Kommentar zur Hausdurchsuchung bei SPAR

Aus Aktualitätsgründen greife ich heute nochmals meinen gestrigen Beitrag zur behördlichen Hausdurchsuchung bei Spar auf. Zeitgleich zu meinem Blog-Beitrag erschien in den Salzburger Nachrichten ein Interview mit DI Stefan Schiffer, einem Sachverständigen Kollegen aus dem Landesverband OÖ/Salzburg, der sich ebenfalls ausführlich mit der Problematik auseinandersetzte.

osTriage Standardsoftware?

Schiffer bestreitet den Standardsoftwarecharakter der eingesetzten Untersuchungssoftware osTriage. Ein Streit um des Kaisers Bart? Mit Sicherheit ist osTriage keine alltägliche Software und nicht allgemein verfügbar. Die Software wird weltweit vom Entwickler, einem FBI Agent, nur an Ermittlungsbehörden ausgeliefert. Im Gegensatz zu gängigen computerforensischen Standardprogrammen wie EnCase oder FTK Imager ist die Software auch nicht vom amerikanischen National Institute of Standards and Technology für Disk Imaging getestet worden. Zertifizierte Standardprogramme für elektronsiche (Haus-)Durchsuchungen gibt es in Österreich nicht.

Hausdurchsuchungsbefehl für elektronische Kopien

Letztendlich kann eine derart unbestimmte Formulierung in Kombination mit der Körperlosigkeit einer elektronischen Kopie ein möglicher Freibrief für exzessives Vorgehen sein. Während bei physischen Kopien den betroffenen Personen idR klar ist, was kopiert wird, ist dies bei der elektronischen Kopie nicht der Fall. Je nach Konfiguration von osTriage können hier E-Mails, Browserdaten, Facebook, Skype, Officedokumente uvam in schnellstmöglicher Art und Weise gesammelt werden. Zudem erstellt osTriage keine 1:1-Kopie des sichergestellten Datenträgers, so dass eine Nachweis der Integrität der kopierten Daten unmöglich erscheint.

Bin ich also als Betroffener hilflos? Nein, Betroffene können verlangen, dass die bei einer Hausdurchsuchung kopierten Unterlagen auf geeignete Art und Weise gegen unbefugte Einsichtnahme gesichert und bei der Bundeswettbewerbsbehörde getrennt vom Ermittlungsakt hinterlegt werden. Zusätzlich sollte der Betroffene ein Recht darauf haben, eine Auflistung der sichergestellten Unterlagen, zb Dateien, zu erhalten.

osTriage knackt Passwörter

Inhaber und vertretungsbefugte Personen sind gesetzlich verpflichtet, die verlangten Auskünfte hinsichtlich der geschäftlichen Unterlagen (auch elektronische Dokumente) zu erteilen. Wozu es da noch einen Passwortknacker braucht, ist aus rechtlicher Sicht nicht nachvollziehbar. Werden bei einer Anwendung von osTriage tatsächlich Passwörter geknackt und verschafft sich der Anwender damit Zugang zu persönlichen Accounts wie Facebook, Skype oä sind Persönlichkeitsrechte, ua nach dem Datenschutzgesetz, DSG 2000, der Betroffenen schwer beeinträchtigt.

Klare Regelungen wünschenswert

Der konkrete Fall verdeutlicht eindrucksvoll, wie wichtig klare gesetzliche Regelungen bei elektronischen (Haus-)Durchsuchungen wären. Der bestehende, weitgehend regelungsfreie Raum lässt den Akteuren ein Übermaß an Gestaltungs- und Ermessensspielraum. Angesichts der bestehenden Sachlage, läge ein möglicher Lösungsansatz in der Beiziehung von gerichtlich zertifizierten Sachverständigen als Datenschutzbeauftragten. Ihre Expertise bei der forensischen Datensicherung im Zuge der Hausdurchsuchung sollte eine gesetzeskonforme, die Rechte und Interessen der beteiligten Parteien und Personen berücksichtigende Vorgehensweise garantieren.

Horst Greifeneder, Datenschutzbeauftragter & Computer Forensiker

Links

• Es ist offenzulegen, wie ermittelt wird: Interview mit Dr Stefan Schiffer in den SN, 23.09.2013.
• Standardsoftware: http://www.itwissen.info/definition/lexikon/Standardsoftware-standard-software.html, Lexikon für IT-Wissen.
• Disk Imaging: http://www.cftt.nist.gov/disk_imaging.htm. National Institute of Standards and Technolgy (NIST).
• § 12. WettbG Hausdurchsuchung: http://www.jusline.at/index.php?cpid=ba688068a8c8a95352ed951ddb88783e&lawid=209&paid=12, JusLine.
• FDS | Forensik Data Services, www.fds.at, IT-Sacherverständiger und Computer Forensik.