Professor Dr. Nikolaus Forgó ist Professor für Technologie- und Immaterialgüterrecht und Vorstand des Instituts für Innovation und Digitalisierung im Recht an der Universität Wien sowie Mitherausgeber der MMR.
MMR 2025, 481 Der mörderische Anschlag in Graz, bei dem ein 21-jähriger in seine ehemalige Schule eindrang, zehn Menschen und dann sich selbst erschoss und so viele weitere verletzte und traumatisierte, dominiert derzeit, zu Recht, auch die rechtspolitische Debatte in Österreich. Im Vordergrund steht dabei die waffenrechtliche Thematik, wie es sein konnte, dass ein 21-jähriger es auf legalem Wege bewerkstelligen konnte, sich zwei Waffen und Munition zu besorgen, mit denen er innerhalb weniger Minuten ein derartiges Massaker anzurichten vermochte. Aber auch datenschutzrechtliche Fragen werden gestellt, weil der Täter bei einer psychologischen Untersuchung beim Bundesheer „durchgefallen“ war, was allerdings bei der späteren psychologischen Untersuchung anlässlich des Waffenerwerbs mangels datenschutzrechtlicher Rechtsgrundlage zur Übermittlung der Bundesheerbefundung unbekannt geblieben war. Zu Recht wird nun auch medienethisch und -rechtlich intensiv diskutiert, wie journalistisch über den Attentäter und sein Umfeld vertretbar berichtet werden soll. Der ehemalige Herausgeber eines österreichischen Boulevardmediums Christian Nusser hat dazu einen sehr bemerkenswerten Text verfasst (abrufbar unter: https://www.newsflix.at/s/der-amoklauf-die-medien-und-wieso-5-minuten-entscheidend-sein-koennen-120113792) und der Podcast „Die Dunkelkammer“ hat dazu eine sehr hörenswerte Folge mit dem Geschäftsführer des Österreichischen Presserats (abrufbar unter: https://dunkelkammer.simplecast.com/episodes/195-graz-der-amoklauf-die-abgrunde-des-medienbetriebs-die-anderen-machen-das-ja-auch) ins Netz gestellt.
Das, was wir gerade von diesem Massaker lernen müssen, weist, wie hier gezeigt werden soll, auch Bezüge zu einer anderen öffentlichen Debatte auf, die durch den Anschlag zumindest vorläufig aus den österreichischen Allgemeinmedien verdrängt wurde: Die Diskussion über einen Vorschlag, in Österreich (erneut) eine (Art von) Quellen-TKÜ gesetzlich vorzusehen. Der österreichische Innenminister hatte einen entsprechenden Vorschlag dem Parlament und der Öffentlichkeit im April 2025 unterbreitet (Ministerialentwurf betreffend Bundesgesetz, mit dem das Staatsschutz- und Nachrichtendienst-Gesetz, das Sicherheitspolizeigesetz, das Telekommunikationsgesetz 2021, das Bundesverwaltungsgerichtsgesetz und das Richter- und Staatsanwaltschaftsdienstgesetz geändert werden soll, 8/ME XXVIII. GP, abrufbar unter: https://www.parlament.gv.at/gegenstand/XXVIII/ME/8).
Das ist schon deshalb allgemeinpolitisch interessant und heikel, weil die von den damaligen Regierungsparteien ÖVP und FPÖ beschlossene Vorgängernorm von Vertretern der damaligen Oppositionsparteien SPÖ und NEOS erfolgreich vor dem ÖVerfGH bekämpft wurde (Erkenntnis v. 11.12.2018 - VfGh G 72-74/2019), SPÖ und NEOS nun aber gemeinsam mit der ÖVP in der Regierung sind: Während die FPÖ, die den vom ÖVfGH aufgehobenen Vorschlag mit beschlossen hat, nun gegen den - abgeschwächten - Vorschlag mit grundrechtlichen Argumenten auftritt, ist die SPÖ nun mit dem Argument, es gehe nun nicht mehr um Massenüberwachung, dafür - und die Position von NEOS (vorläufig) unklar.
Worum geht es? Zulässig werden soll nun, wie der Innenminister vorschlägt, insbesondere auch eine Überwachung von Nachrichten und Inhalten durch die Direktion Staatsschutz und Nachrichtendienste (DSN), die auf dem Wege verschlüsselter Internetkommunikation - also insbesondere über Messenger-Programme wie WhatsApp oder Signal - übermittelt werden. Bekanntlich setzt eine solche Überwachung das Umgehen der Verschlüsselung durch Installation von Software „an der Quelle“ voraus - eine Quellen-TKÜ. Der Vorschlag ist damit in vielfacher Hinsicht auch für die deutsche Diskussion relevant und interessant, nicht zuletzt vor dem Hintergrund der nun für 2025 geplanten Entscheidung zum seit Jahren laufenden Verfahren vor dem BVerfG (Az. 1 BvR 180/23) zur Frage, ob die durch das Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens v. 17.8.2017 (BGBl. I 3202, in Kraft getreten am 24.8.2017) eingeführten Möglichkeiten der Anordnung der Quellen-TKÜ und der Online-Durchsuchung verfassungsgemäß sind.
Das Vorhaben versucht in vielfacher Weise, dem Vorwurf der Ermöglichung undifferenzierter Massenüberwachung durch unterschiedliche Beschränkungen entgegenzutreten und den durch den ÖVfGH formulierten Anforderungen gerecht zu werden. Es handelt sich nicht um eine Maßnahme, die durch beliebige Staatsanwaltschaften initiiert werden kann, sondern steht allein dem Staatsschutz- und Nachrichtendienstorgan DSN, und dieser nur als Ultima Ratio bei der Bekämpfung schwerer, vor allem terroristischer, Kriminalität, zur Verfügung. Voraussetzung ihres Einsatzes ist u.a. eine verwaltungsgerichtliche Genehmigung im Vorfeld und eine Berichtspflicht an den Nationalrat, also den Gesetzgeber, wenn mehr als 35 Genehmigungen der Überwachung in einem Jahr erteilt werden. Damit soll weiter sichergestellt werden, dass es sich um Einzelmaßnahmen in Extremfällen handelt. Der Rechtsschutzbeauftragte - ein (mehr oder weniger) unabhängiges Kontrollorgan im Innenministerium - hat den Einsatz laufend zu begleiten und zu überwachen. Ein Einbringen des Trojaners auf das Zielsystem darf nicht mit einem Eindringen in das Hausrecht verbunden sein, das Programm muss also, in der Regel, remote installiert werden. Eine Online-Durchsuchung soll nicht legalisiert werden, nur eine Quellen-TKÜ.
Trotz all dieser Maßnahmen, die die Intensität des Grundrechtseingriffs reduzieren sollen, begegnet der Vorschlag nicht nur Lob und Zustimmung (die im Begutachtungsverfahren freilich auch häufig geäußert werden), sondern auch weiterhin fundamentaler und auch fundierter Kritik. Diese Kritik hat vor allem technische Gründe, die nicht durch (unterschiedliche) Rechtsnormen beseitigt werden können und deren Bedeutung schon deshalb über Österreich hinausgeht:
- Zum einen wird angeführt, dass verfassungsrechtlich relevante Zielkonflikte entstehen können, wenn staatliche Behörden einerseits Informationssicherheit sicherstellen und andererseits Sicherheitslücken ausnutzen sollen.
- Zum anderen sieht der Entwurf vor, dass technisch sichergestellt werden müsse, dass ausschließlich bestimmte, von der Genehmigung erfasste Nachrichten überwacht werden, dass am zu überwachenden Computersystem nur für die Nachrichtenüberwachung unerlässliche Veränderungen vorgenommen werden und dass das eingebrachte Programm nach Beendigung der Ermittlungsmaßnahme entfernt oder funktionsunfähig wird (§ 15b Abs. 1 SNG-E).
Jedoch enthalten weder die Materialien noch der Gesetzestext selbst Hinweise darauf, wie diese technischen Anforderungen erfüllt werden können sollen. Verkomplizierend kommt hinzu, dass _£die Erfüllung dieser Anforderungen vor dem erstmaligen Einsatz durch den Rechtsschutzbeauftragten zu prüfen ist (§ 14 Abs. 6 SNG-E). Der Rechtsschutzbeauftragte hat dafür jedoch nur zwei Wochen Zeit und ist zwingend Jurist, sodass grundsätzliche Zweifel daran geäußert werden, wie er in der Lage sein könnte, dieser Prüfungsaufgabe qualifiziert gerecht zu werden: Da solche Software nicht einfach im Laden gekauft werden kann, eine Eigenentwicklung durch die DNS so gut wie ausgeschlossen ist, der Source-Code nicht öffentlich ist und diskutiert werden kann, bestehen erhebliche Informationssicherheitsbedenken, die so weit reichen, dass manche befürchten, das Gesetz verlange (oder fingiere) technisch Unmögliches. Erschwerend kommt hinzu, dass der Rechtsschutzbeauftragte (wie auch die zuständigen Verwaltungsrichter) hinfort auch noch einer alle drei Jahre zu wiederholenden Sicherheitsüberprüfung durch - ausgerechnet - die DNS unterzogen werden (§ 91b Abs. 1a SPG-E) soll, was weitere Bedenken nährt, ob und wie eine technisch ausreichend versierte unabhängige Überprüfung möglich sein soll.
Wie hängen nun die Diskussion um das Attentat in Graz und um den Online-Trojaner zusammen? Der Grazer Attentäter war vor dem Anschlag polizeilich unbekannt. Selbst nach dem Anschlag hieß es zunächst - wie sich inzwischen deutlich gezeigt hat: sehr zu Unrecht - er sei „online ein Phantom“ (s. https://www.derstandard.at/story/3000000273442/was-wir-bisher-ueber-den-grazer-taeter-wissen) gewesen.
Inzwischen heißt es: Der Attentäter dürfte auf zahlreichen sozialen Plattformen (u.a. Twitter, YouTube, Steam usw.) aktiv gewesen sein und hat offenbar umfassend im Vorfeld wie auch bei der Durchführung der Tat selbst ähnliche Amokläufe referenziert, zitiert und imitiert. Er ist daher wohl ein weiteres Beispiel dafür, dass derartige Anschläge Nachahmungen hervorrufen, die sich auch - und gerade! - in Internetauftritten manifestieren. Es gibt eine School-Shooter-Fanszene im Internet, der auch (zukünftige) Attentäter angehören (vgl. dazu schon https://web.archive.org/web/20170418081747/https://hal.archives-ouvertes.fr/file/index/docid/835850/filename/Paton-Media_Participation_of_School_Shooters_and_their_Fans.pdf). Diese imitieren und zitieren in der Tat ihre Vorgänger und bereiten diese lange und unter Heranziehung des Internets und sozialer Medien lange und akribisch vor. Die gewählten Zitate reichen von bestimmter Kleidung, die beim Morden getragen wird, bis zu Fotos auf der Schultoilette unmittelbar vor Beginn des Massakers.
Es ist (leider) offensichtlich, dass ein solcher Anschlag auch bei Zulässigkeit einer dem Gesetzesvorschlag entsprechenden Quellen-TKÜ nicht verhindert hätte, schon allein, weil der Täter im Vorfeld so unauffällig war, dass er nicht nur nicht beobachtet wurde, sondern sogar legal und ungehindert Waffen erwerben konnte. Er hat (wohl) nicht eine einzige App genutzt, sodass auch daran eine zugeschnittene Quellen-TKÜ gescheitert wäre. Er hat (wohl) auch nicht nur ein (privates) Endgerät zur Kommunikation verwendet, sondern deren mehrere, darunter möglicherweise auch solche, die nicht in seiner alleinigen Verfügungsmacht standen. Vor allem bleibt auch unklar, wie man auf den Endgeräten unbemerkt eine gesetzeskonforme Software hätte installieren können.
Damit bleibt neben Fassungslosigkeit auch eine gewisse Ratlosigkeit. Vielleicht wird diese in Österreich konstruktiv genutzt, um über Sinnhaftigkeit und Verhältnismäßigkeit erheblichster Grundrechtseingriffe durch Quellen-TKÜ noch einmal nachzudenken.
Wien, im Juli 2025
Der Autor hat zum hier besprochenen Gesetzesvorhaben im eigenen Namen und in voller Unabhängigkeit eine eigene - kritische - Stellungnahme abgegeben. Diese ist abrufbar unter: https://www.parlament.gv.at/PtWeb/api/s3serv/file/5e80a9e6-18e7-4b12-aa30-55083b7cb5c4.