Exkurs : Sicherheit im E-Mail Verkehr, Fernmeldegeheimnis

Technisch gesehen liegt bei dem Senden und Empfangen von E-Mail ein Telekommunikationsverkehr vor. Er unterliegt dem Fernmeldegeheimnis, das im § 88 TKG geregelt ist. § 88 Abs 1 TKG bestimmt ausdrücklich, daß die Inhaltsdaten, und als solche sind die effektiv übertragenen Daten zu sehen, neben den näheren Umständen der Kommunikation dem Fernmeldegeheimnis unterliegen. Zur Wahrung des Telekommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. (§ 88 Abs 2 TKG) Fraglich ist die Definition des Wortes “Betreiber”. Fällt der Internetprovider, über dessen Server die Daten ja fließen, unter diesen Begriff? § 87 Abs 3 TKG verweist bezüglich der Definition auf “Anbieter von öffentlichen Telekommunikationsdiensten”, die im Abschnitt 3 des TKG geregelt sind. Dort werden die möglichen Arten der Telekommunikationsdienste nicht abschließend geregelt, sondern diese unter Einhaltung der gesetzlichen Bestimmungen grundsätzlich erlaubt (§ 12 Abs 1 TKG). Diese demonstrative Regelung erlaubt es jedenfalls, Internetprovider unter den Betreiberbegriff des TKG zu subsumieren. Sie müssen ihren Dienst öffentlich anbieten und sich selbst als öffentlicher Dienst bezeichnen. Natürlich ist auf die Ausnahmebestimmungen für den Anwendungsbereich des TKGs in § 2 Rücksicht zu nehmen, nur werden diese für Internetprovider nur sehr selten ausschlaggebend sein (Zwecke der Landesverteidigung und Fernmeldebehörden). Der Internetprovider und dessen Mitarbeiter sind also zur Wahrung des Fernmeldegeheimnisses verpflichtet.
Das Fernmeldegeheimnis erstreckt sich noch weiter. § 88 Abs 3 TKG verbietet das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachungsmaßnahmen einer im Rahmen der Nutzung eines öffentlichen Telekommunikationsdienstes erfolgten Kommunikation sowie die Weitergabe von Informationen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer . Das bedeutet, daß nur der Empfänger oder der Sender die Daten speichern dürfen. Natürlich müssen diese Daten aber vom Internetprovider zwischengespeichert werden, solange bis der Empfänger diese von seiner Mailbox abruft. Dies gestattet ihm der § 95 TKG, der sich näher mit den Inhaltsdaten beschäftigt. Abs 1 des erwähnten Paragraphen bestimmt , daß Inhaltsdaten - soferne die Speicherung nicht einen wesentlichen Bestandteil des Telekommunikationsdienstes darstellt - grundsätzlich nicht gespeichert werden dürfen . Sofern aus technischen Gründen eine kurzfristige Speicherung erforderlich ist, hat der Betreiber nach Wegfall dieser Gründe die gespeicherten Daten unverzüglich zu löschen. Da die Speicherung gerade beim Betreiben der Mailbox der Hauptbestandteil des Dienstes ist, dürfen diese also vorerst gespeichert bleiben. § 95 Abs 2 TKG schreibt dem Betreiber vor, daß er durch technische und organisatorische Vorkehrungen sicherzustellen hat, daß Inhaltsdaten nicht oder nur in dem aus technischen Gründen erforderlichen Mindestausmaß gespeichert werden. Soferne die Speicherung des Inhaltes Dienstmerkmal ist, sind die Daten unmittelbar nach der Erbringung des Dienstes zu löschen .
Falls der Internetprovider also zwecks Datensicherung eine Backupkopie der Mailbox erstellt hat, ist diese nach dem Download der E-Mail ebenfalls zu löschen.
Der Schutz der übertragenen Daten ist also recht umfassend geregelt. Wie sieht es aber mit den Eingriffsrechten in diesen Schutz aus? Damit beschäftigt sich der § 89 TKG, der den Betreiber verpflichtet, nach Maßgabe einer erlassenen Verordnung, alle Einrichtungen bereitzustellen, die zur Überwachung des Fernmeldeverkehrs nach den Bestimmungen der StPO erforderlich sind. Der Betreiber ist verpflichtet, an der Überwachung des Fernmeldeverkehrs nach den Bestimmungen der StPO im erforderlichen Ausmaß mitzuwirken. Der Bundesminister für Wissenschaft und Verkehr kann im Einvernehmen mit den Bundesministern für Inneres und für Justiz, dem jeweiligen Stand der Technik entsprechend, die näheren Bestimmungen für die Gestaltung der technischen Einrichtungen zur Gewährleistung der Überwachung eines Fernmeldeverkehrs nach den Bestimmungen der StPO festsetzen.
Die Erläuterungen zum TKG führen aus, daß nach dem jeweiligen Stand der Technik von jedem Erbringer öffentlicher Telekommunikationsdienste jene Vorrichtungen vorgesehen werden müssen, die für eine Überwachung irgendeiner Form des Fernmeldeverkehrs im Sinne der §§ 149a ff. StPO [527] erforderlich sind. Wobei ist daran gedacht? Als Vorbild für die oben erwähnte Verordnung wird die deutsche "Verordnung über die technische Umsetzung von Überwachungsmaßnahmen des Fernmeldeverkehrs in Fernmeldeanlagen, die für den öffentlichen Verkehr bestimmt sind (Fernmeldeverkehr-Überwachungs-Verordnung - FÜV) [528]" vom 18. Mai 1995, BGBl.1995/722 genannt.
Aus der Sicht des E-Mail-Senders gesehen, will er an den Empfänger eine mehr oder weniger vertrauliche Nachricht übermitteln. Kann eine E-Mail deshalb dem Briefgeheimnis unterfallen?
Das Briefgeheimnis ist in Art. 10 StGG geregelt. “Das Briefgeheimnis darf nicht verletzt und die Beschlagnahme von Briefen, außer dem Fall einer gesetzliche Verhaftung oder Hausdurchsuchung, nur in Kriegsfällen oder auf Grund eines richterlichen Befehls in Gemäßheit bestehender Gesetze vorgenommen werden”
Art 8 Abs 1 MRK bestimmt zusätzlich, daß “jedermann...Anspruch auf Achtung seines ...Briefverkehrs” hat. Art 8 Abs 2 gewährt aber weitreichende Eingriffsmöglichkeiten in diesen Schutz.
In den Schutz des Briefgeheimnisses greifen die § 78 Abs 2 und 3 KonkursO ein, die eine Durchbrechung des Briefgeheimnisses auf Anordnung des Konkursgerichts vorsehen. Auch die schon oben erwähnten §§ 149a ff StPO sind hier zu erwähnen.
Sehr fraglich ist, ob E-Mails, die ja unkörperlich weitergeleitet werden, dem Schutz des Briefgeheimnisses unterfallen können. Zur Auslegung des Briefgeheimnis gibt es eine Entscheidung des VfGH, die festlegt, daß “Art 10 des Staatsgrundgesetzes nur Briefe im eigentlichen Sinn des Wortes schützt.” [529]
Im Gegensatz dazu argumentiert der UVS Steiermark [530]: “Da nicht nur das eigentliche Briefgeheimnis sondern auch die Beförderung und Übermittlung von Briefen geschützt ist, kommt es nicht darauf an, ob Briefe verschlossen sind oder nicht.”
Wie auch immer man diesen Widerspruch lösen mag, eines steht fest: Eine E-Mail ist nie “verschlossen” und sie kann auch nur verschlüsselt aber nie verschlossen werden.
Im Zweifel ist eine Subsumtion des E-Mail-Verkehrs unter das Briefgeheimnis eher abzulehnen.
Einen Schutz vor Veröffentlichung von vertraulichen E-Mails bietet § 77 Abs 1 UrhG. Diese Vorschrift schützt Interessen des Verfassers von Briefen, Tagebüchern und ähnlichen vertraulichen Aufzeichnungen indem ihre öffentliche Verbreitung verboten wird. Der Schutz greift auch ein, wenn es sich nicht um “Werke” im Sinn des UrhG handelt. [531] Diese Bestimmung stellt nicht auf die Körperlichkeit der Aufzeichnung ab. Sie schützt vielmehr das Persönlichkeitsrecht des Verfassers, ist also vom Wesen her schon ein Immaterialgüterrecht. Sie betrifft aber nur die Veröffentlichung, so daß sie mit dem eigentlichen Eingriff in das Briefgeheimnis zur verschwiegenen und berechtigten Kenntnisnahme der Strafverfolgungsbehörden nichts zu tun hat.
Die Anwendung der Verschlüsselung selbst kann eher mit dem Verschließen eines Briefes verglichen werden. Dieses “Verschließen” einer E-Mail ist allerdings technisch annähernd perfekt. Über die Zulässigkeit des Verschließens eines Briefes findet sich naturgemäß keinerlei Ausführungen in der Literatur oder Judikatur. Es ist einfach selbstverständlich, daß vertrauliche Briefe verschlossen geschickt werden. Im Anlaßfall und mit Genehmigung eines Gerichts ist es bis jetzt immer möglich und legal gewesen, sich vom Inhalt des Schriftstückes Kenntnis zu verschaffen.
Auch besteht keine gesetzliche Verpflichtung zur lesbaren Kommunikation. Art 10 StGG ist verfassungskonform auszulegen. Zwar bestehen wie erwähnt einige Ausnahmen zum Grundrecht auf Briefgeheimnis, eine Auslegung kann aber nur dahingehend erfolgen, das Grundrecht und nicht die Ausnahmen als Maßstab anzulegen. Ein Verbot der Anwendung von Verschlüsselungssoftware ist deshalb unzulässig. Anderenfalls wäre das Grundrecht in seinem Wesensgehalt massiv verletzt.
Dieses beschränkte Briefgeheimnis wird aber durch die Verschlüsselung zum praktisch nicht mehr beschränkbaren. Durch Verwendung von moderner Verschlüsselungstechnologie wird es auch dem besten Verschlüsselungsexperten und somit auch den Behörden unmöglich, verschlüsselte E-Mails bei Vorliegen eines Verdachtsmomentes zu entschlüsseln und somit das Briefgeheimnis zu verletzen.
In diesem Dilemma befindet sich die Diskussion rund um die Verschlüsselung.
Auch bei Vorliegen einer der zuvor erwähnten Ausnahmen kann nicht darauf geschlossen werden, daß der einzelne Staatsbürger sich einer für jeden verständlichen Sprache bedienen muß. [532] Die Durchbrechungen des Briefgeheimnisses sind eher formal zu verstehen, mit dem Ziel, die Öffnung eines verschlossenen Schriftstückes bei Vorliegen von richterlich geprüften Verdachtsmomenten, vornehmen zu dürfen. Ein materielles, inhaltliches Verständnis der jeweiligen ermittelnden Behörde wird von den erwähnten Vorschriften nicht bestimmt.
Mit der jüngst beschlossenen neuen Fahndungsmethode “Lauschangriff” wird aber eventuell auch das Problem der Datenverschlüsselung zu lösen sein.
Wichtig ist, daß für jeden “Angriff” auf die Verschlüsselung nicht nur eine einzelne richterliche Genehmigung notwendig ist, sondern auch die physische Infrastruktur so zu gestalten ist, daß diese nur im Einzelfall und nicht automatisiert eingesetzt werden kann.
Eine Lösung könnten die neu in die StPO eingeführten §§ 149d ff bieten. Sie gestatten unter gewissen Voraussetzungen die Überwachung nichtöffentlichen Verhaltens und nichtöffentlicher Äußerungen von Personen unter Verwendung technischer Mittel zur Bild- oder Tonübertragung und zur Bild- oder Tonaufnahme ohne Kenntnis des Betroffenen. [533]
Das Magazin “Der Spiegel” berichtete über die Möglichkeit Bildschirme “abzuhören”. [534] Diese Technik nützt die Tatsache, daß Bildschirme eine schwache Strahlung mit dem Inhalt des derzeitigen Bildschirms aussenden. Mit Hilfe dieser Strahlung und mit Antennen und Verstärkern kann das derzeitige Bild am Bildschirm aufgefangen werden und auf einem anderen Bildschirm in der Nähe wiedergegeben werden. So können Nachrichten, noch bevor sie verschlüsselt werden, aufgezeichnet und festgehalten werden. Das leidige Problem der Schlüsselhinterlegung fällt weg. Diese Art der Überwachungstechnik und die Subsumtion unter die “Optische und akustische Überwachung von Personen unter Verwendung technischer Mittel” hat den Vorteil, daß eben nur speziell bezeichnete Bildschirme oder Orte “abgehört” werden können [535] und dürfen. § 149e Abs 3 Z 3 StPO legt nämlich fest, daß der Beschluß, mit dem die Überwachung angeordnet wird, unter anderem die für die Überwachung in Aussicht genommenen Örtlichkeiten, zu enthalten hat. Es findet auch keine generelle Überwachung jedes Bürgers statt, sondern die Namen der von der Überwachung mutmaßlich betroffenen Personen müssen ebenfalls vom Gericht im Beschluß festgelegt werden. Der Abzuhörende bekommt von dem “Lauschangriff” auch nichts mit. Das vielleicht wichtigste Argument ist die bereits bestehende Geltung dieser Vorschriften. Eigene Vorschriften über Schlüsselhinterlegung erübrigen sich so.
Natürlich können Bildschirme auch abgeschirmt werden, so daß die Strahlung geringer wird. Diese Maßnahmen sind aber sehr teuer und nicht leicht durchzuführen. Letztlich läuft diese Technik auf das gegenseitige “Aufrüsten" von Kriminellen und Strafverfolgungsbehörden hinaus, das in allen Bereichen der Überwachungstechnik heute schon stattfindet.
Die Privatsphäre der Allgemeinheit bliebe aber gewahrt.

[527] § 149a. StPO Abs (1) Die Überwachung eines Fernmeldeverkehrs einschließlich der Aufnahme und schriftlichen Aufzeichnung seines Inhalts ist zulässig,
1. wenn zu erwarten ist, daß dadurch die Aufklärung einer vorsätzlich begangenen, mit mehr als sechsmonatiger Freiheitsstrafe bedrohten strafbaren Handlung gefördert werden kann und der Inhaber der Anlage der Überwachung ausdrücklich zustimmt; oder
2. wenn dies zur Aufklärung einer vorsätzlich begangenen, mit mehr als einjähriger Freiheitsstrafe bedrohten strafbaren Handlung erforderlich erscheint und
a) der Inhaber der Fernmeldeanlage selbst dringend verdächtig ist, die Tat begangen zu haben, oder
b) Gründe für die Annahme vorliegen, daß eine der Tat dringend verdächtige Person die Anlage benützen oder eine Verbindung mit ihr herstellen werde, es sei denn, daß der Inhaber der Anlage gemäß § 152 Abs. 1 Z 4 oder 5 von der Verbindlichkeit zur Ablegung eines Zeugnisses gesetzlich befreit ist (§ 152 Abs. 3).
Abs (2) Die Überwachung des Fernmeldeverkehrs von Anlagen eines Medienunternehmens (§ 1 Z 6 Mediengesetz) ist im Falle des Abs. 1 Z 2 lit. b nur zulässig, wenn zu erwarten ist, daß dadurch die Aufklärung einer strafbaren Handlung gefördert werden kann, die mit lebenslanger Freiheitsstrafe oder mit einer zeitlichen Freiheitsstrafe bedroht ist, deren Untergrenze nicht weniger als fünf Jahre und deren Obergrenze mehr als zehn Jahre beträgt.
[528] Im Internet unter http://www.thur.de/ulf/ueberwach/fuev.html
[529] VfSlg 938, vom 24.2.1928
[530] 1995/03/16 , GZ 20.7-9,10/94, SLGNR UVS 00001/10
[531] Zanger, Urheberrecht und Leistungsschutz im digitalen Zeitalter, S. 158
[532] vgl. “Krypto-logisch”: Die neue Versuchung im Cyberspace, Mayer-Schönberger
[533] Gesetz zur Bekämpfung der organisierten Kriminalität; die Regierungsvorlage Nr. 49 der Beilagen zu den Stenographischen Protokollen des Nationalrates XX. GP findet sich im Internet unter http://www.parlinkom.gv.at/pd/pm/XX/I/texte/000/I00049_.html
[534] Sehr ausführlich in der Ausgabe 36/96
[535] Jeder Monitor “sendet” in einer bestimmten erst zu ermittelnden Frequenz.