Was die Regierung in Österreich plant

In Österreich regiert ein Dreierbündnis aus der konservativen ÖVP, der sozialdemokratischen SPÖ und den liberalen NEOS. In ihrem Regierungsprogramm haben die drei Parteien im Februar klargemacht, dass allerhand neue Überwachungsbefugnisse auf das Land zukommen. Nun, rund eine Woche nach einem Amoklauf an einer Schule in Graz, geht es schnell: Die österreichische Regierung hat eine Gesetzesvorlage für Staatstrojaner vorgelegt und zudem Alterskontrollen in sozialen Medien mit Registrierungspflicht der Nutzer:innen in den Raum gestellt.

Auf Staatstrojaner zur Messengerüberwachung durch die Direktion Staatsschutz und Nachrichtendienst (DSN), einigte sich am Mittwoch der österreichische Ministerrat. Die DSN ist gleichzeitig polizeiliche Staatsschutzbehörde als auch Inlandsgeheimdienst. Zuvor lagen die Regierungspartner im Clinch, vor allem die NEOS zweifelten die Verfassungsmäßigkeit der heimlichen, invasiven Überwachung an. Inzwischen ist dies der fünfte Anlauf, um die umstrittene Ermittlungsmethode gesetzlich zu verankern. Rechtlich sind ihr nach einem Grundsatzurteil des Verfassungsgerichtshofs aus dem Jahr 2019 enge Grenzen gesetzt.

Staatstrojaner gegen „verfassungsgefährdende Angriffe“

Nun soll Schadsoftware auf Geräten von Verdächtigen installiert werden dürfen, wenn „verfassungsgefährdende Angriffe“ vermutet werden, die mit mindestens zehn Jahren Freiheitsstrafe bedroht werden und andere Ermittlungsmaßnahmen aussichtslos scheinen. Ziel der Überwachung sollen dabei vor allem verschlüsselte und unverschlüsselte Nachrichten sein sowie „Informationen, die über internetbasierte Apps wie WhatsApp, Telegram etc. übermittelt werden, als auch über einen Cloud-Diensteanbieter an einen Cloud-Server übermittelte Datenpakete“.

Lokal gespeicherte Dateien sollen laut der Gesetzesvorlage nicht betroffen sein. Fachleute etwa vom Chaos Computer Club weisen jedoch seit Jahren darauf hin, dass diese Abgrenzung technisch eine eher kosmetische Bedeutung hat und durch Nachladen neuer Module des Staatstrojaners schnell aufgehoben werden kann.

Zur rechtlichen Absicherung soll jeder Staatstrojanereinsatz zuvor durch das österreichische Bundesverwaltungsgericht genehmigt und vom Rechtsschutzbeauftragten im Innenministerium begleitet werden müssen. Betroffene sollen im Nachhinein informiert werden. Eine solche Informationspflicht für Überwachungsmaßnahmen besteht regelmäßig auch in Deutschland, in der Praxis unterbleibt sie jedoch aufgrund zahlreicher Ausnahmen.

Kritik von Bürgerrechtler:innen

Kritik an der geplanten Messenger-Überwachung kommt von IT-Sicherheitsfachleuten und Bürgerrechtsorganisationen. Die Österreichische Liga für Menschenrechte schrieb in einer Stellungnahme zum Gesetzentwurf, dass die geplante Maßnahme „mit den in Österreich geltenden Grund-, Freiheits- und Menschenrechten nicht vereinbar ist“. Die Vereinigung der österreichischen Rechtsanwältinnen und Rechtsanwälte weist darauf hin, dass für Staatstrojaner IT-Sicherheitslücken offengehalten und so gleichsam „die österreichische Gesellschaft und Wirtschaft verletzlich“ würden.

Besonders aktiv im Kampf gegen diesen und vormalige Versuche zur Einführung von Staatstrojanern in Österreich ist seit mehreren Jahren die NGO epicenter.works mit ihrer Kampagne bundestrojaner.at. In einer Stellungnahme weist epicenter.works auf die durch Staatstrojaner entstehende Gefahr für liberale Demokratien hin, die aus den Staatstrojaner-Skandalen rund um Pegasus, Predator und andere deutlich geworden seien: „Die gezielte Überwachung politischer Opposition, die systematische Einschüchterung unabhängiger Medien und die Manipulation öffentlicher Diskurse mittels verdeckter staatlicher Überwachung unterminieren zentrale Elemente liberaler Demokratien – darunter politische Pluralität, Meinungsfreiheit, faire Wahlen und rechtsstaatliche Gewaltenteilung.“

Widerstand gegen die Messenger-Überwachung könnte im weiteren Prozess auch von Regierungsparteien selbst kommen. Die müssen im parlamentarischen Verfahren weitere Details klären, damit das Gesetz wie geplant Anfang 2027 in Kraft treten kann. Laut Medienberichten sollen trotz der Einigung die NEOS weiterhin nicht glücklich mit dem Vorstoß sein. „Ich bin tief davon überzeugt, dass NEOS als liberale Partei solche staatliche Überwachungssoftware nicht unterstützen kann“, zitiert Der Standard deren Vizeklubchef Nikolaus Scherak. Die österreichischen Grünen warfen der liberalen Partei indes vor, umgefallen zu sein und die Überwachungsfantasien der ÖVP zu erfüllen.

Alterskontrollen und Registrierungspflicht

Weniger konkret als die Staatstrojaner-Pläne der Regierung sind Ankündigungen zu Registrierungspflicht und Alterskontrollen im Netz, die ÖVP-Staatssekretär Alexander Pröll machte. Er brachte ins Spiel, dass sich Nutzer:innen sozialer Medien vorher registrieren müssen. Erfolgen könnte dies etwa mit der digitalen Identität „ID Austria“, mit der sich Bürger:innen bislang Behörden gegenüber ausweisen. Im Raum steht eine Altersgrenze von 14 Jahren, was zum einen Kinder und Jugendliche von einer Nutzung ausschließen würde. Zum anderen könnten Behörden dann potenziell bei den Dienste-Anbietern die bürgerliche Identität hinter gewählten pseudonymen Account-Namen abfragen.

Mit einem solchen Vorstoß würde Österreich die Anonymität im Netz torpedieren. Gleichzeitig ist ein solches Vorhaben europarechtlich fragwürdig. Ein nationaler Alleingang hätte wahrscheinlich keinen Bestand vor dem Europäischen Gerichtshof, wie Thomas Lohninger von epicenter.works gegenüber Der Standard sagte. Die EU arbeitet mittlerweile selbst an Leitlinien für mögliche Alterskontrollen im Netz.

Eine Alterskontrolle gepaart mit einer Registrierungspflicht würde außer europarechtlichen noch viele weitere Probleme schaffen und stellt durch Abschreckung eine Gefahr für die freie Meinungsäußerung und persönliche Entwicklung dar, sei es für queere Jugendliche, Whistleblower:innen oder Demokratie-Aktivist:innen.

Sowohl die Diskussion um Registrierungspflicht als auch Messengerüberwachung steht in Österreich derzeit unter dem Eindruck des Grazer Amoklaufs. Dabei haben beide eines gemeinsam: Geändert hätten die Maßnahmen an der Tat des volljährigen und zuvor unbescholtenen, mutmaßlichen Einzeltäters wohl nichts.