Überwachung

Warum es so schwer ist, rechtlich gegen Spionage-Apps vorzugehen

Wer das Handy einer Partnerin oder Ex-Partnerin mit Spionage-Apps überwacht, macht sich in Deutschland strafbar. Zu Anklagen kommt es trotzdem so gut wie nie und auch die Hersteller solcher Apps müssen sich nicht fürchten. Dazu gibt es zu viele Schlupflöcher im Gesetz und zu wenige Möglichkeiten, das Stalking zu beweisen.

Wer Stalkerware auf dem Telefon einer anderen Person installiert, begeht eine Straftat. Gemeinfrei-ähnlich freigegeben durch unsplash.com Jonah Pettrich

Es ist ein globaler Angriff: Seit Jahren wächst die Zahl der Menschen, die Überwachungssoftware in einer Beziehung einsetzen, um ihre Partnerin oder Ex-Partnerin auszuspähen. In wenigen Minuten lässt sich solche sogenannte Stalkerware auf dem Telefon einer Zielperson installieren, wo sie unbemerkt im Hintergrund läuft und jeden Schritt der Betroffenen überwacht – von Anrufen, Chats, Fotos und E-Mails bis zum Standort oder den Kalendereinträgen. Es ist eine totale Überwachung.

In Deutschland ist der Einsatz eines solchen Programms ohne die Zustimmung der überwachten Person – also im Regelfall – eine Straftat. Das Strafgesetzbuch verbietet das Abhören von Gesprächen und das unerlaubte Fotografieren, auch das Ausspähen von Daten. Diese Bestimmungen stammen aus einer Zeit lange bevor jedermann Spionage-Apps für wenige Euro im Internet kaufen konnte, greifen jedoch trotzdem. Zumindest theoretisch.

In der Praxis gab es erst einen einzigen bekannten Fall in Deutschland, in dem ein Täter für den Einsatz von Stalkerware verurteilt wurde. Und das, obwohl aus Datenlecks über einschlägige Firmen bekannt ist, dass Tausende solche Apps in Deutschland nutzen, konservativ gerechnet. Warum ist es so schwer, Täter zur Verantwortung zu ziehen, die Partnerinnen mit solchen Methoden überwachen und terrorisieren? Warum dürfen Hersteller solche Software unbehelligt weiter im Netz verkaufen?

Wie kann man Hersteller zur Verantwortung ziehen?

Ein Problem: Viele Hersteller von Stalkerware verkaufen ihre Produkte vordergründig als Software zur Überwachung der eigenen Kinder – was Eltern tatsächlich dürfen. In ihren Nutzungsbedingungen weisen sie darauf hin, dass die App nur mit ausdrücklicher Zustimmung der zu überwachenden Person installiert werden darf. Das macht es schwer, rechtlich gegen solche so genannten Dual-Use-Produkte vorzugehen. Die Firmen berufen sich darauf, dass sie ja nichts Illegales täten. Für mit ihren Apps begangene Straftaten seien die Täter:innen selbst verantwortlich.

Auch die deutschen Datenschutzbehörden können gegen die Firmen schwer vorgehen. Zwar gilt in Deutschland seit vergangenem Jahr die Datenschutzgrundverordnung (DSGVO). Wer dagegen verstößt, kann mit gepfefferten Strafen belegt werden: bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Das gilt für all jene, die Stalkerware installieren und einsetzen, um eine andere Person ohne deren Zustimmung zu überwachen, aber auch für diejenigen, die daraus entstehende Daten verarbeiten, womit auch die Hersteller von Stalkerware belangt werden könnten. Es gilt selbst dann, wenn die Firmen außerhalb der EU sitzen. Entscheidend ist das so genannte „Marktortprinzip“, also der Ort, an dem die Firma ihr Produkt anbietet.

Viele Hersteller von Software, die selbst keine Daten erheben, fallen durch die Maschen der DSGVO. „Die DSGVO kennt keine Herstellerhaftung für Datenschutzverstöße“, schreibt Johannes Pepping von der Landesdatenschutzbehörde Niedersachsen. „Verantwortlicher im datenschutzrechtlichen Sinne ist grundsätzlich die Person, die die Software einsetzt.“

Datenschutz, Schmatenschutz

Selbst wenn den Firmen nachgewiesen werden könne, dass sie selbst Daten erheben, etwa weil sie diese auf ihren Servern speichern, stehen die Chancen, eine Firma mit Sitz außerhalb der EU tatsächlich zu fassen zu bekommen, sehr schlecht, sagt Pepping. Realistisch sei das nur in Ländern, in denen es überhaupt Datenschutzbehörden gebe, etwa Kanada. Sonst bräuchte man ein Rechtshilfeabkommen mit dem jeweiligen Land. Viele der Hersteller sitzen in Indien, China oder Vietnam.

Viel effektiver könnte hier die Bundesnetzagentur eingreifen: Sie kann, anders als die Datenschützer, Produkte tatsächlich verbieten und Rückrufaktionen anordnen. In der Vergangenheit ist das etwa bei der vernetzen Puppe Cayla passiert, die von der Agentur als verbotene „Abhöranlage“ eingestuft wurde. Sie musste aus dem Verkauf genommen werden, Käufer:innen mussten sie vernichten und das nachweisen. Auch Kinderuhren mit Abhörfunktion hat die Agentur verboten.

Das Problem: Die Bundesnetzagentur hat keine Rechtsgrundlage, um gegen Apps vorzugehen. Ihre Verbote von vernetztem Spielzeug basieren auf einem Paragrafen des Telekommunikationsgesetzes (TKG), das den Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen regelt. Dieser verbietet, „Sendeanlagen oder sonstige Telekommunikationsanlagen zu besitzen, herzustellen, zu vertreiben, einzuführen (…), die ihrer Form nach einen anderen Gegenstand vortäuschen oder die mit Gegenständen des täglichen Gebrauchs verkleidet sind und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise in besonderer Weise geeignet und dazu bestimmt sind, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen.“ Der Paragraf richtet sich also ausschließlich gegen Hardware. Stalkerware-Apps auf einem Telefon fallen durch die Maschen des Gesetzes – obwohl sie das gleiche und noch viel mehr erlauben.

Technisch möglich, praktisch nicht

Was ist mit den Tätern, also jenen, die Stalkerware zur Überwachung einsetzen? Sie verstoßen eindeutig gegen die Datenschutzgrundverordnung und können entsprechend belangt werden. Wer eine Spionage-App einsetzt, verstößt damit allerdings nicht nur gegen Datenschutzauflagen, was einer Ordnungswidrigkeit gleichkommt. Das Ausspähen von Daten ist in Deutschland eine Straftat. In solchen Fällen sind die zuständigen Landesaufsichtsbehörden für Datenschutz verpflichtet, die Staatsanwaltschaft einzuschalten.

Theoretisch ist die Rechtslage für Betroffene in Deutschland also gut. Praktisch scheitern Konsequenzen für Täter:innen häufig schon daran, dass die meisten Betroffenen nie erfahren, dass sie per Mobiltelefon überwacht werden. Bei den von netzpolitik.org angefragten Landesaufsichtsbehörden für Datenschutz liegt bislang keine einzige solche Beschwerde vor.

Selbst wenn ein konkreter Verdacht besteht, etwa weil eine Frau merkt, dass ihr Partner Dinge weiß, die er gar nicht wissen kann, ist es für Betroffene kaum möglich, Stalkerware auf ihrem Telefon nachzuweisen: Beratungsstellen fehlen das Personal und die Technik, um forensische Analysen durchzuführen. Die Polizei hätte die technischen Möglichkeiten zwar, untersucht aber nach eigener Aussage ebenfalls keine Geräte zur Beweissicherung. Die Ressourcen sind knapp und digitale Partnergewalt scheint nicht relevant genug. An vielen Stellen fehlt den Beamt:innen auch schlicht das Verständnis.

Was das kanadische Citizen Lab vor kurzem für Kanada forderte, gilt deswegen auch für Deutschland: Beamt:innen, Staatsanwaltschaft und Gerichte müssten besser geschult werden und bräuchten mehr Ressourcen für Forensik. Sonst können Täter weiterhin in Ruhe Partnerinnen überwachen – ohne dafür irgendwelche Konsequenzen fürchten zu müssen.

Update, 26.6.: Der Beitrag wurde um einen Absatz ergänzt, der erklärt, warum die Bundesnetzagentur aktuell nicht gegen Stalkerware vorgehen kann.

4 Ergänzungen
  1. Es müsste eine EU Richtlienie her die Hersteller solcher APPs dazu verpflichtet diese auf dem Gerät z.B. durch das Anzeigen eines entsprechenden Hinweisbanners regelmäßig gegenüber dem Benutzer kenntlich zu machen. So könnten Eltern die Kinder beaufsichtigen, aber dennoch niemanden unbemerkt überwachen.

    APP Hersteller die in der EU dann dagegen verstoßen könnte man dann entsprechend strafrechtlich belangen ohne legale Einsatzgebiete zu kriminalisieren.

    1. Das funktioniert nicht. Wenn die App ein Banner anzeigt, dann ist eine Überwachung von Kindern auch nicht mehr möglich. Eine Überwachung geht nur, wenn die zu überwachende Person nichts davon weiß. Andernfalls kann man nämlich Gegenmaßnahmen ergreifen. Die einfachste davon wäre, das Handy einfach auszuschalten. Den Eltern kann man dann einfach sagen, der Akku sei leer gewesen.

      1. Ich sehe darin keinen Widerspruch, so wie ich das verstehe müssen Kinder genauso zugestimmt haben.
        Sie wissen es also ohnehin. Und bzw. finde ich das auch richtig, wenn schon Kinder überwachen, dann nur mit deren Einverständnis und Wissen.
        Wenn Kinder den Wunsch haben die Überwachung zu beenden und das Handy ausschalten, dann haben sie offensichtlich ein Bedürfnis nach Privatsphäre und imho auch ein Recht darauf.

  2. „Entscheidend ist das so genannte „Marktortprinzip“, also der Ort, an dem die Firma ihr Produkt anbietet.“

    Grundsätzlich richtig, aber rechtlich nicht durchsetzbar. Das merken nicht nur die Rechteverwerter die gegen Piraterie vorgehen wollen und scheitern, sondern hat auch lange Jahre die EU-Staaten beschäftigt. Bevor Apple eine Niederlassung in Europa gegründet hat, haben 120 Millionen iTuneskunden umsatzsteuerfrei Leistungen bezogen, weil der Kunde im Ausland gekauft hat.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.