Jusletter IT

Open Source Intelligence (OSINT), die Auswertung öffentlich verfügbarer Informationen, hat im Internetzeitalter massiv an Bedeutung gewonnen. Die ständig wachsende Menge der allgemein zugänglichen Information ist als Quelle nachrichtendienstlicher Arbeit von enormer Bedeutung. Seit Mitte 2013 wurde aufgrund der Snowden-Enthüllungen die ungeheure Dimension staatlicher Überwachung bekannt, die aufgrund der technischen und politischen Entwicklungen der letzten Jahre möglich und – nicht nur durch die USA – auch umgesetzt wurde. Die rechtswissenschaftliche Aufarbeitung der enthüllten Praktiken kann nur in einzelnen Teilen erfolgen.¹ Dieser Beitrag widmet sich einer von den USA offiziell bestätigten Praxis mit Österreich-Bezug, der Durchführung von OSINT durch die diplomatische Vertretung der USA in Österreich.²

Open Source Intelligence (OSINT) ist definiert als «intelligence that is produced from publicly available information and is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement.»³ Für die rechtliche Einordnung von OSINT ist es wichtig, OSINT von anderen Arten der Informationssammlung zu unterscheiden.

Unter dem Begriff SIGINT werden «communications intelligence» (COMINT) – «[i]ntelligence derived from electromagnetic communications and communication systems by other than intended recipients or users» – und «electronic intelligence» (ELINT) – «[i]ntelligence derived from electromagnetic non-communications transmissions by other than intended recipients or users»⁴ – zusammengefasst. Unter SIGINT kann man also generell (Geheimdienst-)Informationen verstehen, die durch Abfangen von Signalen (Kommunikation oder Nicht-Kommunikation) gewonnen werden (z.B. IMSI-Catcher, …). OSINT hingegen beschäftigt sich mit öffentlich verfügbaren Informationen. «Human intelligence» (HUMINT) wiederum bezeichnet «[a] category of intelligence derived from information collected and provided by human sources»⁵. Die für OSINT herangezogenen Quellen sind gerade nicht unmittelbar Menschen, sondern öffentlich verfügbare Nachrichten.

Unter dem verhältnismäßig neuen Begriff Social Media Intelligence (SOCMINT)⁶ versteht man (Geheimdienst-)Informationen, die von Social-Media-Quellen gewonnen werden. SOCMINT weist somit eine Überschneidung mit OSINT auf. Von OSINT, nicht jedoch SOCMINT umfasst sind z.B. Informationen aus Internetausgaben von Zeitungen. Von SOCMINT, aber nicht von OSINT umfasst sind Informationen aus Social-Media-Quellen, die nicht allgemein zugänglich sind. Typische Anwendungsfälle von OSINT sind u.a. die Analyse von Personennetzwerken (z.B.: Welche Personen kennen sowohl A als auch B?) sowie Trendanalysen (z.B. Steigt oder sinkt die Anzahl des Vorkommens des Wortes «Occupy» verglichen mit früheren Perioden?).⁷

Typischerweise werden 4 Kategorien von OSINT-Quellen unterschieden⁸: (a) kommerzielle Daten (z.B. kommerzielle Satellitenbilder), (b) einer breiten Öffentlichkeit verfügbare Daten (Medien, Webseiten, …), (c) individuelle Experten und (d) «graue» Literatur (Information in geschriebener Form, deren Verfügbarkeit begrenzt ist, z.B. (noch nicht veröffentlichte) Dissertationen). Im Internetzeitalter am wichtigsten ist die zweite Kategorie, da immer mehr Informationen über das Internet öffentlich verfügbar sind, z.B. Online-Zeitungen, Blogs, Facebook-Posts, Twitter-Tweets etc. Diese Informationen sind in maschinenlesbarer Form vorhanden und können schnell und vergleichsweise billig (semi-)automatisch analysiert werden. Auch die Verschleierung des Informationsflusses ist durch die Verwendung von Proxys und ähnlichen Technologien leichter möglich.

Es ist prinzipiell anerkannt, dass Informationsgewinnung durch OSINT nützlich ist. Es herrscht jedoch Uneinigkeit darüber, welchen Wert OSINT gegenüber traditioneller Intelligence besitzt und wie viel Ressourcen somit für OSINT verwendet werden sollen. Es werden drei verschiedene Meinungen vertreten: Gemäß der ersten Meinung ist OSINT nur als zusätzliche Kontextinformation sinnvoll, nicht aber als Träger von kritischer Information. Gemäß der zweiten Meinung ist OSINT als zusätzliche Kontextinformation, aber auch als Träger von kritischer Information selbst nützlich (z.B. Propagandamaterial). Gemäß der dritten Meinung ist OSINT als erster Schritt der Informationssammlung beziehungsweise als Indikator dafür, was als geheim anzusehen ist, wichtig, die «smoking gun» wird durch OSINT jedoch nicht auffindbar sein.⁹

Daten in OSINT-Systemen durchlaufen in der Regel drei Schritte: Zunächst werden die Daten gesammelt («crawler»). Danach wird – durch Einsatz verschiedener Methoden – ein Zusatznutzen generiert. Der Zusatznutzen kann z.B. darin bestehen, dass ausgehend von einer Erkennung der verwendeten Sprache(n) benannte Entitäten extrahiert, Klassifikationen erstellt und die im Text transportierte Gefühlslage erkannt werden. Zusätzlich können Metadaten wie GPS-Informationen, Publikationsdatum etc. zur Informationsbereicherung herangezogen werden. Schlussendlich muss das Ergebnis aufgrund einer entsprechenden Anfrage visualisiert werden.¹⁰

Im Folgenden wird analysiert, ob das Betreiben von OSINT durch die US-Botschaft – d.h. durch eine diplomatische Mission – in Österreich rechtmäßig ist. Zunächst behandeln wir das Völkerrecht und die Frage der Anwendbarkeit des nationalen Rechts, anschließend prüfen wir die datenschutzrechtliche Zulässigkeit. Außer Betracht bleiben die Durchführung von OSINT außerhalb der Räumlichkeiten der diplomatischen Mission sowie die Durchführung anderer Überwachungsmaßnahmen (insbesondere SIGINT) durch die diplomatische Mission.

Die Beschaffung von Informationen zählt ausdrücklich zu den Aufgaben einer diplomatischen Mission. Diese darf sich im Empfangsstaat mit allen rechtmäßigen Mitteln über die Verhältnisse und Entwicklungen im Empfangsstaat unterrichten (Art. 3 Abs. 1 lit. d WDK). Der Anwendungsbereich dieser Bestimmung umfasst alle politischen, kulturellen, sozialen und wirtschaftlichen Entwicklungen sowie generell alle Aspekte des Lebens, die von Interesse für den Entsendestaat sein könnten.¹¹

Um ihre Aufgaben bewältigen zu können, genießen die Mitglieder einer Mission volle Bewegungs- und Reisefreiheit (Art. 26 WDK).¹² Der Empfangsstaat ist verpflichtet, der Mission jede Erleichterung zur Wahrnehmung ihrer Aufgaben zu gewähren (Art. 25 WDK) und alle Maßnahmen zu ergreifen, damit die Mission ihren Aufgaben zufriedenstellend nachkommen kann.¹³ Jedoch sind der Informationsbeschaffung auch Schranken gesetzt. Aus Gründen der nationalen Sicherheit kann das Betreten bestimmter Zonen untersagt werden (Art. 26 WDK), die Größe der Mission kann beschränkt werden (Art. 11 WDK) und die ausdrückliche Zustimmung des Empfangsstaates ist erforderlich, um zur Mission gehörende Büros an einem Ort zu errichten, der vom Sitz der Mission verschieden ist (Art. 12 WDK).¹⁴

Darüber hinaus ergeben sich allgemeine Schranken aus Art. 41 Abs. 1 WDK. Vorgeschrieben wird allen Personen, die Vorrechte und Immunitäten genießen, die Beachtung der Gesetze und anderer Rechtsvorschriften des Empfangsstaates. Zusätzlich dürfen die Räumlichkeiten der Mission in keiner Weise verwendet werden, die mit ihren Aufgaben unvereinbar ist (Art. 41 Abs. 3 WDK). Unter Beachtung der Gesetze verstand laut Denza die ältere Literatur, dass diese Bestimmung eine Begleiterscheinung der Pflicht des Empfangsstaates darstellt, Vorrechte und Immunitäten einzuräumen. Die Mission müsste sich lediglich aufgrund einer moralischen Pflicht, oder aus Höflichkeit (courtesy) daran halten. Die moderne Theorie nehme hingegen an, dass abgesehen von gesetzlichen Ausnahmen die Gesetze des Empfangsstaates einzuhalten sind.¹⁵

Andererseits muss der Empfangsstaat gemäß Art. 25 WDK der Mission jede Erleichterung zur Wahrung ihrer Aufgaben gewähren und ist verpflichtet die Unverletzlichkeit der Räumlichkeiten der Mission zu beachten (Art. 22 WDK). Die Wahrnehmung der Aufgaben der Mission darf nicht behindert werden. Die bloße Informationsbeschaffung muss hingegen gemäß Art. 3 Abs. 1 lit. d WDK auf die Verwendung rechtmäßiger Mittel beschränkt werden. Sofern aufgrund nationaler Rechtsvorschriften die Möglichkeiten der Mission, sich mit rechtmäßigen Mitteln zu unterrichten, in einer Weise beschränkt werden, dass sie ihre Aufgaben nicht im vorgesehenen Ausmaß erfüllen kann, liegt wohl ein Verstoß gegen die WDK vor. Dies wird in Österreich in der Regel aber nicht vorkommen, weil die WDK im Gesetzesrang steht¹⁶ und im Konfliktfall wohl als lex specialis angesehen werden muss.

Immunität kann nur eingeräumt werden, wenn nationale Jurisdiktion grundsätzlich besteht¹⁷ und bedeutet, dass sich Personen, die Immunitäten genießen, nicht vor den nationalen Gerichten des Empfangsstaates zu verantworten haben.¹⁸ Sie sind jedoch den Gesetzen des Empfangsstaates unterworfen, lediglich die gegen sie gerichtete Durchsetzung dieser Gesetze ist gehemmt.¹⁹ «Immunität ist eine verfahrensrechtliche und keine materielle Norm.»²⁰ Aus der WDK ergibt sich daher, dass das österreichische Datenschutzrecht materiell anwendbar ist, sofern die Wahrnehmung der Aufgaben der Mission nicht behindert wird. Nur die Durchsetzung von Sanktionen aufgrund von Verstößen ist gehemmt.²¹ Entgegenstehendes lässt sich auch aus Art. 4 Abs. 1 lit. b der EG-Datenschutzrichtlinie (95/46/EG; DSRL) schon deswegen nicht ableiten, weil diese Bestimmung im österreichischen Datenschutzgesetz (DSG 2000) nicht umgesetzt wurde.²²

Diplomaten genießen Immunität vor der Gerichtsbarkeit des Empfangsstaates. Daher können nur bestimmte Maßnahmen ergriffen werden, um auf Gesetzesverstöße durch Diplomaten zu reagieren. So ermöglicht Art. 9 WDK dem Empfangsstaat, Diplomaten jederzeit zur persona non grata zu erklären. Der Einsatz von OSINT wird aber in der Regel nicht von einem einzelnen Diplomaten sondern vom Entsendestaat entschieden. Der Sinn des persona non grata-Verfahrens besteht jedoch gerade darin, dass die betroffene Person selbst den Empfangsstaat kränkt. Richtet sich der Unmut aber gegen die Politik des Entsendestaates, ist eine andere Maßnahme vorzuziehen. Beispielsweise kann der Empfangsstaat seinen Botschafter zu Konsultationen zurückberufen, den Botschafter des Entsendestaates ins Außenamt zitieren oder sogar die diplomatischen Beziehungen abbrechen.²³ Im Teheraner Geisel-Fall bejahte der Internationale Gerichtshof (IGH), dass, wenn der Missbrauch der Funktionen durch Mitglieder der Mission ernsthafte Ausmaße erreicht, der Empfangsstaat nach eigenem Ermessen die diplomatischen Beziehungen abbrechen und die sofortige Schließung der Mission verlangen kann.²⁴

Voraussetzung für Maßnahmen gegen die Durchführung von OSINT ist, dass diese nachgewiesen werden kann. «Die Räumlichkeiten der Mission sind unverletzlich» (Art. 22 Abs. 1 Satz 1 WDK). Daraus ergibt sich, dass die Behörden des Empfangsstaates keine Möglichkeit haben, die Mission zu durchsuchen und Beweisstücke zu sichern, die die Durchführung von OSINT nachweisen könnten. Das Abhören der Räumlichkeiten einer Mission sowie die Einrichtung elektronischer Abhörmaßnahmen verletzen ebenfalls Art. 22 WDK.²⁵

Ob eine Mission OSINT anwendet, kann somit nicht aufgrund von Untersuchungen von Vorgängen innerhalb der Mission festgestellt werden. Auch die Kommunikation der Mission darf gemäß Art. 27 WDK nicht inspiziert werden. Die Mission darf sich aller geeigneten Mittel für die Kommunikation bedienen; dies umfasst wohl auch die elektronische Kommunikation.²⁶ Die amtliche Korrespondenz der Mission ist – wie die Räumlichkeiten der Mission – unverletzlich. Daraus folgt, dass eine inhaltliche Inspektion mit der WDK nicht vereinbar ist. Allerdings handelt es sich bei OSINT zwar um Ausübung von Amtsgewalt, aber nicht um Korrespondenz. Denn amtliche Korrespondenz umfasst nur die Kommunikation «mit der Regierung, den anderen Missionen und den Konsulaten des Entsendestaates» (Art. 27 Abs. 1 u. 2 WDK).²⁷ Der Zugriff einer Mission auf Webseiten wäre von dieser Bestimmung also nicht umfasst. Auch andere Bestimmungen der WDK sehen eine Einschränkung oder gar ein Verbot der Überwachung des Zugriffs auf Webseiten durch Missionen nicht vor. Außerhalb der Räumlichkeiten der Mission, könnte daher die Überwachung des Websitezugriffs rechtmäßig sein, sofern dies technisch möglich ist, ohne die Kommunikation der Mission zu beeinträchtigen. Zunächst wäre daher zu bestimmen, welche technischen Möglichkeiten bestehen. Diese müssten dann einzeln auf ihre Vereinbarkeit mit der WDK überprüft werden.

OSINT erfasst per Definition nur öffentlich verfügbare Daten. Daraus kann allerdings nicht gefolgert werden, dass OSINT in jedem Fall datenschutzrechtlich zulässig ist. Vielmehr ist – sowohl auf grundrechtlicher als auch auf einfachgesetzlicher Ebene – eine datenschutzrechtliche Zulässigkeitsprüfung durchzuführen. Dabei kommt das österreichische Datenschutzgesetz zur Anwendung, da dieses grundsätzlich auf Datenverwendungen in Österreich anzuwenden ist (§ 3 Abs. 1 DSG 2000).

Die Bestimmung des § 1 Abs. 1 DSG normiert ein Grundrecht auf Datenschutz, von dem jedoch allgemein verfügbare Daten ausdrücklich ausgenommen sind. Allgemein verfügbar ist gleichbedeutend mit öffentlich verfügbar und trifft somit auf die mittels OSINT gesammelten Daten zu.²⁸ Anders als § 1 Abs. 1 DSG kennt das Grundrecht des Art. 8 EMRK²⁹ keine Ausnahme für öffentlich verfügbare Daten. Der EGMR hat ausgesprochen, dass öffentliche Information unter den Begriff der Privatsphäre i.S.d. Art. 8 EMRK fallen kann, wenn sie systematisch gesammelt und gespeichert wird.³⁰ Beide genannten Grundrechte sehen in Abs. 2 einen materiellen Gesetzesvorbehalt vor, d.h. Grundrechtseingriffe einer staatlichen Behörde sind grundsätzlich möglich, bedürfen allerdings einer gesetzlichen Grundlage, die einem bestimmten öffentlichen (oder individuellen) Interesse dient.³¹ Für Auftraggeber des privaten Bereichs bedarf der Grundrechtseingriff hingegen weder einer gesetzlichen Grundlage, noch unterliegt er den Bestimmungen des § Art. 8 Abs. 2 ERMK.³² Das Grundrecht auf Datenschutz des § 1 DSG ist jedoch auch auf Auftraggeber des privaten Bereichs anzuwenden, da es unmittelbare Drittwirkung besitzt.³³

Der Botschaft kommt keine Rechtspersönlichkeit zu,³⁴ sodass nicht diese selbst, sondern der Entsendestaat als datenschutzrechtlicher Auftraggeber zu qualifizieren ist. Ob dieser ein Auftraggeber des öffentlichen oder des privaten Bereichs ist, ist fraglich. Für die Zurechnung zum öffentlichen Bereich sprechen sowohl der Wortlaut von § 5 Abs. 2 Z 1 DSG: «Auftraggeber des öffentlichen Bereichs sind alle Auftraggeber, ... die in Formen des öffentlichen Rechts eingerichtet sind» als auch von § 7 Abs. 1 Fall 1 DSG: «Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten ... des jeweiligen Auftraggebers gedeckt sind». «Gesetzliche Zuständigkeit» bedeutet nämlich, dass ein gesetzlicher Auftrag besteht,³⁵ und ein solcher besteht wohl jedenfalls nach den Gesetzen des Entsendestaates bzw. könnte sich aus der WDK ergeben.

Denza geht darauf ein, dass die USA Botschaften – trotz ausdrücklich entgegenstehendem Wortlaut – in der Nairobi-ITU-Konvention wie private Dienststellen behandelt werden.³⁶ Dies mag zwar ebenfalls umstritten gewesen sein, dennoch könnte auch argumentiert werden, den Entsendestaat als Auftraggeber des privaten Bereichs zu qualifizieren, weil er nicht in Vollziehung der Gesetze des Empfangsstaates tätig wird und im Umkehrschluss daher kein öffentlicher Auftraggeber sein kann.

Letztlich ist aber die Frage, ob Botschaften als Auftraggeber des öffentlichen oder des privaten Bereichs zu qualifizieren sind, im Ergebnis hier nicht relevant, weil die Zweiteilung zwischen öffentlichem und privatem Bereich grundsätzlich im DSG 2000 aufgehoben wurde und nur noch in Bezug auf den Rechtsschutz eine wesentliche Rolle spielt.³⁷ Da aber Botschaften (bzw. Staaten) von der Jurisdiktion des Empfangsstaates ausgenommen sind, spielt es keine Rolle welcher Rechtsschutz nicht zur Anwendung kommt. Auch grundrechtlich spielt die Zuordnung aufgrund der Drittwirkung des Grundrechts des § 1 DSG keine entscheidende Rolle.

Die Verwendung personenbezogener Daten ist gemäß § 7 DSG zulässig, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzt werden. Auftraggeber ist hier der Entsendestaat, dessen gesetzliche Zuständigkeit bzw. rechtliche Befugnis zur Datenverwendung für den Zweck, sich über Verhältnisse und Entwicklungen im Empfangsstaat zu unterrichten, aus Art. 3 WDK ergibt (siehe oben), denn ohne Datenverarbeitung, d.h. ohne das Festhalten von Informationen über die Verhältnisse und Entwicklungen im Empfangsstaat, ist die Erfüllung dieses Zwecks nicht denkbar.

Von den Fällen des § 8 DSG, in denen schutzwürdige Geheimhaltungsinteressen als nicht verletzt gelten, sind hier die ausdrückliche gesetzliche Ermächtigung (Z 1) und überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten (Z 4) denkbar. Eine gesetzliche Ermächtigung könnte in Art. 3 WDK gesehen werden, da die WDK in Österreich im Rang eines einfachen Bundesgesetzes steht.³⁸ Fraglich ist jedoch, ob hier das Kriterium der Ausdrücklichkeit erfüllt ist.³⁹

Wie Art. 3 WDK festlegt, hat der Entsendestaat ein legitimes Interesse, sich mit allen rechtmäßigen Mitteln über die Verhältnisse und Entwicklungen im Empfangsstaat zu unterrichten. Dem steht das Interesse der einzelnen Bürger des Empfangsstaates gegenüber, dass ihre Daten nicht vom Entsendestaat verarbeitet werden. Mittels OSINT werden allerdings nur veröffentlichte Daten erfasst, an deren Geheimhaltung – wenn überhaupt – nur ein geringes Interesse besteht. Dies gilt umso weniger, wenn der Betroffene eine Person des öffentlichen Lebens ist. Je länger die Veröffentlichung der Daten zurückliegt, und je eher jene Daten, die durch Analyse und Kombination der veröffentlichten Daten entstanden sind,⁴⁰ als neue Daten zu beurteilen sind, desto höher ist das Geheimhaltungsinteresse jedoch wieder einzustufen. Zu berücksichtigen ist auch, ob die Daten im Zuge medialer Berichterstattung, z.B. in der Onlineausgabe einer Zeitung, oder – öffentlich zugänglich – in einem privaten Facebook-Profil veröffentlicht wurden.

Somit überwiegt i.d.R. bei der Erfassung des aktuellen politischen, wirtschaftlichen, gesellschaftlichen und sonst der medialen Berichterstattung zu entnehmenden Geschehens mittels OSINT das Interesse des Entsendestaates über das Geheimhaltungsinteresse der Betroffenen. Am anderen Ende des Spektrums wird hingegen etwa das systematische Ableiten von Dossiers über Personen, die nicht höchsten politischen Kreisen angehören, aus OSINT-Daten nicht gerechtfertigt sein.

Für nicht-sensible Daten normiert § 8 Abs. 2 DSG, dass schutzwürdige Geheimhaltungsinteressen bei Verwendung zulässigerweise veröffentlichter Daten als nicht verletzt gelten. Dabei ist allerdings zu beachten, dass die Ausnahme des § 8 Abs. 2 DSG nicht für neue Daten gilt, die durch Kombination aus zulässigerweise veröffentlichten Daten entstehen, die aber selbst nirgends zulässigerweise veröffentlich sind.⁴¹ In der Praxis ist die Abgrenzung überaus schwierig, ab wann neue Daten in diesem Sinne vorliegen. Die Erläuterungen zur Regierungsvorlage des DSG merken bezüglich § 8 Abs. 2 DSG an, «da[ss] bei allen Datenanwendungen, die solche Daten enthalten, jeweils die Frage zu stellen ist, ob sie ausschließlich veröffentlichte Daten enthalten (z.B. bei einem elektronischen Telefon-Teilnehmerverzeichnis) oder ob nicht auch zusätzliche, durch Auswertung der veröffentlichten Daten gewonnene Daten in der Datenanwendung enthalten sind, die ihrerseits nirgends veröffentlicht sind.»⁴²

Es ist davon auszugehen, dass unweigerlich auch Daten über die politische Meinung und möglicherweise auch über die rassische und ethnische Herkunft sowie die religiöse Überzeugung von Personen erfasst werden, die als sensible Daten gemäß § 4 Z 2 DSG zu qualifizieren sind. Für sensible Daten sind die Ausnahmetatbestände, bei deren Vorliegen schutzwürdige Geheimhaltungsinteressen als nicht verletzt gelten, in § 9 DSG taxativ aufgezählt. Relevant ist jedenfalls der Fall, dass der Betroffene die Daten offenkundig selbst öffentlich gemacht hat (Z 1). Eine weitere Ausnahme besteht, wenn sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen (Z 3). Hierbei wäre wie oben auf die WDK zu verweisen, und die durch OSINT verfolgten sicherheits- und außenpolitischen Interessen können grundsätzlich als wichtige öffentliche Interessen erachtet werden,⁴³ da durch die Gewährung der WDK-Rechte in Österreich diese auch reziprok österreichischen diplomatischen Missionen zustehen.

Auch Daten über gerichtlich oder verwaltungsbehördlich strafbare Handlungen oder Unterlassungen können Gegenstand von OSINT sein. § 8 Abs. 4 DSG zählt taxativ Fälle auf, in denen dies zulässig ist.⁴⁴ Eine ausdrückliche gesetzliche Ermächtigung zur Verwendung solcher Daten (Z 1) ist in der WDK nicht zu sehen. Bei Qualifikation als Auftraggeber des öffentlichen Bereichs wäre wohl Z 2 – wieder mit einem Verweis auf die WDK – einschlägig. Ansonsten wären – obiger Interessenabwägung folgend – auch hier schutzwürdige Geheimhaltungsinteressen des Betroffenen überwiegende berechtigte Interessen des Auftraggebers (Z 3) denkbar, fraglich ist jedoch, ob und wie von der ausländischen Mission «die Wahrung der Interessen der Betroffenen […] gewährleistet» wird.  

OSINT führt sehr leicht zu einer übermäßigen Datensammlung, sodass über solchen Systemen stets das Damoklesschwert der Verletzung des Zweckbindungsgrundsatzes schwebt. § 6 Abs. 1 Z 2 DSG legt fest, dass Daten nur «für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden» dürfen. Bereits die Datenerhebung, d.h. die Informationsbeschaffung, muss aus einem ausreichend festgelegten, eindeutigen und rechtmäßigen Zweck erfolgen.⁴⁵ Der Zweckbindungsgrundsatz beschränkt jedenfalls das Ausmaß der zulässigen OSINT-Aktivitäten. Die Datenerhebung muss einem möglichst konkreten, im Zeitpunkt des Erhebens festgelegten Zweck dienen und es dürfen nur jene Daten gespeichert werden, die für diesen Zweck relevant sind, sodass eine wahllose Datensammlung auf Vorrat jedenfalls unzulässig ist.⁴⁶ «Daten in großen Datenbanken (‹data warehouse›) zu sammeln, um diese zu einem späteren Zeitpunkt nach bestimmten Kriterien zu durchforsten (‹data mining›)»⁴⁷ ist daher mit dem Zweckbindungsgrundsatz nicht vereinbar.⁴⁸ Daraus kann abgeleitet werden, dass nur solche Daten erhoben und gespeichert werden dürfen, deren Zweck und Relevanz durch die WDK gedeckt sind. Darüber hinausgehende OSINT-Aktivitäten sind jedenfalls unzulässig.

Gemäß § 49 Abs. 1 DSG darf niemand einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht. Dies ist bei der Datenverarbeitung im Rahmen von OSINT generell zu beachten, für OSINT durch Botschaften jedoch wohl weniger relevant.

Die Zulässigkeit der Übermittlung der mittels OSINT gesammelten Daten in das Ausland kann auf Grundlage von § 12 Abs. 3 Z. 3 DSG (Grundlage, die im innerstaatlichen Recht den Rang eines Gesetzes hat) i.V.m. Art. 3 Abs. 1 lit. d WDK argumentiert werden. Darüber hinaus sind die Auftraggeberpflichten und Betroffenenrechte des DSG zu erwähnen. Eine uneingeschränkte Anwendung der Meldepflicht (§ 17 DSG), des Auskunftsrechts (§ 26 DSG) etc. würde wohl die Wahrnehmung der Aufgaben der Mission behindern, sodass diese – analog wie in Bezug auf österreichische Behörden – nicht bzw. nicht uneingeschränkt auf ausländische Missionen anzuwenden sind.

Diplomatische Missionen müssen sich an nationale Gesetze und andere Rechtsvorschriften halten (Art. 41 WDK). Die Informationsbeschaffung ist grundsätzlich zulässig, es dürfen dafür jedoch nur «rechtmäßige Mittel» verwendet werden (Art. 3 Abs. 1 lit. d WDK). Das österreichische Datenschutzrecht ist materiell anwendbar. Die Wahrnehmung der Aufgaben der Mission darf nicht behindert werden (Art. 25 WDK). Dieser rechtliche Rahmen zur Informationsbeschaffung überlässt es der nationalen Praxis, diese Bestimmungen weiter zu verfeinern.

Die datenschutzrechtliche Zulässigkeitsprüfung zeigt, dass der Gesetzgeber die Anwendung des DSG auf eine ausländische Mission in Österreich wohl nicht vor Augen hatte, sodass es schwierig ist, das österreichische Datenschutzrecht auf die Aktivitäten einer ausländischen diplomatischen Mission anzuwenden. Jedenfalls ergibt sich, dass selbst das Durchführen von OSINT, das von den USA offiziell bestätigt wird und gegenüber anderen Überwachungsmaßnahmen vergleichsweise harmlos erscheinen mag, datenschutzrechtlich alles andere als unproblematisch ist. Zwar ergeben sich einige Konstellationen, in denen die Erhebung bestimmter Daten zulässig ist – z.B. betreffend zulässigerweise veröffentlichter nicht sensibler Daten –, die wahllose Speicherung von Informationen aus den österreichischen Online-Medien und dem österreichischen Social Web ist aber mangels genereller Zulässigkeitsgründe und aufgrund des Zweckbindungsgrundsatzes jedenfalls unzulässig.

Die Unverletzlichkeit der Räumlichkeiten (Art. 22 WDK) und der amtlichen Korrespondenz (Art. 27 (2) WDK) der Mission ist zu wahren und die Mission muss ihre Aufgaben zufriedenstellend wahrnehmen können (Art. 25 WDK). Die «Verkehrsdaten» einer Botschaft (d.h. das Stattfinden von Kommunikationsvorgängen) dürften nach ständiger (aber sehr unterschiedlicher) Praxis vom Empfangsstaat überwacht werden. Geheimhaltungsmethoden wie Verschlüsselung sind aber ausdrücklich erlaubt. Bei standardmäßiger IT-Sicherheit ist es daher schwierig herauszufinden, ob eine Mission OSINT einsetzt; man kann dies allenfalls am Ausmaß des Datenverkehrs erkennen. Falls die Mission gegen Gesetze oder anderen Rechtsvorschriften des Empfangsstaates verstößt, darf letzterer Maßnahmen ergreifen, wie den Botschafter ins Außenamt zu zitieren oder in schwerwiegenden Fällen sogar die diplomatischen Beziehungen abzubrechen.

Die Überprüfung der Einhaltung der Datenschutzbestimmungen ist unserer Auffassung nach Sache des jeweiligen Außenministeriums (eine sogenannte «Technische Frage»). Diese Praxis überlagert bzw. verdrängt anderslautende nationale Bestimmungen. Langfristig ist es natürlich notwendig, dass diese derzeit noch notwendige Praxis durch Beachtung der formalen Vorschriften des nationalen Datenschutzrechts ersetzt wird. Dieses müsste aber dann Sonderbestimmungen für diplomatische Missionen enthalten.

Best, Richard A. Jr./Cumming, Alfred, Open Source Intelligence (OSINT): Issues for Congress, http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA475067 aufgerufen 6. Dezember 2013 (2007).

Berka, Walter, Die Grundrechte: Grundfreiheiten und Menschenrechte in Österreich, Springer, Wien/New York (1999).

Dammann, Ulrich/Simitis, Spiros, EG-Datenschutzrichtlinie, Nomos, Baden-Baden (1997).

Dohr/Pollirer/Weiss/Knyrim, DSG², 15. EL, rdb.at aufgerufen 16. Dezember 2013 (2013).

Denza, Eileen, Diplomatic law³, Oxford University Press, Oxford (2008).

Chesterman, Simon, Secret Intelligence. In Max Planck Encyclopedia of Public International Law, http://opil.ouplaw.com/view/10.1093/law:epil/9780199231690/law-9780199231690-e992?rskey=7ko7mc&result‌=1&prd=OPIL aufgerufen 13. Dezember 2013 (2009).

International Law Commission, Report of the International Law Commission covering the work of its tenth session, 28 April to 4 July 1958 (A/3859). In Yearbook of the International Law Commission: 1958, vol. II, http://legal.un.org/ilc/documentation/english/ a_cn4_117.pdf aufgerufen 13. Dezember 2013 (1958).

Jahnel, Dietmar, Handbuch Datenschutzrecht, Sramek, Wien (2010).

Knyrim, Rainer, Datenschutzrecht², Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben u.v.m., Manz, Wien (2012).

Köck, Heribert Franz, Die Organe des völkerrechtlichen Verkehrs. In Neuhold, Hanspeter/Hummer, Waldemar/Schreuer, Christian (Hrsg.), Österreichisches Handbuch des Völkerrechts⁴, Band I-Textteil, Manz, Wien, 324–345 (2004).

Kotschy, Waltraut, Das Grundrecht auf Geheimhaltung personenbezogener Daten (Teil I): Rückblick und Ausblick (§ 1 Abs. 1 DSG (1978) bzw. DSG 2000) in Jahnel (Hrsg.) Jahrbuch Datenschutzrecht und E-Government 2012.

Kriebaum, Ursula, Privilegien und Immunitäten im Völkerrecht. In Reinisch, August (Hrsg.), Österreichisches Handbuch des Völkerrechts⁵, Band I-Textteil, Manz, Wien, 404–421 (2013).

Maciołek, Przemysław/Dobrowolski, Grzegorz, CLUO: Web-scale text mining system for open source intelligence purposes. In Kitowski, Jacek (Hrsg.), Computer Science, 14 (1) 2013, http://journals.agh.edu.pl/csci/article/view/107 aufgerufen 6. Dezember 2013 (2013).

NATO Standardization Agency, NATO Glossary of Terms and Definitions (English and French), http://nsa.nato.int/nsa/zPublic/ap/aap6/AAP-6.pdf aufgerufen 6. Dezember 2013 (2013).

NEWS, «Sind Sie eine Spionin?». Die US-Botschafterin über ihren Freund Obama und ihre Abhörzentrale mitten in Wien, http://www.news.at/a/us-botschafterin-alexa-wesner-spionin aufgerufen 6. Dezember 2013 (2013).

Omand, David et al., #Intelligence, http://www.demos.co.uk/files/_Intelligence_-_web.pdf?1335197327 aufgerufen 6. Dezember 2013 (2012).

Richtsteig, Michael, Wiener Übereinkommen über diplomatische und konsularische Beziehungen², Nomos, Baden-Baden (2010).

Roberts, Ivor/Satow, Ernest Mason, Satow’s diplomatic practice⁶, Oxford Press University, Oxford (2009).

---

 

Erich Schweighofer

Ao. Universitätsprofessor

Schottenbastei 10-16/2/5, 1010 Wien, AT

erich.schweighofer@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Walter Hötzendorfer

Projektassistent

Schottenbastei 10-16/2/5, 1010 Wien, AT

walter.hötzendorfer@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Stephan Varga

Wissenschaftlicher Mitarbeiter Universität Wien, Arbeitsgruppe Rechtsinformatik

Schottenbastei 10-16/2/5, 1010 Wien, AT

stephan.varga@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

Janos Böszörmenyi

Projektassistent

Schottenbastei 10-16/2/5, 1010 Wien, AT

janos.böszörmenyi@univie.ac.at; http://rechtsinformatik.univie.ac.at

 

---