Der Verfassungsgerichtshof hat die verdeckte Identifizierung von Lenkern, die Verarbeitung von Daten aus Section-Control-Anlagen sowie den Bundestrojaner, also die staatliche Ermächtigung zu Hacking, aufgehoben. Nicht angefochten und daher vom VfGH nicht einmal geprüft wurde die neu geschaffene Befugnis zur effektiv bundesweiten Videoüberwachung.

Der VfGH hat mehrere umstrittene Teile des Sicherheitspakets nicht angerührt.
Foto: APA/Hans Punz

Die Sicherheitspolizei ist ermächtigt, im nicht näher definierten Einzelfall Videoüberwachungsdaten von allen Rechtsträgern des öffentlichen Bereichs, also auch von vielen Krankenhäusern, und von Unternehmen mit öffentlichem Versorgungsauftrag wie ÖBB, Wiener Linien, Flughäfen und Asfinag zu verlangen – allenfalls auch als Echtzeitstreaming (§ 53 Abs. 5 SPG). Wenn tausende Überwachungskameras per Livestream ins Innenministerium senden, wird dort bald ein Rechenzentrum eingesetzt werden, um mit Gesichtserkennung Verdächtige bundesweit zu lokalisieren oder durch quasikünstliche Intelligenz "verdächtiges Verhalten" zu ermitteln. Eine vage Terrorwarnung eines ausländischen Geheimdienstes könnte dafür ausreichen.

Scheingefecht Bundestrojaner

Auch die Aufhebung des Bundestrojaners geht an den zukünftigen Gefahren für die Privatsphäre im Internet vorbei. Die meisten digitalen Spuren hinterlassen wir nicht mehr am eigenen Endgerät, sondern in der Cloud – bei Webmail-Anbietern, Suchmaschinen oder Social-Media-Betreibern.

Diese Daten können durch die demnächst verabschiedete E-Evidence-Verordnung der EU von Strafverfolgungsbehörden aus allen Mitgliedstaaten binnen sechs Stunden herausverlangt werden. Weigert sich der Cloud-Anbieter, drohen ihm Geldbußen von bis zu zwei Prozent des weltweiten Jahresumsatzes. Eine Anfechtung einer Anordnung zur Datenherausgabe wird der Anbieter nicht bei den Gerichten seines Sitzstaates vornehmen können, sondern nur in jenem Staat, aus dem die Strafverfolgungsbehörde stammt.

Regelmäßig Überfordert

Auch österreichische Telekom-Anbieter sind von der neuen EU-Verordnung erfasst und werden Kundendaten direkt an ausländische Behörden herausgeben müssen. Binnen sechs Stunden zu ermitteln, ob es sich z. B. um eine echte Anordnung aus Polen handelt, wird auch großen Anbietern schwerfallen. Prüft der Anbieter zu langsam, droht ihm eine Geldbuße nach der E-Evidence-Verordnung, prüft er zu ungenau, eine Geldbuße nach der DSGVO.

In Zeiten der rasanten technischen Entwicklung ist der österreichische und der europäische Gesetzgeber leider regelmäßig damit überfordert, sachgerechte Lösungen zu finden. Da die Rechtsprechung legistische Fehler erst im Nachhinein und oft nur teilweise beseitigen kann, wäre die Politik gut beraten, weniger, aber dafür bessere Gesetze zur Regelung moderner Technologien zu erlassen. (Lukas Feiler, 17.12.2019)