De hoogste rechtbank van Oostenrijk zegt dat de politie geen bewakingsmalware op computers en telefoons mag installeren en ook niet heimelijk informatie over voertuigen en bestuurders mag verzamelen. Dat ligt in Duitsland wel anders - daar kan de politie helemaal los gaan op het gebruik van bijvoorbeeld malware.
Transparantie is de moeite waard om voor te vechten, omdat regeringen
vaak de neiging hebben zich iets beter te gedragen wanneer ze weten
dat iemand toekijkt. Maar af en toe blijken verzoeken om gegevens te
verstrekken te leiden tot iets groots en totaal onverwachts, omdat
iemand niet helemaal heeft gemerkt wat de verstrekte informatie
inhoudt.
Al in 2013 verschenen er berichten
over een parlementair onderzoek naar uitgaven door het Duitse federale
ministerie van Binnenlandse Zaken, verantwoordelijk voor de
binnenlandse veiligheid. Wat vermoedelijk niet meer dan enkele
tientallen pagina's saaie en dus veilige cijfers leken te zijn, bleek
iets heel schokkends te onthullen:
"Het Duitse ministerie van Binnenlandse Zaken en dus de Duitse politie
verklaren duidelijk dat ze Skype, Google Mail, MSN Hotmail, Yahoo Mail
en Facebook-chat monitoren als dat nodig wordt geacht. Er wordt geld
uitgegeven aan Trojaanse virussen en we kunnen vrij zeker zijn welk
bedrijf de IMSI-catchers (nuttig voor aanvallen op mobiele telefoons
van belangrijke personen) produceert die gebruikt wordt door de Duitse
politie. "
Toen was het
al meer dan een jaar
bekend dat de Duitse politiediensten malware gebruiken om burgers via
hun computers te bespioneren, maar de nieuwste onthullingen over
bewakingsactiviteiten gaan veel verder dan dat. Het bevestigt dat
zelfs in landen waar mensen erg gevoelig zijn voor privacy, internet
snuffelen door de politie standaard routine is. Het benadrukt ook
nogmaals het belang van het coderen van uw communicatiekanalen waar
mogelijk en het vermijden van die waar dat niet het geval is.
Eén van de kenmerken van surveillance in Duitsland is het
routinematige gebruik van malware om zijn burgers te bespioneren. Het
grote voordeel voor de autoriteiten is dat ze hierdoor end-to-end
encryptie kunnen omzeilen. Door spionagesoftware op de apparatuur van
de gebruiker te plaatsen, kan de politie berichten in een
niet-gecodeerde vorm zien.
Ook de Oostenrijkse politie zou volgend jaar op deze manier malware
gaan inzetten.
Zou, want in een welkome overwinning voor digitale rechten heeft het
Hooggerechtshof van Oostenrijk
zojuist het gebruik ervan ongrondwettelijk verklaard. Het Oostenrijkse
Constitutionele Hof baseerde zijn oordeel op het Europees Verdrag voor
de rechten van de mens (EVRM
- pdf). De website van de Oostenrijkse nationale
publieke omroep ORF meldde de iuitspraak van de rechtbank:
"Het geheime toezicht op het gebruik van computersystemen" vormt een "ernstige
inmenging" in de privésfeer, zoals beschermd door het EVRM, en "is
naar de mening van het Grondwettelijk Hof alleen toegestaan binnen
strikt gedefinieerde grenzen om dienovereenkomstig belangrijke
assets te beschermen". De vice-president van het Constitutionele
Hof Grabenwarter erkende dat onschuldige derden óók kunnen worden
getroffen door andere bewakingsmaatregelen, zoals cameratoezicht en
observatieteams. De geheime infiltratie van computersystemen brengt
echter een "aanzienlijk bredere impact" met zich mee.
De Oostenrijkse politie zou het recht hebben gekregen om malware te
installeren als onderdeel van een breder "beveiligingspakket" - door
de critici een "bewakingspakket" genoemd - dat vorig jaar door het
Oostenrijkse parlement (link
hier) werd aangenomen. Andere nieuwe bevoegdheden
omvatten het recht om in te breken in particuliere huizen om malware
te installeren, en toestemming om heimelijk informatie te verzamelen
over voertuigen en hun bestuurders van geautomatiseerde
bewakingssystemen op wegen.
Het Oostenrijkse Grondwettelijke Hof heeft dat ook allemaal
neergesabeld.
De gegevensbeschermings-activistengroep Epicenter.works omschreef de
beslissing van het Hof als een "historisch oordeel". Voormalig FPÖ-minister
van Binnenlandse Zaken Herbert Kickl sprak daarentegen over een "vakantie
voor georganiseerde misdaad en terroristisch extremisme" en een "slechte
dag voor de veiligheid van Oostenrijkers".
Eerder volgde Oostenrijk de tijdgeest over het verbeteren van de
technische en juridische mogelijkheden van de politie - ten koste van
de privacy van de burgers. Iets soortgelijks gebeurt momenteel aan de
andere kant van de Oostenrijkse grens in Beieren.
Verzet was tot voor kort alleen gerezen in geïnformeerde kringen in
Oostenrijk. Tal van instellingen hadden kritische verklaringen over de
wet afgegeven, waaronder de eigen constitutionele dienst van het
ministerie van Justitie. Burgerrechtenactivisten lanceerden een
campagne tegen de wet en organiseerden verschillende demonstraties. De
oppositiepartijen protesteerden ook en waarschuwden voor Orwelliaanse
toestanden.
Hoewel de uitspraak alleen binnen Oostenrijk van toepassing is,
betekent dit wel dat het gebruik van malware door de politie en
inlichtingendiensten in de EU ongetwijfeld minder zal worden
ondersteund door nationale regeringen, waardoor het moeilijker wordt
om nieuwe EU-wetten in te voeren die het gebruik ervan in de regio
toestaan.
Afdrukken Doorsturen