1.1.
Das technische Problem ^
1.2.
Das rechtliche Problem ^
2.1.
Zielsetzung ^
Mit der Revision des Gesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF)2 soll die Kontroverse um die Frage des Einsatzes von GovWare beendet werden. Die Bestimmung soll eine saubere Rechtsgrundlage für den Einsatz von Informatikprogrammen schaffen, die dazu dienen, den Fernmeldeverkehr direkt auf dem zur Kommunikation benützten Gerät (und nicht wie die normale Überwachung erst bei der Fernmeldedienstanbieterin) abzugreifen. Es geht also nicht um den Einsatz von GovWare an sich, sondern ausschliesslich darum, dass solche Software «den Inhalt der Kommunikation und die Randdaten des Fernmeldeverkehrs in unverschlüsselter Form» abgreifen und an die Strafverfolgungsbehörden ausleiten soll.
2.2.
Problematik ^
- Wie wird sichergestellt, dass solche Programme nur diejenigen Daten liefern, die sie liefern dürfen?
- Wie wird sichergestellt, dass solche Programme im Zielsystem keine Sicherheitslücken schaffen, die auch von Dritten ausgenützt werden könnten?
- Wie wird dem Umstand Rechnung getragen, dass der Einsatz solcher Programme tiefer in die Rechte des Betroffenen eingreift als eine konventionelle Fernmeldeüberwachung?
2.3.
Etwas Technik ^
GovWare gibt es auf dem Markt nicht «ab Stange» zu kaufen, weil solche Programme auf die von der Zielperson benützte Hard- und Software angepasst werden muss4. Natürlich sind gewisse Komponenten solcher Programme immer gleich aufgebaut, für den konkreten Einsatz spielt aber eine Rolle, wie das Zielgerät mit dem Internet verbunden wird und welche Programme die Zielperson benützt. Wesentlich sind insbesondere das verwendete Betriebssystem5, der eingesetzte Internetbrowser6, das benützte Virenschutzprogramm7 und die Applikation, die zur verschlüsselten Kommunikation verwendet wird8, denn an diese Rahmenbedingungen muss die GovWare individuell angepasst werden, damit sie auf dem überwachten Gerät überhaupt funktioniert und vom Rechner, aber nicht vom Benutzer erkannt wird. Diese Informationen erhält man in der Regel nur mit einer konventionellen Internetüberwachung. Das heisst also, dass der Einsatz von GovWare normalerweise erst möglich wird, wenn vorher eine konventionelle Internetüberwachung verfügt, bewilligt und durchgeführt wurde.
2.4.1.
Überwachbare Daten ^
Die Frage, welche Daten mit dem Einsatz von GovWare überhaupt erhältlich sind, beantwortet Art. 269ter SPO genau: es geht nur um «den Inhalt der Kommunikation und die Randdaten des Fernmeldeverkehrs». Die Angst, es könnten mit solchen Programmen «beliebige System- und Nutzerdaten ohne Wissen des Inhabers kopiert, verändert, gelöscht oder hinzugefügt werden»10, ist unbegründet. Zwar wäre es möglich, GovWare so zu programmieren, und in Deutschland wurden denn auch Programme mit solchen Fähigkeiten entwickelt.
Weil aber nicht einfach Standardprogramme eingesetzt werden können, sondern jede GovWare ohnehin auf die Besonderheiten des benützten Zielgerätes programmiert werden muss, kann der Hersteller auch gleich verpflichtet werden, die rechtlichen Rahmenbedingungen einzuhalten. Er wird dann schon aus eigenem Interesse nicht ein Programm entwickeln, das mehr kann, als es dürfte. Weil die Anbieterinnen von GovWare von den Polizeibehörden vertraglich verpflichtet werden, den Quellcode ihrer Programme offen zu legen, sodass jederzeit überprüft werden kann, wie sie technisch funktionieren, ist sichergestellt, dass die GovWare vom Lieferanten richtig programmiert wird. Sie leitet deshalb nur diejenigen Daten aus, deren Ausleitung von der Staatsanwaltschaft tatsächlich angeordnet und vom Zwangsmassnahmengericht auch genehmigt wurde.
Der Ständerat hat denn auch bei der Beratung von Art. 269ter StPO eine einzige Anpassung vorgenommen: Die Staatsanwaltschaften sollen verpflichtet werden, eine Statistik über den Einsatz von GovWare zu führen12. Das ist sinnvoll und führt zu nur unerheblichem zusätzlichen Aufwand, weil ohnehin nur in seltenen Fällen GovWare eingesetzt wird13.
2.4.2.
Schaden durch GovWare ^
Ziel des Designs von GovWare ist ohnehin, sie so zu programmieren, dass sie nach Ablauf der bewilligten Überwachungsdauer vom System der Zielperson spurlos gelöscht werden kann. Das ist nötig, damit die entsprechenden Module von der Zielperson nicht nachträglich untersucht werden können. Denn die Zielperson muss ja wie bei jeder Überwachung spätestens vor dem Abschluss der Untersuchung darüber informiert werden, dass ihr Gerät überwacht und dabei GovWare eingesetzt wurde (Art. 279 StPO). Wenn man aber das Programm spurlos entfernen können muss, dann ist das nur realistisch, wenn keine neuen Sicherheitslücken geschaffen oder zumindest allfällig geöffnete Sicherheitslücken wieder geschlossen werden.
2.4.3.
Die Frage der Eingriffsschwere ^
Diese Idee des Gesetzgebers überzeugt allerdings nicht. Zum einen ist der Deliktskatalog von Art. 286 Abs. 2 StPO nur unwesentlich enger als derjenige von Art. 269 Abs. 2 StPO. Zum andern sollte bei der Auswahl der Delikte für die beiden Kataloge neben der Schwere der Straftaten eigentlich eine wesentliche Rolle spielen, für die Aufklärung welcher Delikte die zu regelnde Massnahme überhaupt geeignet ist. Weil es auch bei Art. 269ter StPO um Kommunikationsüberwachung geht, passt der Katalog von Art. 286 StPO deshalb nicht.
3.
Gesamtwürdigung ^
Dr. iur. Thomas Hansjakob ist Erster Staatsanwalt des Kantons St. Gallen und publiziert regelmässig zu Fragen der verdeckten Beweiserhebung.
- 1 Näheres zur Kontroverse bei T. Hansjakob, Einsatz von Gov-Ware – zulässig oder nicht?, in: Jusletter 5. Dezember 2011; O. Jotterand/J. Müller/J. Treccani, L’utilisation du cheval de Troie comme mesure de surveillance secrète, in: Jusletter 21. Mai 2012; S. Métille, Les mesures de surveillance prévues par le CPP: quelles places pour le cheval de Troie, l’IMSI-Catcher ou les puces RFID ?, in: Jusletter 19. Dezember 2011; C. Riss/N. Beranek Zanon, Art. 280 StPO genügt nicht als gesetzliche Grundlage für den Einsatz von Staatstrojanern, in: Jusletter 9. Juli 2012
- 2 Botschaft zum Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) vom 27. Februar 2013 in BBl 2013 2683 ff.
- 3 Vgl. AB 2014 S 300 ff.
- 4 GovWare kann auf Computern, aber auch auf Smartphones, also auf modernen Handys, eingesetzt werden.
- 5 Z.B. Windows 8, Android oder iOs.
- 6 Z.B. Internet Explorer, Mozilla Firefox oder Safari.
- 7 Z.B. Norton Antivirus, Kaspersky Internet Security oder Avira.
- 8 Z.B. Skype, WhatsApp oder Viber.
- 9 Z.B. in einem Mail, das die GovWare getarnt in einem Anhang enthält.
- 10 So noch die Botschaft (Fn. 2), BBl 2013 2775.
- 11 Beispielhaft die Argumentation von Ständerätin Fetz in den Beratungen: «Staatliche Schadsoftware darf unter bestimmten Bedingungen eingesetzt werden, und zwar ohne dass klar definiert würde, wo die Grenzen der Möglichkeiten dieser Programme und damit ihre Schadensgrenzen liegen. Das ist das Heikle. Es ist eine hochtechnische Angelegenheit, die aber im Artikel überhaupt nicht definiert wird; es werden keine Grenzen gesetzt.» (AB 2014 S 301).
- 12 AB 2014 S 300. Diese Pflicht richtet sich nicht an den Dienst ÜPF, weil nicht er, sondern die zuständigen Polizeibehörden von Bund und Kantonen die GovWare einsetzen – zu hoffen ist allerdings, dass der dadurch abgegriffene Kommunikationsverkehr in der Regel weiterhin an den Dienst und nicht direkt an die auswertende Polizeibehörde ausgeleitet wird.
- 13 Die Zahl solcher Einsätze dürfte zwar etwas steigen, wenn eine saubere gesetzliche Grundlage vorhanden ist; wegen des Aufwandes solcher Massnahmen wird die konventionelle Überwachung aber wohl auch in den nächsten fünf Jahren etwa 100 mal häufiger sein als die Überwachung nach Art. 269ter StPO.
- 14 Das zeigt schon der Umstand, dass der einfachste Schutz vor Computerviren darin besteht, auf dem eigenen System ein wenig verbreitetes Betriebssystem und einen selten benützten Browser zu installieren.
- 15 So sinngemäss der Kommissionssprecher, Ständerat Engler, in AB 2014 S 300.