Jede_r hat was zu verbergen

  • 17.04.2018, 13:07
Die Juristin und Kriminologin Angelika Adensamer arbeitet bei der Wiener Datenschutz-NGO epicenter.works im Themenfeld der Überwachung. Im Interview erklärt sie, wie staatliche Überwachung funktioniert, welche Mittel sie einsetzt und wen diese Überwachung treffen kann.


Progress: Ganz grundsätzlich, wann darf der Staat Maßnahmen zur Überwachung setzen?

Angelika Adensamer:
Es gibt verschiedene Gesetzesgrundlagen für Überwachung. Nach der Strafprozessordnung geht es darum, dass es einen konkreten Verdacht gibt, dass eine Straftat passiert ist oder passieren wird. Dann gibt es das Sicherheitspolizeigesetz, wonach man bei Verdacht auf eine Gefahr weiter im Vorfeld überwachen kann. Das Staatsschutzgesetz hat wieder andere Voraussetzungen, wo es darum geht, den Staat und seine Einrichtungen vor sogenannten „verfassungsgefährdenden Angriffen“ zu schützen. Das war der polizeiliche Bereich. Darüber hinaus gibt es das Abwehramt, wo das Bundesheer eigene Grundlagen hat für Überwachung, die hauptsächlich „Spione“ im völkerrechtlichen Sinne betrifft. Und dann noch eine ganze Bandbreite an Überwachung in Bereichen wie Schule, Gesundheit oder Verkehr.

Wen können solche Maßnahmen treffen?

Einerseits Personen, die einer Straftat oder Gefährdung verdächtig sind, oder eine Gefahrenquelle darstellen sollen. Dann kommt oft ein weiterer Kreis dazu, wenn man Kontakt mit einer Person hat, die in so einem Verdacht steht. Dann darf auch legal überwacht werden. Die Regelung ist rechtlich durchaus umstritten. Denn wenn sämtliche Kommunikation einer Person überwacht wird, dann natürlich auch in Bereichen, die nichts mit einer Straftat zu tun haben. Es gibt viele Verdachtsmomente, die ins Leere gehen. Massenüberwachung bedeutet, dass Daten von sehr großen Personengruppen gespeichert werden. Im letzten Überwachungspaket war zum Beispiel eine zwei-Wochen-Speicherung von Videomaterial auf Bahnhöfen vorgesehen. Das betrifft dann alle Personen, die auf dem Material zu sehen sind, was auf Bahnhöfen natürlich viele Leute sind.

Müssen Überwachungsmaßnahmen extra genehmigt werden oder kann das die Polizei selbst entscheiden?

Das hängt davon ab, wie eingriffsintensiv die Maßnahme ist. Typischerweise müssen die weitreichendsten – wie beispielsweise ein Lauschangriff, also eine Audioüberwachung zu Hause – von einem Gericht bestätigt werden. Weniger eingriffsintensive Maßnahmen darf die Polizei alleine, mit der Staatsanwaltschaft oder mit Genehmigung der Rechtsschutzbeauftragten einsetzen. Ab wann ein Gericht die Maßnahme anordnen müssen soll, ist ein strittiger Punkt. Die gerichtliche Kontrolle ist ein wichtiger Standard, darum wird auch in den einzelnen Maßnahmen politisch darum gekämpft.

Wir waren bis jetzt bei der Erhebung. Wer hat auf diese Daten dann Zugriff und wie wird das kontrolliert?

Es müsste durch die Rechtsschutzbeauftragten kontrolliert werden. Wie das wirklich funktioniert, ist nach außen hin aber nicht ersichtlich. Eigentlich müsste man auch Vorsichtsmaßnahmen treffen, sodass nur Personen mit der richtigen Sicherheitsüberprüfung auf Material zugreifen können. Ganz wichtig: Zugriffe müssen protokolliert werden, damit nachvollzogen werden kann, ob sie gerechtfertigt sind und was mit diesen Daten passiert. Dazu gibt es gerade einen Anpassungsentwurf für verschiedene Gesetze, der die Kontrolle einschränken würde. Automatische Abfragen der Polizei wären dann nicht mehr auf eine Person rückvollziehbar. Das wäre ein Problem, weil ihre Rechtmäßigkeit dann nicht mehr geprüft werden kann. Die Protokollfristen sollen außerdem eingeschränkt werden, das bedeutet, dass es einen möglichen Beschwerdezeitraum gibt, die Protokolldaten jedoch schon gelöscht sind.

Was hältst du als Sicherheitsexpertin von der Aussage „Ich habe ja nichts zu verbergen“, die Kritik an Überwachung nicht selten entgegen gehalten wird?

Zwei Sachen: Das erste ist, dass es natürlich nicht stimmt, weil jede_r etwas zu verbergen hat. Jede_r hat eine Privatsphäre und überlegt sich gut, was sie_er wem erzählt. Das zweite ist, dass es nicht unbedingt um dieses Wissen an sich geht. Sondern darum, dass Wissen über eine Person sehr viel Macht und Kontrolle ermöglicht und eine Machtkonzentration herbeiführt. Daten werden genutzt, etwa auch zur Manipulation oder sie werden verkauft und es wird Profit daraus geschlagen. Es hat auf verschiedene Weise Einfluss auf das Leben von Menschen, dass so viele Daten verarbeitet werden.

Wie finde ich heraus, ob ich von solchen Überwachungsmaßnahmen betroffen bin oder war, ob der Staat Daten von mir hat?

Man kann Auskunftsbegehren stellen, was ich auch empfehlen kann. Einmal im Jahr ist das kostenlos. Man hat grundsätzlich das Recht, sowohl von Privaten als auch von Behörden zu erfahren, welche persönlichen Datenzu welchem Zweck verarbeitet werden. Durch die Datenschutzgrundverordnung, die ab Mai in Kraft tritt, werden diese Rechte ausgebaut.

Kann man Daten auch wieder löschen lassen?

Ja. Nur solange die Polizei das Recht hat, Daten zu verarbeiten, kann man sie nicht löschen lassen, ansonsten schon. Dafür kann man einen Antrag auf Löschung stellen.

Das Urteil von epicenter.works zu den geplanten Überwachungsmaßnahmen der Regierung fällt vernichtend aus. Ihr sprecht von „nie da gewesenen Einschränkungen des Rechts auf Privatsphäre“. Was steht uns ins Haus?

Was sich herauskristallisiert ist, dass im Zuge der Digitalisierung Datenbanken vernetzt werden sollen. Wenn man sich zum Beispiel die Bildungsdokumentation anschaut, geht es darum, dass schulische Leistungen, Fehlstunden etc. von einer Bildungsinstitution an die nächste weitergegeben werden. Wenn das zentral abrufbar ist und vielleicht sogar noch mit anderen Daten vernetzt werden kann, dann ist so etwas brandgefährlich. Es kann schon Sinn machen, so etwas zu modernisieren. Aber man muss sehr vorsichtig sein und darauf achten, wie der Zugriff funktioniert und dass diese Daten dezentral gespeichert werden. Außerdem müssen wir damit rechnen, dass der Datenschutz für Fremde stark eingeschränkt wird. Es ist immer noch nicht angekommen, dass Datenschutz nicht nur ein Bürger_innenrecht ist, sondern ein Menschenrecht und dass die Daten von Schutzsuchenden und Migrant_innen genauso geschützt werden müssen wie die von Österreicher_ innen.

Was kann man sich unter dem Bundestrojaner vorstellen?

Das ist eine staatliche Spionagesoftware, die auf Betriebssysteme Zugriff nimmt. Das kann auch ohne physischen Zugriff funktionieren. Sie schicken zum Beispiel ein E-Mail oder SMS an das Gerät, durch die man infiziert wird. Der Bundestrojaner ist sehr eingriffsintensiv und hat verschiedene Probleme: Erstens lässt er sich nicht auf eine bestimmte Art der Kommunikation eingrenzen, sondern wird mit einer Onlinedurchsuchung einhergehen. Das bedeutet, dass das gesamte System ausgelesen wird. Das wäre auf jeden Fall überschießend. Außerdem ist er eine große Gefahr für Internetsicherheit überhaupt. Denn was von Cyberkriminellen am meisten genutzt wird, sind Sicherheitslücken. Wenn der Staat aber plötzlich ein Interesse hat, die für den Trojaner offen zu lassen, dann macht man das ganze System unsicher, da so auch Malware eindringen kann.

Gibt es beim Bundestrojaner eine Möglichkeit sicherzustellen, dass man nur die Person überwacht, die man auch überwachen möchte?

Nein, es ist ein großes Problem, dass es kaum eingrenzbar ist. Wenn man den Trojaner beispielsweise per E-Mail bekommt, kann es sein, dass man ihn weiterschickt. Diese Daten sollen als Beweise verwendet werden, aber sobald ein Gerät infiziert ist, kann man nicht mehr feststellen, ob Daten am Gerät nicht durch die gleiche Sicherheitslücke eingeschleust worden sind. Damit würden Informationen vom Gerät nicht unbedingt als Beweise ausreichen, denn sie sind manipulierbar. Ist eine Vorratsdatenspeicherung wieder 
im Gespräch? Es war vor ein paar Jahren so, dass Telekommunikationsbetreiber alle Verbindungsdaten sechs Monate speichern mussten. Das hat der EuGH für grundrechtswidrig erklärt und war somit im letzten Überwachungspaket auch nicht mehr dabei. Was aber vorgeschlagen wurde, war ein sogenanntes Quickfreeze, bei dem nach einer Straftat im Umfeld für einen bestimmten Zeitraum Daten gespeichert werden. Das kann in einem bestimmten Ausmaß Sinn machen, muss aber entsprechend eingeschränkt werden. So eine Einschränkung war im letzten Vorschlag nicht enthalten. Wir wissen derzeit allerdings noch nicht, ob sie wieder kommt.

Besonders Aktivist_innen machen sich angesichts der neuen Regierung Sorgen, künftig verstärkt überwacht zu werden. Welche Überwachungsmaßnahmen wurden in der Vergangenheit gegen politische Aktivist_innen 
eingesetzt?

Wenn man zum Beispiel an die Tierrechtsaktivist_ innen denkt, echt eine riesige Bandbreite. Observationen, Hausdurchsuchungen, Kommunikationsüberwachung, Peilsender, verdeckte Ermittlungen – eigentlich so gut wie alles, was die Polizei im Repertoire hat.

Gab es auch Maßnahmen, die eine größere Personengruppe abdecken?

So richtig nachgewiesen weiß ich es nicht. Ich weiß, dass auf Demonstrationen öfters Kameras verwendet werden und auch bei IMSI-Catchern ist es nicht unwahrscheinlich. Aber auch, wenn zum Beispiel verdeckte Ermittler_innen in politische Gruppen gehen oder Email-Listen mitgelesen werden, ist natürlich das gesamte Umfeld betroffen. 

Gibt es hier einen besonderen Grundrechtsschutz?

Strafrechtlich begründete Überwachung ist dann legitim, wenn der Verdacht konkret genug ist. Bei den Tierrechtsaktivist_innen hat sich am Ende herausgestellt, dass gar nichts dran war. Wenn die Polizei auf einer so minimalen Grundlage schon so extensiv ermittelt, ist das ein Grundrechtseingriff. Wo ich ein Problem mit der Meinungsfreiheit sehe ist, wenn die politische Einstellung als Indikator dafür hergenommen wird, wie gefährlich eine Person ist. Das finde ich sehr problematisch und dazu sehe ich leider eine Tendenz. Es kann natürlich ein Indikator sein, wenn sich jemand schon aus politischen Gründen strafbar gemacht hat. Aber dass eine Haltung, die den Staat für nicht legitim hält, an sich schon eine Bedrohung sein soll, das glaube ich nicht. So wird aber beim Staatsfeindeparagraphen argumentiert. Da muss schon eine konkrete Gewaltbereitschaft dazu kommen, um das gefährlich zu machen. Es kann nicht die Gesinnung per se gefährlich sein.

Du hast den Staatsfeindeparagraphen erwähnt. Was ist das und kann damit Überwachung gerechtfertigt werden?

Das ist ein normaler strafrechtlicher Paragraph. Danach können Personen überwacht, festgenommen und verurteilt werden. Der Tatbestand ist kompliziert: Es muss eine staatsfeindliche Bewegung geben, die einerseits den Staat in seiner Gesamtheit ablehnt. Außerdem muss diese Bewegung fortgesetzt Handlungen setzen, um die Ausübung von Gesetzen zu verhindern. Es ist strafbar, ein Mitglied davon zu sein, sich öffentlich dazu zu bekennen, oder sich führend zu beteiligen, wozu schon das Schreiben von Texten ausreichen kann. Der Paragraph zielt auf Verschwörungstheoretiker_ innen, wie zum Beispiel Freemen oder Reichsbürger ab.

Kann dieser Paragraph auch politische Aktivist_innen treffen?

Das ist eine Befürchtung, dass der Paragraph sehr weit ausgelegt werden könnte. Es braucht zwar das Element, dass die Gesetzesausübung behindert wurde, damit kann es zumindest nicht nur auf Parolen oder Texte angewandt werden. Aber in Kombination mit zivilem Ungehorsam ist es nicht undenkbar, dass es eine grundsätzliche Kritik trifft, die an sich legitim und ein wichtiger Teil politischer Theorie ist. Der zivile Ungehorsam muss dabei nicht einmal strafbar sein oder eine Verwaltungsübertretung darstellen.

Konkretes Beispiel: Sitzblockaden eines antifaschistischen Protestes?

Das könnte durchaus erfasst sein. Wenn man die Polizei daran hindert, zum Beispiel die Ordnung des Straßenverkehrs zu gewährleisten, dann ist das so eine Handlung, ja.

Abschließend ein kurzer Ausblick. Was siehst du als die größten Herausforderungen der nächsten Zeit aus datenschutzrechtlicher Sicht?

Einerseits wäre es ein großes Problem, wenn der Bundestrojaner eingeführt wird. Das muss man auf jeden Fall verhindern. Das andere ist die Vernetzung von Datenbanken, das halte ich für gefährlich. Hier muss man sehr genau schauen, wie das aufgebaut wird. Auf der anderen Seite haben wir ab Mai die Datenschutz-Grundverordnung. Die ist zwar vor allem für Unternehmen gedacht, aber es ist ein sehr kleiner Schritt von Daten, die Unternehmen haben, dazu, dass die Polizei sie hat. Es ist sehr leicht, eine Befugnis zu schaffen, dass Unternehmen über Daten Auskunft geben müssen. Viele Unternehmen machen das auch jetzt schon aus Kooperation heraus.

Vielen Dank für das Interview!

AutorInnen: Julia Spacil