, keinerlei Spielraum für die Regierung, die Details zu regeln, auch nicht durch Gesetzesdelegation.
Dies ist vielmehr die ureigenste Aufgabe der Bundesversammlung, die dies in Erfüllung ihrer Funktion als Gesetzgeber nach Art. 164 Abs. 1 lit. b BV sowie Art. 36 Abs. 1 Satz 2 BV selbständig zu vollziehen hat und im Gesetz ausdrücklich und unter Wahrung der Grundrechte festhalten muss. Will sie das nicht tun, so bleibt ihr einzig die Möglichkeit, die betroffenen Artikel und damit auch deren Rechtswirkung durch ersatzlose Streichung zu erledigen.
Artikel 26 des Entwurfs legt einerseits Duldungspflichten der Internetanbieter fest und ordnet andererseits die Dauer der Speicherungsfrist fest. Beides ist in der konkreten Ausgestaltung nach den verfassungsrechtlichen Vorgaben unzulässig. So ist es insbesondere nicht statthaft, den Ermittlern unmittelbaren physischen Zugriff auf die Informatiksystem, insbesondere die Computer-Terminale (Server), auf welchen die gespeicherten Daten vorhanden sind, einzuräumen, wie dies Art. 26 Abs. 2 lit. b nBÜPF vorschreibt. Dadurch wird namentlich das Recht der Internetanbieter auf Unverletzlichkeit der Wohnung, sowie auf Privatsphäre verletzt. (Art. 13 Abs. 1 BV)
Auch die Pflicht der Internetanbieter zur Entfernung der von ihnen angebrachten Verschlüsselungen nach Art. 26 Abs. 2 lit. c nBÜPF erscheint seltsam. Soweit damit Dienstleistungen für den Kunden gemeint sind, dürfte es regelmässig kaum möglich sein, die Verschlüsselung überhaupt zu entfernen, weil der Kunde der Einzige ist, welcher über den Schlüssel, das Passwort verfügt.[28] Soweit es um Verschlüsselungen geht, die der eigenen Datensicherung dienen, ist völlig unverständlich, weshalb die Sicherung selbst abgebaut werden soll und nicht einfach verlangt ist, dass der entsprechende Schlüssel respektive dessen Kopie herausgegeben wird.
Art. 26 Abs. 2 lit. c nBÜPF führt in vorliegender Formulierung jedenfalls zu einem Absinken des Schutzniveaus der Datensicherung und verstösst insofern gegen den durch das Verfassungsrecht vorgegebene Grundsatz auf besondere technische Sicherung der Vorratsdaten gegenüber internem und externem Missbrauch.
Klar unverhältnismässig ist auch die vorgesehene Speicherdauer. Gem. Art. 26 Abs. 5 nBÜPF soll diese neu 12 Monate betragen. Nach den verfassungsrechtlichen Vorgaben ist jedoch bereits eine sechsmonatige Speicherfrist gerade an der äussersten Kante dessen, was noch als verhältnismässig vertreten werden kann und selbst diese gilt – zurecht – schon als unnötig lang.
Seitens des Bundesrates[29] wird ausgeführt, die Verdopplung der Speicherfrist würde die Verbrechensbekämpfung verbessern. Dem ist nicht der Fall. Wie angeführt (siehe Fn. 24f.) verbessert die Vorratsdatenspeicherung generell die Aufklärungsrate von Straftaten nicht.
Es gab bislang auch nur einen bekannten Fall, in welchem eine Ausweitung der Frist auf zwölf Monate bei der Ermittlung hätte helfen können, und ausgerechnet dieser betraf Straftaten, für welche die Vorratsdatenspeicherung aufgrund der fehlenden Schwere der Tat gar nicht erst hätte ausgewertet werden dürfen![30]
(Unbefugtes Eindringen in ein Datenverarbeitungssystem,
Art. 143bis StGB, nicht im Katalog nach Art. 269 Abs. 2 lit. a nStPO gelistet, der Täter war minderjährig (16) und handelte aus sportlichem Ehrgeiz, ohne jegliche Bereicherungsabsicht)
Es gibt keinerlei Hinweis dafür, dass eine längere Speicherfrist sich signifikant positiv auf die Aufklärungsrate von Verbrechen auswirkt. Dies ist eine blosse und unbegründete Vermutung des Bundesrates. Die längere Speicherfrist geht allerdings mit einer enormen Ausweitung des Eingriffs in das Grundrecht auf Privatsphäre und ins Fernmeldegeheimnis einher und wird daher mit an Sicherheit grenzender Wahrscheinlichkeit zu einem signifikant negativen Effekt auf den demokratisch erwünschten Meinungspluralismus im Internet sowie dem allgemeinen Vertrauen der Bürger in den Staat und speziell in Fragen der Überwachung und Regulierung des Internets führen.
Angesichts dessen rechtfertigt sich nicht nur die Erhöhung der Speicherdauer in keiner Weise, sie wäre vielmehr von der schon jetzt zu langen Frist von sechs Monaten auf ein erträgliches Mass, in Anlehnung an die gegenwärtigen, jeweils kürzeren, Regelungen zur Haftdauer
(Art. 227 Abs. 1 et 7 StPO), zur Observation
(Art. 282 Abs. 2 StPO) und zur verdeckten Fahndung
(Art. 298b Abs. 2 StPO), etwa auf zwei Monate abzusenken.
Artikel 27 des Entwurfs und Artikel 28 des Entwurfs unterwerfen auch abgeleitete Kommunikationsdienste und interne Fernmeldedienste der Duldungspflicht auf Gewährleistung des physischen Zugriffs auf die Informatiksysteme der Datensammlungen. Ist dies schon bei den Internetanbietern als unzulässiger Eingriff in die Privatsphäre zu werten, so muss dies um so mehr für abgeleitete Kommunikationsdienste und interne Fernmeldedienste gelten, die beide in aller Regel ihrerseits wieder Kunden von Internetanbietern sind. Es ist weiter auch nicht ersichtlich, warum diese Dienste überhaupt Überwachung betreiben sollten, wenn nach Artikel 22 und 26 des Entwurfs doch bereits die Internetanbieter für die Erhebung, Sammlung und Weitergabe der notwendigen Daten zuständig sind. Soweit das Ziel Redundanz der Datensammlung sein soll, so ist unabhängig von der Zulässigkeit dieses Ziels völlig unverständlich, weshalb nicht einfach Sicherheitskopien der gespeicherten Daten angefertigt werden, anstatt die selben Daten durch unterschiedliche Dienste unnötigerweise mehrfach zu erheben.
Artikel 29 des Entwurfs sieht vor, dass jede Person mit Internetanschluss, die diesen einem Dritten zur Benutzung überlässt, dessen vollständige Kommunikation samt aller Metadaten zu überwachen hat. Diese Bestimmung ist nicht nur offensichtlich unmöglich durchführbar sondern auch in gerade zu sträflicher Weise unverantwortlich in einer freiheitlichen Demokratie. Namentlich wird übersehen, dass Internetzugänge keineswegs nur an professionelle Informatiker vergeben werden, sondern mittlerweile in der ganzen Bevölkerung weite Verbreitung finden. Dementsprechend sind auch die Kenntnisse über Sicherheitsstandards und Verschlüsselungsarten, so überhaupt vorhanden, in der Gesellschaft eher rudimentär verbreitet. Dies führt mitunter dazu, dass zur Absicherung von Netzwerken noch immer veraltete Mechanismen wie etwa WEP[31] verwendet werden, die nicht dazu geeignet sind, wirksamen Schutz gegenüber Eindringlingen zu bieten.
Rein rechtlich gesehen sind solche Netzwerke unverschlüsselten Netzwerken gleichzustellen. Dadurch gewähren sie, mag es auch unwissentlich sein, unbekannten Dritten Zugang zum Internet und sind dementsprechend von Artikel 29 des Entwurfs erfasst. Erfasst sind aber auch Netzwerke, die zwar mit einem derzeit noch für ausreichenden befundenen Verschlüsselungsprotokoll wie etwa WPA2[32] versehen sind, jedoch nicht nur einen einzigen, sondern mehrere Benutzer haben. Dies trifft auf so gut wie alle in privaten Haushalten verwendeten drahtlosen Netzwerke zu (W-LAN). Artikel 29 des Entwurfs verpflichtet nun jeden Administrator eines W-LANs rechtlich dazu, seine Nutzer zu überwachen. Wie dies faktisch geschehen soll, lässt der Gesetzesentwurf freilich offen.
Die Petenten verfügen als gewöhnliche Privatpersonen nicht über die notwendige Ausbildung und das Fachwissen um Kommunikationsdaten und Metadaten erfassen zu können, geschweige denn über die Möglichkeit, einen solchen Eingriff gegenüber den übrigen Benutzern des eigenen Netzwerks zu verheimlichen. Wie dieses Unwissen überwunden werden kann, und weshalb es überhaupt strafwürdig sein sollte, die Überwachung aufgrund fachlicher Unkenntnis nicht vorzunehmen, erschliesst sich aus dem Gesetzestext nicht im geringsten.
Es lässt sich weiter auch mit dem vorbehaltlos garantierten Kerngehalt des Grundrechts auf Privatsphäre nach Art. 13 Abs. 1 BV i.v. mit Art. 36 Abs. 4 BV nicht vereinbaren, dass jeder Betreiber eines offenen oder geschlossenen W-LANs mit mehreren Benutzern diese auch im intimsten Freundeskreis und unter Bekannten bespitzeln muss. Ebensowenig lässt sich der mit Art. 29 Abs. 1 lit. a nBÜPF verbunden Zwang zum Zugang der Informatikanlagen von Privatpersonen verfassungsrechtlich halten, da dies in extremo die Folge hätte, dass der Grundsatz der Hausdurchsuchung nur mit Einwilligung des Hausrechtsberechtigten gem. Art. 244 Abs. 1 StPO hinfällig würde und anlasslose Wohnungskontrollen nach völligem Belieben der Polizeibehörden zulässig würden, was einem demokratischen Rechtsstaat selbstredend diametral widerspricht.
Datenverwertung
Artikel 1 des Entwurfs stellt mit Art. 1 Abs. 1 lit. b/c/d nBÜPF i.v. mit Art. 9 Abs. 1 nBÜPF und Art. 35f. nBÜPF die Erlaubnis auf, die Erkenntnisse der Vorratsdatenspeicherung ausserhalb des Strafverfahrens zu verwenden, insbesondere im Bereich der Rechtshilfe, der zivilrechtlichen! Suche nach vermissten Personen, sowie der polizeilichen Fahndung.
Nach den verfassungsrechtlichen Vorgaben ist die Verwertung der Daten strikt auf den Strafprozess zu beschränken. Artikel 1, 35 und 36 des Entwurfs verstossen gegen diese Vorgabe, indem sie die Verwertung von gespeicherten Daten ausserhalb des Strafverfahrens legitimieren.
Artikel 14 des Entwurfs will eine Schnittstelle zwischen polizeilichem Informationssystem und dem Überwachungsdienst des Bundes sein, also den beiden Institutionen vice versa Zugang auf die jeweils gespeicherten Daten gewähren. Dies soll gem. Art. 14 Abs. 1 nBÜPF durch Kopien der entsprechenden Informationen und Einfügen in die jeweils andere Datenbank erfolgen.
Abgesehen von der Frage, ob das BPI angesichts seiner ausgesprochenen Datenhungrigkeit selbst überhaupt verfassungskonform ist, welche hier nicht behandelt und nur bezweifelt werden kann, ist jedenfalls die Kopie der Vorratsdaten in die polizeilichen Informationssystem unzulässig, weil dieses gem. des Geltungsbereichs von Artikel 2 BPI sowohl zur Gefahrenabwehr, als auch im Rechtshilfeverfahren und zur Fahndung Verwendung findet. Für alle diese Zwecke dürfen Vorratsdaten jedoch keine Verwertung finden, weshalb sie auch nicht in eine Datenbank mit entsprechender Zweckbindung kopiert werden dürfen.
Artikel 15 des Entwurfs regelt, welche Behörden vom Überwachungsdienst des Bundes Vorratsdaten zur Verwertung beziehen dürfen. Dabei wird gem. Art. 15 Abs. 1 lit. b nBÜPF diese Kompetenz dem Bundesamt der Polizei sowie den kantonalen und kommunalen Polizeibehörden eingeräumt. Nach Art. 15 Abs. 2 lit. a/b nBÜPF sind dazu zudem auch der Nachrichtendienst des Bundes sowie die Bundesbehörden zur Bekämpfung des unlauteren Wettbewerbs befugt.
Das ist nicht zulässig. Die Verwertung von Vorratsdaten hat sich strikt am Grundsatz der allein zulässigen Aufklärungshilfe schwerster Straftaten auszurichten, sie ist weder zur Gefahrenabwehr noch zur nachrichtendienstlichen Ausforschung zulässig. Sie sind auch nicht dazu gedacht, den Bundesbehörden bei Strafanzeigen behilflich zu sein, weil dies stark am Verbot der Verdachtsausforschung kratzt.
Datensicherung
Unklar ist weiterhin, was Art. 9 Abs. 4 nBÜPF mit „nach Möglichkeit verschlüsselten Dokumenten auf dem Postweg“ meinen möchte. Eine Postsendung mit Dokumenten, also etwa Ausdrucke auf Papier, kann nur mittels herkömmlichen Chiffren in analoger Weise, etwa dem doppelten ROT13-Verfahren[33] oder der Enigma-Maschine[34] etc.[35] verschlüsselt werden. Alle diese Systeme sind jedoch entweder bereits geknackt worden und daher als Sicherheitsmassnahme faktisch wirkungslos oder können jedenfalls keine mathematische Sicherheit gewährleisten, die allerdings aufgrund der gegenüber den Datenschutzbestimmungen erhöhten Anforderungen zwingend erforderlich ist.
Da Art. 9 Abs. 4 lit. a nBÜPF dieses Verfahren aber hauptsächlich für den Verkehr mit ausländischen Behörden, an welche ohnehin keine Vorratsdaten geliefert werden dürfen, vorsieht und deshalb ebenfalls verfassungsrechtlich unzulässig ist, ist die Praxisrelevanz dieses, gegen den Grundsatz der Datensicherheit verstossenden Verfahrens, glücklicherweise wohl sehr gering, zumindest falls Art. 9 Abs. 4 lit. b nBÜPF nicht dahingehend auszulegen ist, dass „technische Gründe“, die das Abrufverfahren nach Art. 9 Abs. 1 nBÜPF verunmöglichen nicht schon dann vorliegen, wenn die untersuchende Person an ihrem Arbeitsplatz nicht über einen (internetfähigen) Computer verfügt.
Artikel 10 des Entwurfs sieht bezüglich der Auskunft über die im Rahmen einer Überwachungsmassnahme gespeicherten Daten in Art. 10 Abs. 1 lit. b nBÜPF einen Verweis auf das nationale rsp. das kantonale Datenschutzrecht vor.
Das genügt nicht. Der Gesetzgeber muss für solche Auskünfte, die zudem aktiv seitens der Behörden erfolgen müssen und nicht nur passiv als Recht des Bürgers auf Antrag formuliert sein dürfen, ein höheres Schutzniveau vorsehen als für das Auskunftsrecht nach Datenschutzgesetz.
In dieser Hinsicht gibt auch Art. 10 Abs. 4 nBÜPF Anlass zur Sorge. Da es sich bei den Vorratsdaten naturgemäss um elektronisches Material handelt, welches in beliebiger Form verlustfrei kopiert werden kann, ist kaum ein Fall vorstellbar, in welchem der Vorbehalt des „unverhältnismässigen Aufwand“ anders denn als ein Vorwand zur Nichtgewährung der Informationsrechte wirken könnte.
Artikel 12 des Entwurfs regelt die Sicherheit der gespeicherten Daten. Dies soll gem. Art 12 Abs. 1 nBÜPF durch den Überwachungsdienst des Bundes sichergestellt werden. Diese Blankettnorm regelt weder, in welcher Form die Sicherung zu erfolgen hat, noch welche Standards dazu eingesetzt werden, internen und externen Missbrauch der Daten zu verhindern.
Diese grobe Missachtung der Vorgabe auf Normenklarheit wird auch nicht dadurch geheilt, dass Art. 12 Abs. 2 nBÜPF den Bundesrat dazu ermächtigt, die entsprechenden „technischen und organisatorischen Schutzmassnahmen“ in Bundesverordnungen zu regeln.
Die Regelung der Datensicherheit durch Verweis ist nicht zulässig. Verlangt wird eine ausdrückliche, normenklare und verbindliche Vorgabe direkt im Gesetz, NICHT in dessen Ausführungsverordnungen oder sonstigen technischen Vorschriften des Bundesrats, die diesbezügliche Delegation ist nicht statthaft und verletzt das Rechtsschutzinteresse sowohl der zur Mitwirkung gezwungenen Internetanbieter als auch der von der Überwachung betroffenen Bürger.
Im Übrigens ist auch die alleinige Verantwortung der Internetanbieter für die Datensicherung, wie sie Art. 12 Abs. 3 nBÜPF aufstellt, nicht zulässig, zumal diese als unter Zwang stehenden Erfüllungsgehilfen des Staates nach Art. 35 Abs. 2 BV bereits der selben Verantwortlichkeit und Bindung an die Grundrechte wie dieser unterstehen, sodass der entsprechende Passus zumindest überflüssig, und damit - wegen offensichtlicher Sinn- und Zweckwidrigkeit - auch willkürlich[36] ist.
Die aufgezeigten Massnahmen sind offensichtlich auf die nachhaltige Zerstörung der freiheitlichen, direktdemokratischen Natur des Internets gerichtet. Es mag sein, dass dem Parlament die Freiheit im Internet mittlerweile lästig geworden ist, insbesondere deshalb, weil die internetaffine Generation recht zuverlässig alle eklatanten Fehler im Gesetzgebungsprozess aufspürt, doch sollte dies, wenn überhaupt, dann zur Fehlerkorrektur anregen, nicht aber dazu verleiten, den Übermittler der schlechten Nachrichten und dessen Medium zensorisch einem absoluten Überprüfungsvorbehalt und einer generellen Überwachung ohne jeglichen Anlassgrund zu unterwerfen.
4. Unvereinbarkeit des Staatstrojaners mit der Bundesverfassung
Der Entwurf sieht eine Änderung der Strafprozessordnung vor.[37] Mit Art. 269bis nStGB will der Entwurf den Staatsanwaltschaften erlauben, Abhörgeräte auf privaten Computern zu installieren.
Mit Art. 269ter nStGB soll das Unterwandern von Datenverarbeitungsanlagen durch Einschleusen von Malware sowie der Einbruch in Privaträume legitimiert werden.
Damit zeigt der Entwurf sein gleichermassen technisch wie juristisch bestehendes grundsätzliches Unverständnis gegenüber neuen Medien und dem Internet in geradezu beschämender Weise.
Diese vom Bundesrat euphemistisch „Govware“[38] genannten „technischen Geräte“ und „besonderen Informatikprogramme“ sind nämlich nichts anderes als Schadprogramme, die einem Staatstrojaner gleichkommen, also eine Software, die dazu bestimmt ist, die Computersicherheit gezielt zu beeinträchtigen, um an Informationen zu kommen, welche aus der Privat- und Intimsphäre der einzelnen Person stammen und auf welche diese verfassungsrechtlich Anspruch auf Geheimhaltung hat. (Art. 13 Abs. 1 BV, Art. 8 Abs. 1 EMRK, Art. 17 Abs. 1 UNO-Pakt II[39])
Durch die Verwendung solcher Schadprogramme wird der Objektive Tatbestand der Unbefugten Datenbeschaffung (Art. 143 StGB), des unbefugten Eindringens in ein Datenverarbeitungssystem (Art. 143bis Abs. 1 StGB), der Datenbeschädigung (Art. 144bis Ziff. 1 StGB) sowie der Herstellung von datenbeschädigenden Programmen (Art. 144bis Ziff. 2 StGB) erfüllt.
Da es der Gesetzgeber versäumt hat, eine zu Art. 179octis StGB analoge Regelung der Straflosigkeit amtlicher Überwachung bei Computersabotage (Art. 143ff. StGB) zu schaffen, können die Änderungen der Strafprozessordnung, die durch den Entwurf vorgenommen werden, schon strafrechtlich nicht gerechtfertigt werden.
Doch selbst wenn eine solche Regelung bestünde, ist höchst fraglich, weshalb die Strafverfolgungsbehörden Straftaten – die nach ihrer eigenen Ansicht – schwer wiegen, begehen können dürfen sollten, um Straftaten aufzuklären, die weniger schwer wiegen, teils sogar blosse Übertretungen sind.
Übersehen wird bei beiden Regelungen zudem, wie auch bei der Vorratsdatenspeicherung allgemein, dass eine verdeckte Überwachung nach Vorgaben des Verfassungsrechts nur dann zulässig ist, wenn es sich um die einzig mögliche Methode handelt, um die Informationen zu erhalten. Die Komplexität von Alternativmassnahmen spielt hierbei keine Rolle, eine Abwägung der betroffenen Grundrechtsinteressen zugunsten der Prozessökonomie findet ausdrücklich nicht statt!
Soweit Art. 269bis nStGB und Art. 269ter nStGB die Überwachung auch ohne vorgängige erfolglose Durchführung anderer Massnahmen erlauben wollen, wenn „die Überwachung mit diesen Massnahmen aussichtlos wäre oder unverhältnismässig erschwert würde“, sind sie mit Verfassungsrecht unvereinbar.
Art. 269bis nStPO geht ferner auch deutlich an der Wirklichkeit vorbei. Nach den Ausführungen des Bundesrats sei diese Bestimmung erforderlich, um verschlüsselte Internet-Telefonie (Voice over IP, VoIP) abhören zu können. Das entspricht schlicht nicht den Tatsachen. Alle Anbieter von VoIP (etwa Skype[40], Facetime[41], GoogleTalk/Hangouts[42], Viber[43]) verfügen über eine sogenannte „offene Schnittstelle“ für den Zugriff von Ermittlungsbehörden auf Kommunikationsdaten und sie verpflichten sich selbst zur Kooperation und Herausgabe der Daten.
Insoweit besteht gar kein Problem, welches gesetzgeberisch zu lösen wäre. Art. 269bis nStPO kann demnach nur auf die unrechtmässige Aufnahme von Gesprächen gerichtet sein, die dadurch nun legitimiert werden soll. Dies wiederum ist jedoch eindeutig verfassungswidrig, da der Grundrechtsschutz des Fernmeldegeheimnisses von Art. 13 Abs. 1 BV ganz offensichtlich vollständig erlischt, wenn jegliche Kommunikation abgehört werden soll, unabhängig davon, ob dies nun rechtlich zulässig ist oder nicht.
Noch weit bedenklicher ist demgegenüber das Einschleusen des Staatstrojaners zur Liveüberwachung, dem Ausspähen von Passworten und der Suche nach Beweismitteln in den persönlichen Daten der betroffenen Person. Dies insbesondere vor der Hinsicht, dass hierbei die Rechtsprechung des Bundesverfassungsgericht[44] zur Auslegung des Grundrechts auf informationelle Selbstbestimmung vollständig ignoriert wird. Dieses stellt im zweiten Leitsatz des zitierten Urteils unmissverständlich klar, dass die Infiltration eines informationstechnischen Systems zwecks Überwachung nur zur Verfolgung schwerster Rechtsgutsverletzungen, insbesondere solche, die sich gegen Leib und Leben, Freiheit oder die Existenzgrundlage des Menschen richten, verwendet werden darf.
Der in Art. 269 Abs. 2 nStPO verwendete Katalog an als schwer definierten Straftaten genügt dieser Anforderung nicht im geringsten. Er listet über weite Teile Strafnormen ohne geschütztes Rechtsgut auf (insbesondere die Artikel 115, 135, 144bis Ziff. 2, 197, 220, 226, 260bis, 260quater, 261bis und 305bis des Strafgesetzbuchs sowie Art. 20 Abs. 2 BetmG) und wirft weiter bunt Übertretungen, Vergehen und Verbrechen durcheinander. Dem Grundsatz des Einsatzes „nur zur Aufklärung von besonders schweren Straftaten“, so der Bundesrat, ist demnach durch den vorliegenden Entwurf keinesfalls Genüge getan, wenn noch nicht einmal eine Beschränkung rein auf Straftaten der höchsten Strafkategorie, welche gem. Art. 10 Abs. 1 StGB das Verbrechen ist, vorgenommen wird.
Ein Verbrechen ist dadurch definiert, dass seine Begehung mit einem Strafrahmen von mehr als drei Jahren Freiheitsstrafe bedroht ist.
(Art. 10 Abs. 2 StGB).
Vor diesem Hinblick sind namentlich die Artikel 135, 144, 144bis, 158, 180, 181, 182, 185, 188, 192, 197, 220, 221, 223, 224, 227, 228, 232, 233, 237, 238, 240, 244, 258, 259, 261bis, 271, 272, 273, 274, 285, 301, 303, 305, 310, 319 des Strafgesetzbuchs keine Verbrechen, sie sind aufgrund fehlender Tatschwere umgehend von dieser Liste zu streichen, soweit diese ausschliesslich „besonders schwere Straftaten“ enthalten soll.
Soll sie das nicht, so ist jedenfalls der Verweis in Art. 269bis nStPO und Art. 269ter nStPO verfassungsrechtlich unzulässig, weil diese Normen einen klar definierten, abschliessenden Katalog von Straftaten, die mit enormen Rechtsgüterschutzverletzungen gegen Leib und Leben oder die Freiheit der Person einhergehen, als Existenzgrundlage zwingend benötigen.
Da diese Korrektur aber offensichtlich politisch nicht erwünscht ist, muss daher festgehalten werden, dass faktisch jeder beim kleinsten Verdacht eines Bagatelldelikts in empfindlichem Masse durch den Staatstrojaner ausgespäht und seiner Privatsphäre vollständig entzogen werden kann.
Auch hinsichtlich des Einsatzes an sich bestehen grundsätzliche Bedenken, da eine rechtsstaatliche Beweiserhebung, die vor Art. 139 Abs. 1 StPO, Art. 140 Abs. 1 StPO und Art. 141 Abs. 2 StPO stand hält, durch den Staatstrojaner aufgrund dessen Arbeitsweise eigentlich von vornherein unmöglich ist.
Ein Trojaner, der dazu bestimmt ist, im Verborgenen Informationen zu sammeln und diese weiterzuleiten, ist systembedingt darauf bedacht, möglichst wenige Belege für sein eigenes Handeln auf dem Angriffsziel, dem betroffenen Rechner zu hinterlassen, um die betroffene Person nicht von der geheimen Überwachungsmassnahme in Kenntnis zu setzen. Das bedeutet aber gleichzeitig, dass das Handeln des Trojaners selbst nicht in genügender Weise protokollierbar ist. [45]
Es kann daher nicht rechtssicher bestätigt werden, dass die Dateien, welche der Ermittler vom Trojaner übermittelt erhält, auch tatsächlich diejenigen sind, die von der Software beim betroffenen Rechner aufgefunden – oder im Fall des Screenshot-Verfahrens selbst erstellt – wurden. Weiter kann auch nicht rechtssicher ausgeschlossen werden, dass allenfalls inkriminierende Dateien durch den Trojaner selbst auf den Rechner eingeschleust werden, um diese dann inszeniert zu „finden“.
Problematisch ist in diesem Zusammenhang auch die Sicherheitslücke, die durch den Staatstrojanern auf den befallenen Rechnern hinterlassen wird. Der betroffene Rechner ist damit korrumpiert und muss als unzuverlässig gewertet werden. Jedermann mit etwas technischen Kenntnissen, insbesondere auch ein aussenstehender Angreifer mit bösen Absichten, kann dieselbe Sicherheitslücke, welche zum Aufspielen des Trojaners sowie zur Übermittlung dessen Daten an den Ermittler ausgenützt wird, selbst dazu verwenden, die Kontrolle über das befallene System zu erhalten und ist somit in der Lage sowohl den Staatstrojaner mit falschen Daten zu füttern als auch den betroffenen Rechner in seinem Sinne zweckzuentfremden, etwa zur Eingliederung in ein Bot-Netz, zum Versenden von SPAM oder gar zur Begehung sogenannter Internetdelikte.
Letztendlich ist damit nicht mehr nachvollziehbar, aus welcher Quelle die beanstandeten Daten stammen, ob sie überhaupt existieren, ob sie echt oder gefälscht sind und selbst wenn ersteres der Fall sein sollte, bleibt unklar und ist nicht rechtssicher feststellbar, wer dafür verantwortlich ist, dass diese auf dem betroffenen Rechner gelandet sind. Damit erledigt sich freilich jeglicher Beweiswert des Datenstroms eines vom Staatstrojaner befallenen Rechners, womit sich die strafprozessuale Massnahme sehr elegant selbst ad absurdum führt. [46]
Völlig unverständlich ist sodann die von Art. 269ter Abs. 2 lit. a nStPO geforderte Beschränkung auf bestimmte, von der Staatsanwaltschaft im Einzelfall zu bezeichnende „Datentypen“.
Auch hier wurde einmal mehr nicht an die Realität gedacht.
So gibt es etwa allein für Grafiken 108 verschiedene Dateitypen[47] und darüber hinaus insgesamt wenigstens 2990 bekannte Dateiformate[48]. Die Chance dafür, dabei zufällig auf den richtigen Dateityp zu stossen ist winzig klein (1/108 = 0.93%, 1/2990 = 0.33‰, jeweils gerundet).
Soll denn letztlich die Verwertung von Beweisen tatsächlich daran scheitern, dass die Staatsanwaltschaft nicht korrekt das zutreffende Dateiformat unter den tausenden von Möglichkeiten beantragt hat? Das erscheint – soweit man den Staatstrojaner als sinnvolles Ermittlungsinstrument ansieht, was die Petenten ausdrücklich bestreiten – völlig absurd.
Demgegenüber auch rechtsstaatlich bedrohlich und nicht bloss abwegig erscheint hingegen das durch Art. 269ter Abs. 2 lit. b StPO mittels Überwachungsanordnung zugebilligte Recht für die Staatsanwaltschaften, zur Installation des Schadprogramms in nicht öffentliche Räume, – insbesondere Privatwohnungen – eindringen zu dürfen.
Weshalb dieses Einbruchsrecht überhaupt erforderlich sein sollte, wenn aufgrund von Artikel 29 des Entwurfs doch bereits ein physisches Zugriffsrecht auf die Informatikanlagen der zur Überwachung verpflichteten Privatpersonen existiert, ist völlig schleierhaft. Es kann aber offen bleiben, was damit bezweckt werden sollte, da es jedenfalls sowohl strafrechtlich als auch verfassungsrechtlich unzulässig ist. Verfassungsrechtlich lässt es jeden Respekt vor dem Kernbereich des Grundrechts auf Unverletzlichkeit der Wohnung vermissen (Art. 13 Abs. 1 BV i.v. mit Art. 36 Abs. 4 BV), strafrechtlich erfüllt es klar den Tatbestand des Hausfriedensbruch, strafbar gem. Art. 186 StGB.
Auch hierfür hat der Gesetzgeber keine Ausnahme von der Strafbarkeit für das Handeln von Ermittlungsbehörden direkt im Strafgesetzbuch festgelegt, wie er dies hätte tun müssen, hielte er das Eindringen in private Räumlichkeiten zwecks Anbringen geheimer Überwachungsmittel für eine zulässige Ermittlungsmethode. Eine reine Änderung der Strafprozessordnung – wie durch den hier vorliegenden Entwurf vorgesehen – vermag strafbaren Ermittlungshandlungen weder die Tatbestandsmässigkeit noch die Rechtswidrigkeit zu nehmen.
Einen Trojaner durch Einbruch und physischen Zugriff auf den Computer aufspielen zu wollen ist zudem – sehr freundlich ausgedrückt – keine besonders sinnvolle Methode der Verbreitung, weil sie nicht nur Vortaten bedingt, sondern auch vollständig ineffektiv ist, falls der betroffene Rechner wirksam verschlüsselt wurde.
Man kann zwar auch Systeme mit Pre-Boot-Authentifikation mittels Life-CD dazu überzeugen, direkt zu starten und kann dann wohl auch die Neuinstallation und die damit verbundene Formatierung des bestehenden Betriebssystems gewaltsam erzwingen, doch vernichtet man dadurch gerade diejenigen Dateien, die man als Beweismittel gerne gesichert hätte. Verbergen lässt sich eine solche Aktion allerdings nicht, weil der Nutzer schon an der fehlenden Passwort-Abfrage merken wird, dass sich jemand seines Systems physisch bemächtigt hat.
Da davon auszugehen ist, dass Personen, die fortgesetzt und mit Erfolg „besonders schwere Straftaten“ unter Zuhilfenahme „moderner Technologien“ begehen, über ein gewisses Niveau an technischem Fachwissen verfügen werden, welches regelmässig den Kenntnissen des normalen Benutzers überlegen sein dürfte, und daher die Verwendung von wirksamer Verschlüsselung seitens der Delinquenten sehr wahrscheinlich ist, erweist sich dieser Passus schliesslich nicht nur als freiheitsfeindlich, sondern auch als in hohem Masse sinnbefreit.
[1]SAC РЕШЕНИЕ No 13627 12/11/2008
[2]CCR DECISION No.1.258 of October 8th 2009
[3]BVerfGE - 1 BvR 256/08 - , - 1 BvR 263/08 - , - 1 BvR 586/08 -
[4]Ebenda E. 206
[5]Ebenda E. 212 Satz 1
[6]Ebenda E. 215, E. 235
[7]Ebenda E. 225
[8]Ebenda E. 227 Satz 3
[9]Ebenda E. 228f.
[10]Ebenda E. 247
[11]Ebenda E. 240, E. 243 Satz 7, E. 244 Satz 1f.
[12]Ebenda E. 218
[13]Ebenda E. 241
[14]Πολιτικές Αιτήσεις Αρ. 65/2009,78/2009, 82/2009 και 15/2010 -22/2010
[15]Pl. ÚS 24/1020 - 2011/03/22
[16]Ebenda E. 30 Satz 4
[17]Ebenda E. 31 Satz 4
[18]Ebenda E. 32
[19]Ebenda E. 44 Satz 4, so auch das BVerfG E. 211
[20]Ebenda E. 36 Satz 3, so auch das BVerfG E. 212
[21]Ebenda E. 55
[22]Ebenda E. 57
[23]VfGH G47/12‐11, G59/12‐10, G62,70,71/12‐11
[24]WD 7 – 3000 – 036/11
[25]Serious criminal offences, as defined in sect. 100a StPO, in Germany according to police crime statistics
(Deutsche Übersetzung mit Schaubildern)
[26]Medienmittelung des Bundesrats vom 09.05.2012
- Schweiz wartet mit der Unterzeichnung des ACTA-Abkommens zu
[27]Entwurf: Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)
[28]AES etwa gilt nach wie vor als sicheres Kryptosystem, auch wenn Angriffe theoretisch und praktisch denkbar sind
[29]Medienmitteilung des Bundesrates vom 27.02.2013 - Überwachung des Fernmeldeverkehrs
[30]Vorratsdatenspeicherung in der Polizeipraxis (Heise News)
[31]WEP-Schwachstellen, einen Beweis für die Unsicherheit liefert Sepmer-kun (geknackt in 5:44)
[32] Auch WPA2 kann praktisch umgangen werden, es erfordert jedoch wesentlich grösseren technischen und zeitlichen Aufwand sowie tatsächliche Fachkenntnisse aus dem Bereich der Informatik:
Part-I, Part-II (Semper-kun)
[33]ROT13-Verfahren (Wikipedia-Eintrag)
[34]Enigma-Maschine (Wikipedia-Eintrag)
[35]Weitergehende Übersicht zu analogen Chiffren
[36]So BGE 131 I 1 E. 4.2 bzg. der Definition von Willkür.
[37]Die Argumentation wird hier nur bezüglich der Artikel betreffend das bürgerliche Strafgesetzbuch ausgeführt. Da die Normen der militärischen Gerichtsbarkeit (die vor Hinblick von Art. 30 Abs. 1 Satz 2 BV ohnehin in ihrer Gesamtheit kritisch zu sehen ist) jedoch wesensgleich ausgebildet sind, können die Argumente analog angewendet werden. Die Petenten ersparen es sich, der Umwelt und dem Parlament, sich unnötig zu wiederholen.
[38]Der Begriff ist schon sachlich völlig falsch, weil solche Überwachungsprogramme in aller Regel eben gerade nicht durch die Regierung selbst erstellt sondern von privaten Dritten (IT-Sicherheitsunternehmen) eingekauft werden.
[39]Der Schutzumfang der direkt anwendbaren (self-executing!) Norm des UNO-Pakts II geht dabei am weitesten, er schützt namentlich vorbehaltlos jede Art von individueller Selbstverwirklichung sowie der Kommunikation darüber. Vgl. NOWAK, UNO-Pakt über bürgerliche und politische Rechte und Fakultativprotokoll S. 304, 310f., 313f., 315 festgehalten als Recht darauf, anders zu sein und selbst zu bestimmen, wer davon wissen darf.
[40]Auszug aus den Datenschutzbestimmungen: Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte und/oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype stellt zur Erfüllung dieser Anforderungen angemessene Unterstützung und Informationen bereit, und Sie stimmen hiermit einer derartigen Offenlegung zu.
[41]Auszug aus den Datenschutzbestimmungen: Mitunter kann es für Apple notwendig sein – aufgrund von gesetzlichen Bestimmungen, rechtlichen Verfahren, Rechtsstreitigkeiten und/oder Aufforderungen von öffentlichen und Regierungsbehörden innerhalb oder außerhalb deines Wohnsitzlandes – personenbezogene Daten offenzulegen. Außerdem können wir Daten über dich offenlegen, wenn wir der Überzeugung sind, dass dies für die nationale Sicherheit, den Gesetzesvollzug oder andere öffentliche Interessen notwendig oder angemessen ist.
[42]Auszug aus den Datenschutzbestimmungen: Wir werden personenbezogene Daten an Unternehmen, Organisationen oder Personen außerhalb von Google weitergeben, wenn wir nach Treu und Glauben davon ausgehen dürfen, dass der Zugriff auf diese Daten oder ihre Nutzung, Aufbewahrung oder Weitergabe vernünftigerweise notwendig ist, um anwendbare Gesetze, Regelungen, oder anwendbares Verfahrensrecht einzuhalten oder einer vollstreckbaren behördlichen Anordnung nachzukommen.
[43]Auszug aus den Datenschutzbestimmungen: We may disclose your Personal Information if we believe such action is necessary to comply with the law, or legal process served on us. We may disclose information about you if we determine that for national security, law enforcement, or other issues of public importance that disclosure of information is necessary.
[44]BVerfGE - 1 BvR 370/07 - , - 1 BvR 595/07 -
[45]IT-Gutachten zur Funktionsweise und zum Beweiswert des Staatstrojaners, erstellt vom Chaos Computer Club
[46]Zur Unverwertbarkeit von durch Trojaner erstellten Beweisstücken aufgrund fehlender Authentizität
[47]Grafikformat - Auf eine Wiedergabe als Textliste wird verzichtet,
sie wäre seitenfüllend
[48]Liste aller bekannten Dateiformate
(Aus Platzgründen auch hier ohne Abbildung)
BV-GG-CHEM - 29. Okt, 18:50
BV-GG-CHEM - 11. Jun, 04:24
Weiterer Verlauf - II
Der Ständerat hat am 10. März gem. Art. 126 Abs. 2 ParlG entschieden, von der Petition im Rahmen der Beratung zum Geschäft 13.025 (BÜPF-Revision) Kenntnis zu nehmen.
Da diese Vorgehensweise es seitens des Rates erfordert, im Sinne der Petition über einen Antrag zum Beratungsgegenstand zu entscheiden, kann man wohl davon ausgehen, dass die obenstehenden, gewichtigen verfassungsrechtlichen Argumente nicht völlig unberücksichtigt geblieben sind.
Leider lässt sich nicht ersehen, was genau der Ständerat nun zur Petition beschlossen hat, da der dort angegebene Datumslink ins Leere führt...
Da diese Vorgehensweise es seitens des Rates erfordert, im Sinne der Petition über einen Antrag zum Beratungsgegenstand zu entscheiden, kann man wohl davon ausgehen, dass die obenstehenden, gewichtigen verfassungsrechtlichen Argumente nicht völlig unberücksichtigt geblieben sind.
Leider lässt sich nicht ersehen, was genau der Ständerat nun zur Petition beschlossen hat, da der dort angegebene Datumslink ins Leere führt...
Weiterer Verlauf