Der Instanzenzug ist durch: Datenschutzbehörde, Bundesverwaltungsgericht und Verwaltungsgerichtshof haben alle bestätigt, dass Bürgermeister Schneeberger (ÖVP) 2023 die Daten von 1.800 Unterzeichner:innen einer Petition unrechtmäßig für einen politischen Serienbrief missbraucht hat. Wir feiern diesen Sieg der betroffenen Bürger:innen und stellen fest, was noch immer fehlt.

epicenter.works ist im Internet zu Hause und deshalb gibt’s bei uns auch immer viel zu tun. Wir stehen für eine Politik, die Grund- und Freiheitsrechte im digitalen Zeitalter konsequent und ohne Einschränkungen durchsetzt und dabei unabhängig von allen politischen Parteien und Firmen ist. Das Internet hat enormes Potenzial für eine offene Demokratie, eine gerechtere Gesellschaft und faire Wirtschaft. Dafür stehen wir!

Zur Rolle:

Du bist unser Gesicht nach außen: Du trägst unsere Themen auf Social Media und in die Medien – mit Haltung, Klarheit und echtem Sendungsbewusstsein. Du entwickelst eine Social-Media-Strategie für unsere verschiedenen Plattformen, bespielst sie mit eigenen Inhalten und hast Spaß daran, vor der Kamera zu stehen – ob für einen Instagram-Reel oder ein ZIB-Interview.

Du verantwortest:

• Entwicklung und Umsetzung einer Social-Media-Strategie für Instagram, LinkedIn, Mastodon und weitere Plattformen
• Content-Produktion am Handy: kurze Videos, Posts, Stories – plattformgerecht und auf den Punkt
• Medienarbeit: Interviews geben, Journalist:innen ansprechen, Pressearbeit unterstützen
• Schnelle Reaktion auf aktuelle digitalpolitische Entwicklungen
• Präsenz bei Veranstaltungen, Konferenzen und Aktionen
• Mitbetreuung von Newsletter und Website
• Kommunikative Begleitung unserer Fundraising-Aktivitäten
• Gestaltung und Umsetzung unserer Kampagnen auf nationaler und europäischer Ebene (in Absprache mit Policy-Abteilung)

Über dich:

• Du hast Erfahrung mit Content-Produktion am Handy und weißt, welche Videos und Posts in sozialen Netzwerken funktionieren
• Du begeisterst dich dafür, komplexe Themen internet-gerecht in Text, Bild und Video aufzubereiten
• Du hast Lust, öffentlich sichtbar zu sein, ob vor der Kamera oder auf der Bühne
• Du interessierst dich für Netzpolitik, Digitalisierung und Grundrechte, oder bringst die Bereitschaft mit, dich einzuarbeiten
• Du schreibst sehr gutes Deutsch und gutes Englisch
• Du arbeitest verlässlich und bringst Teamgeist mit
• Du hast hohe soziale Kompetenz und ein gutes Auftreten
• Vom Zeit-im-Bild-Interview bis zum Basteln von Demoschildern, du hast die Bereitschaft, überall mit uns anzupacken!

Toll wäre:

• wenn du auch praktische Erfahrung mit Grafikprogrammen und/oder Webentwicklung hast
• wenn du bereits Erfahrung in der Öffentlichkeitsarbeit mitbringst
• wenn du Vorwissen im Bereich freie Netze, Algorithmenregulierung oder Datenschutz hast

Du erlebst mit uns:

• Wie ein kleiner Verein Berge versetzen kann
• Zusammenarbeit mit Politik, NGOs, Medien und Wissenschaft
• Eigenverantwortliche Rollen in einem schnellen, kreativen Team
• Raum für neue Ideen und die Mitgestaltung der Zukunft

Der Dienstort:

• Wien 1060, Linke Wienzeile 12/19
• Zeitweises Remote- und Teleworking sind möglich.

Die Rahmenbedingungen:

• Dienstbeginn ab 01. Juli 2026 möglich
• Vollzeit (38,5 Wochenstunden), Gleitzeit und flexible Zeiteinteilung, echter Dienstvertrag
• monatliche Entlohnung mind. € 3.200 Brutto (qualifikationsabhängig)

Stell dir vor, du wartest seit Monaten auf deine Baubewilligung. Der Bescheid kommt: bewilligt. Du planst weiter, unterschreibst Verträge, der Baustart rückt näher.

Monate später wird der Bescheid aufgehoben. Eine Routinekontrolle hat ergeben, dass die automatisierte Entscheidung auf einer fehlerhaften oder halluzinierten KI-Bewertung beruhte. Was als Fortschritt begonnen hat, endet in Rechtsunsicherheit und zusätzlichen Kosten. Das ist der mögliche Alltag, wenn die geplante AVG-Novelle (Allgemeines Verwaltungsverfahrensgesetzes) so beschlossen wird.

Als wir WhoIdentifies.me erstmals vorgestellt haben, stand eine einfache, aber bislang unbeantwortete Frage im Zentrum: Wer greift im entstehenden eIDAS-Ökosystem – also gewissermaßen einer europäischen ID-Austria - eigentlich auf welche Daten zu? Wir freuen uns mit der Veröffentlichung des Prototypen einer Antwort auf diese Frage deutlich näher zu kommen.

Der Hintergrund des Projekts ist unverändert aktuell. Mit der Weiterentwicklung von eIDAS und der Einführung der European Digital Identity Wallet (der europäischen digitalen Brieftasche) entsteht eine Infrastruktur, die weit über klassische Online-Authentifizierung hinausgeht. Digitale Identität wird damit zu einem zentralen Baustein des digitalen Alltags in Europa. Staatlich bestätigte Identitätsmerkmale wie Name, Alter oder nach aktuellem Stand auch biometrische Daten, können in unterschiedlichsten Kontexten verwendet werden - vom Behördenverfahren bis hin zu privaten Online-Diensten. Gerade weil diese Infrastruktur so breit eingesetzt werden soll, stellt sich umso dringlicher die Frage nach Transparenz. Während die technische und rechtliche Ausgestaltung intensiv diskutiert wird, bleibt oft unsichtbar, welche konkreten Datenflüsse tatsächlich im Alltag entstehen.

Genau hier setzt WhoIdentifies.Me an. Die Grundidee, wie in unserer Concept Note beschrieben, besteht darin, öffentlich verfügbare Informationen aus nationalen Registern und anderen Quellen zusammenzuführen und daraus ein verständliches Gesamtbild zu erzeugen. Mit unserem Prototypen machen wir diesen Ansatz erstmals erfahrbar. Er zeigt, wie ein bisher unübersichtliches System künftig in einer einzigen Oberfläche zusammengeführt wird. Dadurch wird klarer erkennbar, welche Unternehmen und staatlichen Stellen überhaupt zum eIDAS-Ökosystem gehören.

Besonders deutlich wird dabei, dass Transparenz nicht nur eine Frage des „Wer“, sondern auch des „Was“ ist. Entscheidend ist nicht allein, welche Organisationen digitale Identitätssysteme nutzen, sondern welche Daten sie in diesem Zusammenhang anfragen. Genau diese Perspektive eröffnet die Möglichkeit, Datenflüsse vergleichbar zu machen und über einzelne Anwendungsfälle hinaus zu denken. Erst dadurch gibt es eine Basis, auf der man Muster erkennen und Entwicklungen verfolgen kann.

Der Prototyp bleibt bewusst auf einer einfachen, grundlegenden Ebene und versucht nicht, schon alle möglichen Analysefunktionen abzubilden. Stattdessen zeigt er, dass die nötigen Daten grundsätzlich vorhanden sind und so aufbereitet werden können, dass sie sowohl für technische als auch für nicht-technische Nutzer verständlich sind. Da eIDAS als europäische Infrastruktur gedacht ist, liegt der Schwerpunkt außerdem darauf, über nationale Grenzen hinauszuschauen und ein gemeinsames, grenzüberschreitendes Gesamtbild zu schaffen.

Hier zeigt sich, wohin sich das Projekt weiterentwickeln kann. Unsere Vision geht über eine reine Darstellung hinaus: Ziel ist ein Werkzeug, das Veränderungen im System frühzeitig sichtbar macht. In einer Umgebung, in der sensible, staatlich bestätigte Daten in immer mehr Bereichen genutzt werden, wächst auch der Bedarf, diese Entwicklungen zu beobachten und kritisch einzuordnen. Transparenz ist dabei eine wichtige Grundlage: Für öffentliche Diskussionen und letztlich auch für wirksame Regulierung.

Gleichzeitig wird deutlich, dass für ein wirkliches Verständnis digitaler Identität mehr nötig ist als nur Gesetze und technische Spezifikationen. Es braucht Werkzeuge, die sichtbar machen, was tatsächlich passiert.

Vor diesem Hintergrund laden wir herzlich zu unserem Workshop ein. Dort stellen wir den aktuellen Stand des Prototyps vor und möchten ihn gemeinsam weiterentwickeln. Die Workshops richten sich an NGOs, Forschende sowie alle, die sich für die praktische Nutzung und die Auswirkungen der europäischen digitalen Identitätsinfrastruktur interessieren. Ziel ist es, Feedback zu sammeln und die Entwicklung des geplanten Piloten aktiv mitzugestalten. Dieser soll reale Daten aus den Mitgliedstaaten einbeziehen und bis Ende 2026 fertig sein.

Es war bereits die dritte Telekom-Hauptversammlung, auf der wir als epicenter.works das Wort ergriffen haben. 2017 und 2019 war unser Thema StreamOn: ein Produkt, das wir damals als klaren Verstoß gegen die Netzneutralität und gegen geltendes EU-Recht bezeichnet haben. 2021 hat der Europäische Gerichtshof bestätigt: Wir hatten Recht. Das Produkt wurde verboten, die Datenvolumen in Deutschland stiegen danach drastisch - ohne Mehrkosten für Kunden.

Das Muster ist immer dasselbe: Die Telekom verschlechtert Angebote und Qualität künstlich, um dann die Ausnahme von dieser Verknappung zu vermarkten. Erst wenn die künstliche Verknappung verboten wird, verbessert sich die Lage für alle. Genau dieses Muster sehen wir jetzt auch bei der Zusammenschaltung.

Zur Rede inkl. Quellen 

Europa steht kurz vor der Einführung einer der zentralen digitalen Infrastrukturen der kommenden Jahre: der europäischen digitalen Brieftasche (EUID). Bis Ende 2026 sollen Bürger:innen damit Ausweise, Führerscheine oder Zeugnisse sicher am Smartphone nutzen können. Ziel ist es, digitale Services zu vereinfachen und gleichzeitig mehr Kontrolle über die eigenen Daten zu ermöglichen.

Doch während auf europäischer Ebene das Gesetz bereits 2024 beschlossen wurde und in vielen EU-Staaten bereits intensiv an dieser Zukunft gearbeitet wird, zeigen wir auf, dass in Österreich wenig passiert. Die Frage ist nicht mehr, ob die digitale Identität kommt – sondern wann die Regierung endlich mit den Vorbereitungen beginnt.

Epicenter.works bringt Expert:innen für Pressekonferenz nach Wien

Die geplante europaweite Wallet soll weit mehr sein als ein digitaler Ausweis. Sie ist als grundlegende Infrastruktur gedacht, die Verwaltung, Wirtschaft und Bildung verbindet – und gleichzeitig Datenschutz, Sicherheit und Vertrauen gewährleisten soll.

Genau hier setzen auch kritische Fragen an: Wie lassen sich diese Versprechen tatsächlich einlösen? Welche technischen und rechtlichen Voraussetzungen fehlen noch? Und welche Rolle spielen dabei nationale Systeme wie die ID Austria?

Diese Fragen standen im Zentrum unserer großen Pressekonferenz mit internationalen Expert:innen in Wien, bei der Chancen, Risiken und offene Punkte der digitalen Identität diskutiert wurden. Das Interesse war enorm, fast alle Tageszeitungen des Landes haben berichtet.

Österreich droht den Anschluss zu verlieren

Parallel dazu zeichnet sich ein zunehmend kritisches Bild der österreichischen Umsetzung. Zwar versteht die Regierung sich gerne und seit Jahren als Vorreiter im E-Government, der Realitätstest durch die kommende europäische digitale Identität zeigt aber ein anderes Bild. Ein zentrales Problem: Die bestehende ID Austria wurde 2017 konzipiert und basiert auf veralteten Standards. Datenschutzfreundliche Neuerungen fehlen und genau die sind für den sicheren Einsatz online aber essentiell. Auch wenn das EU System nicht perfekt ist, zur ID Austria ist es ein großer Schritt nach vorne. Was hier weltweiter Standard ist, haben wir letztes Jahr in einem eLearning-Kurs zusammengefasst.

Zwischen Anspruch und Umsetzung

Die Diskrepanz zwischen europäischem Anspruch und nationaler Umsetzung wirft grundlegende Fragen auf. Bis Ende 2026 hat Österreich Zeit die neuen EU Vorgaben umzusetzen, sonst drohen Strafzahlungen. Dem Vernehmen nach gibt es jedoch immer noch kein Budget für das Projekt, was angesichts der zwei- bis dreistelligen Millionenbeträge, die in anderen EU-Staaten seit mehreren Jahren für die Umsetzung ausgegeben werden, bedenklich ist. Für das Thema zuständig waren nach Ministerin Schramböck die Staatssekretär:innen Tursky, Bauer und aktuell Pröll – alle von der ÖVP.

Wenn die europäische digitale Brieftasche dann mal in Österreich umgesetzt ist, können wir uns vor allem auf eine Neuerung freuen: Ein Recht das System nicht zu verwenden. Anders als in Österreich derzeit üblich dürfen laut dem EU-Gesetz nämlich keine höheren Gebühren für analoge Amtswege eingehoben werden, keine Amtswege nur mittels ID Austria angeboten werden und auch Dienstnehmer:innen dürfen nicht mehr zur ID Austria gezwungen werden. Dieser Schutz vor Diskriminierung garantiert die Freiwilligkeit des Systems und war unsere zentrale Forderung mit der wir uns in jahrelangen zähen Verhandlungen auf EU-Ebene durchgesetzt haben.

Was jetzt zu tun ist

Anfang der 2000er war Österreich wirklich Vorreiter in Sachen eGovernment. Damals wurde Datenschutz noch als Teil der Lösung verstanden, anstatt als Ausrede für das eigene Scheitern verwendet. Digitalisierung sollte wieder als gesamtgesellschaftliche Transformation verstanden werden, die sich nicht nur an den Interessen der Verwaltung und Wirtschaft orientiert. Deswegen machen wir jetzt besonders Druck. Es geht nicht nur um Technologie, sondern um Grundsatzfragen von Datenschutz, Kontrolle und digitaler Souveränität. Dafür braucht es jetzt klare politische Prioritäten der Regierung.

Warum unsere Arbeit jetzt entscheidend ist

Die Arbeit von epicenter.works, die hier endlich sichtbar wird, existiert nur dank unserer Fördermitglieder. Ohne diese Unterstützung gäbe es uns nicht. Als Fördermitglied ermöglichst du, dass Expert:innen hinschauen, recherchieren, aufklären und politischen Druck aufbauen können – gerade bei so zentralen Themen wie der digitalen Identität. Werde jetzt Fördermitglied und hilf uns.

Wir beobachten die Verhandlungen um die EU Digital Identity Wallet seit dem ersten Tag – haben über 20 Statements und sieben offene Briefe verfasst, viereinhalb Jahre lang jeden Entwurf gelesen und jede Änderung verfolgt. Was wir gelernt haben: Die Kommission hat keinerlei Skrupel, Schutzmaßnahmen rückgängig zu machen, die sie gerade erst eingeführt hat. Und genau das passiert jetzt wieder.

Moderne Gesellschaften sind stark von digitalen Systemen abhängig, von Krankenhäusern über Behörden bis zur Energieversorgung. Gleichzeitig sind IT-Systeme aber auch so komplex, dass sie nie vollständig fehlerfrei sein werden.

Damit stellt sich nicht die Frage ob Sicherheitslücken in einem System existieren, sondern wer diese Schwachstellen zuerst entdeckt und was danach passiert?

Jüngste Aussagen aus der Bundesregierung lassen befürchten, dass in Österreich der Zugang zu sozialen Netzwerken künftig nur noch nach Identitätsprüfung über eine staatliche digitale Identität wie die ID Austria möglich sein soll. Wie ein Nummerntaferl für alle Fussgänger. Damit würde ein zentraler Pfeiler digitaler Grundrechte ins Wanken geraten.

Vom Schutz Minderjähriger zur Kontrolle aller

Beim Neujahrsempfang der ÖVP kündigte Bundeskanzler Christian Stocker strengere Regeln für soziale Netzwerke an. Damit meint er aber nicht die Konzerne, sondern die Österreicher:innen. Alle Nutzer:innen müssten sich ausweisen – unabhängig davon, ob sie volljährig sind oder nicht.

Eine solche Maßnahme hat mit effektivem Jugendschutz wenig zu tun. Sie würde Anonymität und Pseudonymität im Netz faktisch abschaffen und damit genau jene Schutzmechanismen zerstören, die für viele Menschen essenziell sind: für Whistleblower:innen, politisch Aktive, queere Personen, Betroffene von Gewalt oder schlicht für alle, die ihre Meinung ohne Angst vor Repression äußern wollen. Wie wir in den “10 Gründen gegen die Klarnamenpflicht” darlegt haben, führt Namenszwang weder zu besserem Umgangston noch zu weniger Hass – wohl aber zu weniger freier Meinungsäußerung.

Grundrechte unter Druck

Eine staatlich verordnete Online-Identifikation greift massiv in Grundrechte aller ein: Meinungsfreiheit, Datenschutz und Privatsphäre wären gleichermaßen betroffen. Die politische Verantwortung dafür ist klar zu benennen. Wer den Zugang zu Information und öffentlicher Debatte an eine staatliche ID knüpft, verschiebt die Grenze zwischen demokratischem Rechtsstaat und Kontrollstaat.

Besonders problematisch: Einmal eingeführt, ließe sich eine solche Infrastruktur leicht ausweiten – heute Social Media, morgen Foren, Nachrichtenseiten oder Kommentarspalten – nennen wir es beim Namen: Überwachungsinfrastruktur. Das widerspricht dem Prinzip der Verhältnismäßigkeit und schafft einen gefährlichen Präzedenzfall.

Klarnamenpflicht = Rote Linie

Wir setzen uns seit Jahren gegen Klarnamenpflichten ein und haben gerade eben selbst einen datenschutzfreundlichen Vorschlag zur Altersverifikation vorgelegt. Dieser Ansatz überprüft ausschließlich, ob eine Person das Mindestalter erreicht hat – ohne Identitätsfeststellung, zentrale Datenbanken oder Nachverfolgbarkeit.

Statt diese praxistauglichen Alternativen aufzugreifen, ignoriert die Regierung bestehende Expertise und setzt auf ein technisch wie rechtlich riskantes Modell. Dabei zeigen internationale Erfahrungen klar: Klarnamenpflichten erhöhen Sicherheitsrisiken, schaffen attraktive Missbrauchsziele und schaden dem digitalen Standort, weil Nutzer:innen auf anonyme oder ausländische Angebote ausweichen.

Wir fordern die Bundesregierung auf, von der Idee einer Klarnamen- oder Ausweispflicht Abstand zu nehmen und stattdessen kluge und grundrechtskonforme Lösungen umzusetzen. Ein Social-Media-Verbot, oder eine Klarnamenpflicht durch die Hintertür darf nicht Realität werden – denn digitale Freiheit ist kein Luxus, sondern Voraussetzung für eine funktionierende Demokratie.

Wir fordern umgehendes Handeln der Regierung angesichts des potentiellen Skandals um die Kreditauskunftei CRIF: Nach Erkenntnissen unserer Schwesterorganisation noyb.eu werden öffentliche Register scheinbar von privaten Datenhändlern als Quelle für hochsensible personenbezogene Daten genutzt. Diese Daten werden von öffentlichen Stellen immer noch ohne angemessenen Schutz vor Zweckentfremdung oder mit technischen Barrieren gegen Massenabfragen im Internet zugänglich gemacht.

Gratis-Datenquelle für die Privatwirtschaft

Recherchen der Kolleg:innen von noyb.eu zeigen, dass Adresshändler wie der Compass Verlag und DPIT auf offene staatliche Register (z. B. Firmenbuch, Vereinsregister, Gewerberegister, Grundbuch) zugreifen, um Namen, Anschriften und weitere Stammdaten zu aggregieren – die anschließend in Wirtschaftsdatenbanken wie jener der CRIF verwendet werden um z. B. Bonitätsauskünfte zu erteilen. Diese Nutzung geht deutlich über den ursprünglichen Zweck staatlicher Register hinaus und birgt erhebliche Risiken für die informationelle Selbstbestimmung. Technisch ist es möglich, dass über sogenanntes “Scraping” dieser staatlichen Register auch Unmengen an persönlichen Daten der Österreich:innen in die Entwicklung von KI geflossen sind. Unser Geschäftsführer Thomas Lohninger kritisiert, dass der Staat seiner Aufsichtspflicht wieder nicht gerecht wird: 

"Öffentliche Register verfügen vielerorts über keine ausreichenden technischen Schutzmechanismen gegen massenhafte automatisierte Abfragen („Scraping“) und wir vermissen bisher entschiedenes staatliches Handeln gegen diese Zweckentfremdung unserer persönlichen Daten. Verantwortlich für die betroffenen Register sind Wirtschaftsminister Hattmannsdorfer, Finanzminister Marterbauer, Innenminister Karner, Justizministerin Sporrer, sowie die Datenschutzbehörde und technische Dienstleister wie das BRZ.“

Seit dem letzten Skandal nichts dazugelernt

Dieser Datenskandal ist der jüngste in einer erschreckend langen Reihe. Beim ERsB Skandal 2020 etwa wurde von Wirtschafts- und Finanzministerium komplett auf den Datenschutz vergessen. Persönliche Daten von mindestens einer Million Menschen wurden jahrelang ohne jede Schutzmaßnahme öffentlich ins Netz gestellt. Bereits damals wiesen wir in einer Pressekonferenz auf die Datenschutz-Hausaufgaben für die Regierung und mögliche Lösungen hin.

Nur durch konkrete rechtliche Regeln und technische Schutzmaßnahmen kann verhindert werden, dass sensible staatlich erhobene Daten automatisiert in großen Mengen zweckentfremdet werden. Ansonsten drohen staatliche Register zu einer unkontrollierten Gratis-Datenquelle für die Privatwirtschaft zu werden – auf Kosten der Grundrechte der Österreicher:innen.

Mit der eIDAS-Verordnung wird die bisherige ID Austria Teil eines neuen EU-weiten Systems, der European Digital Identity (EUDI) Wallet. Künftig sollen Bürger:innen ihre staatlich beglaubigte Identität und andere Eigenschaften europaweit einsetzen können: bei Behörden, Banken, Versicherungen, Arbeitgebern, Verkehrsunternehmen oder großen Online-Plattformen. 

Der eIDAS Monitor

Was dabei bislang fehlt, ist Transparenz: Wer fragt welche Daten ab, zu welchem Zweck und in welchem Ausmaß? Genau hier setzt unser neues Projekt an; mit der Entwicklung eines eIDAS-Monitors unter dem Namen: Whoidentifies.me

Whoidentifies.me ist eine Open-Data-Transparenzplattform für digitale Identitäts-Wallets. Sie macht sichtbar, welche Unternehmen und staatlichen Stellen digitale Identitätssysteme nutzen, welche personenbezogenen Daten sie abfragen und wofür diese Daten verwendet werden. Grundlage dafür sind die öffentlich zugänglichen und gesetzlich vorgeschriebenen Schnittstellen der nationalen eIDAS-Register in allen EU-Mitgliedsstaaten. Diese bislang fragmentierten und schwer zugänglichen Informationen bereiten wir erstmals europaweit vergleichbar, verständlich und durchsuchbar auf. Das ganze Konzept kannst du hier lesen.

Frühwarnsystem für digitale Grundrechte. 

Mit der Umstellung auf eIDAS werden Nutzer:innen nationaler ID Systeme wie der ID Austria künftig mit Datenanfragen aus dem gesamten EU-Binnenmarkt konfrontiert; häufig nach sensiblen, staatlich beglaubigten personenbezogenen Informationen. Da das eIDAS System in vielen Lebensbereichen von Gesundheit, Verkehr und Telekommunikation eingesetzt werden soll, steigen auch die Risiken von Missbrauch, Diskriminierung, Zweckentfremdung, dem Ausschluss vulnerabler Gruppen und die Gefahr der Diskriminierung von Menschen ohne Smartphone, Pass oder digitaler Identität. Whoidentifies.me schafft hier die notwendige Datenbasis, um problematische Entwicklungen frühzeitig zu erkennen und öffentlich zu diskutieren, bevor Schaden entsteht. Personalisierte Warnmeldungen erlauben der interessierten Öffentlichkeit Echtzeit-Informationen über relevante Entwicklungen im Ökosystem noch lange bevor Nutzer:innen mit Anfragen nach ihren persönlichen Informationen konfrontiert werden.

Die Plattform richtet sich insbesondere an Konsument:innen- und Datenschutzorganisationen. Deren Arbeit soll durch den einfachen Zugang zu Echtzeitinformationen über das gesamte eIDAS Ökosystem künftig einfacher werden, um etwaige Missstände frühzeitig zu erkennen und zu beheben. Auch NGOs, die sich für vulnerable Gruppen wie Senior:innen, Menschen mit Behinderung oder Migrant:innen einsetzen, erhalten einen entscheidenden Informationsvorteil, um relevante Anwendungsfälle frühzeitig zu erkennen und darauf zu reagieren. Gleichzeitig profitieren Wissenschaft und Öffentlichkeit erstmals von einem vollständigen, europaweiten Überblick über das eIDAS-Ökosystem. Auch Unternehmen gewinnen durch ein transparentes und vertrauenswürdiges Umfeld, ohne Missbrauch und Diskriminierung.

Offen & transparent

Seit 2017 arbeiten wir intensiv an digitalen Identitätssystemen auf europäischer Ebene und bringen unser rechtliches wie technisches Fachwissen in Gesetzgebungs- und Standardisierungsprozesse ein. Whoidentifies.me wird als freie Software entwickelt. Der gesamte Quellcode sowie alle gesammelten Daten stehen offen zur Verfügung und können auch dezentral genutzt werden. Die Anforderungen für die Plattform wurden gemeinsam mit betroffenen NGOs und Wissenschaftler:innen verschiedener Sektoren erstellt und werden über die 1,5 jährige Projektlaufzeit kontinuierlich weiterentwickelt.

Digitale Identität wird unsere Internetnutzung nachhaltig verändern. Ob dieses System letztlich Vertrauen und stärkere Selbstbestimmung schafft oder Über-Identifizierung, Kontrolle und Diskriminierung verstärken wird, hängt entscheidend von einer transparenten und grundrechtsbasierten Umsetzung ab. Mit Whoidentifies.me wollen wir dafür sorgen, dass zumindest alle faktenbasiert den Einfluss des Systems auf die Gesellschaft diskutieren können.

Im Zeitalter von AI und Bots, sollen Mensch und Maschine endlich verlässlich unterscheidbar gemacht werden. Weltweit sollen sich Menschen ihre Iris mittels eines kugelförmigen, silbernen Gerätes, sogenannte „Orbs“, scannen lassen und erhalten im Gegenzug ein kleinen Betrag in der zufälligerweise begleitend gegründeten Kryptowährung Worldcoin.

Dieses fragwürdige Geschäftsmodell versucht Worldcoin weltweit hochzubringen. Auf world.org kommen New-age Slogans & Heilsversprechungen im serifenlosen Apple-Design daher und werden mit größtmöglicher Diversity an happy Statist:innen aus Stockmaterial hinterlegt - United Colours of Vertrauenswürdigkeit.

Wer eine Iris und einen Puls hat - ist Geschäftsgrundlage.

Ethische Standards scheinen für Worldcoin zweitrangig zu sein. Ein Irisscan der über 8 Milliarden Menschen ist das Ziel – Ob minderjährig, ahnungslos, oder mit geistigen Beeinträchtigungen. Wer eine Iris und einen Puls hat - ist Geschäftsgrundlage. Bezahlt wird der Scan in der selbstgebauten Währung, die kein Supermarkt oder Vermieter zwischen Bangkok und Kigali nimmt.

In Spanien ist es der Datenschutzbehörde (AEPD) bereits zu viel geworden. Im Frühjahr 2024 wurde eine einstweilige Verfügung gegen Worldcoin erlassen. Sie untersagte dem Unternehmen die weitere Verarbeitung biometrischer Daten, insbesondere von Minderjährigen. Auch in Deutschland, Kenia und Hongkong wurden die Aktivitäten von Worldcoin gestoppt oder eingeschränkt – teils nach massiver Kritik von Datenschutzorganisationen und Menschenrechtsgruppen.

In Herz von Favoriten kann man sich im gleich nach einem Besuch der exotischen Gastroszene ein neues Case fürs Samsung Galaxy gönnen und sich nebenbei die Iris scannen lassen. Die “Handyinsel Favoriten” wird auf world.org als Topspot für die Benutzung eines Orb und den Einstieg in die Gemeinschaft der Kryptowährungbesitzer:innen gelistet. Menschen werden dazu verleitet, ihre höchstpersönlichen biometrischen Merkmale, quasi ihr angeborenes Passwort gegen ein paar Token einzutauschen – häufig ohne zu verstehen, welche weitreichenden und unumkehrbaren Risiken sie damit eingehen.

Biometrische Daten sind nicht austauschbar. Ein Passwort kann man ändern, ein kompromittiertes Irismuster nicht.

Wir sehen darin einen gefährlichen Versuch, die sensibelsten Daten überhaupt – nämlich unveränderliche Körpermerkmale – zu kommerzialisieren und als Zugangsbedingung zu etablieren. Aus diesem Grund haben wir am 3. Oktober 2025 bei der österreichischen Datenschutzbehörde (DSB) eine „Anregung zur amtswegigen Prüfung“ von Worldcoin aka „World“ eingebracht. Wir regen an, dass die Behörde einstweilige Maßnahmen ergreift, um die Erhebung und Verarbeitung dieser Daten in Österreich sofort zu stoppen.Der Umgang mit biometrischen Daten, insbesondere in groß angelegten, kommerziellen Projekten ohne klare Zweckbindung, widerspricht dem Grundprinzip der Datenschutz-Grundverordnung: Verarbeitung nur bei strikter Notwendigkeit und informierter Einwilligung.

DSB muss unverzüglich handeln

Worldcoin sammelt und verarbeitet hochsensible biometrische Daten in einer Form, die weit über herkömmliche Datenverarbeitungen hinausgeht. Betroffen sind auch Jugendliche und Kinder, deren Einwilligung in solchen Kontexten grundsätzlich extrem kritisch zu bewerten ist.

Darüber hinaus sind grundlegende Rechte der Betroffenen – wie Information, Widerruf oder Löschung – in der Praxis kaum durchsetzbar. Sobald die biometrischen Merkmale in die Systeme von Worldcoin eingespielt sind, können Betroffene kaum kontrollieren, was mit ihren Daten geschieht oder ob sie tatsächlich gelöscht werden. Das rechtfertigt aus unserer Sicht ein sofortiges Einschreiten nach Art. 66 Abs. 1 DSGVO. Diese Bestimmung erlaubt es der Datenschutzbehörde, unter außergewöhnlichen Umständen sofortige, befristete Maßnahmen zu erlassen, um die Rechte und Freiheiten von Personen zu schützen.

2025 war ein Jahr, das uns gleich zu Beginn daran erinnert hat, warum es epicenter.works gibt, aber auch warum uns die Arbeit so schnell nicht ausgehen wird. Kaum hatten wir Luft geholt, um auf 15 Jahre zivilgesellschaftliche Erfolge zurückzublicken, macht uns die Politik wieder deutlich, wie viele neue Baustellen sie für uns bereithält. Drei Koalitionsverhandlungen, nationale Regierungsprogramme, europäische Gesetzgebungspakete, Omnibusse soweit das Auge reicht und immer neue Überwachungsfantasien: Wer sich für digitale Grundrechte einsetzt, hat derzeit keine ruhige Minute.

Werft mit uns einen Blick zurück auf die zentralen Themen, Erfolge und offenen Baustellen, die uns auch über dieses Jubiläumsjahr hinaus begleiten werden.

Happy Birthday epicenter.works!

2025 war für uns ein ganz besonderes Jahr. Im Februar feierten wir unser 15-jähriges Jubiläum. Epicenter.works wurde (als AK Vorrat) im Zuge der Studierendenproteste und der Besetzung des Audimax-Hörsaals gegründet, um gegen die Vorratsdatenspeicherung zu protestieren und zu kämpfen. Heute können wir auf eine Erfolgsgeschichte zurückblicken, die genau dort ihren Anfang nahm.

Dieses Jubiläum wollten wir nicht allein feiern. Dank der Unterstützung der Stadt Wien - Kultur konnten wir viele unserer Unterstützer:innen und Wegbegleiter:innen zusammenbringen und gemeinsam zurück – und nach vorne – blicken. Von Politik über Forschung zu Nerds waren im Publikum breit vertreten. Zu wissen, dass Menschen aus so vielen unterschiedlichen Ecken an unserer Seite stehen, gibt uns Rückenwind für alles, was noch kommt.

Zum Abschluss unseres Jubiläumsjahres haben wir gemeinsam mit euch auf 15 Highlights aus 15 Jahren epicenter.works zurückgeblickt.

Regierungsprogramm-Flut

So sehr uns der Jubiläumsstart beflügelt hat – die politische Realität hat nicht lange auf sich warten lassen. Seit Jahren sind Regierungsprogramme für uns eine Art Arbeitsprogramm und eine Vorschau darauf, welche Themen uns in den kommenden Jahren besonders beschäftigen werden.

2025 hatten wir es gleich mit zwei Zukunftsvarianten zu tun: Einem geleakten Verhandlungsprotokoll von FPÖ und ÖVP, das einen düsteren Ausblick auf eine mögliche FPÖVP-Regierung bot und dem schließlich präsentierten Regierungsprogramm von ÖVP, SPÖ und NEOS, das uns an vielen Stellen von Beginn an Bauchweh bereitete. Besonders eine dieser Baustellen hat uns das gesamte Jahr über intensiv beschäftigt.

Täglich grüßt der Bundestrojaner

Seit 2016 begleitet uns die ÖVP mit ihren Überwachungsfantasien. Die wir bereits in jeder Phase einmal erfolgreich bekämpft haben: von der Idee über den Entwurf bis zum Gesetz. Obwohl noch 2018 vor dem Verfassungsgerichtshof erfolgreich bekämpft, fallen SPÖ und NEOS leider kurz nach der Regierungsbildung um und schicken den Bundestrojaner in die Begutachtung. Wir haben sämtliche Stellungnahmen analysiert und eingeordnet. Ob Rechnungshof, Datenschutzbehörde, Österreichischer Rechtsanwaltskammertag oder auch das Amt der Wiener Landesregierung, das Fazit ist klar: 96% sind negativ. Auch das Medienecho war überwältigend, sogar in der ZIB2 konnten wir vor staatlicher Spionagesoftware warnen. Trotz des massiven Gegenwinds beschließt die Regierung am 9. Juli den Bundestrojaner. Aber eines ist klar, in Kraft ist das Gesetz noch lange nicht, es bleibt also noch Zeit sich zu wehren. Und das haben wir auch schon einmal bei einem beschlossenen Gesetz geschafft.

Salamitechnik der nationalen Überwachung

“The Norwegian response to violence is more democracy, more openess and greater political paricipation.” - damaliger Ministerpräsident Norwegens, Jens Stoltenberg, nach einem Gewaltakt 2011.

Die österreichische Antwort lautete 2025 dagegen zu oft: mehr Überwachung.

Neben dem Bundestrojaner kündigte Innenminister Karner an einem Sonntag in der Sommerpause eine Verfünffachung der Videoüberwachung in Österreich an. Ohne öffentliche Debatte, ohne wissenschaftliche Grundlage, ohne nachvollziehbare Begründung.

Im Herbst legte Verkehrsminister Hanke nach und brachte die Innenstadtüberwachung erneut auf den Tisch: mit Live-Zugriff für die Polizei, ohne Schutz für Demonstrationen und mit Kosten in zweistelliger Millionenhöhe.

Unsere Antwort darauf war klar: Wir gehen auf die Straße.

Durch solche Maßnahmen werden unsere Grundrechte scheibchenweise eingeschränkt. Es braucht deshalb dringend eine Überwachungsgesamtrechnung: Gesetze müssen evaluiert, ihre Wirkung gemessen und überflüssige Überwachungsmaßnahmen auch wieder abgeschafft werden.

Verpasste Chance: IT-Sicherheit

Schon letztes Jahr hat uns die Umsetzung der NIS2-Richtlinie viel Arbeit gekostet – mit Erfolg: Ein problematischer Entwurf wurde nicht beschlossen. Mit einer guten Umsetzung könnte man Österreichs Cybersicherheit endlich zukunftsfähig gestalten. Umso ernüchternder war es, das gegen Ende des Jahres ein fast identisches Gesetz im Nationalrat beschlossen wurde. Der Unterschied diesmal: SPÖ und NEOS tragen ihn mit. Aus „hingepfuscht“ wurde Regierungsvorlage.

Wissen & Tools zur freien Verfügung

Auch 2025 haben wir wieder Tools entwickelt, Wissen aufbereitet und niedrigschwellig frei zugänglich gemacht.

DearMEP
DearMEP ist unser frei lizenziertes Tool, mit dem Kampagnen gezielt jene Europaabgeordneten erreichen können, die am ehesten zu überzeugen sind. Dieses Jahr konnten wir es rund um die Debatte zum Lieferkettengesetz, einem der aktuellen Omnibusse (dazu aber später mehr), endlich wieder in Action sehen.

E-Learning
Neben der laufend wachsenden epicenter.academy haben wir neue E-Learning-Materialien mit Videos zur Digital Public Infrastructure veröffentlicht. Denn öffentliche Basisinfrastrukturen wie Identitäts-, Bezahlsysteme oder Datenplattformen prägen unser tägliches Leben zunehmend. Natürlich alles kostenlos und frei lizenziert.

whoidentifies.me
Jahrelang haben wir an dem Regelwerk zur europäischen digitalen Identität (eIDAS) mitgearbeitet. Mit Blick auf das beschlossene Gesetz arbeiten wir jetzt an einem neuen Tool, das sichtbar macht, wer welche staatlich verifizierten Daten abfragt: „whoidentifies.me“. Ziel ist es, NGOs ein Frühwarnsystem für problematische Entwicklungen zu geben. 2026 gehen wir damit live – wir können es kaum erwarten.

epicenter.works vs Deutsche Telekom

Die Netzbremse-Kampagne war eine der größten dieses Jahres. Seit Jahren nutzt die Deutsche Telekom ihre Marktmacht aus, schafft künstliche Engpässe und verlangt doppelt – von Inhalteanbietern und Endkund:innen. Gemeinsam mit dem Verbraucherzentrale Bundesverband, der Gesellschaft für Freiheitsrechte und Stanford-Professorin Barbara van Schewick reichten wir eine über 200-seitige Beschwerde bei der Bundesnetzagenur ein.

Seit dem Launch auf dem 38C3 wurden wir von Zuspruch und Unterstützung nur so überrollt. Die Aufmerksamkeit ging so weit, dass wir uns mit der Telekom auf der re:publica zu einem öffentlichen Streitgespräch getroffen haben. Auf der DENOG17 konnten wir die Kampagne vorstellen und auch am 39C3 hielten wir wieder einen Workshop zum Thema. Alle Infos immer unter netzbremse.de.

Europas digitale Großbaustellen

Auch auf europäischer Ebene hatte uns die Politik 2025 fest im Griff. Zu Jahresbeginn analysierten wir die eIDAS-Novellierung zur Umsetzung der europäischen digitalen Identität, insbesondere mit Blick auf Sicherheit, Datenschutz und die Auswirkungen auf bestehende Systeme wie die ID Austria. Parallel dazu entwickelten wir das oben genannte Transparenz-Tool whoidentifies.me.

Neben der europäischen digitalen Identität begleiteten wir den Digital Fairness Act. Im Call for Evidence zum Digital Fairness Act forderten wir mehr Verantwortung für Online-Plattformen, insbesondere zum Schutz vulnerabler Gruppen wie Minderjähriger.

Die Diskussion um den digitalen Euro nahm nach längerer Pause wieder Fahrt auf. Wir setzten uns weiterhin für eine datenschutz- und privatsphärenfreundliche Ausgestaltung ein – auch vor dem Hintergrund von Studien der Europäischen Zentralbank, die der Privatsphäre einen hohen Stellenwert zuschreiben.

Auch beim Digital Networks Act beteiligten wir uns am Call for Evidence und wandten uns gegen Vorhaben, die die Netzneutralität durch gesetzliche Änderungen gefährden könnten.

Gegen Ende des Jahres holte die EU Kommission dann noch einmal zu einem Rundumschlag unter dem Deckmantel „Vereinfachung“ aus. Mit dem Digital Omnibus sollten bestehende Schutzstandards – von der DSGVO über den AI Act bis hin zu zentralen digitalen Regelungen – aufgeweicht werden. Diese Entwicklung band erhebliche Ressourcen und verdeutlichte die Fragilität digitaler Grundrechte auf europäischer Ebene.

Auch das Thema Altersverifikation wurde intensiv diskutiert. Vor diesem Hintergrund entwickelten wir einen eigenen Vorschlag, der den Schutz Minderjähriger mit digitaler Teilhabe und Grundrechten in Einklang bringen soll.

Schließlich blieb auch die sogenannte Chatkontrolle ein zentrales Thema. Trotz Überarbeitungen enthält der Vorschlag weiterhin problematische Klauseln. Dennoch wird er von den EU-Mitgliedstaaten weiter vorangetrieben. Aus unserer Sicht würde er letztlich auf eine Form der Massenüberwachung privater Kommunikation hinauslaufen – entsprechend setzten wir uns dafür ein, dass er nicht Teil des EU-Rechts wird.

AI goes Austria

Künstliche Intelligenz ist mit ihren Vorteilen ebenso wie mit ihren Risiken längst im Alltag angekommen. Die österreichische Bundesregierung blieb bei der Umsetzung des europäischen AI Acts aber säumig, wodurch es derzeit an einer zuständigen Behörde fehlt, die den Einsatz von KI auf seine Menschenrechts- und Grundrechtskonformität überprüft. Deshalb ergriffen wir selbst die Initiative und reichten bei der Datenschutzbehörde eine Beschwerde gegen den Einsatz von Gesichtserkennungssoftware durch die österreichische Polizei ein. Dabei unterstützen wir einen jungen Klimaschutzaktivisten, der von diesem aus unserer Sicht rechtswidrigen KI-Einsatz betroffen war.

Gleichzeitig sehen wir Europa beim Umgang mit KI klar in der Verantwortung und forderten gemeinsam mit internationalen Partnerorganisationen Digitalkommissarin Henna Virkkunen sowie die Regierungen der Mitgliedsstaaten auf, die Umsetzung des AI Acts konsequent auf Kurs zu halten

Ein neues Grundrecht für Österreich

Seit 1. September ist es offiziell: Das Amtsgeheimnis ist Geschichte. Mit dem Inkrafttreten des Informationsfreiheitsgesetzes sind Behörden jetzt verpflichtet, Auskunft zu geben. Auch wenn manche Ministerien gleich versucht haben, das neue Grundrecht auszuhöhlen, haben wir zusammengefasst, wie ihr es nutzen könnt und selbst auch schon die ersten Anfragen gestellt. Denn Transparenz entsteht nur, wenn wir dieses Recht auch aktiv verwenden.

Demokratie-Index 2025

Gemeinsam mit anderen Organisationen haben wir auch 2025 wieder den Demokratie-Index für Österreich berechnet. Trotz des neuen Grundrechts auf Information hat Österreich insgesamt weiter abgebaut. Besonders im digitalen Bereich führten Bundestrojaner und Überwachungsprojekte zu einem Rückgang um 0,6 Prozentpunkte. Die Ergebnisse präsentierten wir im Rahmen einer Pressekonferenz.

Datenschutz vs. Republik Österreich

Die Datenschutzbehörde kündigte heuer fast nebenbei in ihrem Newsletter an, ihre Tätigkeiten wegen Budgetkürzungen stark einzuschränken. Wir waren angesichts steigender Arbeitslast alarmiert und haben gemeinsam mit noyb eine Beschwerde bei der EU-Kommission gegen die Republik Österreich eingereicht. Ob es zu einem Vertragsverletzungsverfahren kommt, bleibt abzuwarten.

Unsere epicenter.academy

Auch unsere epicenter.academy war 2025 so aktiv wie nie: 190 Workshops, über 3.500 erreichte Personen und ein komplett neues Workshopkonzept zu Künstlicher Intelligenz und wie Unternehmen die Anforderungen des AI-Act umsetzen können. Besonders stolz sind wir auch auf Materialien zum digitalen Gewaltschutz, die wir gemeinsam mit Frauenhäusern und Mädchen-  und Frauenberatungsstellen entwickelt haben und euch dank der Unterstützung der Arbeiterkammer Niederösterreich kostenfrei zur Verfügung stellen können.

UN-Cybercrime-Convention: Grenzenlose Menschenrechtsverletzungen

Seit 2017 begleiten wir schon die Verhandlungen zur UN-Cybercrime-Convention. 2025 begann die Arbeit mit einer Rede vor den Vereinten Nationen, endete aber mit einem ernüchternden Höhepunkt: Ende Oktober unterzeichneten über 70 Staaten den menschrechtsfeindlichen Völkerrechtsvertrag. Trotz letzter Warnungen durch ein gemeinsames Statement, ermöglicht die Konvention weitreichende Überwachung, bietet kaum Menschenrechtsschutz und gefährdet Journalist:innen, Aktivist:innen und kritische Stimmen weltweit.

Ohne euch geht es nicht.

Auch heuer haben wir 12 Mal zum epicenter.connect geladen. Dieses Jahr nicht nur digital sondern auch zu uns im Büro. Es freut uns immer besonders unsere Unterstützer:innen auch persönlich kennenlernen zu können. Wenn du 2026 dabei sein willst: Die Termine findest du wie immer auf unserer Website. Wir freuen uns auf dich!

Immer häufiger berichten Beratungsstellen von Situationen wie dieser: Eine Person trennt sich, doch der Ex-Partner weiß weiterhin genau, wo sie ist, mit wem sie schreibt und wann sie nach Hause kommt. Oft ist das einfach möglich, weil er während der Beziehung Zugriff auf das Smartphone hatte, Passwörter kannte oder sogar Apps installiert hatte, die Standort und Aktivitäten mitschneiden.

Solche Fälle nehmen zu, weil unser Alltag immer stärker digitalisiert ist: Standortfreigaben, geteilte Geräte, gemeinsam genutzte Streaming-Accounts, smarte Haushaltsgeräte – all das kann missbraucht werden.

Was ist eigentlich Cybergewalt?

Unter Cybergewalt versteht man jede Form von Gewalt, die mithilfe technischer Hilfsmittel oder im digitalen Raum stattfindet. Überwachung durch übergriffige Personen ist ein Teilbereich davon. Die Täter:innen können fremd oder bekannt sein, in den meisten Fällen besteht aber ein persönliches Naheverhältnis wie Partner:innen, Ex-Partner:innen, Familienmitglieder oder enge Freund:innen.

Ähnlich wie bei physischer Gewalt sind auch hier besonders häufig Mädchen und Frauen betroffen. Digitale Technologien werden von Täter:innen verwendet, um Kontrolle auszuüben, einzuschüchtern oder ausspionieren.

Dabei kann diese Form der Cybergewalt viele verschiedene Formen annehmen, zum Beispiel:

• Überwachung von Smartphone, Standort oder Online-Aktivitäten
• Zugriff auf private Nachrichten
• Teilen von Intiminhalten
• Kontrolle über Social Media
• Stalking mit Spionagesoftware
• Heimliches Abhören und Filmen mit versteckten Mikrofonen und Kameras
• Manipulation oder Sperrung von Accounts

Solche digitalen Übergriffe haben oft weitreichende Folgen. Was online beginnt, kann psychisch stark belasten und in manchen Fällen sogar in körperliche Gewalt übergehen. Deshalb ist es wichtig, digitale Risiken frühzeitig zu erkennen und so den Gefahren vorzubeugen.

Unsere Arbeit gegen digitale Gewalt

Seit vielen Jahren führen wir mit unserer epicenter.academy Workshops an Schulen, bei NGOs oder Unternehmen durch. So konnten wir schon über 9000 Jugendliche erreichen. Unser Ziel dabei ist es, Bewusstsein für digitale Selbstverteidigung schaffen und konkrete Fähigkeiten zu vermitteln, um sich sicherer im digitalen Raum zu bewegen.

Mit unserer Expertise wollen wir gegen das wachsende Problem von Cybergewalt und digitaler Kontrolle vorgehen. In enger Zusammenarbeit mit Frauenhäusern, Mädchen-  und Frauenberatungsstellen, und der Unterstützung der Arbeiterkammer Niederösterreich haben wir nicht nur Workshops entwickelt und gehalten, sondern auch ein umfassendes eLearning entwickelt, das Informationen, Hintergrundwissen und klare Schritt-für-Schritt-Anleitungen für alle frei zugänglich bereitstellt.

Das Programm zeigt in fünf Kapiteln unter anderem:

• Wie man erkennt, dass man digital überwacht wird,
• welche Konsequenzen digitale Überwachung haben kann,
• wie man Täter:innen den Zugriff entzieht und
• wie man sich am besten davor schützen kann.

Wir wollen Bewusstsein dafür schaffen, wie leicht digitale Mittel missbraucht werden können und wie du dich wehren kannst, wenn es passiert. Dieses Programm unterstützt Betroffene und Mitarbeiter:innen dabei, unbemerkte Zugriffe zu erkennen, Risiken einzuschätzen und konkrete Schutzmaßnahmen zu setzen.

Zum eLearning

Weltweit beobachten wir einen immer stärker werdenden Trend zur Einführung von Altersverifikationssystemen, von Frankreich bis Australien. Solche Systeme sind oft schlecht konzipiert und bringen neben enormen Gefahren für Datenschutz und Meinungsfreiheit auch die Möglichkeit staatlicher Kontrolle über das tägliche Online-Leben der Menschen mit sich. Diese Systeme stützen sich häufig auf von der Regierung ausgestellte (digitale) Identifizierungsmechanismen oder KI-basierte Altersschätzungen, die zu Fehlern, Ausgrenzung, Diskriminierung und Datenschutzverletzungen führen können. Seit langem beschäftigen wir uns mit dem Thema digitale Identität und verfolgen diese Debatte deshalb mit wachsender Besorgnis.

Statt Probleme zu lösen, verschleiern die derzeit diskutierten Maßnahmen zur Altersüberprüfung diese nur. Die negativen Auswirkungen vom Kampf nach Aufmerksamkeit in sozialen Medien betreffen Nutzer:innen aller Altersgruppen gleichermaßen. Viele solcher negativen Folgen sollen bereits durch bestehende digitale Gesetze eingedämmt werden, wie dem Digital Services Act (DSA), der Werbung für Minderjährige verbietet, oder der Datenschutz-Grundverordnung (DSGVO), die in vielen Fällen das Einwilligungsalter vorschreibt. Beide Gesetze sehen umfassende Vorschriften und erhebliche Strafen in Milliardenhöhe vor. Das große Problem bleibt jedoch die mangelnde Durchsetzung. Die DSGVO ist seit fast einem Jahrzehnt in Kraft und bietet Möglichkeiten Unternehmen zu bestrafen, die eine große Menge personenbezogener Daten von Minderjährigen verarbeiten. Jetzt könnte die DSGVO aber abgeschwächt werden, bevor sie jemals zum Schutz von Kindern eingesetzt wurde. Eine Durchsetzung ist schwierig, insbesondere gegenüber reichen, multinationalen Unternehmen. Die geopolitischen Spannungen mit USA und China tragen nicht gerade dazu bei, die Situation zu verbessern. Anstatt sich jedoch dem systematischen Versagen Europas bei der Durchsetzung unserer Vorschriften zu stellen, wollen Gesetzgeber jetzt das Internet mit einer Altersbeschränkung versehen.

Epicenter.works hat mit der epicenter.academy auch einen Bildungszweig, der in den letzten drei Jahren über 500 Workshops für 9.103 Jugendliche durchgeführt hat. In diesen Workshops erzählen viele Schüler:innen, dass sie sich Sorgen machen, wie sich ihr eigener Social Media-Konsum auf sie auswirkt. Spannend dabei: Wenn man fragt, ob sie Social Media für sich selbst verbieten würden, sagen die meisten nein. Aber sobald es um ein Verbot für jüngere Mitschüler:innen geht, ist plötzlich eine klare Mehrheit dafür.

I. Der autoritäre Ansatz

Die Altersüberprüfung wird oft als Teilbereich von digitalen Identitäten verstanden. In diesen Systemen wird die Identität von Benutzer:innen festgestellt, um daraus das Alter abzuleiten und entsprechend den Zugang zu Online-Diensten bereitzustellen oder zu verweigern.

Die lösbaren Probleme

Zuerst zu dem, was einfach zu lösen ist. Der Verifizierungsteil der Altersüberprüfung kann privatsphärefreundlich gestaltet werden. Die Interaktion zwischen den Nutzer:innen muss dafür nach den drei Prinzipien Zero-Knowledge, Unverknüpfbarkeit und Unbeobachtbarkeit ablaufen. So können Nutzer:innen bestätigen, ob sie über oder unter einem bestimmten Alter sind, ohne ihr Geburtsdatum oder andere persönliche Informationen preisgeben zu müssen. Dabei wird jede Interaktion einzeln betrachtet und verhindert so, dass das Nutzerverhalten herausgelesen oder nachverfolgt werden kann. Außerdem, und das ist vielleicht der wichtigste Punkt, der Anbieter oder Betreiber der Altersverifizierung wird technisch daran gehindert zu sehen, wie das System genutzt wird. Die Regierung kann also nicht nachvollziehen, welche sozialen Medien oder Pornoseiten jemand besucht.

So ein System könnte sogar für die Altersverifikation gegenüber den am wenigsten vertrauenswürdigen, böswilligen oder peinlichen Websites genutzt werden - ohne Risiko für die Nutzer:innen. Selbst bei einem Hack der Website gäbe es keinerlei personenbezogene Daten, die zurückverfolgt werden könnten. Die Leitlinien der Europäischen Kommission zum Jugendschutz setzen diese drei Prinzipien recht gut um.

Die unlösbaren Probleme

Wenn digitale Identifizierung zur Voraussetzung wird, würden Millionen Menschen vom Internet ausgeschlossen werden. Nicht alle verfügen über digitale Identitäten, die Name, Alter und andere persönliche Informationen liefern. Viele besitzen kein Smartphone – geschweige denn eines, das digitale IDs sicher verwalten kann. Das Abfotografieren physischer Ausweise in einer App ist ebenfalls manipulierbar. Und vor allem schließt es Menschen aus, die keinerlei Ausweisdokumente besitzen. Viele haben auch nicht die digitale Kompetenz, komplexe Altersverifikationslösungen zu bedienen, insbesondere ältere Generationen oder Haushalte mit geringerem Einkommen. Die Erfahrungen aus anderen Ländern zeigen deutlich, dass Menschen staatliche Systeme ablehnen, wenn diese Voraussetzung dafür sind, sich online äußern zu können. Verpflichtende digitale Ausweise sind also Gift für das Vertrauen in staatliche Institutionen.

Einfache Umgehbarkeit. Verpflichtende Altersverifikation, die als zu tiefgreifend oder weitgehend wahrgenommen wird, führt zu unterschiedlichsten Umgehungsstrategien. VPNs oder Anonymisierungsdienste wie Tor bieten schnelle und einfache Wege daran vorbei. Selbst die offizielle EU-Altersverifikation hat keinen Schutz davor, dass Minderjährige die ID oder das Smartphone eines Erwachsenen benutzen. Die einzigen wirklich wirksamen Jugendschutzmaßnahmen finden auf dem Gerät statt, dazu später mehr. Wer über digitale Kompetenzen verfügt, findet immer Wege, diese Verbote zu umgehen, und die meisten jungen Menschen sind technisch versiert.

Überidentifizierung als Folge. Obwohl datenschutzfreundliche Altersnachweise technisch möglich sind, setzen fast alle existierenden Systeme in der Praxis auf deutlich invasivere Methoden. Diese sind oft günstiger und liefern Unternehmen wertvolle Identitätsdaten. Ohne klare Regulierung folgen technische Implementierungen immer dem Weg des geringsten Widerstands, und der führt selten zum Datenschutz. Selbst wenn ein Gesetz datenschutzfreundliche Lösungen vorschreibt, könnte es leicht geändert werden. Ist erst einmal eine Infrastruktur zur Altersverifikation etabliert, genügt ein Software-Update, um doch die echte Identität der Nutzer:innen abrufen zu können. Damit wäre die technische Grundlage geschaffen, das gesamte Internet zu gatekeepen – mit enormen Risiken für Ausgrenzung, Diskriminierung, Überwachung und Meinungsfreiheit. Einmal etabliert, könnte das System jederzeit erweitert werden, um weitere Personengruppen auszuschließen.

Wir lehnen daher jedes Altersverifikationssystem ab, das an die Identität einer Person gekoppelt ist. Die gesellschaftlichen Risiken überwiegen bei Weitem den potenziellen Nutzen. Solche Systeme sind unausgereift, gefährlich und bringen keine wirkliche Verbesserung. Wir glauben jedoch, dass es eine alternative Idee gibt, über die es sich zu sprechen lohnt.

II. Unser Lösungsvorschlag

Wir möchten eine mögliche Lösung für das Dilemma der Altersüberprüfung diskutieren, die ein besseres Gleichgewicht zwischen dem Schutz von Kindern und dem Schutz des offenen Internets herstellt. Die Grundidee besteht darin, dass wir nicht die Online-Interaktionen aller Personen an ihre Identität binden, sondern einfach die Geräte von Kindern an ihre Altersgruppe. Eltern oder Schulen haben in der Regel die Kontrolle über die Geräte ihrer Kinder. Sie kennen deren Alter und können die Geräte ohne (digitale) Identifizierung einrichten. Was fehlt, ist eine standardisierte Methode, mit der Betriebssysteme und Browser diese Informationen über die Altersgruppe der Nutzer:innen an die Apps und Websites weitergeben können.

Wichtig ist, dass Apps oder Websites, die solche Informationen über das Alter der Nutzer:innen erhalten, entsprechend handeln müssen. Wenn beispielsweise eine Website, die nur für Erwachsene bestimmt ist, von einem Minderjährigen aufgerufen wird, darf es nicht möglich sein eine Sperre durch einen einfachen Klick auf „18+“ zu umgehen. Social-Media-Apps hätten keine Entschuldigung dafür, Minderjährige gezielt anzusprechen oder ihnen zu erlauben, ohne Zustimmung ihrer Eltern Konten zu eröffnen. Es würde in die Verantwortung (und vielleicht sogar in die Haftung) jeder App oder Website fallen, die für Minderjährige in dem Land, aus dem die Anfrage stammt, illegal ist, sich selbst für Kinder auf Geräten, die dieses System verwenden, zu sperren. Das Alterssignal über diese API sollte daher rechtlich anerkannt werden. So würde man die Durchsetzung erleichtern und Schlupflöcher für große Technologieunternehmen beseitigen.

Was wir brauchen, ist ein technischer Standard, um Geräte oder Benutzerkonten auf diesen Geräten speziell für Kinder einzurichten. Ein solcher Standard muss interoperabel und unter freier Lizenz verfügbar sein. Auch freie Betriebssysteme müssen ihn implementieren können. Sowohl Google als auch Apple haben ähnliche Systeme für Smartphones angekündigt, um den lokalen Gesetzen in den USA zu entsprechen. Die EU hätte also gute Gründe, einen solchen Standard zu entwickeln und dessen Verwendung von marktbeherrschenden Betriebssystemen und Webbrowsern zu verlangen. Auch Webbrowser sind wichtige Akteure, da Websites ebenfalls die Altersangaben erhalten sollten. Technisch gesehen kann der Standard sehr einfach gestaltet werden, sodass er auch für ältere Geräte geeignet ist. Eine vollständige Unterstützung aller Smartphones oder Desktop-Betriebssysteme (Versionen) ist nicht erforderlich, da eine Untergruppe von für Kinder geeigneten Geräten ausreichen würde.

Schließlich werden Geräte und Benutzerkonten, die keine Informationen zum Alter an Apps oder Websites senden, wie bisher behandelt. Der Anbieter der Inhalte kann davon ausgehen, dass diese Benutzer:innen volljährig sind, ähnlich wie in der aktuellen Situation. Das bedeutet, dass sich für die Mehrheit der Benutzer:innen und Geräte im Internet nichts ändert.

Die Vor- und Nachteile dieser Lösung

Inklusiv und realistisch. Die vorgeschlagene Lösung ist weitaus inklusiver als alle anderen Modelle, die derzeit diskutiert werden. Menschen ohne technische Fähigkeiten zur Altersverifizierung, Migranten ohne Ausweispapiere oder Menschen, die sich einfach weigern, eine staatliche App zu nutzen, werden nicht vom Internet ausgeschlossen. Die vorgeschlagene Lösung ist auch weitaus realistischer, da sie lediglich einen Schritt bei der Einrichtung eines neuen Geräts oder Benutzerkontos auf einem unterstützten Betriebssystem erfordert.

Die Lösung tragt dazu bei, bestehende Vorschriften gegen große Technologieunternehmen durchzusetzen. Derzeit unternehmen viele Online-Plattformen nicht genug, um Kinder zu schützen, mit der Ausrede, dass sie nicht wissen, welche ihrer Nutzer:innen minderjährig sind. Angesichts der riesigen Datenmengen und der Profilerstellung, die dem Geschäftsmodell der großen Technologieunternehmen zugrunde liegen, ist das schwer zu glauben. Mit der vorgeschlagenen Lösung wird diese Ausrede jedoch hinfällig. Online-Plattformen, die die vorgeschlagenen standardisierten Altersangaben erhalten, würden die Altersgruppe der Nutzer:innen auf rechtlich verbindliche Weise kennen und müssten entsprechend handeln. Das könnte zur Durchsetzung digitaler Vorschriften gegen Online-Plattformen beitragen. Vorschläge für eine umgekehrte Signalübermittlung von der Online-Plattform zum Gerät der Nutzer:innen gibt es bereits.

Eine gemeinsame Nutzung von Geräten lässt sich leichter integrieren. Jede Lösung zur Altersüberprüfung stößt auf Probleme, wenn Kinder einfach die Geräte der Eltern nutzen. Diese gängige Praxis birgt das Risiko, dass Kinder auf Inhalte zugreifen, die nur für Erwachsene zugänglich sein sollten. Auch andere Formen der Altersüberprüfung, wie beispielsweise app-basierte Modelle, haben dieses Problem. Wenn das Betriebssystem separate Konten oder Kindermodi zulässt (wie es bei den meisten Smart-TVs oder Streaming-Apps bereits der Fall ist), kann diese Praxis integriert werden, um den Jugendschutz auch in diesen Fällen sicherzustellen.

Eltern und andere Erziehungsberechtigte müssen eine aktive Rolle übernehmen. Ein Gegenargument zu der vorgeschlagenen Lösung könnte sein, dass Eltern oder Erziehungsberechtigte eine aktive Rolle im digitalen Leben ihres Kindes übernehmen müssen. Die Einrichtung eines Kontos ist ein notwendiger Schritt, damit das gesamte System funktioniert. Theoretisch könnte der Wartungsaufwand weiter reduziert werden, wenn das System die Altersgruppe am jeweiligen Geburtstag des Kindes automatisch erhöht und die Uhr des Systems von den Benutzer:innen nicht verändert werden kann.

Altersgerechte Inhalte sind oft etwas Relatives. Die rechtlichen und kulturellen Rahmenbedingungen für den Jugendschutz sind weltweit, innerhalb Europas und sogar zwischen den einzelnen Staaten sehr unterschiedlich. Zwar gibt es Websites, die eindeutig nur für Erwachsene bestimmt sind, doch der Großteil der nutzergenerierten Inhalte lässt sich nicht so einfach kategorisieren. Feste Altersgrenzen berücksichtigen selten die individuelle Entwicklung von Kindern und Jugendlichen. Jede Technologie, die versucht, den Zugang zu beschränken, wird an ihre Grenzen stoßen. Im besten Fall können Erziehungsberechtigte gemeinsam mit ihrem Kind entscheiden, was angemessen ist, und den Zugang entsprechend personalisieren.

Die Ausweitung über die großen Technologieunternehmen hinaus sollte freiwillig sein und auf offenen Standards basieren. Damit dieses System für Europa von Vorteil ist, muss der zugrunde liegende Standard so transparent, inklusiv und einfach wie möglich gestaltet werden. Die Belastung für die Anbieter von Betriebssystemen und Browsern sollte minimal sein. So kann die Kompatibilität erhöht werden und auch kleinen und mittleren Unternehmen die Möglichkeit geben, den Standard zu integrieren, auch in gepatchten Betriebssystemen oder auf Geräten ohne proprietäre Frameworks wie Google. Dennoch kann es bei älteren Betriebssystemen und Geräten mit längeren Update-Zyklen einige Zeit dauern, bis sie das neue System übernehmen. Aber marktbeherrschende Produkte oder solche, die sich speziell an Kinder richten, sollten diesem Standard entsprechen.

Eine Umgehung ist ab einem bestimmten Alter oder mit bestimmten Fähigkeiten unvermeidlich. Solange die Kindersicherung, die die Installation von Apps und die Nutzung von Kindergeräten einschränkt, in Kraft ist, wird die vorgeschlagene Lösung Bestand haben. Aber für Nutzer:innen mit bestimmten digitalen Fähigkeiten wird es Möglichkeiten geben auch die vorgeschlagene Lösung zu umgehen. Das Starten eines nicht eingeschränkten Betriebssystems, das Erlangen von Administratorrechten zum Erstellen eines nicht eingeschränkten Benutzerkontos, die Verwendung alternativer Browser, das Entfernen der Altersangaben aus der Netzwerkübertragung oder die Verwendung eines VPN oder Tor sind funktionierende Umgehungsstrategien. Die meisten dieser Strategien sind jedoch auch Möglichkeiten, den autoritären Ansatz der Altersüberprüfung zu umgehen. Junge Menschen werden letztendlich Wege finden, das zu tun, was ihnen verboten ist. Das ist kein Argument gegen Altersbeschränkungen, sondern eine warnende Perspektive hinsichtlich der Wirksamkeit jeder Lösung.

Klarer Anwendungsbereich: Dieses System würde Kinder davor schützen, Inhalte zu sehen, die für ihre Altersgruppe verboten sind. Der Vorschlag versucht nicht, Erwachsene daran zu hindern, sich online als Kinder auszugeben, ein Problem, das schwer zu lösen ist, da Erziehungsberechtigte immer die Kontrolle über die Ausweisdokumente ihrer Kinder haben. Der Vorschlag gibt auch keine Garantien hinsichtlich des Alters von Nutzer:innen, die das System nicht verwenden, da dies einfach außerhalb seines Anwendungsbereichs liegt. Zusammenfassend lässt sich sagen, dass dieser Vorschlag versucht,das eine Problem zu lösen, dem die meisten Menschen zustimmen dürften: Der Schutz von Kindern im Internet ist ein erstrebenswertes Ziel, und dies sollte auf Geräten geschehen, die auf einem interoperablen Standard basieren, der Eltern mehr Möglichkeiten gibt und Inhalteanbieter in die Verantwortung zieh. Wir glauben, dass dies der sinnvollste und einzige praktikable Ansatz ist.

Wie geht es nun weiter?

Wir veröffentlichen diesen Beitrag in voller Kenntnis der Kontroversen zu diesem Thema und nachdem wir wiederholt von anderen Organisationen und Politiker:innen dazu aufgefordert wurden. Wir würdigen die hervorragende Arbeit, die die Risiken dieses Problems aufzeigt. Wir sind jedoch der Ansicht, dass Untätigkeit politisch keine Option mehr ist. Wir freuen uns über Feedback und Kritik zu diesen Ideen, sei es privat oder öffentlich.

Die Umsetzung der EU Richtlinie (NIS-2) zur Stärkung der IT-Sicherheit ist sinnvoll und längst überfällig. Österreich hätte diese EU-Vorgaben schon vor Jahren umsetzen müssen. Dieses Versäumnis ist klar beiden letzten Bundesregierungen anzulasten. Nach jahrelanger Verzögerung macht die EU jetzt Druck und Österreich drohen hohe Strafzahlungen. Als Reaktion darauf, wird wohl noch diese Woche ein Gesetz durchs Parlament gedrückt, das zentrale Bedenken ignoriert, demokratische Standards unterläuft und neue Risiken statt echter Sicherheit schafft.

Besonders irritierend: Der neue Entwurf ist nahezu identisch mit dem aus 2024. Damals hatten SPÖ, NEOS und FPÖ uns als Expert:innen im Innenausschuss geladen und sich klar dagegen positioniert. Zwölf Monate und einen Platz in der Regierung später, ist von dieser lauten Kritik, bei nahezu dem gleichen Gesetz, leider wenig übrig.

Statt die lange Verzögerung zu nutzen, um offene Fragen zu klären, echte externe Expertise einzubinden und grundlegende Schwachstellen auszubessern, wird das zentrale Cybersicherheitsgesetz des Landes jetzt unter hohem Zeitdruck und mit minimaler öffentlicher Debatte verhandelt. In einem so hochtechnischen Bereich wie der IT-Sicherheit, in dem parlamentarische Kontrolle naturgemäß an ihre Grenzen stößt, ist das besonders problematisch. Was es gebraucht hätte, wäre Transparenz, Fachdialog und eine breite Einbindung der Zivilgesellschaft. Was wir bekommen, ist ein parlamentarisches Feigenblatt:

Unsere Analyse

Die zentralen Probleme in Kurzfassung

Cybersicherheitsbehörde ohne echte Unabhängigkeit

Ein Gutes hat der aktuelle Entwurf: Die neue Cybersicherheitsbehörde. Weil die aber vollständig dem Innenministerium unterstellt bleibt, kann man erst recht nicht von Unabhängigkeit sprechen. Wie heikel diese Konstruktion ist, zeigt sich besonders bei der Meldung von Sicherheitslücken an den Staat. Diese sollen künftig an das nationale Computer Security Incident Response Team (CSIRT) gemeldet werden, welches unter der Aufsicht der Cybersicherheitsbehörde ist, die (dem Innenministerium) weisungsgebunden ist. Dabei ist das Innenministerium auf genau solche offenen Schwachstellen angewiesen ist, um einen Bundestrojaner zum Einsatz zu bringen. Ein und dasselbe Ministerium ist also für das Schließen solcher Sicherheitslücken zuständig, während es selbst offene nützt. Dieser Zielkonflikt ist unauflösbar und stellt besonders die Grünen vor ein Grundsatzproblem. Denn wer den Bundestrojaner ablehnt, kann keinem Gesetz zustimmen, das Sicherheitslücken beim Innenministerium zentralisiert.

Weitreichende Datenzugriffe des Innenministeriums

Trotz starker Kritik bleiben auch die breiten Datenverarbeitungs- und Übermittlungsbefugnisse des Innenministeriums praktisch unverändert. Ob Früherkennungssysteme, Zweckausweitungen oder unklare Weitergaberegeln: Die Eingriffe sind weit, die Kontrollmechanismen schwach und die neue Berichtspflicht wirkt eher symbolisch als wirksam. Schon 2024 hat die SPÖ dem NIS2-Gesetz „Massenüberwachung“ attestiert und sich klar ausgesprochen dieses „hingepfuschte“ Gesetz im Nationalrat abzulehnen. Auch die Neos halten so eine Konstruktion um das BMI 2024 noch für „bedenklich“. Aber einmal in der Regierung scheinen diese Bedenken wohl verschwunden zu sein.

Überlastung von Bezirksverwaltungsbehörden

Die hohen Sanktionen, die NIS-2 vorsieht, liegen ausgerechnet bei 94 Bezirksverwaltungsbehörden. Diese Stellen verfügen weder über das technische Know-how noch über die Ressourcen, um komplexe IT-Sicherheitsfälle zu beurteilen. Statt Fachkompetenz zu bündeln, wird sie kleinteilig verteilt. Damit riskiert Österreich eine chaotische und ineffiziente Vollzugspraxis, die Unternehmen wie Behörden gleichermaßen belastet.

Fehlende Einbindung externer Expertise

Cybersicherheit ist ein hochkomplexes Thema, das nicht von der Verwaltung allein bewältigt werden kann. Forschung, Wirtschaft und Zivilgesellschaft sollten systematisch eingebunden werden, um eine breitest mögliche Expertenbasis zu schaffen und modernen Bedrohungen auf Augenhöhe zu begegnen. Staaten wie Italien zeigen mit ihrem wissenschaftlichen Beirat wie das ausehen kann. Doch Österreich verpasst auch hier erneut den Anschluss und die Chance, ein modernes, lernendes und offenes Cybersicherheitsökosystem aufzubauen.

Keine Verbesserung für Sicherheitsforschung

Das Auffinden und Schließen von Sicherheitslücken sollte im Rahmen eines Cybersicherheitsgesetzes oberste Priorirät haben und trotzdem fehlen effektive Absicherungen für Sicherheitsforscher:innen im Gesetz. Wer in Österreich Sicherheitslücken an den Staat meldet, riskiert nach wie vor Strafverfolgung und sogar Freiheitsstrafen. Das schwächt nicht nur die Cybersicherheit, sondern auch Österreich als Innovationsstandort.

All das zeigt: Der aktuelle Entwurf ist nicht geeignet die IT-Sicherheit in Österreich zu stärken, sondern riskiert leider genau das Gegenteil. Dabei wäre eine schnelle und gute Umsetzung der NIS2-Richtlinie so dringend notwendig.

Was wird als nächstes passieren?

Das NIS2 Gesetz wurde ohne Begutachtung vor wenigen Wochen als Regierungsvorlage ans Parlament übergeben. Noch diese Woche soll es den Innenausschuss passieren, wo eine einfache Mehrheit reicht. Zwischen 10. und 12. Dezember soll es im Plenum des Nationalrats beschlossen werden und spätestens dort braucht es die Zustimmung von Grünen oder FPÖ für die notwendige Verfassungsmehrheit. Angeblich drohen Österreich im Jänner Strafzahlungen in Millionenhöhe, wenn die NIS2-Richtlinie bis dahin nicht umgesetzt wird. Umso mehr hoffen wir, dass die dringend notwendigen Verbesserungen noch rechtzeitig vorgenommen werden.

Am Donnerstag den 28.11 haben wir zur Demo aufgerufen und viele engagierte Menschen sind trotz Minusgraden vor die SPÖ-Zentrale gekommen. Der Anlass war und ist ernst: Die geplante StVO-Novelle von SPÖ Verkehrsminister Hanke würde einen massiven Ausbau der innerstädtischen Videoüberwachung ermöglichen – und stellt damit eine Gefahr für Grundrechte, Demokratie und Demonstrationsfreiheit dar. Über 100 Kamera alleine nurim ersten Bezirk und Live-Zugriff der Polizei: Das ist keine Verkehrsberuhigung. Das Ist Überwachungsinfrastruktur.

Wir haben frühzeitig Alarm geschlagen, eine Stellungnahme verfasst und umgehend Protest organisiert. An den Reaktionen konnte man schnell erkennen, dass die Kundgebung einen Nerv trifft. Es gibt viele, die sich nicht einfach damit abfinden wollen, dass öffentliche Überwachung in Österreich still und leise aufgerüstet wird. Jan Autrieth von epicenter.works brachte die Stimmung auf den Punkt:

"Die vielen Menschen der aktiven Zivilgesellschaft haben heute klar aufgezeigt, dass die Überwachungspläne der Bundesregierung so nichts in unseren Städten verloren haben!“

Ein starkes Signal der Zivilgesellschaft

Die rege Teilnahme und das Medienecho war überwältigend und zeigt, wie groß die Sorge über diese Infrastrukturen ist: Krone, Kurier, Standard, orf.at, Presse, OÖ Nachrichten, Kleine Zeitung, puls24, servus.tv, vol.at, Tiroler Tageszeitung, vienna.at etc.

Vielen ist bewusst: Videoüberwachung ist nicht einfach ein technisches Werkzeug – sie verändert gesellschaftliches Verhalten und gefährdet zentrale demokratische Grundrechte. Wo Kameras aufgebaut werden, dort bleiben sie. Und sehr rasch werden sie zu einem Instrument der Polizei, egal was versprochen wurde.

Wir bleiben dran – gemeinsam

Der Protest vom 27.11. war nur der Anfang. Die Zivilgesellschaft ist wachsam, laut und entschlossen. Vielen Dank an alle, die mit uns auf der Straße waren. Gemeinsam zeigen wir: Demokratie lebt davon, dass wir hinschauen – und uns wehren, wenn es nötig ist!

In einer globalen Konferenz in Hanoi am 25. und 26. Oktober wurde die Cybercrime Convention der Vereinen Nationen („UNCC“) feierlich zur Unterschrift aufgelegt. Das Ziel: Sämtliche Staaten der Welt sollten sich mit diesem politisch-formalen Zeichen zum jüngsten Vertragstext der UNO bekennen und ihm ehest bald in ihren nationalen Parlamenten auch völkerrechtlich verbindlich und als Teil der nationalen Rechtsordnung Geltung verleihen („ratifizieren“).

Wir sprechen uns bereits seit mehreren Jahren gegen die UNCC aus, haben uns aktiv in den Verhandlungsprozess eingebracht und nun im Vorfeld zur Konferenz in Vietnam ein gemeinsames Statement der Zivilgesellschaft mitunterzeichnet. Darin fordern wir die Staatengemeinschaft nachdrücklich auf, von der Unterzeichnung und Ratifizierung der UNCC abzusehen und die Bedeutung der Wahrung der Menschenrechte bei der Umsetzung dieser Konvention hervorzuheben.

Zur Erinnerung: Warum sind wir gegen dieses Übereinkommen?

Sollte man weltweite Kooperation im Kampf gegen Computerkriminalität nicht unterstützen? Was auf den ersten Blick verwundern mag, lässt sich nachvollziehbar erklären:

Zunächst einmal sind wir der Überzeugung, dass es diesen Vertrag gar nicht braucht. Seit 2001 gibt es nämlich bereits ein Abkommen, das genau denselben Zweck verfolgt: die sogenannte Budapester Konvention. Diese ist unter dem Dach des Europarates entstanden. Und obwohl es auch daran einiges auszusetzen gibt, gilt sie für viele als der Standard im Kampf gegen Computerkriminalität. Das Besondere an ihr ist, dass sie eingebettet ist in das weitaus größere System des Europarates: also jener Organisation, die den Europäischen Menschenrechtsgerichtshof in Straßburg (samt zugehöriger Menschenrechtskonvention) hervor gebracht hat – und damit wichtige Teile des Fundaments unserer liberalen Demokratien. Neben den 46 Mitgliedern des Europarates (davon alle 27 EU-Mitgliedsstaaten) steht die Budapester Konventionauch Staaten aus anderen Teilen der Welt zum Beitritt offen – und davon wurde reichlich Gebrauch gemacht: aktuell haben 35 Staaten aus Lateinamerika, Afrika und Asien die Konvention offiziell angenommen und sich damit verpflichtet sie umzusetzen.

Die Rolle Russlands

Russland – ein ehemaliges, aber seit dem Angriffskrieg auf die Ukraine ausgeschlossenes Mitglied des Europarates – hatte schon immer Vorbehalte gegen die Budapester Konvention und begründete dies mit vermeintlichen „Eingriffen in die staatliche Souveränität“. Also trieb es auf UN-Ebene Bemühungen voran, ein weiteres Abkommen zur Bekämpfung von Computerkriminalität zu schaffen, ganz nach den eigenen Vorstellungen. Was zunächst weitgehend abgelehnt wurde, nahm nach und nach an Fahrt auf. Und gemeinsam mit seinen Verbündeten (Belarus, Nordkorea, Iran, Syrien, Venezuela, Nicaragua, und anderen) gelang es dem Putin-Regime nicht nur, den Start von Verhandlungen zur UN-Cybercrime Convention (UNCC) Realität werden zu lassen, sondern auch, diese erfolgreich zu Ende zu führen. Am 24. Dezember 2024 wurde die UNCC schließlich von der UN-Generalversammlung als offizieller Vertrag der Vereinten Nationen angenommen.

Wie problematisch ist die Konvention wirklich?

Vorweg gesagt: Der beschlossene Vertragstext entspricht nicht 1:1 dem, den Russland als Ausgangsentwurf vorgelegt hatte. Viele der aus Menschenrechtssicht gefährlichsten Bestimmungen (wie z.B. eine umfassende Vorratsdatenspeicherung, nebulös formulierte Tatbestände zur Ahndung von „Extremismus“ oder „Subversion“) wurden „rausverhandelt“.

Dennoch bleibt ausreichend Grund zur Sorge:

• Zunächst einmal geht die UNCC weit über die Bekämpfung von Cyberkriminalität – also böswillige Angriffe auf Computernetzwerke, -systeme und -daten – hinaus. Sie verpflichtet die Staaten nämlich, umfassende elektronische Überwachungsbefugnisse einzurichten, um eine Vielzahl von Straftaten zu untersuchen und bei deren Verfolgung zusammenzuarbeiten. Darunter befinden sich auch solche, die nicht mit Informations- und Kommunikationssystemen in Zusammenhang stehen und das ohne angemessene Schutzmaßnahmen für unsere Menschenrechte.
• Die Konvention verpflichtet Regierungen, elektronische Beweise zu sammeln und diese bei „schweren Straftaten”(solche, die nach innerstaatlichem Recht mit mindestens vier Jahren Freiheitsstrafe geahndet werden) an ausländische Behörden weiterzugeben. Das Problem dabei: Viele Regierungen kriminalisieren Aktivitäten, die durch internationale Menschenrechtsgesetze geschützt sind. ,So könnten beispielsweise Kritik an der Regierung, friedliche Proteste, gleichgeschlechtliche Beziehungen, investigativer Journalismus und Whistleblowing die Voraussetzungen erfüllen und nach UNCC als „schwere Straftat“ eingestuft werden.
• Die Konvention enthält auch keine ausreichenden Bestimmungen zum Schutz von Sicherheitsforscher:innen („white hat hackers“), Whistleblowern, Aktivist:innen und Journalist:innen vor übermäßiger Kriminalisierung. Sie kann also leicht dazu genutzt werden, um gegen geschützte Aktivitäten vorzugehen, die Menschenrechte fördern und die Sicherheit aller im Internet gewährleisten.
• Es fehlen ausdrücklich robuste Menschenrechtsschutzbestimmungen für den gesamten Vertrag. So kann nicht sichergestellt werden, dass die Bemühungen zur Bekämpfung der Cyberkriminalität einen angemessenen Schutz der Menschenrechte bieten und im Einklang mit den wichtigen Grundsätzen der Rechtmäßigkeit, Nichtdiskriminierung, legitimen Zweckmäßigkeit, Notwendigkeit und Verhältnismäßigkeit stehen.
• Die UNCC schafft Rechtsvorschriften zur Überwachung, Speicherung und grenzüberschreitenden Weitergabe von Informationen in einer Weise, die das Vertrauen in sichere Kommunikation untergräbt und die Menschenrechte verletzt.
• Das Übereinkommen erlaubt auch die übermäßige Weitergabe sensibler personenbezogener Daten für die Zusammenarbeit der Strafverfolgungsbehörden, die über den Rahmen spezifischer strafrechtlicher Ermittlungen hinausgeht und auch das ohne spezifische Datenschutz- und angemessene Menschenrechtsschutzmaßnahmen.
• Die Mängel des Übereinkommens lassen sich nicht ohne Weiteres beheben, da es keinen Mechanismus zum Ausschluss von Staaten vorsieht, die Menschenrechte oder Rechtsstaatlichkeit systematisch missachten.
• Die UNCC kann für einige der Menschen, die sie schützen soll sogar gefährlich werden: So könnte das Übereinkommen beispielsweise missbraucht werden, um einvernehmliches Verhalten zwischen Jugendlichen ähnlichen Alters in einvernehmlichen Beziehungen unter Strafe zu stellen. Dazu kommt, dass keine Geschlechtergleichstellung verankert wurde. Es besteht also auch die Gefahr, dass das Übereikommen so zu Verletzungen der Rechte von Frauen und LGBT-Personen beiträgt.

Was wir fordern:

Leider haben sich in Hanoi über 70 Staaten zu einer Unterschrift entschlossen, darunter auch die EU und gut die Hälfte ihrer Mitgliedstaaten. Auch Österreich befindet darunter. Die USA hingegen haben diesen Schritt nicht gesetzt: Ausnahmsweise ein positiver Schritt der aktuellen Administration. Denn die Aussicht auf erleichterten Zugang zu Daten, die sich auf US-Servern befinden, war in den Verhandlungen natürlich ein großer Anreiz für viele Staaten, diesem Übereinkommen überhaupt erst zuzustimmen. Diese Aussicht läuft (vorerst zumindest mal) ins Leere – an den Gefahren, die dieser Vertrag birgt, sobald er einmal in Kraft getreten ist, ändert das aber leider nichts.

Gemeinsam mit unseren Partnerorganisationen rufen wir daher die Unterzeichnerstaaten dazu auf sich zu weigern, das Übereinkommen zu ratifizieren. Sollten sie dies dennoch tun, müssen sie jedenfalls, konkrete Menschenrechtsschutzmaßnahmen gewährleisten und die Bestimmungen des Übereinkommens unter vollständiger Achtung der Menschenrechte umsetzen.

Noch unentschlossene Staaten, die die Menschenrechte achten und trotz der erheblichen Gefahr, die die UNCC für die Menschenrechte darstellt, eine Unterzeichnung in Zukunft in Betracht ziehen, sollten ihre Unterstützung zurückhalten, solange sie nicht garantieren können, dass bestimmte Bedingungen erfüllt sind: nämlich dass sie und andere Unterzeichnerstaaten den Vertrag mit wirksamen Schutzmaßnahmen und anderen rechtlichen Schutzvorkehrungen umsetzen, die Menschenrechtsverletzungen in der Praxis verhindern. Wie diese konkret aussehen können, könnt ihr im Detail in unserem gemeinsamen Statement nachlesen.

Sobald aber einmal 40 Staaten das Übereinkommen ratifiziert haben und dieses damit tatsächlich in Kraft tritt, hängt wie immer viel davon ab, wie die Bestimmungen gelebt und interpretiert werden. Wie bei anderen völkerrechtlichen Verträgen üblich, wird es auch bei der UNCC in regelmäßigen Abständen eine sogenannte „Conference of the States Parties“ (COSP) geben, um die Implementierung des Vertrags zu begleiten. Angesichts der genannten Probleme mit diesem Vertrag geht es hier also weiterhin um viel! Ob und in wieweit die Zivilgesellschaft einbezogen werden soll und welche Befugnisse wir haben werden, ist aktuell Gegenstand von Verhandlungen bei der UNO in Wien. Neben der Unterstützung mancher Staaten gibt es aber auch einiges an Gegenwind – und man muss nicht hellsehen können, um zu ahnen, wer hier wieder die Hauptbetreiber sind…

UPDATE: Die Innenstadtüberwachung wurde am 25.02.2026 im Ministerrat beschlossen. 

Was wir erreicht haben: 

• Kein direkter Polizeizugriff auf die Kameras 
• Keine gespeicherten Gesichter – nur noch Kennzeichen
• Kameras erfassen nur bodennahen Bereich (noch unklar von wo aus)
• Verpflichtende Datenschutzfolgeabschätzung vor dem Einsatz
• Höhere Anforderungen an die Zulässigkeit von Kameras (Verkehrssicherheit, aber keine Verkehrsberuhigung mehr)

Folgende Baustellen bleiben aber offen: 

• Viele neue Kameras im Stadtbild
• Kein Schutz von Demonstrationen  
• KI-gestützte, vollautomatisierte Strafen auf Basis lokaler, unübersichtlicher Regeln

Next Step: Verkehrstausschuss am 19. März sein. Nur mit eurer Unterstützung können wir weiterhin dran bleiben und auch bei der Umsetzung ganz genau hinschauen. Jetzt spenden!

Seit 2022 versucht die EU-Kommission ein Gesetz durchzusetzen, alle privaten Nachrichten, Bilder und E-Mails verpflichtend zu scannen – automatisch, flächendeckend und ohne konkreten Verdacht.

Jede WhatsApp-Nachricht, jedes Babyfoto, jede Mail an den Arzt oder Anwalt soll von Künstlicher Intelligenz (KI) durchsucht werden, bevor sie verschlüsselt wird.

Das offizielle Argument lautet: Kinderschutz. Hinter einem so edlen Ziel kann man sich natürlich gut verstecken. Wer würde denn Kinder nicht schützen wollen? Was aber als Schutzmaßnahme verkauft wird, ist in Wahrheit der größte Angriff auf die Privatsphäre in der Geschichte der EU.

Warum schon eine kleine Fehlerquote katastrophal ist

Was für die KI als „verdächtig“ gilt und deshalb an die zuständigen Behörden weitergeleitet wird, entscheidet ein undurchsichtiger Filter – ohne Transparenz, ohne Kontrolle. Die Fehlerquote solcher Systeme ist dabei enorm.

Bei Milliarden Nachrichten in Europa pro Tag führt selbst eine sehr geringe Fehlerrate dazu, dass Millionen harmloser Inhalte fälschlich als „verdächtig“ markiert und an Strafverfolgungsbehörden weitergeleitet würden. Diese Flut an Fehlalarmen überfordert Ermittlungsbehörden, lenkt Ressourcen von echten Fällen ab und setzt unschuldige Menschen einem Behörden-Stigma aus. Das elektronische Briefgeheimnis würde systematisch millionenfach pro Tag verletzt. Genau das macht die Maßnahme zum Gegenteil eines zielgerichteten Kinderschutzes: statt Prävention entsteht Generalverdacht.

Ein Gesetz das niemand will

Genau diese Bedenken werden seit Beginn der Verhandlungen von allen Seiten geäußert. Datenschutz- und Menschenrechtsorganisationen, Wirtschaftsverbände und technische Expert:innen sprechen sich gleichermaßen gegen dieses Gesetz aus.

Besonders zu denken gebend, sogar Kinderschutzorganisationen wie der Deutsche Kinderschutzbund oder die Möwe aus Österreich kritisieren das Vorhaben stark: Das Gesetz hilft keinem Kind, verletzt aber die Grundrechte von Millionen Menschen.

Auch die Rechtsdienste der EU-Kommission, des EU-Parlaments und sogar der juristische Dienst des Rats der Mitgliedstaaten halten die geplante Verordnung für europarechtswidrig – sie würde vor dem Europäischen Gerichtshof (EuGH) kaum Bestand haben. Die Halbwertszeit dieses Gesetzes wäre also in Monaten zu messen.

Das Ende von Ende-zu-Ende

Ende-zu-Ende-Verschlüsselung sichert uns praktisch das digitale Briefgeheimnis. Ohne Verschlüsselung ist kein sicherer Austausch zwischen Bürger:innen, Journalist:innen, Whistleblowern, Anwält:innen oder Ärzt:innen mehr möglich.

Wenn sich sogar große Anbieter wie Signal, WhatsApp und Threema klar gegen die Chatkontrolle aussprechen, sollte uns das wirklich zu denken geben. Signal Chefin Whittaker kündigt an, lieber den europäischen Markt zu verlassen als die Integrität der Verschlüsselung zu untergraben. Dazu wäre allein der technische und rechtliche Aufwand besonders für kleinere Anbieter ein Todesstoß.

Schlüsselrolle: Österreich

Die Debatte um die Chatkontrolle polarisiert seit Jahren, doch Österreich ist bislang standhaft. Ein Allparteienbeschluss des Nationalrats aus 2022 legt eindeutig fest, dass dieser Massenüberwachung nicht zugestimmt werden darf. Damit gibt das Parlament der Regierung ihre Verhandlungsposition im Rat der EU vor.

Trotz dieser klaren Linie nimmt Österreich in der aktuellen Auseinandersetzung eine besondere Rolle ein. Wir stellen den zuständigen EU-Innenkommissar: Magnus Brunner (ÖVP). Er wurde letztes Jahr von der Volkspartei nach Brüssel entsandt. Dort ist er den gemeinsamen Interessen der EU und zur Einhaltung der Grundrechtecharta verpflichtet.

Trotz der eindeutigen Haltung aller Parteien in Österreich und der durch mehrere Urteile des EuGH bestätigten Ablehnung von Massenüberwachung, hat sich Brunner bisher nicht öffentlich zur Chatkontrolle geäußert. Deshalb fordern wir von Kommissar Brunner endlich Stellung zur Chatkontrolle zu beziehen. Nicht die Bürokratie seines Hauses oder seine Vorgängerin, sondern er trägt aktuell die politische Verantwortung für dieses Gesetz. Entweder er ist der Meinung die Chatkontrolle sei grundrechtskonform und sollte beschlossen werden oder er muss sich von dem Vorschlag distanzieren und Raum für echten Kinderschutz schaffen. Je länger sein Schweigen noch andauert, umso mehr missachtet er seine Verantwortung für die Grundrechte von Millionen Europäier:innen.

Ein gefährliches Narrativ

Mit dem sogenannten „Digital Omnibus“ holt die Kommission zum Rundumschlag aus: ein buntes Gesetzespaket, das auf den ersten Blick nach Aufräumen klingt, in Wahrheit aber Schutzvorschriften aufweicht, die teils noch nicht einmal greifen. Als Begründung wird die vermeintliche Entlastung für Unternehmen vorgeschoben. Doch das alte Märchen, Europa würde Innovation durch zu viel Regulierung ersticken, ist genau das: ein Mythos.

Was Europa bremst, sind keine Datenschutzregeln, sondern strukturelle Defizite. Fehlende strategische Investitionen, ineffiziente öffentliche Beschaffung, ein massiver Fachkräftemangel und mangelnde politische Vision werfen Europa im digitalen Wettbewerb zurück. Regulation zum Sündenbock zu machen, ist politisch bequem, aber sachlich falsch.

In einer digitalisierten Gesellschaft ist gute Regulierung kein Hemmnis, sondern eine Grundvoraussetzung für Sicherheit, Innovation und Vertrauen. Ohne verbindliche Standards und Aufsicht verlieren Bürger:innen und Unternehmen gleichermaßen die Grundlage, digitale Technologien verantwortungsvoll nutzen zu können.

Datenschutz ist geopolitische Selbstbestimmung

Sie ist wie einen Schutzwall, der uns umgibt, wenn wir uns durch das Internet bewegen - unsichtbar, aber lebenswichtig. Die Datenschutz-Grundverordnung (DSGVO) war Europas Antwort auf den Kontrollverlust über unsere Daten: eine Reaktion auf Massenüberwachung und Datenmissbrauch, von Edward Snowdens Enthüllungen über die NSA bis hin zum Cambridge-Analytica-Skandal. Ein klares Signal: Unsere Privatsphäre ist kein Rohstoff.

Die aktuellen Überlegungen der Kommission, stellen genau dieses Grundprinzip infrage. Doch wer heute an der DSGVO sägt, sägt an Europas digitaler Souveränität. Jede Schwächung dieses Rahmens wäre mehr als ein Rückschritt im Grundrechtsschutz, sie wäre ein geopolitisches Risiko. Sie würde Europas Abhängigkeit von außereuropäischen Tech-Konzernen vertiefen und die Idee technologischer Souveränität ad absurdum führen.

Statt den Datenschutz aufzuweichen, sollte die EU ihn als Grundlage nutzen, um offene, vertrauenswürdige und europäische Alternativen zu fördern, insbesondere durch Open-Source-Software und unabhängige Infrastruktur.

Vereinfachung darf keine Schutzmauern einreißen

Was als „Vereinfachung“ daherkommt, kann schnell zur Schwächung werden. Der aktuelle Ansatz der EU-Kommission droht, unter diesem harmlos klingenden Etikett tragende Schutzmechanismen der europäischen Digitalpolitik zu lockern.

Besonders gefährlich wäre es die Meldepflichten für Cybersicherheitsfälle zu „vereinfachen“. In Wahrheit heißt das: weniger Berichte, weniger Wissen, weniger Schutz. Die europäische Cybersicherheitsagentur ENISA betont zu Recht: Nur wer Vorfälle kennt, kann Bedrohungen verstehen, Muster erkennen und daraus lernen. Wer wirklich Komplexität abbauen will, muss Prozesse effizienter machen statt Schutzmechanismen abzubauen.

Auch bei anderen Regelwerken wäre ein Rückschritt fatal. Die jüngst verabschiedeten Gesetze, wie der AI Act oder eIDAS 2.0, sind noch gar nicht vollständig implementiert. Bevor also von „Überregulierung“ die Rede ist, sollte sichergestellt werden, dass bestehende Regeln überhaupt greifen können. Sonst kritisieren wir nicht zu viel Regulierung, sondern zu wenig Umsetzung.

Genauso beim sensiblen Thema der Digital Identity Wallet. Hier geht es um weit mehr als technische Standards, es geht um Vertrauen. Ein System, das alles umfasst, vom täglichen Einkauf bis hin zu Gesundheits- und Finanzdaten, kann nur funktionieren, wenn es als sicher empfunden wird. Jede erneute Reform, jeder überhastete Eingriff würde zusätzliche Unsicherheit schaffen und den Erfolg des Projekts torpedieren.

Europa braucht Stabilität, nicht Deregulierung

Die Digitalgesetze der letzten Jahre, von der DSGVO über NIS2 bis zum AI Act, waren keine Überregulierung, sondern ein notwendiger Schutzschild für Grundrechte und Sicherheit im digitalen Raum. Wer diesen Rahmen unter dem Banner der „Vereinfachung“ aufweicht, gefährdet genau das, was Europa stark macht: Vertrauen, Rechtsstaatlichkeit und digitale Souveränität.

Europas digitale Zukunft hängt nicht von weniger Regeln ab, sondern von besseren und von der politischen Entschlossenheit, sie auch durchzusetzen.

Digitale öffentliche Basisinfrastrukturen wie Identitäts-, Bezahlsysteme oder Datenplattformen prägen zunehmend unser Leben – oft im Auftrag von Regierungen und im Spannungsfeld zwischen öffentlichem Interesse, Effizienz und Privatsphäre. Damit diese Systeme Vertrauen genießen und demokratisch legitimiert bleiben, braucht es ein solides Verständnis ihrer Chancen und Risiken für Privatsphäre, Grundrechte und demokratische Teilhabe.

Erfahrung weitergeben

Unsere Arbeit zu diesem Thema begann bereits 2017 mit einer kritischen grundrechtlichen Analyse des Gesetzesentwurfes für das damalige österreichische digitale Identitätssystem. Die COVID19-Pandemie wirkte anschließend wie ein Katalysator für den verstärkten Ausbau digitaler öffentlicher Infrastrukturen und lenkte internationale Aufmerksamkeit auf ihre Bedeutung. Seitdem begleiten wir die Weiterentwicklung von digitaler öffentlicher Infrastruktur auf europäischer und globaler Ebene. Besonders prägend war unsere Mitwirkung an der EU-Gesetzgebung zur eIDAS-Reform ab 2021. Auch bei der Debatte rund um den digitalen Euro haben wir uns aktiv eingebracht. Darüber hinaus waren wir Teil  der Governance-Arbeitsgruppe der DPI-Safeguards-Initiative der Vereinten Nationen im Jahr 2024, die Schutzmaßnahmen für die digitale öffentliche Infrastruktur auf globaler Ebene mitentwickelt. 

Wir präsentieren auch in diesem Jahr den Transparenzbericht des vergangenen Jahres 2024. In bewährter Tradition blicken wir nochmals auf die Ereignisse zurück und fassen zusammen, an welchen Themen unser Team gearbeitet hat und welche Themen uns auch 2025 weiterhin oder zunehmend beschäftigen werden.

Das Jahr 2024 kann man wirklich als Achterbahn des Vereins bezeichnen. Am Anfang des Jahres feierten wir, dass das Amtsgeheimnis in Österreich endlich abgeschafft und somit ein neues Grundrecht auf Informationsfreiheit geschaffen wurde. Im Frühsommer begann die vierte Debatte um den Bundestrojaner, die unserem Policy-Team neben der europäischen Arbeit (Abbau der Netzneutralität, eID, NIS2 Umsetzung) viel abverlangte. Auch finale Verhandlungen zur UN-Cybercrime Convention hielten die Kolleg:innen auf Trapp. Viele Gespräche mit verbündeten Stakeholdern wurden geführt, Texte analysiert, sowie lange Stellungnahmen und offene Briefe verfasst.

Intern konnten wir uns erfolgreich gegen eine Strafverfolgung durch das Gesundheitsministerium zur Wehr setzen und an die Öffentlichkeit gehen. Finanziell standen wir jedoch im Jahr 2024 vor großen Herausforderungen und wussten nicht, wie wir das Jahr überstehen sollten. Nach dem Rückzug der Open Society Foundation aus Europa entstand ein finanzielles Loch von etwa 20% des Gesamtbudgets, das nur schwer zu schließen war. Einiges konnten wir zwar mit neuen Fördergebern auffüllen jedoch ging uns im Herbst buchstäblich „die Kohle“ aus. Wir waren gezwungen, uns mit einem Hilferuf an die Öffentlichkeit zu wenden. Dank der unglaublichen Hilfe aus der Zivilgesellschaft - mit vielen neue Fördermitgliedschaften und Einzelspenden - konnten wir schlussendlich das Jahr retten. Trotzdem war 2024 finanziell ein weitaus schlechteres Jahr für uns als 2023 und wir mussten uns anstrengen den Vereinsbetrieb zu erhalten. 

Unsere Arbeit und Erfolge:

In unserer Arbeit konzentrieren wir uns hauptsächlich auf Gesetze zur Digitalisierung, die das Leben der Menschen und ihre Grundrechte beeinflussen. Als Public Watchdog identifizieren wir Probleme im Gesetzgebungsprozess, sensibilisieren die Öffentlichkeit über potenzielle Risiken und fordern Verantwortlichkeit von politischen Entscheidungsträger:innen. Unser Engagement erstreckt sich sowohl auf nationaler als auch auf internationaler Ebene. Im Anschluss fassen wir wieder einige Schwerpunkte aus den Aktivitäten (national und international) des Jahres 2024 für euch zusammen.

Informationsfreiheitsgesetz

Mehr als 100 Jahre lang galt in Österreich das Amtsgeheimnis und seit mindestens 30 Jahren wurde über seine Abschaffung diskutiert. Das Amtsgeheimnis war zu seiner Einführung sinnvoll als Geheimhaltungspflicht privater Daten durch staatliche Beamte. Ein modernes Informationsfreiheitsgesetz würde jedoch auch der Bevölkerung ein Recht auf Daten des Staates liefern. Österreich war in dieser Frage Schusslicht und das letzte Land der EU, das ein Grundrecht auf Informationsfreiheit schuf. Gemeinsam mit den Kolleg:innen des Forum Informationsfreiheit haben wir jahrelang für die Abschaffung des Amtsgeheimnisses und für ein modernes Informationsfreiheitsgesetz gekämpft. Wir waren bis zum Schluss auch als Expert:innen bei den Verhandlungen und parlamentarischen Gremien dabei, um ein Grundrecht für eine moderne Informationsgesellschaft zu schaffen. Am 31. Jänner 2024 wurde das Gesetz beschlossen und ist seit 01. September 2025 in Kraft. An dieser Stelle möchten wir alle Bürger:innen ermutigen, ihre Anfragen an den Staat unter https://fragdenstaat.at/ einzubringen.

Bundestrojaner

2024 war das Thema „Bundestrojaner“ erneut ein zentraler Konfliktherd in der innenpolitischen Debatte. Trotz breiter Kritik aus Zivilgesellschaft, Wissenschaft und Technik wurde der Druck auf die Einführung staatlicher Überwachungssoftware, insbesondere zur Überwachung verschlüsselter Messenger-Kommunikation, wieder verstärkt.

Bereits im Herbst 2023 forderten der amtierende Innenminister Gerhard Karner (ÖVP) und der mittlerweile zurückgetretene DSN-Chef, Omar Haijawi-Pirchner neuerlich den Einsatz eines Bundestrojaners. Ziel war die gezielte Infiltration verschlüsselter Messenger wie Signal oder WhatsApp, um Verdächtige digital überwachen zu können. Als führende Stimme für die Sicherheit verschlüsselter Kommunikation hat unser Team rasch reagiert: Im November 2023 organisierten wir ein öffentliches Pressegespräch, um die damit verbundenen Risiken erneut sichtbar zu machen und daran zu erinnern, warum staatliches Hacken technisch wie rechtlich problematisch bleibt.

Trotz der ablehnenden Haltung des damaligen Koalitionspartners (Die Grünen) wurde im April 2024 der vierte Gesetzesentwurf zur Legalisierung eines Bundestrojaners vorgelegt. Der Entwurf enthielt erneut eine Rechtsgrundlage für staatliches Hacking – mit dem Hinweis, dies geschehe unter „verfassungskonformen Rahmenbedingungen“. Diese Vorgaben erwiesen sich jedoch bei genauer Analyse als technisch nicht umsetzbar. Nach mehreren vereitelten terroristischen Anschlägen in Österreich im Jahr 2024 erhöhte die ÖVP den politischen Druck und der Entwurf wurde schließlich zur offiziellen Begutachtung freigegeben. Wir nutzten diesen Moment, um den öffentlichen Diskurs zu intensivieren und ein breites zivilgesellschaftliches Bündnis gegen den Bundestrojaner zu formieren.

Gemeinsam mit anderen Organisationen, IT-Expert:innen und Jurist:innen wurde eine Vielzahl fundierter Stellungnahmen eingereicht. Auch wir beteiligten uns mit einer sehr umfangreichen Stellungnahme an diesem Prozess. Zur Bündelung dieser Aktivitäten haben wir am 26. September 2024 die Kampagnenseite www.bundestrojaner.at veröffentlicht. Sie dient seither als zentrale Plattform für Information, Dokumentation und Mobilisierung – inklusive Petition, Argumentationshilfen und Pressespiegel. Den Gesetzesentwurf 2024 konnten wir aufgrund der massiven öffentlichen Kritik verhindern.

Mit der neuen Dreierkoalition bekam der Bundestrojaner 2025 jedoch einen fünften Anlauf in den letzten neun Jahren. Die ÖVP hatte das Thema zuvor zur Koalitionsbedingung gemacht. Wir waren wieder einmal massiv mit der Kritik zu diesem Thema beschäftigt. Das Gesetz wurde beschlossen und wir sind gerade darum bemüht, es vor den Verfassungsgerichtshof zu bringen. Ein Lichtblick in dieser Debatte ist, dass die Regierung im Zuge des Beschlusses zwei Versprechen abgab: 1) Es wird für Österreich im Rat der EU bei einem „Nein“ zur Chatkontrolle bleiben; und 2) es wird in der laufenden Gesetzgebungsperiode keine Ausweitung des Bundestrojaners auf den polizeilichen Bereich geben.

IT-Sicherheit & NIS2: Einsatz für verantwortungsvollen Umgang mit Sicherheitslücken

Mit der NIS2-Richtlinie (Network and Information Security) wurde auf EU-Ebene ein neuer Standard für Cybersicherheit geschaffen. Ziel ist es, kritische Infrastrukturen und digitale Dienste EU-weit besser zu schützen. Die österreichische Bundesregierung scheiterte 2024 jedoch in ihrem ersten Versuch, diese Richtlinie national umzusetzen – mit einem Gesetzesentwurf, der gefährlich unausgereift war und mehr Probleme als Lösungen brachte. Unsere Kolleg:innen wurden als zivilgesellschaftliche Expert:innen zum Hearing im Innenausschuss des Nationalrats eingeladen und nutzten diese Gelegenheit, um auf gravierende Mängel im Entwurf des IT-Sicherheitsgesetzes hinzuweisen: fehlender Rechtsschutz für Sicherheitsforscher:innen, gefährliche Ausweitung staatlicher Eingriffsbefugnisse, fehlende Definitionen und unklare Zuständigkeiten und eine massive Rechtsunsicherheit für alle Beteiligten. Unsere fundierte Kritik wurde gehört: das Gesetz wurde vom Nationalrat letztlich abgelehnt. Ein wichtiger Erfolg für Grundrechte, Transparenz und digitale Sicherheit!

Strafanzeige gegen unseren Verein

Unser Verein hat nicht nur theoretisch, sondern auch am eigenen Leib erfahren, wie problematisch der rechtliche Umgang mit Sicherheitsforschung in Österreich derzeit ist: Im Jahr 2022 entdeckten wir gravierende Sicherheitslücken in einer Datenbank des Gesundheitsministeriums, die Daten zu meldepflichtigen Krankheiten enthielt. Wir meldeten die Lücke verantwortungsvoll und vertraulich – ganz im Sinne des „Responsible disclosure“-Prinzips. Statt Dankbarkeit folgte eine Strafanzeige wegen Hacking gegen unseren Verein – eingereicht vom damals grün geführten Gesundheitsministerium.

Über zwei Jahre lang wurde gegen uns ermittelt – ein rechtsstaatlich wie moralisch fragwürdiger Vorgang, der erst 2024 mit der Einstellung des Verfahrens endete. Wir machten den Fall öffentlich, um auf ein grundlegendes Problem hinzuweisen: Ohne rechtliche Absicherung von „Ethical Hacking“ bleibt Österreich ein Hochrisikoland für digitale Sicherheit. Der grüne Gesundheitsminister musste sich daraufhin bei uns entschuldigen.

Der öffentliche Druck zeigte Wirkung: In einem zweiten Fall, bei dem wir Sicherheitslücken im grünen Klimaschutzministerium verantwortungsvoll gemeldet haben, verlief der Prozess vorbildlich. Statt Strafverfolgung gab es Kooperation: Das Ministerium stellte sich klar auf unsere Seite und kündigte ein offizielles Bug-Bounty-Programm an. Damit wird verantwortungsvolle Sicherheitsforschung endlich anerkannt und gefördert, statt kriminalisiert. 

Wir fordern weiterhin klare gesetzliche Regeln für Responsible Disclosure, eine Entkriminalisierung von Ethical Hacking und eine menschenrechtskonforme Umsetzung der NIS2-Richtlinie in Österreich. Cybersicherheit ist keine Frage von Angst oder Repression, sondern von Vertrauen, Offenheit und Kooperation. Dafür kämpfen wir im Parlament, in der Öffentlichkeit und durch praktische Beispiele.

Digitale Identität: eIDAS

Die im Juni 2021 begonnene Reform der eIDAS-Verordnung ist 2024 in die finale politische Phase getreten. Im April 2024 wurde der neue Rechtsrahmen für digitale Identität beschlossen. Kernstück der Reform ist die Einführung einer European Digital Identity Wallet („EU-Wallet“), mit der Bürger:innen künftig ihre Identität und weitere Nachweise digital speichern und grenzüberschreitend verwenden können sollen.

Von Beginn an haben wir auf die massiven Risiken für Datenschutz, Anonymität und informationelle Selbstbestimmung hingewiesen. Wir verfolgen weiterhin die rechtliche und technische Ausgestaltung der Wallet, richten unseren Fokus aber zunehmend auf die Rechtsdurchsetzung im neu zu schaffenden Ökosystem. In einer Vielzahl von Stellungnahmen haben wir uns zu der technischen Ausgestaltung der EUDI Wallet zu Wort gemeldet und mussten leider scharfe Kritik an der Kommission üben. In Deutschland wurden wir als einzige NGO in die Jury des dortigen open source Wettbewerbs der SPRIND für die Erstellung einer EUDI Wallet berufen. Um die komplexen technischen und politischen Entwicklungen rund um die eIDAS-Reform dauerhaft zu begleiten, wurde 2024 unser Konzept zu „eIDAS-Monitor“ entwickelt. 

Dieses Projekt soll fortlaufend dokumentieren, welche staatlichen oder privatwirtschaftlichen Akteure an dem eIDAS Ökosystem teilnehmen, welche Anwendungsfälle damit implementiert werden und insbesondere welche Daten von Usern abgefragt werden. Das System erlaubt Echtzeit-Meldungen über relevante Entwicklungen im Ökosystem und einen Risiko-Score, wenn besonders viele Daten oder unübliche Kombinationen abgefragt werden. Das Projekt ist komplett „Open Data“ und als freie Software konzipiert. 

Bis Ende 2025 wird ein Prototyp erstellt und bis Ende 2026 ein finaler Pilot mit Echtdaten. Das Projekt ist bereits abrufbar unter whoidentifies.me.

Netzneutralität

Die Netzneutralität bleibt das zentrale Fundament eines offenen und freien Internets. Unser Verein ist seit über einem Jahrzehnt eine der führenden zivilgesellschaftlichen Stimmen, wenn es darum geht, dieses Prinzip zu verteidigen.

Im Dezember 2025 wird mit dem Digital Networks Act ein neuerlicher Angriff auf dieses Prinzip erwartet, der die Open Internet Regulation von 2015 untergraben könnte und Netzgebühren einführen will. 

Schon im Jänner 2024 warnten wir in einem offenen Brief, den wir persönlich in die 705 Postfächer aller Mitglieder des europäischen Parlaments legten, eindrücklich vor der Industriebefangenheit des damaligen Kommissars Thierry Breton. Wir hatten ernsthafte Bedenken bezüglich seines Handelns, mit dem er offensichtlich die Interessen der Telekommunikationsbranche über die der europäischen Bevölkerung stellte.

Kurz danach zeigten wir gemeinsam mit Wissenschaftler:innen und Organisationen aus Zivilgesellschaft und Konsumentenschutz die gravierenden Probleme von Angeboten wie Zero-Rating auf.

In Deutschland gibt es derartige Gebühren bereits bei der Deutschen Telekom, wogegen wir gemeinsam mit dem Verbraucherzentrale Bundesverband (VZBV), der Gesellschaft für Freiheitsrechte (GFF) und Prof. Barbara van Schewick unsere Kampagne netzbremse.de konzipierten und mittlerweile auch Beschwerde bei der Bundesnetzagentur eingebracht haben. Zu diesem Projekt haben wir tausende Zuschriften von betroffenen Telekom Kund:innen und Firmen bekommen, die diesen Missstand gemeinsam mit uns abstellen wollen. Bald werden wir noch weitere öffentlichkeitswirksame Schritte in dieser Kampagne setzen.

Auf europäischer Ebene werden wir zukünftig unsere Kampagne www.savetheinternet.eu reaktivieren, um auf den Angriff auf die Netzneutralität zu reagieren. Wir planen in einem Bündnis mit netzpolitischen und Verbraucherschutz-Organisationen eine laute Stimme für ein offenes und freies Internet zu bleiben und den gesamten mehrjährigen Gesetzgebungsprozess intensiv mit Policy- und Kampagnenarbeit zu begleiten.

Netzneutralität bleibt also eine kontinuierliche Priorität unserer Arbeit. Wir konnten einerseits in Europa über die letzten Jahre bei jeder Konsultation der EU-Kommission zu diesem Thema eine laute Stimme sein und haben mittlerweile eine breite Koalition von Stakeholdern zusammen gebracht (von Disney bis Wikipedia).

UN Cybercrime Convention

Die von den Vereinten Nationen verhandelte Cybercrime Convention gilt als wichtiges internationales Abkommen zur Bekämpfung von Computerkriminalität, birgt jedoch erhebliche Risiken für Menschenrechte und digitale Freiheit. Der Verhandlungsprozess hat sich von der Bekämpfung schwerwiegender Cyberkriminalität hin zu einem weit gefassten Anwendungsbereich entwickelt, der menschenrechtliche Standards ignoriert und Personen wie Menschenrechtsverteidiger:innen und Journalisten in Gefahr bringt.

Unser Verein ist einer der wenigen europäischen zivilgesellschaftlichen Organisationen, der aktiv an den UN-Verhandlungen in New York und Wien beteiligt war und mit über 100 NGOs und Expert:innen zusammenarbeitete. Unser Ziel war eine menschenrechtsbasierte Gestaltung des Abkommens und ein Fokus auf tatsächliche Cyberkriminalität.

Trotz erheblicher Kritik wurde die Cybercrime Convention 2024 in ihrer problematischen Form beschlossen, was bei uns und vielen Partnerorganisationen Empörung auslöste. Dies verdeutlicht, wie internationale Sicherheitspolitik fundamentale Freiheiten unter dem Vorwand der Kriminalitätsbekämpfung einschränken möchte.

Nach der Verabschiedung der Konvention konzentrieren sich unsere Kolleg:innen auf die Phase der Ratifizierung und nationalen Umsetzung. Wir setzen uns dafür ein, Staaten von einer Ratifikation abzuhalten, schaffen eine kritische Öffentlichkeit und beobachten die Umsetzung in verschiedenen Ländern. Die Entscheidung zur Cybercrime Convention stellt einen Rückschlag für die digitale Zivilgesellschaft dar, jedoch nicht das Ende unseres Widerstands. Wir analysieren kontinuierlich, wie Staaten die Konvention umsetzen und ob menschenrechtliche Standards, Meinungsfreiheit und journalistische Freiheiten gewahrt bleiben, besonders auch in Österreich.

Das Finanzielle

Trotz vieler Erfolge - und einiger Rückschläge - wäre unsere Arbeit ohne eure Unterstützung niemals möglich! Deshalb nochmals ein großes „Danke“ an alle unsere Unterstützer:innen! 

Obwohl die Teuerung anhält, sind uns nahezu alle Fördermitglieder und Spender:innen treu geblieben und unterstützen uns weiterhin regelmäßig mit Spenden (42,62%). 

Wie eingangs erwähnt, hat sich mit 2024 die OSF-Stiftung aus Europa zurückgezogen. Im Jänner erhielten wir letztmalig eine Zuwendung, dazu kam die Wau-Holland Stiftung, Global Impact Ventures und wie jedes Jahr der großartige CCC. Somit blieben wir bei „Förderungen, Stiftungen und Preisgelder“ im Jahr 2024 fast auf dem Niveau des Vorjahres (48,8 %). Dank des öffentlichen Hilferufes unterstützten uns neben den Spender:innen auch heimische Unternehmen mit Sponsoren-Paketen (2,37%), den Rest konnten wir selbst mit z.B. Vortrags- und Sprecher:innen-Honorare erwirtschaften (6,18%).

Die Effizienz: 71,98% unseres Personaleinsatzes entfielen auf statutarische Aufgaben. Im Jahr 2024 wurden 65,16 % der Sachausgaben für statutarische Zwecke verwendet, während 37,16% für den Verwaltungsaufwand aufgewendet werden mussten. Auch unseren kleinen Verein hat die Teuerung massiv getroffen. Für Öffentlichkeitsarbeit, wie OTS-Aussendungen und Kampagnen, investierten wir 0,06% der Mittel. Wir schlossen das Jahr 2024 mit einem kleinen Verlust ab, der durch unsere Rücklagen aus den Vorjahren ausgeglichen wurde (-2,38%).

Seit Ende 2019 veröffentlicht unser Verein im Sinne der Transparenz monatlich einen Cashflow-Bericht auf unserer Website und in den sozialen Netzwerken.

Die Medienarbeit

Netzpolitische Themen und die Digitalisierung bleiben politisch sehr präsent. Diese Tatsache spiegelt sich auch in der Reichweite unserer Medienarbeit wider. Insgesamt erreichten wir 2024 rd. 38,8 Millionen Menschen über alle Medienkanäle (321 Erwähnungen). Wie in den Highlights berichtet, werden wir auch immer öfter als Expert:innen auf europäischer Ebene und in der UN wahrgenommen und angefragt. Wir gaben 64 Interviews, davon waren 21 Interviews mit internationalen Medien. Unsere öffentlichen Auftritte steigerten sich 2024 wieder (gesamt 256). Wir hielten Vorträge und nahmen an Podiumsdiskussionen teil (34), gaben insgesamt 184 Workshops (inkl. unserer epicenter.academy) und waren bei Community Events aktiv (35). Unsere beiden Pressekonferenzen beschäftigten sich einerseits mit der Veröffentlichung unserer Strafverfolgung durch das Gesundheitsministerium und andererseits mit netzpolitischen Themen im Rahmen der Europa- und Nationalratswahl, zu denen Vertreter:innen aller im Parlament vertretenen Parteien mit uns diskutierten.

Wir schrieben 28 Blogposts zu komplexen technischen Themen in deutscher und englischer Sprache. Die Arbeit im nationalen sowie internationalen Gesetzgebungsprozess liegt uns besonders am Herzen. Deshalb brachten wir 17 Stellungnahmen ein, schrieben 22 Policy Papers und meldeten uns mit 28 offenen Briefen zu Wort, um den politischen Diskurs anzuschieben.

Mit der fortschreitenden Digitalisierung wächst auch das Interesse an unserem 14-tägigen deutschen und monatlichen englischen Newsletter. Wenn du noch kein Abo hast: hier kannst du dich kostenfrei anmelden. Wir freuen uns über jede Abonnentin und jeden Abonnenten; das zeigt uns, dass immer mehr Menschen sich für digitale Grundrechtsthemen interessieren.

Fleißig, fleißig

Eine lebendige Demokratie lebt vor allem von einem aktiven Austausch mit allen Stakeholdern. Deshalb hatten wir auch insgesamt 381 Gesprächstermine. Davon wurden allein 242 auf internationaler Ebene geführt, denn starke Grundrechte in einem offenen und freien Internet brauchen europäische bzw. globale Lösungen.

Wie man anhand der Zahlen erkennt, bemühen wir uns sehr, die uns zur Verfügung stehenden Mittel so effizient und zielgerichtet wie möglich einzusetzen, weshalb wir auf Werbung verzichten und das Geld lieber in inhaltliche Arbeit investieren.

Du willst uns auch unterstützen? Hier erfährst du alles zu unseren Fördermitgliedschaften.

Der gesamte Transparenzbericht 2024 steht auf Deutsch und Englisch zum Download bereit.

Am ISPA Summit 2025 stand eine provokante These im Raum: „Kriminalität ist der Preis der Freiheit“. Doch im Eingangsstatement von Thomas Lohninger zeigte sich sehr klar: Die Vorstellung, Überwachung sei der einzige Weg zu mehr Sicherheit, ist eine gefährliche Vereinfachung. Der Staat darf nicht in Bereiche eindringen, die zur Privatsphäre jedes Einzelnen gezählt werden, denn genau hier trennt sich liberale Demokratie von autoritären Regimen.

Überwachung kann kein Ersatz sein für wirksame Prävention, sozialen Zusammenhalt, Bildung oder klassische Polizeiarbeit. Wenn einmal der Zugriff auf das Private gestattet wird, bestehen kaum noch Grenzen, und die Gefahr, dass politische Gegner:innen, Journalist:innen oder NGOs ins Visier geraten, ist real. Ein besonders umstrittenes Mittel ist der sogenannte Bundestrojaner: Nicht nur bietet er Angriffsflächen für Cyberkriminalität, sondern er hat sich weltweit auch als Instrument des Missbrauchs erwiesen. Zudem bedroht er den Grundsatz, dass staatliches Handeln kontrollierbar bleiben muss.

Es ist wichtig zu erkennen: Eine absolute Sicherheit kann es nicht geben, nicht einmal mächtige Geheimdienste konnten Anschläge zuverlässig verhindern. Die Reaktion einer Gesellschaft auf Extremismus muss deshalb nicht weniger, sondern mehr Demokratie bedeuten, mehr Offenheit, Transparenz und Mitbestimmung.

Die DSGVO wird bereits seit Jahren nur unzureichend durchgesetzt. 2024 gab es in Österreich trotz 3.813 Beschwerden nur 62 Strafen. Die Lage könnte sich nun weiter zuspitzen: In ihrem jüngsten Newsletter hat die Datenschutzbehörde (DSB) eine weitere Einschränkung ihrer Tätigkeiten angekündigt. Grund sind deutliche Budgetkürzungen trotz zunehmender Arbeitslast. Gemeinsam mit noyb warnen wir vor den verheerenden Folgen einer solchen Einschränkung für das Grundrecht auf Datenschutz aller Österreicher:innen und werden deshalb eine Beschwerde gegen die Republik Österreich bei der EU-Kommission einreichen.

DSB: Sparen statt Durchsetzen? 

Die österreichische Bundesregierung scheint die unabhängige Datenschutzbehörde (DSB) schlichtweg kaputtzusparen. Das geht aus einem Newsletter der DSB hervor, in dem sie eine Einschränkung ihrer Tätigkeiten angekündigt hat. Dabei ist die DSB im EU-Vergleich schon bisher extrem unterfinanziert. Deutschland gibt pro Kopf zum Beispiel etwa doppelt so viel für seine Datenschutzbehörden aus wie Österreich. Laut Artikel 52(4) DSGVO ist die Republik jedoch verpflichtet, die DSB ausreichend zu finanzieren. Diese EU-rechtliche Verpflichtung wird offensichtlich verletzt.

Praktikant:innen zur Aufrechterhaltung von Grundrechten?

Da die DSB schon bisher nicht genügend fixe Planstellen für Beamt:innen zugesagt bekam, half man sich mit rund 20 Verwaltungspraktikant:innen über die Runden. Rechtlich gelten diese als „Sachausgaben“, müssen nach 12 Monaten aber wieder gekündigt werden. Know-how geht damit laufend verloren und der permanente Schulungsaufwand ist enorm.

Weniger Personal für mehr Arbeit

Konkret sollte die DSB bisher mit nur 53 Angestellten und 19 Verwaltungspraktikant:innen (Stand 2024) die Datenschutzrechte von 9 Millionen Menschen durchsetzen. Das war schon bisher fast unmöglich. Vor kurzem hat die DSB bekanntgegeben, dass ihr Budget für das Jahr 2026 trotz steigender Kosten und wachsender Arbeitslast abermals zusammengestaucht wurde. Die Datenschutzbehörde kann deshalb einen Großteil ihrer rund 20 Verwaltungspraktikant:innen nicht nachbesetzen, wodurch der ohnehin prekäre Personalstand rasant schrumpft. Dabei kommen der DSB durch das Informationsfreiheitsgesetz, künstliche Intelligenz, Targeting in der politischen Werbung und der Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit immer mehr Mammutaufgaben zu.

Weniger Verfahren, weniger Stellungnahmen

Besonders schwerwiegend ist, dass die DSB künftig nur noch in Ausnahmefällen Stellungnahmen zu geplanten Gesetzesentwürfen abgeben wird. Angesichts der fortschreitenden Digitalisierung haben jedoch immer mehr Gesetzesvorhaben einen klaren Datenschutzbezug. Ohne die kompetente Stimme der Behörde fehlen zentrale Impulse für eine grundrechtskonforme Gesetzgebung. Darüber hinaus hat die DSB klargestellt, amtswegige Verfahren nur noch dann einzuleiten, wenn aus einer externen Eingabe “ein hinreichend konkreter Verdacht auf eine schwerwiegende Verletzung der DSGVO bzw. des DSG hervorgeht.”  Mit anderen Worten: Die DSB wird Unternehmen von sich aus überhaupt nicht mehr prüfen.

„Datenschutz ist überall. Nahezu jedes Gesetz berührt digitale Grundrechte und muss auch entsprechend qualitativ ordentlich geschrieben werden. Die Regierung sollte das eigentlich wissen. Am Datenschutz zu sparen heißt, Orientierung für die Zukunft zu verlieren. Damit werden die Gesetze im Land schlechter und das Feld wird multinationalen Konzernen zu überlassen.“ betont unser Datenschutzexperte Sebastian Kneidinger. 

Noch längere Verfahren und Verlust an Rechtssicherheit

Den Fokus will die DSB auf die Behandlung von Beschwerden legen, da hier eine Behandlungspflicht besteht. Aber selbst hier rechnet die Behörde mit weiteren Verzögerungen, obwohl Verfahren bereits heute meistens deutlich länger dauern als die gesetzliche Frist von 6 Monaten. Viele Fälle ziehen sich über Jahre – und liegen dann Jahre lang beim ebenso überlasteten Bundesverwaltungsgericht (BVwG). Damit das BVwG einen Akt tatsächlich bearbeitet, muss praktisch immer erst der Verwaltungsgerichtshof angerufen werden.

Max Schrems von noyb warnt: „Grundrechte sind wertlos, wenn sie nur noch auf dem Papier bestehen. Wir haben nun eine Behörde im Notbetrieb und Gerichte, die ohne einer extra Weisung des Höchstgerichts im Einzelfall die Akten regelmäßig liegen lassen. Die Lage ist eines Rechtsstaats absolut unwürdig. Wenn die DSB ordentlich strafen würde, wäre sie eine ‚Cash-Cow‘ für die Republik. Nur eine Strafe gegen Google wäre der österreichische Anteil am Brennerbasistunnel von 6 Milliarden.“

EU-Beschwerde gegen Österreich

Gemeinsam mit noyb bringen wir Beschwerde bei EU-Kommission ein. Die Kommission hat daraufhin die Möglichkeit, ein Vertragsverletzungsverfahren gegen die Republik einzuleiten und die Regierung zu verpflichten, die DSB ausreichend zu finanzieren. 

Die Schwächung der Datenschutzbehörde betrifft nicht nur eine Behörde, sondern das Grundrecht auf Datenschutz aller Menschen in Österreich. Anstatt eine starke Institution aufzubauen, die Bürger:innen schützt und die Einhaltung der DSGVO durchsetzt, wird die DSB ausgehungert. Die NGOs epicenter.works und noyb setzen daher auf den europäischen Rechtsrahmen – damit Datenschutz in Österreich nicht nur ein Recht auf dem Papier bleibt.

Seit 1. September 2025 gilt in Österreich das neue Informationsfreiheitsgesetz (IFG). Damit bekommen alle Menschen in Österreich ein neues Grundrecht auf Zugang zu staatlichen Informationen. In modernen Demokratien hat die Bevölkerung ein Recht darauf zu wissen, was in ihrem Namen und mit ihrem Steuergeld passiert. Unser Ziel ist ein transparenter Staat, statt transparenten Bürger:innen.

Österreich ist hier peinliches Schlusslicht, denn es war lange das letzte EU Land ohne Informationsfreiheit. Die Informationsfreiheit ruht auf zwei Säulen, die Auskunft über Informationen auf Antrag und die proaktive Veröffentlichungen in einem Informationsregister. „Information“ umfasst jede bereits vorhandene Aufzeichnung (Dokument, E-Mail, Datei, Datenbank-Export etc.), die bei einer informationspflichtigen Stelle besteht – neu erzeugen müssen Behörden nichts.

Handlungsanleitung: Wie geht das?

1) Prüfen, ob es schon veröffentlicht ist: 
Viele Unterlagen „von allgemeinem Interesse“ (z. B. Geschäfts­einteilungen, Berichte, Studien, Verträge) müssen künftig proaktiv online stehen – zentral im Informationsregister auf data.gv.at. Kleine Gemeinden unter 5.000 Einwohner:innen sind davon ausgenommen; sie können aber freiwillig veröffentlichen. (Das Anfragerecht gilt dort aber trotzdem.)

2) Stelle ein Informationsbegehren (Antrag)
: Du kannst formfrei (E-Mail, Brief, telefonisch oder persönlich) bei allen Verwaltungsorganen von Bund, Ländern und Gemeinden sowie bei vielen staatsnahen Unternehmen anfragen (börsennotierte Unternehmen sind ausgenommen). Das Informationsbegehren braucht keine Begründung – wichtig ist eine möglichst präzise Beschreibung der gewünschten Information.

3) Fristen & Rechtsmittel kennen: 
Die Behörde muss innerhalb von 4 Wochen antworten. Bei besonderen Gründen darf sie einmalig um weitere 4 Wochen verlängern. Erfolgt keine Informationserteilung, kannst du einen Bescheid verlangen. Wird dieser verweigert oder bleibt aus, ist eine Beschwerde beim zuständigen Verwaltungsgericht möglich, das innerhalb von 2 Monaten entscheiden muss.

4) Kosten : Anfragen, Antworten und Bescheide sind gebührenfrei. Erst im Beschwerdeverfahren fallen Gerichtsgebühren an.

→ Sehr zu empfehlen ist der Anfrage-Guide des Forums Informationsfreiheit und natürlich FragDenStaat.at ein Portal, das Vorlagen, Versand und öffentliches Tracking deiner Anfrage vereinfacht.

Wofür kannst du das IFG verwenden?

• Kontrolle vor Ort: Bauvorhaben, lokale Beschaffungen, Gemeinderats-Unterlagen – auf allen Verwaltungsebenen.
• Verträge, Studien, Gutachten: Hintergrunddokumente zu öffentlichen Projekten, Vergaben und Expertisen – sofern kein Geheimhaltungsgrund greift (Datenschutz, Sicherheit, laufende Entscheidungsfindung…etc.)
• Geldflüsse nachvollziehen: Förderungen, Subventionen und Zuschüsse – künftig werden z. B. in der Transparenzdatenbank staatliche Förderungen ab 1.500 € (außer an Privatpersonen) publik

Informationsfreiheit & Datenschutz: zwei Seiten einer Medaille.

Auch wenn die Amtsverschwiegenheit heute nicht mehr Zeitgemäß ist, war sie zu ihrer Einführung 1925 eine gute Sache. Damit war es Beamten verboten dienstliche Informationen über Menschen auszuplaudern oder gegen diese zu verwenden. Diesen Schutz verlieren wir mit der neuen Informationsfreiheit nicht, denn Datenschutzinteressen müssen in jeder Anfrage mit dem öffentlichen Interesse abgewogen werden und oftmals werden personenbezogene Daten einfach geschwärzt.

Deshalb haben wir uns auch gemeinsam mit unserer Schwesterorganisation Forum Informationsfreiheit für ein IFG eingesetzt. Wir durften 2023 im Verfassungsausschuss als Experten das Gesetz analysieren und haben noch für Verbesserungen gekämpft.

In unserer Arbeit ist das IFG ein wertvolles Werkzeug. Zum Beispiel haben wir gleich in mehreren Anfragen versucht Licht ins Dunkel der geplanten Videoüberwachung von Innenminister Karner zu bringen. Dazu veruchen wir den ominösen Erlass des Ministers zu bekommen, die Orte wo heute schon von der Polizei überwacht wird oder in welchem Umfang die Videoüberwachung von öffentlichen Verkehrsbetrieben von der Polizei abgefragt wird. Wir wollen auch wissen wieviel Geld für Softwarelizenzen ausgegeben wird. Auch auf EU Ebene besorgen wir uns die Lobby Dokumente der Telekomindustrie in ihrem Angriff gegen die Netzneutralität.

SPÖ Ministerien verbieten E-Mail

Es wäre nicht Österreich, wenn die Einführung der Informationsfreiheit ohne Pannen verläuft. Kaum ist das neue Informationsfreiheitsgesetz in Kraft, schränken die ersten Ministerien bereits dessen Nutzung ein. Das SPÖ-Finanzministerium verweigert die Annahme von Anfragen per E-Mail. Ebenso hält es das SPÖ-Justizministerium, wie das Forum Informationsfreiheit berichtet. Stattdessen soll nur noch ein Formular genutzt werden dürfen – eine Maßnahme, die nicht nur technisch unnötig, sondern auch bürgerfeindlich ist. Gerade E-Mail ist 2025 das zugänglichste Kommunikationsmittel für praktisch alle Altersgruppen. Ob die neuen Formulare barrierefrei und rechtssicher sind, bleibt offen.

Besonders problematisch: Die Einschränkung gefährdet die Arbeit von FragDenStaat.at, das seit vielen Jahren Bürger:innen bei Anfragen unterstützt – transparent, öffentlich, per E-Mail. Ohne vorherige Ankündigung wird hier zivilgesellschaftliches Engagement ausgebremst und weiters die Möglichkeit genommen einzelne Anfragen für alle öffentlich nachlesbar zu machen. Damit steigert sich auch der Verwaltungsaufwand für die Ministerien, da doppelte Anfragen nicht erkannt werden. 2023 hat die SPÖ das IFG unterstützt und gefeiert, nun muss sie in Regierungsverantwortung auch zu ihrem Wort stehen. Wir fordern das Finanz- und Justizministerium auf, E-Mail-Anfragen weiterhin zuzulassen und den politischen Willen zur Transparenz nicht durch bürokratische Hürden zu konterkarieren.

Gesundheitsdaten gehören zu den höchstpersönlichsten Daten eines Menschen. Sie erzählen intime Geschichten über Leidenswege, Diagnosen oder Behandlungen – und damit über unsere vielleicht sensibelsten Lebensbereiche. Deshalb ist es essenziell, dass Gesundheitsdaten besonders stark geschützt und Patient:innen Entscheidungshoheit darüber haben, selbst entscheiden, was mit ihren Daten passiert.

Opt-out als Vertrauensbildung

Bei der Einführung von ELGA war das ein zentrales politisches Versprechen: Niemand sollte gezwungen werden, die Plattform zu nutzen, und mit dem Opt-out wurde eine klare Möglichkeit geschaffen, Daten nur dem behandelnden Arzt oder der behandelnden Ärztin anzuvertrauen – nicht aber automatisch sämtlichen Ärzt:innen und Krankenhauspersonal im ganzen Land verfügbar zu machen. Dieses Versprechen war entscheidend, um Vertrauen in die Digitalisierung des Gesundheitswesens aufzubauen.

Staatliche IT-Systeme können auf zwei Wege in die breite Bevölkerung kommen. Entweder man schafft eine Wahlfreiheit und wirbt damit um das Vertrauen der Menschen oder es gibt einen staatlichen Zwang. Die geringe Abmelde-Quote von ELGA zeigt, trotz der Kampagne der Ärztekammer gegen ELGA hat es mit Vertrauen funktioniert.

Ein Gegenbeispiel ist der elektronische Impfpass. Dieses System wurde 2020 inmitten der Pandemie eingeführt und verpflichtet alle Patient:innen zur Eintragung aller Impfungen, auch jener gegen ungefährliche und nicht ansteckende Impfungen. Bis heute gibt es Widerstand gegen den elektronischen Impfpass mit dazugehörigen Verfassungsklagen. Ein Opt-Out hätte Vertrauen geschaffen. Bei Gesundheitsstaatssekretärin Königsberger-Ludwig von der SPÖ scheint langsam ein Umdenken bemerkbar, wohingegen die Grünen weiterhin an ihrer Maximalposition ohne Freiwilligkeit festhalten.

Europäischer Gesundheitsdatenraum als Herausforderung

Bis 2029 muss Österreich den europäischen Gesundheitsdatenraum (EU Health Data Space) umsetzen. Damit wird die ELGA europäisch und im ersten Schritt werden EU-Rezept und EU-Patient:innenkurzakte grenzüberschreitend umgesetzt. Es können also bald Rezepte aus einem EU Land in Apotheken in einem anderen EU Land eingelöst werden. Je breiter persönliche Daten geteilt werden, umso größer ist auch die Gefahr von Missbrauch, Datenverlust, etc.

Schon in den Verhandlungen auf EU-Ebene haben wir uns mit einer dringenden Forderung an die Politik gewendet, dass der Opt-Out in Österreich erhalten bleiben muss. Gesundheitsminister Rauch von den Grünen und Digitalisierungsstaatssekretär Tursky von der ÖVP stimmten unserer Forderung innerhalb von 24h zu. Das finale EU Gesetz erlaubt es Mitgliedsstaaten weiterhin einen Opt-Out vorzusehen.

Erste Reformschritte stehen bevor

Derzeit ist ein neues Gesundheitstelematikgesetz in Begutachtung, zu dem wir uns mit unserer juristischen Stellungnahme positiv geäußert haben. Dabei geht es um die digitale Vernetzung im Gesundheitsbereich, genauer gesagt den Zugang zu Diensten der EU, wie dem EU-Rezept und der EU-Patientenkurzakte. Ziel ist es, dass österreichische Patient:innen schon vor März 2029, also bevor es EU-weit verpflichtend wird, schnell und sicher grenzüberschreitend auf diese Dienste zugreifen können und somit auch leichter im europäischen Ausland behandelt werden können.

Positive Punkte:

• Freiwillige Teilnahme (Opt‑in):
 Der Entwurf sieht vor, dass Patient:innen aktiv und bewusst zustimmen müssen, bevor sie an dem neuen EU-System (MyHealth@EU) teilnehmen. Das heißt: keine automatische Anmeldung, sondern eine informierte Entscheidung. Das stärkt das Vertrauen und schützt hochsensible Gesundheitsdaten.
• Zukunftsorientiert: Vorgriff auf EU-Verpflichtung:
 Österreich reagiert früh, damit die neuen digitalen Gesundheitsdienste schon vor der Pflicht ab 2029 nutzbar sind. Damit kann Österreich auch Finanzhilfen aus dem EU-Programm EU4Health nutzen.

Der österreichische Opt-out und der Übergang zum EU-Modell:
 Ab 2029 ist vorgesehen, dass für die Nutzung im Behandlungs-Kontext (Primärnutzung) keine aktive Einwilligung mehr nötig ist. Aber der EU-Rechtsrahmen erlaubt Staaten ein Opt-out einzuführen – was wir befürworten – und fordern für Österreich die Nutzung dieser Öffnungsklausel.

Die Sorge um die sekundäre Nutzung von Daten

Weil der Entwurf aktuell nur die medizinische Versorgung (Primärnutzung) betrifft, steht uns die große Debatte um die Weiterverwendung von Gesundheitsdaten für Forschung und Industrie noch bevor:

• Die EU-Verordnung räumt Patient:innen ein Widerspruchsrecht (Opt-out) für die Sekundärnutzung von Daten ein – etwa für Forschung oder Auswertungen für politische Lagebilder.
• Auch wenn diese Daten teilweise anonymisiert werden, kann eine Einzelperson trotzdem sehr leicht in diesen Datenbeständen wiedergefunden (re-identifiziert) werden. Gesundheitsdaten und -biographien sind oft einzigartig und von einer echten Anonymisierung kann hier keine Rede sein. Unsere Schwesterorganisation in Deutschland hat gegen ein ähnliches System bereits Klage eingereicht.
• Problematisch ist: Mitgliedstaaten dürfen Ausnahmen von diesem Widerspruchsrecht erlauben. Wir fordern deshalb, dass solche Ausnahmen nur sehr eng gefasst werden. Gerade die Weiterverwendung von Gesundheitsdaten für Zwecke die nichts mit der medizinischen Behandlung zu tun haben, dürfen nicht die Regel sein und müssen auf wenige, klar definierte Fälle beschränkt werden. Nur so bleibt das Widerspruchsrecht wirksam und das Vertrauen in das Patient:innengeheimnis bleibt gewahrt.

Künstliche Intelligenz ist längst Teil unseres Alltags und auch Teil staatlicher Entscheidungsprozesse. Zwei aktuelle Fälle aus Österreich verdeutlichen, wie gravierend die Folgen fehlerhafter oder unkontrollierter Systeme sein können.

So führte eine KI-gestützte Gesichtserkennung der österreichischen Polizei zu einer folgenschweren Verwechslung. Ein Unbeteiligter wurde als Tatverdächtiger identifiziert und inhaftiert, erst Wochen später kam der Irrtum ans Licht. Der Fall zeigt, wie gefährlich es ist, wenn Behörden technische Systeme ungeprüft übernehmen.

Auch der seit Jahren umstrittene AMS-Algorithmus beeinflusst Förderentscheidungen, indem er Arbeitssuchende nach Kriterien wie Alter, Geschlecht oder Ausbildung einstuft. Kritisiert werden insbesondere fehlende Transparenz und die Gefahr systematischer Benachteiligung. Ob sein Einsatz aus datenschutzrechtlicher Sicht zulässig ist, beschäftigt die Gerichte bis heute.

Warten auf den “Digital-TÜV” 

Der AI Act wurde vor über einem Jahr offiziell beschlossen. Seine zentralen Anforderungen sind klar, der Zeitrahmen für die Umsetzung seit Langem bekannt. Sein Ziel ist dabei einfach, aber entscheidend: Menschen vor den Risiken fehlerhafter oder missbräuchlicher KI zu schützen. So wie bei jedem anderen Produkt, das in der EU auf den Markt kommt, von Kindersitzen bis zu Aufzügen, muss auch bei KI-Systemen sichergestellt sein, dass sie bestimmte Mindeststandards erfüllen, bevor sie eingesetzt werden dürfen.

Darüber hinaus sieht der AI Act vor, besonders riskante Anwendungen zu verbieten. Dazu zählen manipulative oder täuschende Systeme, etwa Chatbots, die sich als reale Personen ausgeben, gezielt Fehlinformationen verbreiten oder das Verhalten von Nutzerinnen und Nutzern ohne deren Wissen beeinflussen. Solche Systeme bedrohen demokratische Diskurse und verletzen Persönlichkeitsrechte. In einer rechtsstaatlichen Ordnung haben sie keinen Platz.

Um diese Regeln durchzusetzen, braucht es in jedem Mitgliedstaat eine eigenständige und funktionsfähige Aufsichtsbehörde. Sie soll Hochrisiko-Systeme prüfen, Verstöße sanktionieren und als zentrale Anlaufstelle für Betroffene wie Entwicklerinnen und Entwickler dienen. Dass Österreich diese Behörde bis heute nicht geschaffen hat, ist ein Versäumnis, politisch wie rechtlich. Wie die Bundesregierung sich diese Behörde vorstellt ist unklar, die KI hat übrigens ihre Behörde mit dem Bild zu diesem Blogpost skizziert. 

Die janusköpfige Behörde

Hinzu kommt ein problematischer Punkt im österreichischen Regierungsprogramm: Die geplante Behörde soll nicht nur kontrollieren, sondern auch unentgeltlich Unternehmen beraten. Diese Doppelrolle birgt einen offensichtlichen Interessenskonflikt. Eine glaubwürdige Aufsicht ist nur möglich, wenn klare institutionelle Trennlinien bestehen.

Was es jetzt braucht, ist eine unabhängige, gut ausgestattete und mit klaren Kompetenzen versehene KI-Behörde, die ihre Rolle als Kontrollinstanz konsequent wahrnimmt. Dazu gehört auch eine enge Zusammenarbeit mit bestehenden Institutionen wie der Datenschutzbehörde, um Überschneidungen zu vermeiden und Synergien zu nutzen.

Was jetzt passieren muss

Die rechtlichen Vorgaben sind klar. Die Technik ist längst Realität. Die Risiken sind erwiesen. Jetzt liegt es an der Regierung, endlich eine funktionierende Struktur zu schaffen, die die Umsetzung des AI Acts auch in Österreich gewährleistet, im Interesse aller, die mit KI-Systemen arbeiten, und insbesondere jener, die von ihnen betroffen sind.

Update 21. Jänner 2026: FPÖ & Grüne ziehen mit Drittelbeschwerde gegen den Bundestrojaner vor den Verfassungsgerichtshof. Massenüberwachung, hohes Missbrauchspotential und illegale Software - sounds familiar?

Innenminister Karner will die Videoüberwachung in Österreich in einem bisher beispiellosen Ausmaß ausweiten – und das ohne öffentliche Debatte, wissenschaftliche Grundlage oder nachvollziehbare Begründung. Nach dem umstrittenen Beschluss zum Einsatz des Bundestrojaners steht damit direkt der nächste Angriff auf unsere Grundrechte bevor.

Was jetzt geplant ist

Bisher werden in Österreich 20 öffentliche Orte videoüberwacht, diese Zahl will der Innenminister jetzt plötzlich verfünffachen. Öffentliche Plätze sind Räume für Begegnung, Austausch und demokratische Teilhabe. Der Großteil der Menschen auf den hunderten öffentlichen Plätzen haben sich nichts zu Schulden kommen lassen und sollen künftig trotzdem in ihrem Alltag überwacht werden. Gerade in Zeiten von KI ist es für Sicherheitsbehörden so einfach und billig wie nie, automatisierte Gesichtserkennung oder Gefahrenerkennung einzusetzen. So lassen sich auf Knopfdruck Bewegungsprofile von Menschen erstellen, was schnell zu Missbrauch und Diskriminierung führen kann. Besonders an beliebten Orten für Demonstrationen führt das Aufstellen von Videokameras zwangsläufig zur Beschneidung unserer Demokratie.

Das Innenministerium will diese Möglichkeit nun offenbar massiv ausbauen. Besonders brisant: Die Maßnahme soll über einen simplen Erlass eingeführt werden – mitten in der Sommerpause des Nationalrats, ohne vorherige Debatte. Aus demokratiepolitischer Sicht ist dieses Vorgehen schlicht inakzeptabel.

Veraltete Gesetze, fehlender Rechtsschutz

Die aktuellen Bestimmungen im Sicherheitspolizeigesetz zur Videoüberwachung zeigen keinerlei Sensibilität für Grundrechte. Es gibt weder eine klare Rechtsgrundlage für KI-gestützte Gesichtserkennung noch zeitgemäße Schutzmechanismen für Betroffene.

Die längst überfällige Umsetzung des EU-AI-Acts sowie andere Vorhaben wie die geplante Innenstadtüberwachung zur Verkehrsberuhigung durch Verkehrsminister Hanke machen deutlich: Wir brauchen dringend eine Reform dieser Gesetze, um Grundrechte im digitalen Zeitalter zu sichern.

Politische Kehrtwende bei SPÖ und NEOS

Besonders enttäuschend ist das Verhalten von SPÖ und NEOS. Beide Parteien haben in der Opposition jahrelang scharf vor Überwachungsphantasien der ÖVP gewarnt. Nun, in der Regierung, scheinen sie diese Positionen aufgegeben zu haben. Für eine Partei mit Wurzeln in sozialen Bewegungen und eine liberale Bürgerrechtspartei ist diese Haltung schwer nachvollziehbar.