Grauzone Staatstrojaner?
Dr. Frank Braun, Universität Passau, stellt in einem Beitrag von Kommunikation & Recht klar, dass sich der Einsatz von Trojanern zur Überwachung an der Quelle und zur Online-Durchsuchung nach deutschem Recht auf keine gesetzliche Grundlage stützen kann (Braun, Ozapftis – (Un)Zulässigkeit von “Staatstrojanern”, K&R 11/2011, 681 ff.). Seine Ausführungen können wohl ohne Weiteres auf die Rechtslage in der Schweiz übertragen werden. Braun stellt insbesondere fest, dass sich solche Einsätze nicht in einer rechtlichen Grauzone abspielen, sondern schlicht und einfach unzulässig sind. Hier ein Auszug aus seiner Zusammenfassung:
Die Nutzung von Staatstrojanern zur Durchführung einer Quellen-TK oder einer Online-Durchsuchung zu Zwecken der Strafverfolgung ist nach geltendem Recht unzulässig. Für derart intensive Grundrechtseingriffe bedarf es einer ausreichend klaren und eindeutig formulierten bereichsspezifischen Rechtsgrundlage, die den Anforderungen, die das BVerfG zu den genannten Eingriffsmaßnahmen formuliert hat, umfassend entspricht. Die in diesem Zusammenhang in der Praxis bemhten §§ 100 a, 100 b StPO werden dem nicht gerecht.
Wie klar und eindeutig die in der Schweiz bemühten Grundlagen sind, habe ich bereits erwähnt. Art. 280 StPO, der nach neuem Recht herangezogen werden soll, ist nicht besser:
Art. 280 Zweck des Einsatzes
Die Staatsanwaltschaft kann technische Überwachungsgeräte einsetzen, um:
a. das nicht öffentlich gesprochene Wort abzuhören oder aufzuzeichnen;
b. Vorgänge an nicht öffentlichen oder nicht allgemein zugänglichen Orten zu beobachten oder aufzuzeichnen;
c. den Standort von Personen oder Sachen festzustellen.
Nach meiner Vorstellung handelt es sich beim Einsatz von Software (Govware, Trojaner) nicht um technische Überwachungsgeräte. Die Software ist allenfalls das Mittel, das Geräte, die nicht für die Überwachung vorgesehen waren, gegen ihren Besitzer und ohne sein Wissen zu technischen Überwachungsgeräten umfunktioniert. Aber selbst wenn man zum Schluss kommen würde, dass der eigene Computer des Betroffenen als technisches Überwachungsgerät im Sinne von Art. 280 StPO gelten könne, fehlt es an der Normdichte im Sinne von Art. 36 Abs. 1 BV (vgl. dazu den zitierten Aufsatz von Braun).
L’article 280 ne brille certes pas par sa densité normative mais ce n’est pas le seul dans ce cas. L’article 282 par exemple relatif à la surveillance des relations bancaires n’est guère plus explicite.
En tant que disposition subsidiaire (“autres mesures”), cet article ne peut pas être aussi précis que d’autres dispositions. Cela ne devrait toutefois, à mon avis, pas empêcher de considérer que le cheval de Troie fait partie des autres mesures.
En revanche l’article 36 al. 3 Cst (proportionnalité) doit être respecté et toutes les données que le cheval de Troie peut obtenir ne devraient pas être exploitées mais uniquement celles qui sont visées par la surveillance (et autorisées).