Wenn es um die Weitergabe sensibler Informationen an einen Untersuchungsausschuss geht, schlagen Österreichs Ministerien Alarm – zumindest die ÖVP-geführten. Da verteidigt man geschwärzte Akten und misstraut demokratisch gewählten Abgeordneten. Geht es aber darum, die Rechte der Bürger gegenüber Schlampereien der Behörden zu stärken, sind die Regierenden auffallend still – auch die SPÖ-Minister. Da sollen Betroffene nicht einmal verständigt werden, wenn staatlichen Stellen sensible Informationen abhanden kommen.

Wie profil vergangene Woche enthüllte, sind dem Justizministerium bereits 2005 die Daten tausender Häftlinge abhandengekommen – ohne dass diese jemals davon erfahren hätten (profil 21/08). Die Lücken im bestehenden Datenschutzgesetz sind spätestens jetzt manifest.

Und die geplante Novelle dürfte diese keineswegs schließen. Im Gegenteil: Die Rechte für Videoüberwachung etwa werden ausgeweitet; in Zukunft kann jeder Österreicher die Hauszufahrt des Nachbarn filmen, jeder Lokalbesitzer die Gäste seines Cafés – wenn es ihm vielleicht irgendwann einmal bei der gerichtlichen Durchsetzung seiner Rechte helfen könnte.

Umgekehrt ist noch immer unklar, welche Rechte der Einzelne gegenüber öffentlichen Stellen hat, wenn private Daten in falsche Hände gelangen und sich vielleicht unkontrollierbar übers Internet verbreiten – weltweit und auf alle Zeit. So sind Behörden auch im neuen Gesetz nicht verpflichtet, Betroffene über den Verlust ihrer Daten zu informieren. Und auch amtliche Kontrollinstanzen wie die Datenschutzkommission bleiben mit dem neuen Gesetz zahnlos. Im Fall des Falles hat der Betroffene kaum eine Möglichkeit, sich gegen ein Versagen des Staates zur Wehr zu setzten. Hans Zeger, Obmann der ARGE Daten, wirft der Regierung im Interview vor, keine Sensibilität für diese Probleme zu haben, ja mehr noch: Der gläserne Bürger sei politisch erwünscht.

profil: Sie haben das neue Datenschutzgesetz schon im Vorfeld heftig kritisiert. Warum?

Zeger: Man hat leider aus den Erfahrungen der letzten acht Jahre seit Einführung des Datenschutzgesetzes nichts gelernt. Man will Dinge, die bisher nicht funktionierten, nicht verbessern. Wie zum Beispiel die Durchsetzbarkeit von Entscheidungen der Datenschutzkommission; wie das Informationsrecht für Betroffene, damit man erfährt, wenn Daten verloren gehen oder eventuell widerrechtlich kopiert wurden und in falsche Hände gelangten; wie ein Verbandsklagerecht, damit nicht jeder einzeln klagen muss, sondern eine Einrichtung wie die ARGE Daten oder der Verein für Konsumenteninformation tätig werden kann.

profil: Was kann ich tun, wenn ich das Gefühl habe, dass auf meine Daten unbefugt zugegriffen wurde?

Zeger: Wenn einer Behörde Daten abhandenkommen, kann man sich theoretisch an die Datenschutzkommission wenden. Die bleibt aber auch mit dem neuen Gesetz leider nur eine Art Salzamt. Die Datenschutzkommission stellt bestenfalls fest, dass eine Behörde das Datenschutzgesetz verletzt hat, sie kann aber ihre Entscheidungen nicht durchsetzen. Und das, obwohl die EU für jedes Land eine Behörde vorschreibt, die tatsächliche Kontroll- und Durchsetzungsmöglichkeiten hat.

profil: Aber mit dem Datenschutzgesetz sollte der Staat seine Bürger absichern.

Zeger: Es zeigt sich, dass die Regierenden kein Interesse am effektiven Schutz ihrer Bürger haben. Es könnte sich ja herausstellen, dass ihre Behörden und Beamten Dinge tun, die nicht datenschutzkonform sind. Sogar die Gebührenbehörde des ORF hat mehr Rechte, wenn sie ein unangemeldetes Kofferradio aufspüren will. Chancen hat man nur bei Gericht, wenn die Daten, die verloren gingen, bloßstellenden Charakter haben: also Daten über eine etwaige Verurteilung, wie zuletzt in der Justizaffäre um abhandengekommene Häftlingsdaten. Hier kann Schadenersatz für die Bloßstellung zugesprochen werden.

profil: Dazu muss man aber erst wissen, dass die eigenen Daten in falsche Hände gerieten.

Zeger: Das ist das Hauptproblem. Auch das neue Datenschutzgesetz sieht keine Informationspflicht der Behörden vor, wenn ihnen ein dramatischer Fauxpas unterlaufen ist. Und jeder Einzelne muss selbst klagen. Jemand mit einer CD über tausende Daten sitzt damit am längeren Ast. Heute scheinen immer mehr Informationen über jeden Einzelnen im Internet auf. Und die derzeitigen österreichischen Bestimmungen sagen entgegen dem EU-Recht: Was einmal öffentlich über jemanden verfügbar ist, darf jeder andere für seine eigenen Interessen verwerten. Das ist viel zu weit reichend. Heute könnte jemand eine höhere Versicherungsprämie für sein Auto bezahlen müssen, nur weil die Versicherung im Internet herausgefunden hat, dass er gern Computerspiele mit Autorennen spielt, das wäre formal legal, ist aber offensichtlich diskriminierend. Möglich ist auch, dass jemand einen Job nicht bekommt, weil jemand über ihn im Netz geschrieben hat, dass er unzuverlässig war. Diese Auswüchse muss der Gesetzgeber schon in den Ansätzen abstellen, tut er aber mit dem jetzigen Entwurf nicht.

profil: Aber wie soll man beweisen, dass man aufgrund solcher Informationen diskriminiert wurde?

Zeger: Das ist sicher schwierig. Aber es würde Behörden, Arbeitgeber und andere Unternehmen abschrecken, derlei zu versuchen, wenn klargestellt wäre, dass es sich dabei um einen widerrechtlichen Tatbestand handelt. Vor dem Anti-Diskriminierungs-Gesetz konnte man beispielsweise Frauen oder Menschen anderer Hautfarbe auch einfacher als heute benachteiligen und argumentieren: Warum sollen wir das nicht machen? Es ist ja nicht verboten.

profil: Auf der einen Seite will der Staat immer mehr Daten sammeln, auf der anderen Seite übernimmt er nur in geringem Bereich die Verantwortung, wenn diese in falsche Hände geraten. Sind die Sicherheitsvorkehrungen der Behörden zum Schutz der von ihnen verwalteten Daten derzeit ausreichend, um Missbrauch durch einzelne Beamte zu verhindern?

Zeger: Das ist ja das Kuriose. Der Bürger wird mehr und mehr überwacht, um Straftaten zu verhindern. Hier sagt man, die Abschreckung durch Strafen reiche nicht aus. Der Beamte aber, der die Verantwortung für Daten des Bürgers hat, wird weniger kontrolliert. Hier sagt man, die Androhung einer Strafe bei Missbrauch würde schon ausreichend abschrecken.

profil: Muss man den Beamten misstrauen?

Zeger: Nein, man soll hier nicht per se etwas unterstellen. Aber früher musste ein Beamter beispielsweise überlegen, welche zwölf Zettel er zu einer Bauverhandlung mitnimmt. Der ganze Akt wäre zu groß gewesen. Heute denkt er sich: Wer weiß, welche Teile ich brauche – und speichert sich die ganze Aktensammlung auf einen USB-Stick. Die Gefahr, dass etwas abhandenkommt, ist damit ungleich größer geworden.

profil: Kann der Österreicher überprüfen, was welche Behörde über ihn gespeichert hat?

Zeger: Theoretisch ja, praktisch nein. Jeder darf einmal pro Jahr bei einer Behörde anfragen, welche Daten über ihn gespeichert sind. Wenn die aber – wie oft vorgekommen – unvollständige Auskünfte erteilt, kann man nichts Wirksames dagegen tun. Das Datenschutzgesetz bleibt auch hier mit der Novelle lückenhaft.

profil: Mit dem elektronischen Gesundheitsakt plant die Regierung, die sensibelsten Patientendaten zentral zu verwerten. Würden diese dann sicherer verwaltet?

Zeger: Der elektronische Gesundheitsakt (ELGA) ist jedenfalls ein GAU. Ob Super-GAU oder nur einfacher, wird sich erst zeigen. Die Verantwortlichen haben offensichtlich überhaupt keine Ahnung, welche komplexen Probleme auf sie zukommen.

profil: Wer hat Zugriff auf diese Daten?

Zeger: Diese Akten werden nicht nur Ärzten zugänglich sein, sondern auch Sozialversicherungen, Privatversicherungen und den Spitalserhaltern wie Landesregierungsämtern oder dem Gesundheitsministerium. Wenn ich eine Lebens- oder Krankenversicherung abschließen will, wird die Versicherung meinen gesamten Gesundheitsakt auf etwaige Vorerkrankungen durchblättern wollen. Und die ärztliche Schweigepflicht führt sich ad absurdum, wenn sogar Landesbedienstete Zugriff auf meine Krankengeschichte haben werden.

profil: Lässt sich das technisch nicht gegen Missbrauch absichern?

Zeger: Grundsätzlich ja, wenn man das machen würde, wäre es aber nicht mehr praktikabel. Die bisherigen Systeme wie Melderegister, Strafregister, Datenbanken der Justiz, Sozialversicherungsdaten erlauben einen Zugriff auf alle Daten, sobald man mit seinem Passwort im System ist. Es gibt keine Prüfung, ob eine bestimmte Person auch tatsächlich auf Daten eines Bürgers zugreifen darf, das öffnet Missbrauch Tür und Tor. Gäbe es eine derartige detaillierte Zugriffskontrolle, bei der auch geprüft wird, warum man jetzt auf einen Akt zugreift, wäre der Aufwand so hoch, dass die Verwaltungsersparnis wieder weg wäre. Automatisierte Bürgerverwaltung lässt sich nur ohne Datenschutz der Bürger effizient organisieren. Die Aufhebung bestehender Datenschutzregeln fordert im Übrigen auch die ELGA-Machbarkeitsstudie.

profil: Was würde beispielsweise passieren, wenn ein Krankenpfleger ein paar tausend Patientendaten herunterlädt und einer Pharmafirma verkauft?

Zeger: Wenn nicht beweisbar ist, dass ihn die Firma dazu angestiftet hat, nicht viel. Der Krankenpfleger würde wohl verurteilt werden, für die Firma wäre das aber nur eine Verwaltungsübertretung mit einer Strafobergrenze von 18.890 Euro, und auch das nur im Wiederholungsfall. Gegenüber der Firma könnte jeder Geschädigte bestenfalls auf Unterlassung klagen. Aber wer tut sich das an? Welchen multinationalen Konzern schreckt das ab? Und: Vermutlich würde man nie draufkommen.

Hans Zeger, Obmann der ARGE Daten, der Österreichischen Gesellschaft für Datenschutz. Der Verein äußert sich immer wieder zu aktuellen Entwicklungen und Gesetzesvorhaben im Datenschutzbereich und vertritt auch Betroffene in gerichtlichen Verfahren. Seit 1996 ist der Magister der Mathematik und Doktor der Philosophie auch Mitglied des Datenschutzrates im Bundeskanzleramt.

Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten… (Datenschutzgesetz, Art. 1 § 1)

Das Läuten der Sturmglocke hatte sich Johann Maier anders vorgestellt. Allein saß er im SPÖ-Stützpunktzimmer des Parlaments und wartete. Über “Terror und Bürgerrechte – Die Zukunft des Datenschutzes” wollte er die Öffentlichkeit informieren. Doch kein einziger Journalist fand an jenem heißen Juli-Vormittag im Jahr 2005 den Weg ins Parlament. “Damals hat das Thema Vorratsdatenspeicherung fast niemanden interessiert”, schüttelt der rote Konsumentenschutzsprecher noch heute den Kopf.

Mittlerweile ist die Gesellschaft sensibler. Internet-Initiativen rufen zum Widerstand gegen die Kommissionspläne auf, Mails und Surfverhalten jedes Einzelnen auf Jahre hinaus zu speichern. Internet-Provider proben mit Verfassungsbeschwerden den Aufstand gegen die Herausgabepflicht von Daten an die Exekutive im Rahmen des neuen Sicherheitspolizeigesetzes. Spätestens als zuletzt die internen E-Mails eines ehemaligen Innenministers nicht vertraulich blieben, musste jedem Computer-User schlagartig klar sein, dass jeder Tastendruck heute irgendwann später öffentlich zugänglich sein könnte.

Doch wer vertritt neben kaufmännisch motivierten Telekomfirmen und selbst ernannten Internet-Revolutionären die Sorgen des Durchschnittsbürgers?

In Deutschland heißt der Datenschutzbeauftragte Peter Schaar. Der “Bundesbeauftragte für den Datenschutz und die Informationsfreiheit” wird vom Bundestag gewählt, nimmt eine unabhängige Sonderstellung ein, und ist nur dem Gesetz unterworfen. Der Autor eines preisgekrönten Bestsellers (“Das Ende der Privatsphäre: Der Weg in die Überwachungsgesellschaft”) wird von Medien im deutschen Sprachraum gern als Vordenker interviewt und wirft in Vorträgen die Fragen der Zukunft auf.

In Österreich ist alles ein wenig anders, ein wenig österreichischer. Als einzig offizielles Organ äußert sich vorab der Datenschutzrat (DSR) zu geplanten Gesetzen. Sein Vorsitzender, Harald Wögerbauer, werkt im Zivilberuf als stellvertretender Direktor des ÖVP-Parlamentsklubs und “greift” – nach eigenen Worten – “keinen Computer an”. (Die parallel agierende amtliche Datenschutzkommission, DSK, prüft in Gerichtsmanier vor allem rückwirkend – und nur bei offiziell eingebrachten Beschwerden des Einzelnen.)

Proporzbesetzung. Dass mit Wögerbauer und Stellvertreter Maier zwei Politiker von Regierungsparteien den Vorsitz führen, ist kein Zufall. Den Spielregeln von Proporz und Sozialpartnerschaft entkommt auch eine Institution für digitale Zukunftsfragen nicht. Kanzlervertreter und Opposition, Arbeiter- und Wirtschaftskammer, Länder und Gemeinden sitzen im etwa sechsmal jährlich tagenden “Beratungsgremium der Bundesregierung”.

Dass der Datenschutzrat zuletzt auffallend oft Regierungsplänen applaudierte, wundert da nicht. Die Interessen der Bürger, die er aber gegen geplante Gesetzesvorhaben per definitionem abwägen sollte, fallen immer öfter unter den Tisch.

Bauernveto. Internationalen Vorhaben wie der erwähnten Datenvorratsspeicherung oder der Übermittlung von Fluggastdaten an die USA kann der DSR zwar leicht skeptisch gegenüberstehen. Kritik an innerösterreichischen Initiativen scheitert aber oft an der Parteipolitik. Als Gesundheitsministerin Andrea Kdolsky Fingerprints auf der E-Card speichern lassen wollte – eine Idee, von der sie wenig später sogar selbst wieder Abstand nahm -, sprang ihr Wögerbauer bei: “Fingerabdrücke und Foto ermöglichen eine bessere Identifizierung. Deshalb haben wir das Vorhaben schon positiv begutachtet.”

Für die Diskussion der großen Fragen der digitalen Zukunft der Computer-User bleibt da kaum Platz. Das letzte große Veto gegen ein Ministeriumsvorhaben legte der DSR nach Wögerbauers Erinnerung ein, als das Landwirtschaftsministerium Daten zur Nutztierhaltung von Bauern über die Statistik Austria beziehen wollte. Man müsse die Bauern selbst fragen, riet der Rat.

Die plötzliche nächtliche Änderung der Sicherheitspolizei-Novelle im Parlament zur Überwachung von Online-Aktivitäten passierte den Datenschutzrat nie. Das räumt selbst Wögerbauer ein. Allein: Als Vizedirektor des ÖVP-Parlamentsklubs dürfte ihm der Antrag nicht entgangen sein. Und der SP-Abgeordnete Maier stimmte zu. “Als Klubdirektor hat Herr Doktor Wögerbauer die Ausschaltung des Innenausschusses und des Justizministeriums mitgeplant”, ätzt der Grün-Politiker Peter Pilz, “und als Vorsitzender des Datenschutzrates hat er sich selbst davon nicht informiert: ein unglücklicher Fall von beruflicher Schizophrenie mit Selbstgesprächsstörung.”

Kleinkrieg. Durch die parteipolitische Punzierung verkommt die Diskussion von Zukunftsthemen zum parteipolitischen Hickhack. Und entsprechend wehrt sich auch Wögerbauer, der seinerseits wieder kein gutes Haar an Pilz und dem Grünen-Vertreter im DSR, Hans Zeger von der ARGE Daten, lässt. Mit ihren permanenten Kassandrarufen respektive Gegenstimmen, so der ÖVP-Mann, würden die beiden einerseits Eigeninteressen durch Panikmache verfolgen und sich andererseits nur lächerlich machen. Wenn man aber etwas bewegen wolle, so der von vielen Seiten als Jurist Geschätzte, dürfe man nicht Extrempositionen vertreten, sondern müsse ernst genommen werden. “Man darf nicht immer gleich aufschreien. Man muss abwägen: zwischen den Interessen des Einzelnen und den berechtigten Anliegen der Gesellschafts-, Wirtschafts- und Sicherheitspolitik”, sagt der Datenschutzrats-Vorsitzende Harald Wögerbauer. “Alles andere ist Sektierertum!”

Seinen “Datenschutz mit Augenmaß” hat der Vorsitzende zuletzt sehr weitläufig ausgelegt. Als Personalvertreter von Ministerien beim DSR vorstellig wurden, um gegen die Computer-Bespitzelung durch die Ressortleitung zu protestieren, initiierte der DSR eine Arbeitsgruppe im Bundeskanzleramt. Deren Ziel definiert Wögerbauer für einen Datenschützer jedoch untypisch: “Dort sollen nun gemeinsame Regeln für alle Ministerien erarbeitet werden, wie sie ihre Mitarbeiter überwachen sollen. Denn dass sie sie überwachen dürfen, ist klar.”

Selbstschutz. Mit dem Schutz eigener Daten nimmt es der DSR dagegen genau. Seine Kompromissbeschlüsse finden sich nur versteckt auf der Parlamentshomepage, die Stellungnahmen einzelner Mitglieder sind nirgendwo einsehbar. “Der Datenschutzrat hat natürlich eine eigene Website. Da finden Sie tausende Seiten an Information”, sagt Vorsitzender Wögerbauer. Auswendig weiß er deren Adresse nicht: “Fragen Sie meine Sekretärin.”

Das sollte er selbst vielleicht auch einmal tun. Die Sub-Website des Bundeskanzleramts https://www.bka.gv.at/dsr ist passwortgeschützt und leider ausschließlich DSR-Mitgliedern zugänglich.

Fällt das Wort “Terror”, kann es sich die Exekutive nicht leisten, nicht zu handeln. Dann hat sie alle Möglichkeiten moderner Überwachung bis an die rechtlichen Grenzen auszuschöpfen. Problematisch wird es aber, wenn diese Grenzen – wie bisher in Österreich – nicht genau definiert sind.

Im Fall des Drohvideoproduzenten Mohamed M. und seiner Globalen islamischen Medienfront (kurz: GIMF) drang die Sondereinheit Oberservation (SEO) heimlich in dessen Wohnung ein und installierte auf dessen Laptop eine Software, die jeden Tastendruck protokollierte und im Minutentakt den Inhalt von M.s Bildschirm als Screenshot an die Überwacher sendete.

Die Rechtsgrundlage: eine richterliche Genehmigung für einen großen Späh- und Lauschangriff. Kein Wort von einem PC findet sich in der gerichtlichen Genehmigung.

Die Argumentation der Überwacher damals: Man hätte durch die Genehmigung der Bild- und Tonüberwachung auch eine Kamera installieren können, die auf Bildschirm und Keyboard gerichtet ist und alles abfilmt. Dies sei aufgrund der Gegebenheiten aber nicht machbar gewesen, darum habe man gleichsam von innen heraus fotografiert.

“Es handelt sich damit weder um eine akustische noch optische Überwachung, sondern um eine elektronische. Und die ist nach dem Paragrafen 149 nicht gedeckt und damit meines Erachtens rechtswidrig”, sagt Strafrechtsexperte Helmuth Fuchs von der Universität Wien. Auch Datenschützer Hans Zeger schüttelt den Kopf: “Genauso könnte man sagen: Ich würde hören, was jemand am Handy sagt – und sogar, was der andere Teilnehmer antwortet -, wenn ich nur nah genug daneben stünde. Nachdem ich dabei aber entdeckt würde, installiere ich eben ein Mikro.” Innenminister Platter legte stets Wert darauf, dass es sich nicht um eine Online-Durchsuchung mittels Trojaner gehandelt habe. Im Verschlussakt bestätigt die Exekutive jedoch, eine “Angriffssoftware” installiert zu haben, gedacht “zur Umsetzung der Überwachung des codierten Datenverkehrs”. Das alles subsumierte man als “Durchführung akustischer Überwachung” unter “Verwendung technischer Mittel”.

Auf der Festplatte gespeicherte Dokumente wie Tagebücher, so die Ermittler, habe man ja nie durchsucht. Das war allerdings auch nicht nötig: Sobald Mohamed M. ein ausschließlich für sich selbst gespeichertes Dokument öffnete, konnten die Ermittler ohnehin mitlesen. Das geht über die Kontrolle der Kommunikation hinaus und überwacht selbst zu Papier gebrachte Gedanken.

Der Rechtsschutzbeauftragte Gottfried Strasser segnete selbst das Lesen von nicht gesendeten E-Mails als rechtskonform ab. “Wenn es nur deshalb niedergeschrieben wurde, damit es abgesendet wird, so kann es nach meiner Auffassung verwertet werden”, sagte der 73-Jährige vor Gericht. Ob mit der verwendeten Software auch die Festplatte durchsucht werden konnte, ließ sich im Verfahren nicht klären. Welche Software eingesetzt wurde, erklärte ein Zeuge von der SEO, unterliege der Amtsverschwiegenheit.

Mit den Daten geht das Innenministerium äußerst sensibel um. Peinlich genau achtet das Ressort von Günther Platter darauf, dass kein Quäntchen personenbezogener Information das Haus verlässt. Die Angst, die in den vergangenen Wochen über die Abfrage von Handydaten und Internet-Informationen von Datenschützern, Opposition und Medien verbreitet wurde, sei völlig unbegründet. Der Name eines Users, der sich hinter einer IP-Adresse verbirgt, falle nicht unter das Fernmeldegeheimnis, er sei den Sicherheitsbehörden auf Nachfrage von den Internet-Providern mitzuteilen.

Bei den Namen der eigenen Leute ist das Ministerium heikler. Die Identität der drei hausinternen Beamten, die Platters Kabinett für ein Hintergrundgespräch aufmarschieren ließ, sei vertraulich zu behandeln, wurde der handverlesenen Schar Journalisten beschieden. Kein Name, keine Funktion, kein Zitat – nichts, was Rückschlüsse auf die Identität der drei Personen geben könnte, dürfe die Gemäuer der Wiener Herrengasse 7 verlassen.

So penibel ist Platter nicht immer.

Künftig will der Innenminister Computer mittels spezieller Software online durchsuchen lassen. Heimische Behörden sollen in die Lage versetzt werden, die Rechner von allfälligen Verdächtigen anzuzapfen und ohne deren Wissen mittels spezieller staatlicher Spionage-Software zu durchforsten. Kriminielle oder terroristische Organisationen sollten durch die Anonymität im Internet keinen Vorteil mehr haben, so Platter.

Eine explizite gesetzliche Grundlage gab es dafür bisher nicht. Im Fall des virtuell überwachten Internet-Islamisten Mohamed M. bewegten sich die Behörden zuletzt – vorsichtig formuliert – auf juristisch dünnem Eis (siehe auch Gedankenpolizei).

Peter Pilz, Sicherheitssprecher der Grünen, drückt es etwas undiplomatischer aus: “Seit Jahren operiert die Polizei in diesem Bereich teils illegal.” Hätte die Datenschutzkommission nicht Alarm geschlagen, so Pilz, hätte Österreich gar nicht erst versucht, entsprechende Gesetze zu schaffen, sondern auf ungeklärter Rechtsbasis schärfste Methoden eingesetzt.

Verschlussbericht. Tatsächlich könnte Platters Plänen nun unter Umständen der Rechtsstaat im Wege stehen. Die von SPÖ-Justizministerin Maria Berger und Platter selbst eingesetzte Arbeitsgruppe zur Online-Durchsuchung dürfte vor massiven Problemen bei der Diskussion rechtskonformer Regelungen stehen. Denn der rasante technische Fortschritt macht es den Juristen nahezu unmöglich, ein Regelwerk zu formulieren, das die künftige Entwicklung berücksichtigt und Missbrauch zuverlässig ausschließt. “Es ist unmöglich, ein missbrauchssicheres Gesetz für den sich derzeit am schnellsten ändernden Bereich des Lebens zu schaffen, wenn sich nicht einmal Techniker in der Arbeitsgruppe einig sind, was jetzt schon möglich ist – oder eben nicht”, moniert eines der Mitglieder der Arbeitsgruppe.

Den Bericht halten die Mitglieder der Arbeitsgruppe noch unter Verschluss. Erst kommende Woche soll er an Berger und Platter übergeben werden. Dem will der Vorsitzende Bernd-Christian Funk nicht vorgreifen. Als Verfassungsjurist gibt er aber in dieser Eigenschaft zu bedenken, dass der Verhältnismäßigkeitsgrundsatz immer gewahrt sein muss. “Wenn man Grundrechtseingriffe vornehmen will, muss auch gewährleistet sein, dass sie ganz explizit definiert sein müssen – natürlich auch mit allen nötigen Kontrollmechanismen”, so der Verfassungsrechtler Funk.

Eingesetzt werden sollte eine Software gemäß dem Ministerratsbeschluss grundsätzlich nur bei Verbrechen, die mit mehr als zehn Jahren Freiheitsstrafe bedroht sind oder gegen Mitglieder einer kriminellen Organisation oder terroristischen Vereinigung – dringender Tatverdacht und richterliche Genehmigung vorausgesetzt.

Problempunkte. Dennoch könnte die Einführung einer Überwachungssoftware noch an mehreren Hürden scheitern. Denn unter Experten ist bereits jetzt fraglich, wie die Arbeitsgruppe verschiedene höchst problematische Bereiche regeln will.

* So lässt sich beispielsweise nicht sicherstellen, dass der User nicht etwa seine gesamte Festplatte samt der eingeschleusten Trojaner-Software mit einem Backup einmal zu Sicherungszwecken kopiert. Auch wenn der Trojaner nach dem Ende der Überwachung durch die Polizei wieder von der Festplatte des Betroffenen gelöscht wird, ist nicht auszuschließen, dass der Betroffene ihn selbst installiert, wenn er die Daten seiner Platte durch das Backup wiederherstellt.

* Während es Kriminellen recht ist, wenn sich ein von ihnen ausgesandtes Spionageprogramm auf so viele Rechner wie möglich verteilt, muss der Staat weit vorsichtiger operieren. Er muss gewährleisten, dass das beim Verdächtigen installierte Trojaner-Programm nicht etwa durch ein Mail des Verdächtigen an einen unbeteiligten Freund sich auch auf dessen Rechner überträgt – und von dort aus unter Umständen noch weiter. Ein Problem, das nach Ansicht von Software-Experten derzeit kaum lösbar ist.

* Verfassungsrechtlich gehört die Online-Durchsuchung nach Ansicht von Rechtsexperten auch nicht zu einem erweiterten großen Späh- und Lauschangriff: So wird nicht nur überwacht, was jemand kommuniziert, sondern auch, welche Gedanken er für sich selbst aufschreibt und ablegt.

* In den Datenschutz würde damit ebenso massiv eingegriffen, da die Behörden nicht notwendigerweise im Voraus wissen, wonach sie suchen. Tagebücher oder persönliche Notizen würden – anders als bei der Hausdurchsuchung – ohne Wissen des Betroffenen durchforstet. Dass auch Daten von völlig unbeteiligten Dritten auf dem Rechner gespeichert sind, ließe sich abgesehen davon selbst bei besten Schutzmechanismen nie ausschließen.

* Überwachen ließen sich diese virtuellen Ermittlungen der Exekutive bestenfalls von einem Rechtsschutzbeauftragten, der die Interessen des – unwissenden – Verdächtigen wahrnähme. Anders als ein Anwalt, der bei der Hausdurchsuchung durchgehend anwesend sein kann, wäre der Rechtsschutzbeauftragte ausschließlich auf die Informationen von Exekutivbeamten angewiesen.

* Dass die Verhältnismäßigkeit von Aufwand und Treffsicherheit gewahrt bliebe, erscheint Experten ebenfalls mehr als fraglich. So gab der Vorsitzende der Arbeitsgruppe, Bernd-Christian Funk, schon lange vor seiner Bestellung zu bedenken, ob es sich bei der Online-Durchsuchung um ein “zielführendes und maßhaltendes Mittel” handle, und warnte davor, die “Büchse der Pandora zu öffnen”. Österreich bewege sich nahe am Überwachungsstaat, so der Verfassungsrechtler damals, Regierung und Behörden sollten sich der Folgen bewusst sein.

Deutsches Urteil. Rechtlich problematisch ist die Lage nicht nur in Österreich. Erst vor wenigen Wochen hob das deutsche Bundesverfassungsgericht die Rechtsgrundlage für die Online-Durchsuchung auf. Wie in Österreich stützte man sich dort noch auf den Lauschangriff als rechtliches Instrument – was den Verfassungshütern in Deutschland nicht reichte. Mehr noch: Das Gericht drehte das Gesetz quasi um und postulierte ein “Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme”. Anders gesprochen: Der Staat habe nachgerade die Aufgabe, die rechtlichen Rahmenbedingungen so zu gestalten, dass der Einzelne bei der Nutzung des Internets mehr oder minder vor Eingriffen in seine Privatsphäre sicher sei.

“In Österreich kann davon noch keine Rede sein”, kritisiert die Netzaktivistin und Wiener Grün-Gemeinderätin Marie Ringler. Das kurz vor Jahreswechsel in einer Nacht- und-Nebel-Aktion von ÖVP und SPÖ geänderte Sicherheitspolizeigesetz erlaubt den Behörden seit Anfang des Jahres unter bestimmten Voraussetzungen aufzuforschen, welcher User sich hinter einer bestimmten IP-Adresse verbirgt. Für den Computerexperten Leopold Löschl vom Bundeskriminalamt nichts Neues. “Das durften wir vorher auch schon”, sagt Löschl. Die Angst sei völlig unbegründet. “Das Surfverhalten eines Menschen ist für uns ohne richterliche Genehmigung ohnehin nicht überprüfbar.” Im Übrigen würden IP-Adressen nur dann überprüft, wenn es einen strafrechtlich relevanten Grund gebe oder jemand in Gefahr sei.

Verfassungsklagen. Genau das bezweifeln einige Provider. Denn ob das wirklich so ist, definiert die Polizei selbst, einen richterlichen Beschluss braucht es nicht. Auch Ringler, die eine Individualbeschwerde gegen das Gesetz einbrachte, ist skeptisch: “Die jüngst bekannt gewordenen Zahlen zeigen dramatisch, wie oft die Exekutive wissen will, welche Namen sich hinter welchen Internet-Nutzern und welchen IP-Adressen verbergen.”

Allein seit Jahresbeginn hatte die Polizei demnach 540-mal die Namen von Internet-Usern ausgeforscht, um eine “schwere, bevorstehende Straftat” zu verhindern oder umgehend Hilfe (etwa bei Suizidankündigungen) zu leisten. In 22 Fällen begehrte man dringend Auskunft, von wem eine bestimmte E-Mail stammte. Spitzenwerte erreichten die Handyabfragen: 2766 Anschlussinhaber ließ die Exekutive allein innerhalb der ersten fünf Wochen des heurigen Jahres identifizieren.

Selbst den Internet-Providern sind derart hohe Abfragezahlen nicht geheuer. So brachte neben einigen anderen Organisationen nun auch das Telekom-Unternehmen T-Mobile eine Verfassungsbeschwerde gegen das umstrittene Sicherheitspolizeigesetz ein. Der Verfassungsgerichtshof dürfte bis Ende des Jahres über die Anträge entscheiden.

Im Innenministerium wird indes beschwichtigt. Alle Abfragen seien rechtskonform, allfälligen Klagen sehe man gelassen entgegen. Das Ministerium gehe mit allen Daten sorgsam um, versicherten die drei Hausjuristen Stefan Steiner, Verena Weiss und Peter Webinger.

Pikanterweise ist die Vita des Letzteren nicht unbedingt dazu angetan, das Vertrauen in den ministeriellen Umgang mit Daten zu stärken. Webinger war jener Kabinettsmitarbeiter von Ex-Innenminister Ernst Strasser, der 2002 im Auftrag des Ministers Zeitungsinterviews von Strasser-kritischen Menschenrechtsanwälten an das Bundeskriminalamt mailte und um “Sachverhaltsdarstellung an die Staatsanwaltschaft” ersuchte, obwohl nichts gegen die betreffenden Personen vorlag. Die Mails werden derzeit vom parlamentarischen Untersuchungsausschuss zur Causa Haidinger geprüft.