Die Grundrechts-NGO epicenter.works hat die 182 Seiten des schwarz-blauen Regierungsprogramms aus netzpolitischer Perspektive analysiert. Neben einer Neuauflage des Überwachungspakets finden sich noch viele weitere besorgniserregende Pläne in dem Papier, aber auch einige positive Vorhaben.

Die wichtigsten Punkte:

Überwachungspaket 2.0: Ein neues Überwachungspaket kommt auf Österreich zu. Zum wiederholten Mal will eine Regierungskoalition den Bundestrojaner und eine Nachfolgeregelung für die Vorratsdatenspeicherung. Neu sind unter anderem die Pläne für automatisierte Gesichtsfelderkennung und verstärkte Big-Data-Analysen im Zuge von Ermittlungen. Staat als ungebremster Datensammler: Generell finden sich im schwarz-blauen Programm zahlreiche Ideen für verstärkte Vernetzung personenbezogener Daten. Das eröffnet neue Möglichkeiten für die Überwachung der Bürgerinnen und Bürger in allen Lebenssituationen. Netzpolitik für die Industrie statt für die Menschen: Im Papier finden sich vor allem die Positionen der Industrie wieder. Besonders kritisch ist die neuerliche Forderung nach Netzsperren, die Internet-Unternehmen nach eigenem Gutdünken vornehmen können. Dies ist die Grundlage für Zensurmaßnahmen. Mit dem Leistungsschutzrecht für Presseverleger soll eine weitere Industrieforderung erfüllt werden, die in Spanien und Deutschland schon Schiffbruch erlitten hat. Unterwanderung von EU-Regelungen: Bei näherer Betrachtung finden sich im Koalitionspapier einige Punkte, mit denen die neue Regierung versucht, starke EU-Regelungen zu unterwandern oder zumindest abzuschwächen. Das betrifft sowohl die EU-Datenschutzgrundverordnung (Ausnahmeregelungen für Presseverleger bei der E-Privacy-Verordnung) als auch die Netzneutralitätsregelungen („Opt-In-Regelung“ zum „Schutz von Kindern vor Pornographie und Gewalt“). Wenige positive Aspekte: Es gibt auch einige Punkte, die positiv auffallen. Im Vergleich zu früheren Regierungen legt Schwarz-Blau größeren Fokus auf Digitalisierung und manche Details sind durchaus begrüßenswert. Ein großer Wurf ist das Papier in diesem Bereich aber nicht. Kein Transparenzgesetz: Besonders bedenklich ist, dass sich diese Regierung nicht einmal vorgenommen hat, das Amtsgeheimnis endlich abzuschaffen.

Überwachungspaket 2.0

Vom generellen Willen zur Ausgabenkürzung der künftigen Regierung sind nur zwei Bereiche ausgenommen: Bildung und Sicherheit. Den Sicherheitskräften sollen neue Technologien zur Verfügung gestellt werden. Dafür soll massiv in Überwachungstechnologien wie Gesichtserkennung, Drohnen und Big-Data-Analysen investiert werden. Der erste Schritt wären Feldversuche für automatisierte Gesichts- und Gefahrenerkennung wie derzeit am Berliner Südkreuz auch in Österreich, obwohl dieses Projekt bisher vor allem für negative Schlagzeilen sorgt.

Der Diktion der letzten Regierung folgend ist unter der Formulierung, dass „die Lücken bei der Überwachung internetbasierter Telekommunikation geschlossen werden“ sollen, wohl eine Neuauflage des Bundestrojaners zu verstehen. Für eine solche Überwachung von Messengerdiensten (etwa WhatsApp oder Signal) müssen die Sicherheitsbehörden in die Smartphones oder Computer der Zielperson eindringen; dafür ist es notwendig, offene Sicherheitslücken in den Geräten auszunutzen. Gleichzeitig betont das Papier aber mehrmals die Notwendigkeit der „Schließung digitaler Sicherheitslücken“ in informationstechnischen Systemen. Auch heißt es: „Entscheidend für eine gelungene und erfolgreiche Digitalisierung [ist u.a.] eine entsprechende digitale Sicherheit in allen Bereichen.“ Dieser offensichtliche Widerspruch wäre nur aufzulösen, wenn vom Vorhaben der Einführung eines Bundestrojaners endlich Abstand genommen würde.

Positiv zu sehen ist zumindest die vorgesehene zeitliche Befristung eines etwaigen neuen Überwachungspakets, eine umfängliche Information des Parlaments über die getroffenen Maßnahmen und eine Evaluierung ihrer Effekte, wie sie epicenter.works schon lange fordert. Das Handbuch zur Evaluation der Anti-Terror-Gesetze (HEAT) bietet die Vorgabe für eine derartige Überwachungsgesamtrechnung.

Der Rechtsschutz, der bislang durch den Rechtsschutzbeauftragen und seine Stellvertretung erfolgt ist, soll nun nach dem Vorbild der Volksanswaltschaft neu strukturiert werden. Das ist eine Verbesserung im Vergleich zur jetzigen Angliederung der Rechtsschutzbeauftragten an die jeweiligen Ministerien, erhöht aber die Gefahr der politischen Einflussnahme.

Positiv zu bewerten ist auch ein absolutes Verwertungsverbot von Informationen aus rechtswidrigen Ermittlungen.

Telekommunikationsanbieter sollen ihren Kundinnen und Kunden künftig auch beim Einsatz von CG-NAT eindeutige Informationsmerkmale zuordnen müssen. (Im Regierungsprogramm ist im Zusammenhang mit CG-NAT technisch unsinnig gar von der „Zuordnung einer eindeutigen IP-Adresse“ die Rede.) Diese Maßnahme ist vor allem vor dem Hintergrund des geplanten Quick-Freeze-Modells kritisch zu sehen. Dabei handelt es sich um eine Vorratsdatenspeicherung „light“, bei der die Daten auf einfache Anordnung der Staatsanwaltschaft vom Provider gespeichert und später mit richterlicher Genehmigung beauskunftet werden sollen. Der letzte Gesetzesvorschlag zu Quick Freeze im Sommer 2017 hätte eine derart großflächige Speicherung ohne jeden räumlichen, zeitlichen oder kausalen Zusammenhang mit einem Verdacht zugelassen, sodass praktisch wieder eine vollwertige Vorratsdatenspeicherung das Ergebnis gewesen wäre. Die Formulierungen im neuen Regierungsprogramm sind unkonkret gehalten, es ist aber Derartiges abermals zu befürchten.



Auch der „Gefährder“-Begriff wurde wieder aus der Schublade geholt. Damit sind Personen gemeint, die weder verurteilt sind, noch unter einem konkreten Verdacht stehen, aber künftig in ihrer Bewegungsfreiheit und elektronischen Kommunikation eingeschränkt werden sollen. Es ist unklar, wie Gefährderinnen und Gefährder überhaupt definiert werden können, wie man dazu wird, und was man tun kann, um nicht mehr als „gefährlich“ zu gelten. Dass schon „im Vorfeld“ gegen Personen eingeschritten werden soll, die – aus welchen Gründen auch immer – in diese Kategorie fallen, steht im Widerspruch zur verfassungsrechtlich gewährleisteten Unschuldsvermutung.



Da alle drei Geheimdienste von Innen- und Verteidigungsministerium jetzt in der Hand der FPÖ sind, soll eine neue Berichtspflicht der Dienste zu Kanzler und Vizekanzler eingeführt werden. Die Staatsschutzbehörden sollen nach internationalen Vorbildern weiterentwickelt werden. Leider gibt es keine nachahmenswerten Vorbilder für Geheimdienste, die mit der demokratischen Grundordnung tatsächlich vereinbar sind. Positiv ist die Schaffung eines neuen Straftatbestands „nachrichtendienstlicher Aktivitäten zum Nachteil von Privatpersonen“. Derzeit sind ausländische Nachrichtendienste hierzulande nur verboten, wenn sie zum Nachteil der Republik handeln. Was NSA, FSB, GCHQ, BND und heimische Nachrichtendienste hierzulande machen, wird also bald wenigstens theoretisch strafbar sein.

Gläserne Schüler*innen, Patient*innen, Bürger*innen und Geflüchtete

Ein großes Vorbild für die Verhandlerinnen und Verhandler dürfte das estnische E-Government-System gewesen sein. Gleich an mehreren Stellen findet sich die Thematik der Vernetzung staatlicher Datenbestände, wie zum Beispiel der präventive „Datenaustausch zwischen Gesundheitswesen, Finanz und Pensionsversicherung“, um mutmaßlichen Missbrauch im Sozialsystem zu bekämpfen. Der Verweis auf das estnische X-Road-System zeigt, wohin die Reise gehen soll: zu einer kompletten Zentralisierung aller Datenbestände von Sozial-, Finanz- und Sicherheitsbehörden. Eine derartige Datenanhäufung ist ein äußerst attraktives Angriffsziel für andere Staaten und Kriminelle.

Auch Kinder und Jugendliche werden bei der Anhäufung von Datenbergen nicht ausgenommen. Vorgesehen ist eine digitale „durchgehende Bildungs- und Leistungsdokumentation für jede Schülerin und jeden Schüler“ vom Kindergarten bis zum Ende der Schulausbildung. Damit würde jede kindliche Verhaltensauffälligkeit ebenso wie jede Abweichung von Leistungszielen dokumentiert. Unter dem Begriff „Austrian Digital Academy“ kommen auch Erwachsene durch ihr Bürgerkonto mit einem solchen System in Kontakt. Arbeitgeberinnen und Arbeitgeber haben sicherlich großes Interesse an derartigen lebenslangen Leistungsdaten potentieller Mitarbeiterinnen und Mitarbeiter. Auch hier besteht also hoher Anreiz für Missbrauch und Kriminalität.

Die Schaffung eines „integrierten, einheitlichen, staatlich gesicherten analogen und digitalen Identitätssystems“ ist komplementär dazu zu sehen. Diese Weiterentwicklung der Handysignatur/Bürgerkarte soll im ersten Schritt noch optional sein und zur Abwicklung von Behördenwegen dienen. In Estland und Spanien mussten aufgrund einer kritischen Sicherheitslücke erst kürzlich über 60 Millionen ID-Cards für ungültig erklärt werden. Die angestrebte Umsetzung scheint auf dem E-Government-Gesetz vom Sommer 2017 zu basieren, das bereits die Rechtsgrundlage für eine elektronische Identität geschaffen hat und zu dem epicenter.works eine kritische Stellungnahme abgegeben hat.



Schutzsuchende müssen bei der Einreise nach Österreich den Behörden künftig Zugriff auf ihr Mobiltelefon und ihre Social-Media-Accounts gewähren. Dadurch soll der Fluchtweg, das Alter und die Identität der Betroffenen überprüft werden. Dieser Eingriff in das Grundrecht auf Datenschutz wäre wohl bei keiner anderen Personengruppe denkbar und ist nach Einschätzung von epicenter.works wahrscheinlich grundrechtswidrig. Auch eine eigene institutionenübergreifende bundesweite Datenbank „über Zuwanderer und Flüchtlinge“ soll geschaffen werden. Darin sollen unter anderem Daten über den Aufenthaltsstatus, Sozialleistungen, „Integrationsfortschritte“, sowie die „Erfüllung der individuellen Integrationspflichten“ enthalten sein. Darüber hinaus soll der Datenaustausch zwischen Behörden im Fremden- und Sozialwesen verstärkt werden.



Im Gesundheitskapitel finden sich Pläne zum Ausbau der elektronischen Gesundheitsakte ELGA, die Übertragung der E-Card auf wesentlich unsicherere Mobiltelefone und der verstärkte Einsatz künstlicher Intelligenz zur Optimierung von Verwaltung und Krankenversicherungen mittels Auswertung der Daten von Patientinnen und Patienten.

Telekomindustrie stellt Digitalministerin

Neue Digitalministerin auf dem Ticket der ÖVP wird die ehemalige A1-Chefin Margarete Schramböck. Deshalb verwundert es nicht, dass das Kapitel Innovation und Digitalisierung zentrale Forderungen der Telekom-Lobbyorganisation „Internetoffensive Österreich“ enthält, deren Vize-Präsidentin Schramböck bis vor Kurzem war. Einige Formulierungen, z.B. bezüglich der Einrichtung einer interministeriellen Task-Force Digitalisierung und Bereichsziele zur Digitalisierung für alle Ministerien, oder auch einer Neuorganisation der Telekomregulierungsbehörde RTR, wurden direkt von der Lobbyorganisation ins Regierungsprogramm übernommen. Positiv wäre eine Umsetzung der Forderung, nachhaltig auf Glasfaser im Netzausbau zu setzen, wo Österreich heute Schlusslicht im EU-Vergleich ist. Deshalb wird epicenter.works die Rolle von A1 bei der kommenden milliardenschweren Frequenzversteigerung ebenso genau im Auge behalten wie den Wettbewerb zwischen den Telekombetreibern. Gerade weil die RTR im Jahr 2018 den Vorsitz im Gremium der europäischen Telekomregulierer BEREC führt, ist politische Einflussnahme gegen die Netzneutralität zu befürchten.

Eine Maßnahme, die im Widerspruch zur EU-Netzneutralitätsverordnung steht, kündigt die neue Regierung bereits an: Bei der Nutzung digitaler Medien wird eine „Opt-In-Regelung“ zum „Schutz von Kindern vor Pornographie und Gewalt“ ins Auge gefasst. Bei Netzsperren, die freiwillig durch Provider durchgeführt werden, handelt es sich um untersagtes Verkehrsmanagement und um eine Verletzung der geschützten Endnutzerrechte. Dies hat epicenter.works bereits in seiner Stellungnahme zu einem ganz ähnlichen Vorhaben im Rahmen des gescheiterten Überwachungspakets der letzten Regierung betont und auch die Telekom-Regulierungsbehörde RTR ließ an der Regelung kein gutes Haar.

Weniger Datenschutz, mehr E-Government und kein Transparenzgesetz

Auf oesterreich.gv.at soll ein zentrales Portal für alle Behördenwege eingerichtet werden, das help.gv.at ersetzen soll. Über dieses Portal sollen auch zentralisierte Datenschutzauskünfte aus diversen staatlichen Registern abrufbar sein, wobei unklar bleibt, ob damit auch eine zentralisierte Speicherung einhergeht. Die Datenschutzbehörde soll verstärkt Beratungs- und Auskunftsfunktionen übernehmen und möglichst nur Verwarnungen aussprechen, anstatt die – berechtigterweise – hohen Strafen der EU-Datenschutzgrundverordnung auszuschöpfen. Das ist eine Unterwanderung des europäischen Datenschutzgrundrechts und kommt nur Unternehmen zugute, die sich nicht um den Schutz der Daten ihrer Nutzerinnen und Nutzer kümmern wollen. Unklar bleibt ebenfalls, ob die Datenschutzbehörde endlich die notwendigen Ressourcen und Prüfkompetenzen für die Erfüllung ihrer Aufgaben bekommt, die sich mit Inkrafttreten der Datenschutzgrundverordnung Ende Mai 2018 stark erweitern werden.



Einen großen Lobbyerfolg scheint die Werbeindustrie erzielt zu haben. Dieser mächtige Wirtschaftszweig übt aktuell in vielen EU-Staaten Druck auf Regierungen aus, um sein Geschäftsmodell der kommerziellen Massenüberwachung in Verbindung mit Online-Werbung trotz des starken EU-Datenschutzes weiter betreiben zu können. So erklärt sich die Forderung nach einer „E-Privacy-Ausnahmeregelung für Mediendienste von der europäischen Datenschutzgrundverordnung“. Dazu müsste sich Österreich mit dieser Forderung aber erst auf EU-Ebene durchsetzen oder offenen Bruch des geltenden EU-Rechts begehen.

Einen ähnlichen Kniefall gegenüber Presseverlegerinnen und -verlegern gibt es bezüglich des Leistungsschutzrechts. Diese Verschärfung des Urheberrechts ist bereits in Deutschland, Spanien und Belgien krachend gescheitert: Statt den Verlagen zu nützen wurde dort die Position internationaler Monopolisten weiter gestärkt, und somit das exakte Gegenteil des Gewünschten erreicht. Dennoch wird das Leistungsschutzrecht gerade im Rahmen der EU-Urheberrechtsrichtlinie wieder diskutiert. Die Positionierung der schwarz-blauen Regierung stellt insofern eine Kehrtwende dar, als das Justizministerium in einer Diskussionsveranstaltung am 13. September 2017 aufgrund der massiven Kritik von einem Leistungsschutzrecht noch Abstand genommen hatte.



Im Kontext direkter Demokratie sollen nicht bindende Anträge von Bürgerinnen und Bürgern „auch elektronisch unterstützt werden können“. Genau das hat epicenter.works kürzlich in einem Positionspapier zu E-Voting im Kontext direkter Demokratie gefordert.



Vergeblich sucht man im Regierungsprogramm nach einem längst überfälligen Transparenzgesetz. Die Bevölkerung wird also weiterhin nicht erfahren, wofür ihr Steuergeld ausgegeben wird, wie Vergabeprozesse ablaufen und auf Basis welcher Informationen Behörden und Ministerien ihre Entscheidungen treffen. Positiv ist das Bekenntnis zur Förderung des Open-Government-Data-Prinzips, konkrete Zielvorgaben (wie etwa die Teilnahme an der Open Government Partnership) fehlen aber. Auch die Kennzeichnungspflicht für Polizeibeamtinnen und -beamten, eine wichtige Voraussetzung für die wirksame Kontrolle beim Einsatz von Sicherheitskräften, scheint in die ferne Zukunft zu rücken. Statt auf mehr Transparenz und Verantwortung zu setzen, sollen die „Persönlichkeitsrechte [der] Bediensteten“ gestärkt werden.



Positiv ist das Bekenntnis zum „Recht auf Bargeld“, das im Regierungsabkommen gleich zwei Mal vorkommt. Die Verwendung von Bargeld ist die mit Abstand datenschutzfreundlichste Art zu bezahlen.

Mit der „Klärung der medienrechtlichen Behandlung von Aggregatoren und Plattformen im Internet (Facebook, Google, YouTube)“ ist vermutlich die Forderung des Verbands Österreichischer Privatsender gemeint, das Medienrecht auch auf Online-Plattformen anzuwenden. Dies könnte gefährlich werden, da eine Plattform mit nutzergenerierten Inhalten keine Vorabprüfung durchführen bzw. Haftung für die Inhalte ihrer Nutzerinnen und Nutzer übernehmen kann. Schlimmstenfalls könnte sich hinter diesem Punkt eine Regelung ähnlich dem deutschen Netzwerkdurchsetzungsgesetz verbergen, die vom UN-Sonderberichterstatter zur Meinungsfreiheit aufgrund der Gefahr eines überschießenden Zensurregimes scharf kritisiert wurde. Im Rahmen der Netpeace-Kampagne von Greenpeace hat sich epicenter.works mit dem Thema der Plattformregulierung intensiv beschäftigt, aber vorläufig noch zu keiner zufriedenstellenden Lösung gefunden.

Zusammenfassung

Leider ist im Regierungsabkommen keine Abkehr von den Überwachungsfantasien der vorigen Regierung zu erkennen, obwohl die FPÖ als Oppositionspartei bei diesem Thema durchaus kritisch war. Auch der starke Einfluss der Industrie ist deutlich zu erkennen. Viele der skizzierten Maßnahmen, insbesondere der ungebrochene Drang zur Datensammlung, bergen enorme Risiken für die Grundrechte der österreichischen Bevölkerung und auch der Menschen, die nach Österreich kommen. Positiv ist zu erwähnen, dass die Digitalisierung Im Vergleich zu den letzten Koalitionsabkommen eine viel prominentere Rolle einnimmt.



Eine Farbcodierung der relevanten Passagen des 182-seitigen Papiers findet sich hier. In der Analyse hat sich epicenter.works naturgemäß nur auf die grundrechtlichen und netzpolitischen Aspekte konzentriert.