De hoogste rechtbank van Oostenrijk zegt dat de politie geen bewakingsmalware op computers en telefoons mag installeren en ook niet heimelijk informatie over voertuigen en bestuurders mag verzamelen. Dat ligt in Duitsland wel anders – daar kan de politie helemaal los gaan op het gebruik van bijvoorbeeld malware.
Transparantie is de moeite waard om voor te vechten, omdat regeringen vaak de neiging hebben zich iets beter te gedragen wanneer ze weten dat iemand toekijkt. Maar af en toe blijken verzoeken om gegevens te verstrekken te leiden tot iets groots en totaal onverwachts, omdat iemand niet helemaal heeft gemerkt wat de verstrekte informatie inhoudt.
Al in 2013 verschenen er berichten over een parlementair onderzoek naar uitgaven door het Duitse federale ministerie van Binnenlandse Zaken, verantwoordelijk voor de binnenlandse veiligheid. Wat vermoedelijk niet meer dan enkele tientallen pagina’s saaie en dus veilige cijfers leken te zijn, bleek iets heel schokkends te onthullen:
“Het Duitse ministerie van Binnenlandse Zaken en dus de Duitse politie verklaren duidelijk dat ze Skype, Google Mail, MSN Hotmail, Yahoo Mail en Facebook-chat monitoren als dat nodig wordt geacht. Er wordt geld uitgegeven aan Trojaanse virussen en we kunnen vrij zeker zijn welk bedrijf de IMSI-catchers (nuttig voor aanvallen op mobiele telefoons van belangrijke personen) produceert die gebruikt wordt door de Duitse politie. ”
Toen was het al meer dan een jaar bekend dat de Duitse politiediensten malware gebruiken om burgers via hun computers te bespioneren, maar de nieuwste onthullingen over bewakingsactiviteiten gaan veel verder dan dat. Het bevestigt dat zelfs in landen waar mensen erg gevoelig zijn voor privacy, internet snuffelen door de politie standaard routine is. Het benadrukt ook nogmaals het belang van het coderen van uw communicatiekanalen waar mogelijk en het vermijden van die waar dat niet het geval is.
Eén van de kenmerken van surveillance in Duitsland is het routinematige gebruik van malware om zijn burgers te bespioneren. Het grote voordeel voor de autoriteiten is dat ze hierdoor end-to-end encryptie kunnen omzeilen. Door spionagesoftware op de apparatuur van de gebruiker te plaatsen, kan de politie berichten in een niet-gecodeerde vorm zien.
Ook de Oostenrijkse politie zou volgend jaar op deze manier malware gaan inzetten.
Zou, want in een welkome overwinning voor digitale rechten heeft het Hooggerechtshof van Oostenrijk zojuist het gebruik ervan ongrondwettelijk verklaard. Het Oostenrijkse Constitutionele Hof baseerde zijn oordeel op het Europees Verdrag voor de rechten van de mens (EVRM – pdf). De website van de Oostenrijkse nationale publieke omroep ORF meldde de iuitspraak van de rechtbank:
“Het geheime toezicht op het gebruik van computersystemen” vormt een “ernstige inmenging” in de privésfeer, zoals beschermd door het EVRM, en “is naar de mening van het Grondwettelijk Hof alleen toegestaan binnen strikt gedefinieerde grenzen om dienovereenkomstig belangrijke assets te beschermen”. De vice-president van het Constitutionele Hof Grabenwarter erkende dat onschuldige derden óók kunnen worden getroffen door andere bewakingsmaatregelen, zoals cameratoezicht en observatieteams. De geheime infiltratie van computersystemen brengt echter een “aanzienlijk bredere impact” met zich mee.
De Oostenrijkse politie zou het recht hebben gekregen om malware te installeren als onderdeel van een breder “beveiligingspakket” – door de critici een “bewakingspakket” genoemd – dat vorig jaar door het Oostenrijkse parlement (link hier) werd aangenomen. Andere nieuwe bevoegdheden omvatten het recht om in te breken in particuliere huizen om malware te installeren, en toestemming om heimelijk informatie te verzamelen over voertuigen en hun bestuurders van geautomatiseerde bewakingssystemen op wegen.
Het Oostenrijkse Grondwettelijke Hof heeft dat ook allemaal neergesabeld.
De gegevensbeschermings-activistengroep Epicenter.works omschreef de beslissing van het Hof als een “historisch oordeel”. Voormalig FPÖ-minister van Binnenlandse Zaken Herbert Kickl sprak daarentegen over een “vakantie voor georganiseerde misdaad en terroristisch extremisme” en een “slechte dag voor de veiligheid van Oostenrijkers”.
Eerder volgde Oostenrijk de tijdgeest over het verbeteren van de technische en juridische mogelijkheden van de politie – ten koste van de privacy van de burgers. Iets soortgelijks gebeurt momenteel aan de andere kant van de Oostenrijkse grens in Beieren.
Verzet was tot voor kort alleen gerezen in geïnformeerde kringen in Oostenrijk. Tal van instellingen hadden kritische verklaringen over de wet afgegeven, waaronder de eigen constitutionele dienst van het ministerie van Justitie. Burgerrechtenactivisten lanceerden een campagne tegen de wet en organiseerden verschillende demonstraties. De oppositiepartijen protesteerden ook en waarschuwden voor Orwelliaanse toestanden.
Hoewel de uitspraak alleen binnen Oostenrijk van toepassing is, betekent dit wel dat het gebruik van malware door de politie en inlichtingendiensten in de EU ongetwijfeld minder zal worden ondersteund door nationale regeringen, waardoor het moeilijker wordt om nieuwe EU-wetten in te voeren die het gebruik ervan in de regio toestaan.