„Sicherheitspaket“ teilweise verfassungswidrig

§ 54 Abs 4b SPG, BGBl 566/1991 idF BGBl I 29/2018, (Bestimmung betreffend die Befugnis der Sicherheitsbehörden zur verdeckten Ermittlung, Speicherung und Weiterverarbeitung von Daten zur Identifizierung von Fahrzeugen und Fahrzeuglenkern) verstößt gegen § 1 DSG und Art 8 EMRK: Die Befugnis zur Verarbeitung der Daten ist zwar zur Erreichung des (legitimen) Ziels der Verfolgung bzw Vorbeugung strafbarer Handlungen abstrakt geeignet; der durch die Ermächtigung zur Datenerfassung (für Zwecke der Personen- und Sachfahndung, insbesondere nach gestohlenen Fahrzeugen) bewirkte Eingriff erweist sich jedoch in Anbetracht der Reichweite betreffend die Art und den Umfang der Daten sowie den Einsatzort und die Bedingungen der Datenermittlung und im Hinblick darauf, dass diese Ermittlungsmaßnahme (auch) zur Verfolgung und Abwehr von Vorsatztaten der leichtesten Vermögenskriminalität gesetzt werden darf, als unverhältnismäßig. Die Befugnis zur (auch anlasslosen) Speicherung sämtlicher erfasster personenbezogener Daten bedarf keiner richterlichen Genehmigung; die nachprüfende Kontrolle durch den Rechtsschutzbeauftragten ist nicht ausreichend, die Beschwerdemöglichkeit an die Datenschutzbehörde gemäß § 90 SPG geht angesichts dessen, dass der Betroffene von der (verdeckten) Ermittlung bzw Speicherung seiner Daten keine Kenntnis hat, ins Leere.

§ 98a Abs 2 S 1 StVO 1960, BGBl 159/1960 idF BGBl I 29/2018, (Befugnis zur Weitergabe der durch Section-Control-Anlagen gewonnenen Daten durch die Sicherheitsbehörden) sowie die damit in untrennbarem Zusammenhang stehende Bestimmung des § 57 Abs 2a SPG, BGBl 566/1991 idF BGBl I 29/2018, (Rechtsgrundlage, um die übermittelten Daten mit Fahndungsevidenzen für die Zwecke der Fahndung, der Abwehr und Aufklärung gefährlicher Angriffe und der Abwehr krimineller Verbindungen zu vergleichen) verstoßen gegen § 1 DSG und Art 8 EMRK: § 98 Abs 2 S 1 StVO durchbricht angesichts des weiten Verständnisses der genannten Zwecke die vom VfGH als erforderlich erachtete strenge Zweckbindung (vgl VfSlg 18.146/2007) bei der Verarbeitung der gemäß § 98a Abs 1 StVO 1960 gewonnenen Daten; insbesondere die Datenverarbeitung für Zwecke der „Strafrechtspflege“ umfasst die Verfolgung und Vorbeugung jedes strafrechtlich verpönten (vorsätzlichen oder fahrlässigen) Verhaltens und gewährleistet daher nicht, dass die gespeicherten Daten von den Sicherheitsbehörden nur dann verarbeitet werden, wenn dies der Verfolgung und Vorbeugung von Straftaten dient, die im Einzelfall eine gravierende Bedrohung der in § 1 Abs 2 DSG und Art 8 Abs 2 EMRK genannten Ziele darstellen und einen solchen Eingriff rechtfertigen.

§ 134 Z 3a (gesetzliche Definition der „Überwachung verschlüsselter Nachrichten“) und § 135a StPO, BGBl 631/1975 idF BGBl I 27/2018, (Bestimmung betreffend Befugnisse zur Überwachung verschlüsselter Nachrichten) sind verfassungswidrig: Die vertrauliche Nutzung von Computersystemen und digitalen Nachrichtendiensten sind nach Ansicht des VfGH wesentlicher Bestandteil des Rechts auf Achtung des Privatlebens nach Art 8 EMRK. Die verdeckte Überwachung der Nutzung von Computersystemen ist ein schwerwiegender Eingriff in die geschützte Privatsphäre und daher nur in äußerst engen Grenzen zum Schutz entsprechend gewichtiger Rechtsgüter zulässig. Der angefochtenen Ermittlungsmaßnahme kommt im Hinblick auf die Art und den Umfang der Überwachung sowie insbesondere im Hinblick darauf, dass aus den gewonnenen Daten Rückschlüsse auch auf die persönlichen Vorlieben, Neigungen, Orientierung und Gesinnung sowie Lebensführung des Nutzers ermöglicht werden und dass auch eine Vielzahl von unbeteiligten Personen von der Ermittlungsmaßnahme betroffen sind, eine besondere Intensität zu. Die Ermächtigung zur Überwachung verschlüsselter Nachrichten durch Installation eines Programms auf einem Computersystem („Bundestrojaner“) verstößt schon deshalb gegen Art 8 EMRK, weil nicht gewährleistet ist, dass die Überwachungsmaßnahme nur dann erfolgt, wenn sie zur Verfolgung und Aufklärung von hinreichend schwerwiegenden Straftaten (Art 8 Abs 2 EMRK) dient; zum anderen wird der Schutz der Privatsphäre von durch den „Bundestrojaner“ Betroffenen durch die Ausgestaltung der Maßnahme nicht hinreichend sichergestellt: Der Rechtsschutzbeauftragte ist nach der richterlichen Genehmigung der Maßnahme zwar befugt, sich von der Durchführung einer Überwachung einen „persönlichen Eindruck“ zu verschaffen, es ist jedoch nicht sichergestellt, dass er auch tatsächlich in der Lage ist, die laufende Überwachung eines Computersystems effektiv und unabhängig zu überwachen. § 135a Abs 2 (Bestimmung über die technischen Anforderungen an das in einem Computersystem zu installierende Programm für eine Überwachung verschlüsselter Nachrichten) und Abs 3 StPO (Ermächtigung zum Eindringen in eine bestimmte Wohnung oder in andere durch das Hausrecht geschützte Räume, zur Durchsuchung von Behältnissen und zur Überwindung spezifischer Sicherheitsvorkehrungen zum Zweck der Installation des Programms) stehen in untrennbarem Zusammenhang zu § 135a Abs 1 StPO und sind (schon) aus diesem Grund als verfassungswidrig aufzuheben; Abs 3 widerspricht zudem dem Hausrechtsgesetz 1862, wonach Hausdurchsuchungen, die ohne Wissen des Betroffenen durchgeführt werden, diesem im Nachhinein – innerhalb der nächsten 24 Stunden – mitzuteilen sind.