Die Revision des Überwachungsgesetzes BÜPF ist nicht zuletzt wegen des geplanten Einsatzes von Staatstrojanern stark umstritten. Für solche Computer-Überwachungen ist die Polizei auf private Programmierer angewiesen. Der Datenschützer fordert strengere Kontrollen.
Mit der Genehmigung des Bundesstrafgerichts hat die Bundeskriminalpolizei in der Vergangenheit in vier Fällen Überwachungssoftware – so genannte GovWare – eingesetzt, um schwere Verbrechen aufzuklären. Bekannt war, dass die Trojaner von der Deutschen Firma DigiTask programmiert worden waren.
Gemäss einem Bericht der Zeitungen «Tages-Anzeiger» und «Bund» vom Dienstag war an drei der vier Aktionen auch die Berner Firma Dreamlab beteiligt. Das Bundesamt für Polizei (fedpol) bestätigte auf Anfrage, dass Dreamlab die Software an die Zielpersonen verschickt hatte.
Ob es eine ausreichende gesetzliche Grundlage für den Einsatz von Staatstrojanern gibt, ist umstritten. Der Bundesrat schlägt darum vor, eine solche mit der Revision des Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF) zu schaffen. Der Ständerat hat bereits zugestimmt. Im Nationalrat stösst die Vorlage – nicht zuletzt wegen des Einsatzes von GovWare – auf breiten Widerstand.
Bund holt Hilfe von Hackern
Als heikel wird unter anderem der Beizug von privaten Unternehmen beurteilt. «Es handelt sich dabei eigentlich um Hacker», sagte der Eidgenössische Datenschutzbeauftragte Hanspeter Thür gegenüber der Nachrichtenagentur sda. So wie die Revision geplant sei, könnten diese nicht ausreichend kontrolliert werden.
Zunächst müsse sichergestellt werden, dass ein Staatstrojaner genau das könne, was von der Polizei verlangt werde. Zudem dürften die Programmierer keine Hintertüren einbauen, die später ausgenutzt werden können. «Dafür braucht es einen ausgeklügelten Kontrollmechanismus», sagte Thür.
Ihm schwebt eine unabhängige Behörde vor, die ausreichend Know-how hat, um den Herstellern von Trojanern über die Schulter schauen zu können. «Sie müssen den Quellcode kennen und jederzeit überprüfen können, was die Leute machen», verlangt der Datenschutzbeauftragte. Eine Garantie für ein rechtsstaatliches Verfahren ist das nicht. Aber zumindest wären damit laut Thür die institutionellen Voraussetzungen für eine gewisse Kontrolle geschaffen.