Der Verfassungsgerichtshof (VfGH) hat sich am heutigen Montag in einer öffentlichen Verhandlung mit einem der umstrittensten Sicherheitsgesetze der vergangenen Jahre befasst: der Überwachung verschlüsselter Messenger-Kommunikation. Die von FPÖ und Grünen eingebrachte Drittelbeschwerde richtet sich gegen die neue Regelung im Staatsschutz- und Nachrichtendienst-Gesetz (SNG), die dem Verfassungsschutz unter bestimmten Voraussetzungen den Zugriff auf Nachrichten etwa über WhatsApp oder Signal ermöglichen soll.
62 blaue und grüne Abgeordnete legten Beschwerde ein
Im Juli 2025 wurde die Messenger-Überwachung beschlossen – doch die Überwachungs-Phantasien trafen auf Widerstand: 62 Abgeordnete des Nationalrates hatten damals eine Verfassungsbeschwerde gegen die Novelle des Gesetzes eingereicht, über die nun verhandelt wurde. Während die Verlierer-Ampel die Maßnahme nämlich als unverzichtbares Instrument im Kampf gegen Terrorismus und Spionage verkauft, sehen die Antragsteller darin einen unverhältnismäßigen Eingriff in Grundrechte und warnen vor den technischen Risiken staatlicher Spionagesoftware.
Antragsteller: „Unvergleichlich invasive Maßnahme“
Für die Beschwerdeführer argumentierte Rechtsanwalt Michael Rohregger. Das Ziel, schwere Gefahren für die öffentliche Sicherheit zu bekämpfen, sei grundsätzlich nicht zu beanstanden. Dennoch sei die gewählte Methode verfassungswidrig. „Es handelt sich um eine bislang unvergleichlich invasive Überwachungsmaßnahme“, sagte Rohregger vor dem Höchstgericht. Die neue Regelung sei im Kern nichts anderes als der 2019 vom VfGH aufgehobene „Bundestrojaner“. Zwar habe der Gesetzgeber einzelne Punkte nachgebessert, die grundlegenden verfassungsrechtlichen Probleme seien jedoch bestehen geblieben.
Die Beschwerdeführer sehen unter anderem Datenschutz, Fernmeldegeheimnis, Meinungsfreiheit, den Gleichheitsgrundsatz sowie das Recht auf ein faires Verfahren verletzt. Zudem sei die Eingriffsbefugnis zu unbestimmt formuliert. Zufallsfunde könnten zu leicht verwertet werden, während die bloße Möglichkeit einer staatlichen Infiltration digitaler Geräte einen erheblichen Einschüchterungseffekt auf die Bevölkerung habe.
Wie funktioniert die Ãœberwachung technisch?
Einen Schwerpunkt der Verhandlung bildete die technische Umsetzung der geplanten Überwachung. Sylvia Mayer, Direktorin der Direktion Staatsschutz und Nachrichtendienst (DSN) erläuterte, dass die DSN kommerzielle Software beschaffen wolle. Das Vergabeverfahren sei noch nicht eingeleitet, befinde sich aber in Vorbereitung. Auch ausländische und private Unternehmen könnten sich daran beteiligen.
Nach den Vorstellungen der DSN würde eine sogenannte Ausleitungssoftware auf dem Zielgerät installiert werden. Diese leite ausschließlich die gerichtlich bewilligte Kommunikation an eine innerhalb der DSN betriebene Aufzeichnungs- und Steuerungseinheit weiter. Mayer beschrieb drei grundsätzlich mögliche Formen der Installation: Das One-Click-Verfahren, bei denen die Zielperson etwa auf einen präparierten Link klickt, das Zero-Click-Verfahren, bei denen Sicherheitslücken ausgenutzt werden, ohne dass die Zielperson aktiv werden muss. Die dritte Option sind physische Installationen direkt am Gerät.
Die letztgenannte Variante sei nach der geltenden Regelung jedoch nicht zulässig.
Sicherheitslücken als Kern des Konflikts
Besonders kontrovers verlief die Debatte über die Nutzung bislang unbekannter Softwarefehler. Rohregger argumentierte, dass jede wirksame Infiltration verschlüsselter Kommunikation letztlich auf Sicherheitslücken angewiesen sei. Der Staat müsse dafür Schwachstellen ausnutzen, die Herstellern oft nicht bekannt seien. Anstatt diese Lücken zu melden und schließen zu lassen, würden sie offengehalten.
Lege sich der Staat Sicherheitslücken auf Lager, setze er die gesamte Bevölkerung Risiken aus, warnte Rohregger. Dieselben Schwachstellen könnten auch von Kriminellen oder fremden Nachrichtendiensten genutzt werden. Die DSN widersprach. Mayer betonte, die Behörde beteilige sich weder an der Suche nach Sicherheitslücken noch an deren Offenhaltung. Bei One-Click-Verfahren seien Sicherheitslücken nicht zwingend erforderlich. Nur in bestimmten Situationen komme deren Nutzung überhaupt infrage.
Experten warnen vor „Blackbox“-Software
Als Auskunftsperson wurde auch der Informatiker Edgar Weippl von der Universität Wien gehört. Er bestätigte, dass sich eine Software grundsätzlich so gestalten lasse, dass nur bestimmte Kommunikationsinhalte ausgeleitet würden. Gleichzeitig machte er auf ein zentrales Kontrollproblem aufmerksam: Selbst wenn Behörden Quellcode einsehen könnten, sei eine vollständige Überprüfung äußerst schwierig.
„Man muss dem Hersteller letztlich vertrauen“, sagte Weippl. Besonders problematisch seien regelmäßige Updates, durch die sich die Funktionsweise der Software laufend verändern könne. Rohregger griff diesen Punkt auf und bezeichnete die Produkte als „Blackbox“. Selbst wenn die DSN die ursprüngliche Version kontrolliere, blieben Weiterentwicklungen und Aktualisierungen faktisch in der Hand privater Unternehmen.
Regierung verweist auf strenge Schutzmechanismen
Die Ampel-Regierung hält dem entgegen, dass der Gesetzgeber die Vorgaben des VfGH-Erkenntnisses aus dem Jahr 2019 umfassend berücksichtigt habe.
Sektionschef Erich Pürgy aus dem Bundeskanzleramt erklärte, die damaligen Vorgaben seien sorgfältig umgesetzt worden. Die neuen Bestimmungen enthielten klare Grenzen und Kontrollmechanismen. Mayer verwies auf ein mehrstufiges Prüfverfahren vor der Beschaffung der Software. Zudem solle jede eingesetzte Anwendung eindeutige Kennungen besitzen, sämtliche Zugriffe würden protokolliert. Die technische Infrastruktur befinde sich ausschließlich im Eigentum der DSN und werde von eigenem Personal betrieben.
Auch der Rechtsschutzbeauftragte (RSB) spiele eine zentrale Rolle. Nach Angaben des Innenministeriums könne dieser jederzeit eingreifen, die Löschung unrechtmäßig erlangter Daten verlangen oder sogar die gesamte Bewilligung entziehen.
Richter hinterfragen Kontrolle und Rechtsschutz
Mehrfach zeigten sich die Richter skeptisch, ob die vorgesehenen Kontrollmechanismen tatsächlich ausreichen. Insbesondere wurde hinterfragt, wie der Rechtsschutzbeauftragte die technische Funktionsweise einer komplexen Spionagesoftware kontrollieren könne, wenn ihm der Quellcode gar nicht zugänglich sei. Vertreter der Regierung verwiesen darauf, dass nicht die Programmierung selbst, sondern die tatsächliche Funktionalität überprüft werde. Vonseiten der Antragsteller wurde dagegengehalten, dass ohne tiefgehende technische Kenntnisse eine wirksame Kontrolle kaum möglich sei. Auch Fragen zur Zuständigkeitsverteilung zwischen DSN, Rechtsschutzbeauftragtem und Gerichten beschäftigten den Gerichtshof.
Das Urteil wird in den nächsten Worten erwartet und ergeht schriftlich oder mündlich.
FPÖ: Beschwerde „wichtige Maßnahme gegen Kontrollphantasien“
Gegenüber unzensuriert zeigte sich FPÖ-Generalsekretär Christian Hafenecker, neben der grünen Mandatarin Alma Zadić einer der beiden Antragssteller, mit dem Verlauf der Verhandlung zufrieden. Er sprach von einem „ganz wichtigen Verhandlungstag“ zu einem „wichtigen Thema“, nämlich dem Widerstand gegen die Messenger-Überwachung. Wie bedeutend die Angelegenheit sei, zeige sich auch daran, dass der Verfassungsgerichtshof „den Weg einer öffentlichen Verhandlung gewählt“ habe.
Es seien viele Problemfelder aufgezeigt worden, die mit der Messenger-Überwachung verbunden seien – etwa der Generalverdacht gegen alle Bürger, aber auch der „Verbleib der Daten bei irgendwelchen Unternehmen, die diese Software herstellen“.
Er sei „guter Dinge, dass wir mit unserer Beschwerde Erfolg haben werden“, sagte Hafenecker. Die gemeinsame Beschwerde mit den Grünen bezeichnete er als eine „ganz wichtige Maßnahme gegen die Kontrollfantasien von ÖVP und Bundesregierung“.
