Seit Anfang Juli befindet sich das von der ÖVP vorangetriebene “Sicherheitspaket” in einer sechswöchigen Begutachtungsphase. Konkret geht es hier um Vorschläge für Gesetzesänderungen und Novellen zum Sicherheitspolizeigesetz, zur Strafprozessordnung und auch um Änderungen des Telekommunikationsgesetzes.

Sicherheitspaket in der Kritik

Der Lärm um das „Überwachungspaket“, wie es nun schon des Öfteren genannt wurde, nimmt seitdem stetig zu. Erst letzte Woche gab der ehemalige Direktor der NSA, William Binney, in einem Wiener Kaffeehaus eine Pressekonferenz und warnte vor den Auswirkungen. „Die Grundfeste einer Demokratie können auf diese Art zerstört werden“, meinte Binney.

Ein offener Brief, den Vertreter der Internetwirtschaft wie der Verein Austrian Startups und der WKO Fachverband UBIT zusammen unterzeichneten, fordern ebenfalls ein Umdenken der Abgeordneten im Nationalrat, sie sehen die Cybersicherheit in Gefahr und damit auch die österreichische Startup-Szene.

Die kritischen Punkte des Sicherheitspakets

Worum geht es eigentlich konkret beim Sicherheitspaket? Der Brutkasten hat einen Blick auf die weitreichendsten Änderungen und den Gesetzestextvorschlag geworfen und zusammengefasst: (Alle Links zu den Gesetzesentwürfen und Änderungen am Ende des Artikels.)

Überwachung von WhatsApp&Co

Diese Änderung des aktuell geltenden Gesetzes soll die Überwachung von internetbasierter Kommunikation ermöglichen. Personen, Unternehmen oder Vereine können – sofern ein Verdacht besteht – hier betroffen sein. Denn in §135a Abs 1 (3) der StPO lautet es wie folgt:

”Soweit dies zur Durchführung der Ermittlungsmaßnahme unumgänglich ist, ist es zulässig, in eine bestimmte Wohnung oder in andere durch das Hausrecht geschützte Räume einzudringen, Behältnisse zu durchsuchen und spezifische Sicherheitsvorkehrungen zu überwinden, um die Installation des Programms zur Überwachung verschlüsselter Nachrichten in dem Computersystem zu ermöglichen.”

Die Installation per “remote hacking”, also der Zugriff auf Smartphone&Co, ist somit anscheinend überdies zulässig. In § 135a (2) heißt es außerdem, dass eine Überwachung verschlüsselter Nachrichten nur zulässig ist, wenn das Programm “nach Beendigung der Ermittlungsmaßnahme funktionsunfähig ist oder ohne dauerhafte Schädigung oder Beeinträchtigung des Computersystems, in dem es installiert wurde, und der in ihm gespeicherten Daten entfernt werden kann”. Kritische Stimmen bezweifeln, dass dies technisch überhaupt umsetzbar ist.

Ebenfalls bezweifelt wird die Machbarkeit der Überwachung von WhatsApp und anderen Messengerdiensten wie zB Facebook, die von Justizminister Brandstetter gefordert wird. Eine Erklärung, wie dies technisch umsetzbar sein sollte (Installation einer Software direkt auf dem Smartphone auf Verdacht?), gab er in den betreffenden Medienberichten nicht ab.

Ein Gesetzesvorschlag mit solchem Inhalt – umgangssprachlich bekannt als “Bundestrojaner” –  wurde laut dem Verein epicenter.works bereits im Jahr 2016 vom Justizministerium vorgelegt. Damals zog Justizminister Brandstetter nach lauter Kritik den Gesetzesvorschlag jedoch zurück. Der aktuelle Vorschlag, der sich in Begutachtung befindet, nimmt Teile hiervon wieder auf.

Überwachung im Auto

Ab sofort soll es im Paragraf § 136 StPO heißen: “Eine akustische Überwachung von Personen in Fahrzeugen ist überdies unter den Voraussetzungen des § 135 Abs. 3 StPO zulässig.“ Spezifiziert wird nicht, ob dies auch die Installation von Überwachungsprogrammen in smarten Autosystemen bedeutet. Jedenfalls soll ermöglicht werden, Gespräche im Auto abzuhören. Laut epicenter.works soll dies auch bei Verdacht von “niederschwelligeren Delikten” zum Einsatz kommen. Außerdem soll “mittels Einsatz von bildverarbeitenden technischen Einrichtungen” (§ 54 Abs. 4b, SPG) auf österreichischen Straßen von Autos der Lenker selbst, Kennzeichen, Marke, Typ und Farbe erfasst werden. Im selben Paragrafen heißt es: “Soweit sie nicht zur weiteren Verfolgung aufgrund eines Verdachts gerichtlich strafbarer Handlungen erforderlich sind, sind sie nach längstens 48 Stunden zu löschen.”

Netzsperren

Damit soll es Providern (Unternehmen, die Kunden Zugang zum Internet anbieten) ermöglicht werden, Internetseiten (Bei Verdacht auf Computerkriminalität, pornografische Inhalte, Urheberrechtsverletzungen oder gewaltverherrlichende Darstellungen) auf eigenes Gutdünken zu sperren. Laut dem Verein epicenter.works war dies nicht im Arbeitsprogramm der Bundesregierung vorgesehen und ging sodann ohne öffentliche Debatte in Begutachtung. Das bedeute laut dem Verein, dass es “dem Provider überlassen wäre, ob, wann, wie, warum und wie lange solche Inhalte zensiert werden. Für betroffene Inhalteanbieter und Nutzer sind keinerlei Rechtsschutz oder Beschwerdemöglichkeiten vorgesehen”. Angemerkt wird auch, dass der Vorschlag in dieser Art — die Sperre basierend auf Entscheidung der Provider — mit der EU-Verordnung der Netzneutralität mit großer Wahrscheinlichkeit nicht vereinbar ist.

Videoüberwachung

Für die Überwachung des öffentlichen Raums soll der Zugriff auf Video- und Tonbandüberwachung von öffentlichen und privaten Einrichtungen mit öffentlichem Versorgungsauftrag ermöglicht werden, sowie “die Möglichkeit des Echtzeitstreaming” umgesetzt werden (§53 Abs. 5, SPG) Weiter heißt es im § 93a, SPG: “‘Für Österreich’ ist unter dem Punkt „Videoüberwachung“ festgehalten, dass für öffentliche Betreiber eine Speicherverpflichtung sowie eine Mindestspeicherdauer normiert werden soll und dass für Kooperationen mit Unternehmen im Nahebereich der öffentlichen Hand (z.B. ÖBB, ASFINAG, regionale Verkehrsbetriebe) eine entsprechende Regelung gefunden werden soll”. Die Vorratsdatenspeicherung kann auf bis zu 2 Wochen ausgeweitet werden. Davon ist jeder betroffen, der im öffentlichen Raum unterwegs ist. Dabei ist es zweifelhaft, ob eine Videoüberwachung tatsächlich ein geeignetes Hilfsmittel zur Prävention von Straftaten ist. (Z.B.: Öffentliche Räume mit flächendeckender Videoüberwachung waren bereits Ziel terroristischer Aktivitäten oder von Kriminalität- trotz Videoüberwachung.)

Datenspeicherung

Zum „Ausbau der technischen Ermittlungsmöglichkeiten“ soll außerdem “Quick freeze” — die “Anlassspeicherung von Telekommunikationsdaten“ — umgesetzt werden, ein Gesetz, das schon mehrmals von Gerichten in Europa wieder aufgehoben wurde. Damit wird es ermöglicht, Daten längerfristig abzuspeichern. Kritisiert wird dies etwa von Arjen Kamphuis, dem Datenexperten aus den Niederlanden. Kamphuis meint: ”Wenn es nicht einmal die NSA schafft, Datenbanken zu beschützten, glauben Sie wirklich, dass es der österreichische Staat schafft?” Eine Einladung für Hacker, die auf die Beschaffung von Daten aus sind. Die einzige Vorkehrung, die man treffen könnte, um Hackern gar keine Chance zu geben, kennt Kamphuis nur zu gut: „Man darf solche Datenansammlungen gar nicht erst einmal aufbauen!”

Keine Anonymität bei Prepaid-Karten

Während man bisher Prepaid-Karten einfach beim Diskonter kaufen und benutzen und damit eine gewisse Anonymität beibehalten konnte, soll dies durch eine Änderung im Telekommunikationsgesetz in § 97 abgeschafft werden: “Sicherheits- und kriminalpolizeiliche Zwecke erfordern es, dass Personen, die mit einem Anbieter einen Vertrag über die Bereitstellung eines Kommunikationsdienstes geschlossen haben, wovon auch der Erwerb von Prepaid-Karten bzw. entsprechendem Guthaben umfasst ist, im Anlassfall identifizierbar sind.” Daher sei künftig die Registrierung der Stammdaten des Käufers erforderlich. Kriminelle können dies einfach umgehen, indem sie Prepaid-Karten andernorts erwerben. Bürger, die auf ihre Privatsphäre und Anonymität wert legen, wird diese Möglichkeit der sicheren Kommunikation genommen.

Eigene Meinung auf Website des Parlaments veröffentlichen

Als Bürger kann man seine Meinung zum geplanten Sicherheitspaket abgeben. Die Statements werden dann auf der Website des Parlaments veröffentlicht. Über 8.500 Bürger haben dies via überwachungspaket.at bereits gemacht. Die Seite wurde von epicenter.works ins Leben gerufen, ein Verein, der unter anderem für Datenschutz eintritt. Dort finden sich auch Materialien und Informationen zum geplanten Sicherheitspaket.

Bis 21. August kann man noch Stellungnahmen einreichen, solange ist der Gesetzesentwurf noch in Begutachtung. Aktuell kann es allerdings zu Verzögerungen der Veröffentlichung der Statements auf der Parlamentsseite kommen, heißt es in einer Aussendung von Ende Juli: „Aufgrund der großen Anzahl an Stellungnahmen zu den genannten Ministerialentwürfen, aber auch wegen der laufenden Übersiedlung in die Ausweichquartiere auf den Heldenplatz können diese jedoch nur nach und nach bearbeitet werden.“

Weiterführende Links: überwachungspaket.at, epicenter.works, Ministerialentwurf – Vorblatt und Wirkungsorientierte Folgenabschätzung (zur StPO, ua.), Ministerialentwurf – Gesetzestext, Ministerialentwurf – Vorblatt und Wirkungsorientierte Folgenabschätzung (zur SPg, ua.), Ministerialentwurf – Erläuterungen, Ministerialentwurf – Gesetzestext