Wer das Handy einer Partnerin oder Ex-Partnerin mit Spionage-Apps überwacht, macht sich in Deutschland strafbar. Zu Anklagen kommt es trotzdem so gut wie nie und auch die Hersteller solcher Apps müssen sich nicht fürchten. Dazu gibt es zu viele Schlupflöcher im Gesetz und zu wenige Möglichkeiten, das Stalking zu beweisen.

Es ist ein globaler Angriff: Seit Jahren wächst die Zahl der Menschen, die Überwachungssoftware in einer Beziehung einsetzen, um ihre Partnerin oder Ex-Partnerin auszuspähen. In wenigen Minuten lässt sich solche sogenannte Stalkerware auf dem Telefon einer Zielperson installieren, wo sie unbemerkt im Hintergrund läuft und jeden Schritt der Betroffenen überwacht – von Anrufen, Chats, Fotos und E-Mails bis zum Standort oder den Kalendereinträgen. Es ist eine totale Überwachung.

In Deutschland ist der Einsatz eines solchen Programms ohne die Zustimmung der überwachten Person – also im Regelfall – eine Straftat. Das Strafgesetzbuch verbietet das Abhören von Gesprächen und das unerlaubte Fotografieren, auch das Ausspähen von Daten. Diese Bestimmungen stammen aus einer Zeit lange bevor jedermann Spionage-Apps für wenige Euro im Internet kaufen konnte, greifen jedoch trotzdem. Zumindest theoretisch.

In der Praxis gab es erst einen einzigen bekannten Fall in Deutschland, in dem ein Täter für den Einsatz von Stalkerware verurteilt wurde. Und das, obwohl aus Datenlecks über einschlägige Firmen bekannt ist, dass Tausende solche Apps in Deutschland nutzen, konservativ gerechnet. Warum ist es so schwer, Täter zur Verantwortung zu ziehen, die Partnerinnen mit solchen Methoden überwachen und terrorisieren? Warum dürfen Hersteller solche Software unbehelligt weiter im Netz verkaufen?

Wie kann man Hersteller zur Verantwortung ziehen?

Ein Problem: Viele Hersteller von Stalkerware verkaufen ihre Produkte vordergründig als Software zur Überwachung der eigenen Kinder – was Eltern tatsächlich dürfen. In ihren Nutzungsbedingungen weisen sie darauf hin, dass die App nur mit ausdrücklicher Zustimmung der zu überwachenden Person installiert werden darf. Das macht es schwer, rechtlich gegen solche so genannten Dual-Use-Produkte vorzugehen. Die Firmen berufen sich darauf, dass sie ja nichts Illegales täten. Für mit ihren Apps begangene Straftaten seien die Täter:innen selbst verantwortlich.

Auch die deutschen Datenschutzbehörden können gegen die Firmen schwer vorgehen. Zwar gilt in Deutschland seit vergangenem Jahr die Datenschutzgrundverordnung (DSGVO). Wer dagegen verstößt, kann mit gepfefferten Strafen belegt werden: bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes. Das gilt für all jene, die Stalkerware installieren und einsetzen, um eine andere Person ohne deren Zustimmung zu überwachen, aber auch für diejenigen, die daraus entstehende Daten verarbeiten, womit auch die Hersteller von Stalkerware belangt werden könnten. Es gilt selbst dann, wenn die Firmen außerhalb der EU sitzen. Entscheidend ist das so genannte „Marktortprinzip“, also der Ort, an dem die Firma ihr Produkt anbietet.

Viele Hersteller von Software, die selbst keine Daten erheben, fallen durch die Maschen der DSGVO. „Die DSGVO kennt keine Herstellerhaftung für Datenschutzverstöße“, schreibt Johannes Pepping von der Landesdatenschutzbehörde Niedersachsen. „Verantwortlicher im datenschutzrechtlichen Sinne ist grundsätzlich die Person, die die Software einsetzt.“

Datenschutz, Schmatenschutz

Selbst wenn den Firmen nachgewiesen werden könne, dass sie selbst Daten erheben, etwa weil sie diese auf ihren Servern speichern, stehen die Chancen, eine Firma mit Sitz außerhalb der EU tatsächlich zu fassen zu bekommen, sehr schlecht, sagt Pepping. Realistisch sei das nur in Ländern, in denen es überhaupt Datenschutzbehörden gebe, etwa Kanada. Sonst bräuchte man ein Rechtshilfeabkommen mit dem jeweiligen Land. Viele der Hersteller sitzen in Indien, China oder Vietnam.

Viel effektiver könnte hier die Bundesnetzagentur eingreifen: Sie kann, anders als die Datenschützer, Produkte tatsächlich verbieten und Rückrufaktionen anordnen. In der Vergangenheit ist das etwa bei der vernetzen Puppe Cayla passiert, die von der Agentur als verbotene „Abhöranlage“ eingestuft wurde. Sie musste aus dem Verkauf genommen werden, Käufer:innen mussten sie vernichten und das nachweisen. Auch Kinderuhren mit Abhörfunktion hat die Agentur verboten.

Das Problem: Die Bundesnetzagentur hat keine Rechtsgrundlage, um gegen Apps vorzugehen. Ihre Verbote von vernetztem Spielzeug basieren auf einem Paragrafen des Telekommunikationsgesetzes (TKG), das den Missbrauch von Sende- oder sonstigen Telekommunikationsanlagen regelt. Dieser verbietet, „Sendeanlagen oder sonstige Telekommunikationsanlagen zu besitzen, herzustellen, zu vertreiben, einzuführen (…), die ihrer Form nach einen anderen Gegenstand vortäuschen oder die mit Gegenständen des täglichen Gebrauchs verkleidet sind und auf Grund dieser Umstände oder auf Grund ihrer Funktionsweise in besonderer Weise geeignet und dazu bestimmt sind, das nicht öffentlich gesprochene Wort eines anderen von diesem unbemerkt abzuhören oder das Bild eines anderen von diesem unbemerkt aufzunehmen.“ Der Paragraf richtet sich also ausschließlich gegen Hardware. Stalkerware-Apps auf einem Telefon fallen durch die Maschen des Gesetzes – obwohl sie das gleiche und noch viel mehr erlauben.

Technisch möglich, praktisch nicht

Was ist mit den Tätern, also jenen, die Stalkerware zur Überwachung einsetzen? Sie verstoßen eindeutig gegen die Datenschutzgrundverordnung und können entsprechend belangt werden. Wer eine Spionage-App einsetzt, verstößt damit allerdings nicht nur gegen Datenschutzauflagen, was einer Ordnungswidrigkeit gleichkommt. Das Ausspähen von Daten ist in Deutschland eine Straftat. In solchen Fällen sind die zuständigen Landesaufsichtsbehörden für Datenschutz verpflichtet, die Staatsanwaltschaft einzuschalten.

Theoretisch ist die Rechtslage für Betroffene in Deutschland also gut. Praktisch scheitern Konsequenzen für Täter:innen häufig schon daran, dass die meisten Betroffenen nie erfahren, dass sie per Mobiltelefon überwacht werden. Bei den von netzpolitik.org angefragten Landesaufsichtsbehörden für Datenschutz liegt bislang keine einzige solche Beschwerde vor.

Selbst wenn ein konkreter Verdacht besteht, etwa weil eine Frau merkt, dass ihr Partner Dinge weiß, die er gar nicht wissen kann, ist es für Betroffene kaum möglich, Stalkerware auf ihrem Telefon nachzuweisen: Beratungsstellen fehlen das Personal und die Technik, um forensische Analysen durchzuführen. Die Polizei hätte die technischen Möglichkeiten zwar, untersucht aber nach eigener Aussage ebenfalls keine Geräte zur Beweissicherung. Die Ressourcen sind knapp und digitale Partnergewalt scheint nicht relevant genug. An vielen Stellen fehlt den Beamt:innen auch schlicht das Verständnis.

Was das kanadische Citizen Lab vor kurzem für Kanada forderte, gilt deswegen auch für Deutschland: Beamt:innen, Staatsanwaltschaft und Gerichte müssten besser geschult werden und bräuchten mehr Ressourcen für Forensik. Sonst können Täter weiterhin in Ruhe Partnerinnen überwachen – ohne dafür irgendwelche Konsequenzen fürchten zu müssen.

Update, 26.6.: Der Beitrag wurde um einen Absatz ergänzt, der erklärt, warum die Bundesnetzagentur aktuell nicht gegen Stalkerware vorgehen kann.