Das Überwachungspaket soll in Teilen gekippt werden – zumindest ist das der Wunsch von Neos und SPÖ, die die Gesetzesmaßnahmen, die vergangenes Jahr von der türkis-blauen Regierung verabschiedet wurden, mit einer Beschwerde vor den Verfassungsgerichtshof gebracht haben.

Am Dienstag wurde dort die Verhandlung eröffnet. Thematisiert wurden zwei Punkte in dem Maßnahmenpaket: die verstärkte Überwachung auf Autobahnen und der Bundestrojaner. In ersterem Fall sollen Kennzeichen auf der Autobahn erfasst und überprüft werden. Diese werden zwei Wochen lang gespeichert.

Neben dem Abgleich kommen Informationen zu Typ, Marke und Farbe sowie zum Lenker hinzu, die im Fall eines Treffers erfasst werden. Bei dem Bundestrojaner handelt es sich hingegen um eine staatliche Spionagesoftware, die es ermöglichen soll, die Kommunikation in Messenger-Diensten zu lesen. Wie im Lauf der Verhandlung bekannt wurde, hat die Regierung noch keinen Bundestrojaner angekauft. Er soll ab 2020 zum Einsatz kommen.

Unverhältnismäßig

Neos und SPÖ beanstanden, dass beide Maßnahmen unverhältnismäßig seien. "Sie haben das Potenzial, nicht nur strukturell anlassbezogen, sondern aufgrund der Mächtigkeit der Mittel für eine flächendeckende, anlasslose Überwachung – Stichwort Big Data – genutzt zu werden", sagte Michael Rohregger, Anwalt des Neos-Abgeordneten Nikolaus Scherak.

Laut Walter Grosinger, Leiter der Gruppe Legistik und Recht im Innenministerium, sei die Kfz-Überwachung nicht verfassungswidrig. "Aus technischer Sicht ist geplant, dass das Erkennungssystem ein Gesamtübersichtsbild erstellt und dieses, sofern es einen Treffer gibt, der Polizei zur Verfügung gestellt wird." Wie sichergestellt wird, dass nur der Lenker und keine weiteren Personen erkannt werden, sei noch unklar. Im Fall der Section-Control-Anlagen der Asfinag sei es aktuell – und auch in nächster Zeit – technisch gar nicht möglich, die Daten an Behörden zu übermitteln.

Die Verfassungsrichter wollten in dem Zusammenhang vor allem wissen, inwiefern die Daten und Informationen gespeichert und genutzt werden. Thematisiert wurde auch eine mögliche Gesichtserkennung von Personen. Diese ist laut Grosinger "derzeit einfach nicht möglich". Einer der Richter merkte daraufhin an, dass es bei der Verhandlung nicht um die technischen Voraussetzungen gehe. "Es geht nicht darum, was Sie tatsächlich tun, sondern darum, wozu Sie dieses Gesetz ermächtigt."

Autodiebstahl als Hauptgrund

Rohregger kritisierte während der Verhandlung, dass die Bundesregierung die Kennzeichenerfassung vorwiegend mit der Aufklärung von Autodiebstählen begründet – ein Delikt, das mit "nur sechs Monaten" Freiheitsstrafe geahndet werde. Gerade die Vorratsdatenspeicherung, die der Europäische Gerichtshof 2014 gekippt hatte, wurde damals aufgelöst, weil es sich um eine unverhältnismäßige Maßnahme handelte.

Im zweiten Teil der Verhandlung wurde der Bundestrojaner behandelt. Problematisch ist dabei aus Sicht von Neos und SPÖ, dass nicht nur Telekomdaten, sondern sämtliche Inhalte auf einem Gerät überwacht werden sollen. Ebenso offen ist die Frage, ob ein kontaminiertes System als Beweismittel verwendet werden kann – um einen Bundestrojaner zu installieren, muss nämlich gezielt eine Sicherheitslücke ausgenutzt werden, da verschlüsselte Dienste darauf ausgelegt sind, das Auslesen von Nachrichten für Dritte zu verhindern. Auch fragwürdig ist laut den Antragstellern, dass das Überwachungspaket das Eindringen in Wohnungen und das Hacken von IT-Systemen für Behörden legal macht. Die Bundesregierung erwiderte darauf, dass eine Ferninstallation nur möglich wäre, wenn das Gerät der Zielperson eindeutig identifizierbar ist.

Der Bundestrojaner soll bei Verbrechen mit einer Strafobergrenze von mehr als zehn Jahren sowie bei einem Verdacht auf terroristische Straftaten oder bei Straftaten gegen Leib und Leben oder gegen die sexuelle Integrität mit einer Strafobergrenze von mehr als fünf Jahren eingesetzt werden. Problematisch sei aber, dass auch Bekannte einer verdächtigen Person betroffen sein könnten – etwa Kontakte auf dem Smartphone.

Debatte um Hausrecht

Anwalt Rohregger kritisierte das heimliche Eindringen in Wohnungen im Fall einer physischen Installation. Es sei dabei zulässig, die Sicherheitsvorkehrungen zu überwinden. "Behörden sind also ermächtigt, heimlich in Wohnungen einzudringen, Alarmanlagen und Co zu umgehen, heimlich das Gerät in Betrieb zu nehmen, heimlich Software und Hardware zu ändern und dann heimlich zu gehen." Über Verpflichtungen wie das Hausrecht sage das Gesetz nichts. "Der Betroffene habe normalerweise das Recht, anwesend zu sein, müsse im Vorfeld informiert werden und könne das Gesuchte herausgeben. Von solchen Möglichkeiten steht da nichts."

Die Bundesregierung argumentierte, dass das Eindringen keine Hausdurchsuchung sei, womit es keinen Verstoß gegen das Hausrecht gebe. Die Richter wollen daraufhin wissen, ob ein Gerät bereits vor dem Eindringen lokalisiert werden kann oder gesucht werden muss – es muss gesucht werden, antworteten die IT-Experten. Christian Pilnacek, Sektionschef im Justizministerium, sagte, dass ja kein Eindringen in eine Wohnung notwendig sei. "Wenn ich dasselbe iPhone mit derselben Farbe habe, kann ich es auch im Lokal austauschen, um die Software zu installieren."

Schutzpflicht

Auch bei einer Remote-Installation gebe es Probleme, sagt Rohregger. Um eine solche zu ermöglichen, müsste die Regierung eine Sicherheitslücke nutzen. Das widerspreche den Schutzpflichten des Staates. Aus Sicht der Juristin Stefanie Dörnhöfer vom Justizministerium sind diese nicht verletzt, da der Staat nicht dafür sorgen müsse, dass elektronische Sicherheit gegeben ist, ansonsten müssten ja etwa E-Mails verboten werden, so die Argumentation. Rohregger erwiderte, dass sehr wohl eine Schutzpflicht bestehe, die die Regierung zu erfüllen hat – nicht indem sie bestimmte Dienste verbietet, sondern indem sie die Bevölkerung vor Nachteilen durch Sicherheitslücken schützt.

Michael Sonntag, Security-Experte der Antragsteller, erklärte, dass solche Lücken von Spezialisten gesucht würden. "Sie sind sehr teuer, und es ist unklar, ob sie überhaupt funktionieren." Oft ist eine Sicherheitslücke nur wenige Tage verfügbar, bis der Hersteller ein Update liefert. Zudem müsse sie, wie ein Experte der Regierung erklärt, auf das jeweilige Gerät maßgeschneidert sein. In der Praxis bedeute das, dass sie bei Unternehmen erworben werden muss. Wie das Innenministerium argumentiert, müsse das nicht rechtswidrig sein – es gibt auch einen legalen Markt für Sicherheitslücken.

Bundestrojaner wird geprüft

Ein Richter wollte wissen, wie geprüft wird, ob ein Unternehmen vertrauenswürdig ist. "Wird der Quellcode offengelegt?" Es könne ja auch sein, dass das Programm nach Hause telefoniert. Von der Bundesregierung heißt es, dass bei Audits österreichische Firmen präferiert werden. Üblicherweise wird in einem Testsystem die Software geprüft. Unwahrscheinlich sei, dass der Quellcode offengelegt wird – schließlich handle es sich bei dem Produkt um das Herzstück des Unternehmens.

Ein Regierungsvertreter erklärte, dass nicht sämtliche Daten überwacht werden müssten. Wie bei einem Antivirenprogramm sei zwar der Zugriff auf alle Daten notwendig, dennoch könnten nachträglich Schranken errichtet werden, um nur bestimmte Inhalte abzufangen. "Im ersten Schritt ist der Zugriff auf alle Nachrichten vorhanden", erklärte der Vertreter. Später ließen sich auch Filter einstellen, etwa dass nur die Kommunikation mit bestimmten Personen ausgelesen wird, wobei auch die Kosten zu bedenken seien.

Terrorismus als Grund

Für den Bundestrojaner argumentierte Pilnacek mit Beispielen aus der Praxis – etwa dem Fall einer Person, die der Terrororganisation "Islamischer Staat" (IS) beitreten wollte, und jemandem, der Kinderpornografie verbreitete. In beiden Fällen sei eine weitere Überwachung nicht möglich gewesen, da die Verdächtigen auf verschlüsselte Dienste ausgewichen seien.

Die Richter wollten wissen, nach welchen Kriterien die vorausgesetzten Tatbestände für den Bundestrojaner aufgenommen wurden. "Warum haben wir so strikte Voraussetzungen bei verschlüsselten Nachrichten?", fragte Pilnacek. Es sei unverständlich, warum die Überwachung verschlüsselter Nachrichten einen stärkeren Eingriff darstelle als jene der weiteren Überwachung von Telekommunikation. Ein Richter sagte, dass es wohl einen Unterschied bei der Verletzung der Privatsphäre gebe: Wenn man in ein verschlossenes Behältnis eindringe und etwas stehle, sei das eine schwerere Tat, als wenn man etwas aus einem offenen entwende.

Ein Urteil wurde am Dienstag noch nicht gesprochen. Die Richter kündigten an, noch bekanntzugeben, ob eine weitere Verhandlung stattfinden wird. (Muzayen Al-Youssef, 25.6.2019)