Am Montag legte das Justizministerium seinen Gesetzesentwurf für die Überwachung von verschlüsselten Nachrichten – etwa über Whatsapp versandte Chats – vor. Dieser ist Teil eines sogenannten Sicherheitspakts, dass unter anderem die Erfassung von Autokennzeichen und den Einsatz auch privater Videokameras zur breitflächigen Überwachung des öffentlichen Raumes ermöglichen soll. Öffentliche und private Videoüberwachungsbetreiber sollen künftig "verpflichtet" werden, zur "Vorbeugung wahrscheinlicher oder zur Abwehr gefährlicher Angriffe" den Sicherheitsbehörden ihre Aufnahmen zur Verfügung zu stellen. Mit dem Handy filmende Privatpersonen sollen das wie bisher nur "freiwillig" tun, doch die Nutzung ihres Materials durch die Polizei wird erleichtert.

"Inhalte von Homepages, Newsgroups, Informationen über Bestellvorgänge"

Aus den Erläuterungen des Gesetzesentwurfs geht hervor, dass mit mit der Überwachung von Nachrichten nicht nur Chats, sondern "eine Ausleitung des Internetdatenverkehrs" gemeint sein können. Darunter versteht man die Weiterleitung der Daten an Behörden.

"Klarstellend ist auszuführen, dass Nachrichten weder einen menschlichen Denkvorgang voraussetzen noch durch eine menschliche Tätigkeit übertragen werden müssen und auch beim Senden und Empfangen von Datenstreams Nachrichten ausgetauscht werden", heißt es im Text des Ministeriums. Daher fielen zum Beispiel "Inhalte von Homepages, Beiträge in Newsgroups, Informationen über Bestellvorgänge, Aufrufstatistiken von Webseiten" sowie "E-Mail-Entwürfe" unter den Begriff "Nachrichten". All das könnte mit einem Bundestrojaner ausgelesen werden.

Spionagesoftware soll "remote" installiert werden können

Für die Überwachungsmaßnahmen soll eine Software eingesetzt werden, die "ausschließlich gesendete, übermittelte oder empfangene Nachrichten und Informationen entweder vor der Verschlüsselung oder nach Entschlüsselung an die Strafverfolgungsbehörden" leitet. Die staatliche Spionagesoftware soll "remote", also über das Internet auf Handys oder Computer, oder physikalisch installiert werden können. Dafür werden wohl Sicherheitslücken in Systemen ausgenutzt werden – eine Technik, die auch Kriminelle und Hacker anwenden. Für den Kauf der Software und die Schulung oder Einstellung neuer Mitarbeiter rechnet das Justizministerium mit Kosten von 14 Millionen Euro in den kommenden zwei Jahren.

Die Software soll bei einem Strafrahmen ab fünf Jahren zum Einsatz kommen. Nach Beendigung der Ermittlungsmaßnahme muss sichergestellt sein, dass die Software dauerhaft funktionsunfähig ist beziehungsweise der Computer keinen Schaden genommen hat. Begleitet ist die Überwachung von Kontrollmaßnahmen. So wird etwa die Position des Rechtsschutzbeauftragten gestärkt.

Damit das Programm auf Smartphones lokal installiert werden kann, sollen Mobilfunker den Behörden den PUK-Code des Kunden auf Anfrage mitteilen. Damit ist der Pin-Code obsolet. Als "Computersystem" werden laut Erläuterungen auch Spielkonsolen angesehen.

Die Datenschützer von Epicenter Works (vormals AK Vorrat) sprachen auf Twitter davon, dass das Paket "noch schlimmer, als wir dachten", sei. Österreich stünde "vor einer beispiellosen Ausweitung des Überwachungsstaats", so die Datenschützer in einer Aussendung. So sollen durch das Sicherheitspaket auch Netzsperren wegen Urheberrechtsverletzungen gesetzlich festgeschrieben werden.

Registrierung von Prepaid-Handys

Außerdem hält das Justizministerium an seinem Plan fest, anonyme Wertkarten abzuschaffen. Bei dem Kauf von Prepaid-Karten sollen künftig Stammdaten angegeben werden müssen. "Sicherheits- und kriminalpolizeiliche Zwecke erfordern es, dass Personen, die mit einem Anbieter einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen haben, wovon auch der Erwerb von Prepaid-Karten bzw. entsprechendem Guthaben umfasst ist, im Anlassfall identifizierbar sind", heißt es dazu.

Auch das Briefgeheimnis soll gelockert werden. So soll laut Erläuterungen künftig auch die Beschlagnahme von Briefen unbekannter Täter oder auf freiem Fuß befindlicher Beschuldigter ermöglicht werden". Diese Maßnahme soll im Kampf gegen Drogenhandel im Darknet greifen.

Begutachtungsvorgang

Der Gesetzesentwurf durchläuft nun einen Begutachtungsvorgang bis Ende August. Nun können sich etwa andere Ministerien, Universitäten und Datenschutzorganisationen dazu äußern. Der letzte Vorschlag für einen Bundestrojaner war etwa von der Technischen Universität Wien massiv kritisiert worden. Der Gesetzestext wurde damals auf Eis gelegt. Auch beim jetzigen Versuch ist unklar, ob er eine parlamentarische Mehrheit erhält. So hatte sich die SPÖ eigentlich geziert, einem derartigen Überwachungspaket zuzustimmen.

Der Verband der Internetservice-Provider Österreich (Ispa) hat sich bereits zu Wort gemeldet. "Die Ispa lehnt jede gesetzliche Regelung, die starke Verschlüsselung infrage stellt, striktest ab. Der vorliegende Vorschlag einer Ermittlungsmaßnahme zur Überwachung verschlüsselter Nachrichten stellt eine unverhältnismäßige Gefährdung der Integrität informationstechnischer Systeme dar", sagte Generalsekretär Maximilian Schubert.

Auch der grüne Klubobmann Albert Steinhauser übt Kritik. "Ein Blick in das heute präsentierte Überwachungspaket zeigt: Der Entwurf ist noch viel weitgehender als befürchtet. Schon einmal hat der Justizminister einen Anlauf gestartet, um den Bundestrojaner als Ermittlungsmaßnahme gesetzlich zu verankern. Nach massiver Kritik machte er aber einen Rückzieher. Nun soll der Trojaner sogar in verschärfter Form kommen. War die Software ursprünglich für Verbrechen über zehn Jahre Strafdrohung vorgesehen, sollen jetzt schon fünf Jahre genügen. Wurde ursprünglich behauptet, der Trojaner erlaube keinen Fernzugriff, soll die Möglichkeit des Fernzugriffs nun ausdrücklich im Gesetz verankert werden", sagt Steinhauser.

Und er ergänzt: "Wir Grüne werden diesem Paket sicher nicht zustimmen. Freiheit und Privatsphäre sind viel zu wichtig, um sie dem Überwachungspopulismus von Sobotka und Brandstetter zu opfern. Wir werden gemeinsam mit der Zivilgesellschaft weiterhin standhaft gegen die Überwachungspläne der Bundesregierung Stellung beziehen."

Zugang zu Echtzeitstreamings

Der zweite Teil des Sicherheitspakets betrifft das Sicherheitspolizeigesetz. Hier wird es für Behörden, aber auch Unternehmen, die einen öffentlichen Versorgungsauftrag haben, wie etwa die Asfinag, Verkehrsbetriebe und Bahnhöfe, verpflichtend, auf Ersuchen der Sicherheitsbehörden unverzüglich Bilddaten zu übermitteln oder diesen Zugang zu Echtzeitstreamings zu gewähren.

Neu ist, dass nicht nur Autokennzeichen gespeichert werden dürfen. Auch Zusatzinfos wie Automarke, Typ und Farbe sollen für Fahndungszwecke verwendet werden können.

Quick-Freeze-Modell

Als Alternative zur gerichtlich gekippten Vorratsdatenspeicherung setzt das Innenministerium nunmehr auf ein "Quick Freeze"-Modell, quasi eine anlassbezogene Datenspeicherung. Die derzeit geltende generelle Löschungsverpflichtung soll insofern punktuell unterbrochen werden, als bei Vorliegen eines Anfangsverdachts bestimmter gerichtlich strafbarer Handlungen Telekommunikationsanbieter aufgrund staatsanwaltschaftlicher Anordnung verpflichtet werden können, Telekommunikationsdaten (Verkehrs-, Zugangs- und Standortdaten) bis zu zwölf Monate zu speichern.

Im Fall, dass sich der Anfangsverdacht verdichtet, kann die Staatsanwaltschaft mit gerichtlicher Bewilligung auf diese gespeicherten Daten zugreifen. Ansonsten sind die Daten nach Ablauf der in der staatsanwaltschaftlichen Anordnung festgesetzten Frist zu löschen. Damit sind die Grundrechtserfordernisse im Lichte der jüngsten EuGH-Judikatur erfüllt, glaubt das Innenministerium.

Falsche Notmeldung

Ein in der Koalition nicht unumstrittener Teil des Sicherheitspakets hat wieder mit Datenschutz zu tun. Denn künftig soll es im Einzelfall zur Vorbeugung gefährlicher Angriffe auf Leben, Gesundheit und Vermögen erlaubt sein, die "zur Erfüllung des Zwecks jedenfalls erforderlichen" personenbezogenen Daten Teilnehmern eines Sicherheitsforums bekanntzugeben. Das heißt, auch Normalbürger, die sich in einer sogenannten Sicherheitspartnerschaft mit der Exekutive befinden, würden von den Behörden Daten erhalten – freilich unter der Voraussetzung der Vertraulichkeit.

Teuer wird es in Zukunft, wenn man eine falsche Notmeldung an die Polizei auslöst beziehungsweise durch grob fahrlässiges Verhalten ein Einschreiten der Exekutive verursacht hat. Denn in diesen Fällen wird der Verursacher zum Ersatz der Kosten verpflichtet. (sum, fsc, 10.7.2017)