Nachdem sie auf europäischer Ebene vorerst scheiterte, legt Österreich einen Gesetzentwurf für eine eigene Digitalsteuer vor. Darin enthalten: Ein starker Grundrechtseingriff im Gewand einer siebenjährigen Speicherpflicht von IP-Adressen und Ortsdaten aller österreichischen Internet-Nutzer:innen.

Nachdem der Ministerrat in Österreich sie am Mittwoch beschloss, hat das Ministerium der Finanzen am Freitag einen Gesetzentwurf für eine Digitalsteuer veröffentlicht. Sollte das Gesetz in seiner jetzigen Form beschlossen werden, stellt es eine eingriffsintensivere Überwachungsmaßnahme als die Vorratsdatenspeicherung dar. Digitalunternehmen müssten die IP- und Geolokationsdaten ihrer Nutzer:innen für sieben Jahre auf Vorrat speichern.

Die Digitalsteuer soll auf große Digitalunternehmen, die mehr als 750 Millionen Euro Umsatz weltweit und mehr als 25 Millionen Euro Umsatz in Österreich machen, angewendet werden. Der Steuersatz soll fünf Prozent des Umsatzes mit Onlinewerbung betragen. Unter das Gesetz fallen etwa Google oder Facebook. Zahlen zu den Umsätzen in Österreich teilen diese Unternehmen nicht gerne mit, 2016 schätzte man Googles Umsatz in Österreich auf 140 Millionen Euro. Datenkonzerne wie Facebook, Google oder Amazon weichen Steuern in vielen Ländern geschickt aus, daher ist es prinzipiell sinnvoll, die Unternehmen endlich ordentlich zu besteuern. Allerdings scheint die Regierung in Österreich die Stimmung gegen die großen Plattformen jetzt für einen massiven Überwachungsausbau nutzen zu wollen.

Vorwand: Unterscheidung von in- und ausländischer Onlinewerbung

Bei den Überwachungsmaßnahmen geht es um die Art und Weise, wie die Steuer für Onlinewerbung erhoben und überprüft werden soll. Denn die Regierung möchte stets wissen, ob Onlinewerbung „im Inland gegen Entgelt erbracht“ wurde. Im Gesetzentwurf heißt es gleich in Paragraph 1 dazu:

Eine Onlinewerbeleistung gilt als im Inland erbracht, wenn sie auf dem Gerät eines Nutzers mit inländischer IP-Adresse erscheint und sich ihrem Inhalt und ihrer Gestaltung nach (auch) an inländische Nutzer richtet.

Später heißt es, dass alternativ oder ergänzend zur Speicherung der IP-Adresse auch Ermittlungen „mittels anderer Technologien zur Geolokalisierung von Geräten“ genutzt werden könnten. Darunter fielen auch andere Informationen über den Aufenthaltsort von Nutzer:innen, die große Plattformen anhand anderer Daten, etwa GPS, sammeln.

Das Gesetz soll betroffene Unternehmen dazu verpflichten, diese Daten den Behörden „elektronisch zur Verfügung zu stellen“. Dazu heißt es im Gesetz:

Der Abfuhrverpflichtete führt Aufzeichnungen über die Geschäftsvorgänge im Rahmen dieser Sonderregelung. Diese Aufzeichnungen müssen so ausführlich sein, dass festgestellt werden kann, ob die erklärte Steuer korrekt ist. Sie sind sieben Jahre lang aufzubewahren und über Aufforderung der zuständigen Behörde elektronisch zur Verfügung zu stellen.

Wie weitreichend das Vorhaben ist, macht auch ein beiläufiger Satz aus der Erläuterung des Ministeriums klar: Es sei „nicht erforderlich, dass der Nutzer sofort die gesamte Onlinewerbeleistung wahrnimmt“, stattdessen genüge es, dass „ein Link auf dem Gerät aufscheint.“ Das passiert im Alltag von Millionen Österreichern zig Male pro Tag. Ihre IP-Adressen und Ortsdaten würden dann jeweils in den aufzubauenden Datenbanken landen.

Siebenjährige Speicherpflicht

Das würde auf eine siebenjährige Speicherpflicht dieser großen Anzahl von personenbezogenen Daten hinauslaufen. Betroffene Unternehmen müssten wahrscheinlich eine Datenbank mit persönlichen Daten österreichischer Nutzer:innen aufbauen. Maximilian Schubert, Generalsekretär des ISPA Österreich, dem Dachverband österreichischer Provider, ist entsetzt von dem Gesetzentwurf:

Die Bundesregierung hebelt unter dem Vorwand, eine Digitalsteuer einzuführen, um sogenannte Internetgiganten stärker zu besteuern, die Grundrechte der Bürgerinnen und Bürger aus. […] Der heute vom Finanzministerium veröffentlichte Entwurf zum Digitalsteuergesetz 2020 ist als Totalüberwachungsgesetz zu bezeichnen und schlichtweg desaströs.

Er vergleicht den Entwurf auch mit der vom Europäischen Gerichtshof gekippten Vorratsdatenspeicherung:

Ohne zu übertreiben sehen wir hier Verhältnisse auf die österreichischen Nutzerinnen und Nutzer zukommen, die weit über die vom Europäischen Gerichtshof aufgehobene Vorratsdatenspeicherung hinausgehen.

Der Entwurf enthält keine Einschränkungen für sicheren Umgang mit den Daten, etwa zur Frage wer unter welchen Bedingungen auf sie zugreifen dürfte. Überhaupt scheint das Finanzministerium den Entwurf ohne jegliche Überlegungen zur Datensparsamkeit erstellt zu haben. Die einzurichtenden Datenbanken und Schnittstellen für Speicherung und Austausch der persönlichen Daten von Millionen wecken Begehrlichkeiten und stellen ein Risiko für alle darin gespeicherten Personen dar.

Nachdem der Entwurf vom Kabinett verabschiedet wurde, läuft jetzt bis zum 9. Mai die Begutachtungsphase mit Zeit für Stellungnahmen. Danach kommt der Gesetzentwurf in den Nationalrat.

Zugriff mithilfe automatisierter Verfahren

Der Gesetzentwurf sieht auch vor, dass die zuständige Behörde automatisierten Zugriff auf die Verkehrsdaten bekommen soll. Die Details für den automatisierten Zugriff solle der Bundesminister der Finanzen in Verordnungen erlassen können. Dafür bräuchte es dann kein neues Gesetz. In der Erläuterung steht:

Um möglichst flexibel auf neue Entwicklungen reagieren zu können, soll der Bundesminister für Finanzen ermächtigt werden, im Verordnungsweg erforderliche Anpassungen vorzunehmen. Beispielsweise könnte er Vereinfachungen für die Erfüllung von Aufzeichnungspflichten ermöglichen oder im Falle von Unternehmensgruppen festlegen, wie Verantwortlichkeiten wahrzunehmen sind. Schließlich sollen die technischen Details einer automatisierten Lösung näher festgelegt werden können.

Das Finanzministerium erhielte damit eine Art Blankocheck um die Speicherpflichten auszuweiten.