Nach einem jahrelangen politischen Tauziehen wurden nun weitreichende Überwachungsmaßnahmen beschlossen. Das Überwachungspaket passierte vergangene Woche den Nationalrat, am Donnerstag gelangt es in den Bundesrat, dann folgt die Unterschrift des Bundespräsidenten.

Quick Freeze ab Juni

Der Großteil der Maßnahmen tritt bereits im Juni 2018 in Kraft. Ab dann dürfen beispielsweise Briefe von Verdächtigen geöffnet werden. Auch das sogenannte Einfrieren von Telekommunikationsdaten darf ab Juni verlangt werden. Staatsanwälte dürfen dann anordnen, dass Telekomunternehmen Daten bestimmter Nutzer nicht löschen, weil gegen diese ein Verdacht besteht. Nach einer richterlichen Bewilligung kann der Zugriff auf diese Informationen erfolgen, sie dürfen maximal ein Jahr gespeichert werden.

Der Verband der Internet Service Provider (ISPA) kritisiert den engen Zeitrahmen und moniert Unklarheiten im Gesetz. "Eine Umsetzung innerhalb so kurzer Zeit wäre für die Provider auch dann extrem schwierig, wenn im Gesetzestext wirklich alles auf Punkt und Beistrich geregelt wäre. Bei den vielen offenen Fragen und Unklarheiten, die wir sehen, ist es jedoch beinahe ein Ding der Unmöglichkeit", sagt ISPA-Generalsekretär Maximilian Schubert zum STANDARD. Man wolle nun mit den Ministerien ins Gespräch kommen, um womöglich eine Fristverlängerung und einen "unbedingt notwendigen Kostenersatz" zu besprechen. In ihren parlamentarischen Stellungnahmen sahen das Mobilfunker ähnlich.

Mehr Überwachung auf der Autobahn

Ab Juni 2018 beginnt außerdem ein Ausbau der Videoüberwachung auf Autobahnen. Das Innenministerium, das Verkehrsministerium sowie die Asfinag begeben sich nun auf die Suche nach "neuralgischen Punkten", an denen Autofahrer überwacht werden sollen. Bis Ende Dezember 2018 ist dem Nationalrat darüber Bericht zu erstatten, dann folgt die Umsetzung. Bereits ab Juni werden Daten von bestehenden Vorrichtungen zur Kennzeichenerfassung bis zu zwei Wochen lang gespeichert. Zudem können nun auch Bilder des Fahrzeuglenkers aufgehoben werden, das gilt ab dem "Tag der Kundmachung" des Gesetzes.

Momentan ist die sogenannte Section Control der Asfinag bei fünf Stellen im Einsatz: Auf der A2 zwischen Krumbuch und Grimmenstein in Richtung Wien, am Ehrentalerbergtunnel; auf der A7 im Tunnel Bindermichl, auf der A9 im Plabutschtunnel und auf der A22 im Tunnel Kaisermühlen. Die Polizei hat auf diesem Weg Zugriff auf Fotos zu Kennzeichen von Verkehrsteilnehmern, die zu schnell gefahren sind. "Sollte der Gesetzgeber hier eine umfassendere und längere Speicherung von Daten anordnen, werden wir als Asfinag dem nachkommen", sagt die Asfinag dem STANDARD. Das gilt auch für Kameras zur Verkehrsbeobachtung, bei denen bislang nicht aufgezeichnet wird. Die Identifikation von neuralgischen Stellen liegt laut Asfinag aber bei den Sicherheitsbehörden.

Wertkarten und Videoüberwachung

Ab 1. Jänner 2019 beginnt die Ausweispflicht beim Kauf von Handy-Wertkarten. Das gilt auch für Bestandskunden, die sich beim Erwerb neuer Guthaben registrieren müssen.

Eine andere Maßnahme greift ab März 2019: Dann müssen Flughäfen, Bahnhöfe und öffentliche Stellen Videoaufnahmen an Ermittler weitergeben.

Die Suche nach dem Bundestrojaner

Für den am kontroversesten diskutierten Teil des Überwachungspakets gibt es hingegen noch eine Vorlaufzeit. Der Bundestrojaner soll erst ab 1. April 2020 eingesetzt werden. Das Innenministerium muss sich nun also auf die Suche nach einer entsprechenden Software begeben, die Sicherheitslücken ausnutzt, um Kommunikationsvorgänge am Smartphone von Verdächtigen auszuspionieren. Als aussichtsreiche Kandidaten für den Verkauf eines Bundestrojaner-Programms an Österreich gelten zwei deutsche Firmen: Digitask und Finfisher.

Digitask oder Finfisher

Digitask gab bereits 2011 an, eine Geschäftsbeziehung mit dem österreichischen Innenministerium zu besitzen. Das Unternehmen entwickelte für deutsche Behörden bereits Bundestrojaner, eine ihrer Software-Lösungen wurde 2011 vom Chaos Computer Club auseinandergenommen – und wegen grober Sicherheitsmängel scharf kritisiert. Das deutsche Bundeskriminalamt berät sich mit anderen Behörden, etwa aus der Schweiz oder Belgien, über den Einsatz von Digitask-Software. Österreich würde hier vermutlich dazustoßen.

Eine Alternative wäre Finfisher, das derzeit vom Bundeskriminalamt in Deutschland genutzt wird. Die vom gleichnamigen deutsch-britischen Unternehmen hergestellte Überwachungssoftware wurde bereits 2013 von Deutschland erworben, musste dann aber angepasst werden. Finfisher wurde in der Vergangenheit mehrfach für den Verkauf an despotische Regime, etwa in Bahrain, kritisiert.

Eine unwahrscheinliche Variante ist die Eigenentwicklung eines Trojaners. Daran scheiterte zuletzt Deutschland, das sechs Millionen Euro in die Programmierung eines eigenen Spionageprogramms gepumpt hat.

Das Innenministerium reagierte auf mehrere Anfragen des STANDARD nicht.

Beschwerdemöglichkeiten

Für den Widerstand gegen das Überwachungspaket gibt es nun mehrere Möglichkeiten. So könnte die SPÖ – im Nationalrat mit Neos oder Liste Pilz, im Bundesrat alleine – eine sogenannte Drittelbeschwerde einbringen. Dann würden Teile des Gesetzes direkt vor dem Verfassungsgerichtshof landen. Eine Nachfrage bei der SPÖ blieb unbeantwortet.

Außerdem können nach dem Inkrafttreten der Maßnahmen Betroffene gegen einzelne Regelungen klagen. So wurde beispielsweise die Vorratsdatenspeicherung zu Fall gebracht. Entscheidend beteiligt waren die Datenschützer von AK Vorrat, die nun epicenter.works heißen. Deren Sprecher Werner Reiter sagt auf Anfrage des STANDARD, dass die Regierung zwar in einigen Punkten nachgebessert habe, das Überwachungspaket in Summe aber eine "tickende Zeitbombe" für unsere Demokratie sei. "Wir gehen davon aus, dass Beschwerden beim Verfassungsgerichtshof sie entschärfen werden", sagt Reiter. Bis dahin könnten allerdings einige Jahre vergehen. (Fabian Schmid, 26.4.2018)