Österreichischer Gesetzentwurf für die Vorratsdatenspeicherung

Mit einer Novelle des Telekommunikationsgesetzes (TKG2003) möchte die österreichische Verkehrsministerin Doris Bures (SPÖ) die Vorratsdatenspeicherung einführen. Kürzlich hat sie einen entsprechenden Entwurf (PDF) veröffentlicht, jedermann kann bis 15. Januar 2010 dazu Stellung nehmen.

Telekommunikationsanbieter sollen dazu verpflichtet werden, Verkehrs- und Standortdaten, die beim Erbringen von Kommunikationsdiensten erzeugt oder verarbeitet werden, für Zwecke der Strafverfolgung auch ohne konkreten Verdacht gegen einen Kunden zu speichern. Dieses Vorgehen beruht auf einer EU-Richtlinie. Anbieter die in die Kategorien der Klein-und Kleinstunternehmen fallen, sollen auf Antrag von der Speicherpflicht allerdings ausgenommen werden (vorgeschlagener Paragraph 102a Absatz 6).

Der Entwurf wurde in Bures' Auftrag von einer Arbeitsgruppe mit Juristen, Beamten verschiedener Ministerien und Vertretern betroffener Unternehmern unter der Leitung des Ludwig Boltzmann Instituts für Menschenrechte ausgearbeitet. Schon auf dem Vorblatt (PDF) gibt es die erste Überraschung: Obwohl die mit der Vorratsdatenspeicherung verbundenen Kosten "nicht vorhersehbar" seien, erwartet das Verkehrsministerium keine Auswirkungen auf die Beschäftigung und den Wirtschaftsstandort Österreich. Branchenvertreter hatten wiederholt vor hohen Kosten und damit verbundenen negativen Auswirkungen auf Beschäftigung, Internetnutzung und Wirtschaftsstandort gewarnt. Im Ministerium glaubt man ihnen offensichtlich nicht. Die Kosten sollen den Netzbetreibern aus dem Steuertopf vergütet werden (vorgeschlagener Paragraph 94).

Erläuternde Bemerkungen

In den Erläuternden Bemerkungen (PDF) wird zunächst die Richtlinie 2006/24/EG vom 15. März 2006 als Anlass für die Vorratsdatenspeicherung genannt. Sodann wird darauf eingegangen, dass zwar keine Inhaltsdaten gespeichert werden sollen, allerdings schon aus Verkehrsdaten häufig auf den Inhalt geschlossen werden kann (z.B. Anruf bei einer AIDS-Beratung).

Ein Rückblick auf die Entstehungsgeschichte fällt kritisch aus: Mehrere Ausschüsse des EU-Parlaments hätten fraktionsübergreifend datenschutzrechtliche Regelungen gefordert, was in der Richtlinie aber keinen Niederschlag gefunden habe. Zwar werde als Ziel der Richtlinie die Bekämpfung von Terrorismus und organisierter Kriminalität angeführt, im Text ist dann aber nur von "schweren Straftaten" die Rede. Die Definition von "schweren Straftaten" liege somit im Ermessen der Mitgliedsstaaten innerhalb deren jeweiligen Grundrechtsrahmens.

Die zentralen vorgeschlagenen Änderungen

Die Kernbestimmungen für die Vorratsdatenspeicherung sollen die neuen Paragraphen 102a und 102b bilden. Paragraph 102a legt fest, welche Daten auf Vorrat "zum Zweck der Ermittlung, Feststellung und Verfolgung schwerer Straftaten" zu speichern sein sollen:

Internet-Zugangsdienste (vorgeschlagener Absatz 2) müssen Name, Anschrift, Teilnehmerkennung, Datum und Uhrzeit der Zuteilung und des Entzug einer öffentlichen IP-Adresse, die eindeutige Kennung des Anschlusses, über den der bestimmte Internet-Zugang erfolgt ist sowie bei Nutzung eines Dial-Up-Zugangs die Rufnummer des anrufenden Anschlusses speichern.

Telefondienste (vorgeschlagener Absatz 3, gilt auch für Internettelefonie) müssen Teilnehmernummern oder andere Kennungen von rufendem und gerufenem Anschluss, Namen und Anschrift der Inhaber beider Anschlüsse, Datum und Uhrzeit des Beginns sowie die Dauer eines Kommunikationsvorganges und die Art des Dienstes speichern. Wird ein Anruf um- oder weitergeleitet kommen die betroffenen Rufnummern hinzu. Mobilfunkanbieter müssen zusätzlich die Nummern der SIM-Karten (IMSI), die Nummern der beteiligten Endgeräte (IMEI) und den Standort bei Beginn der Verbindung (Cell-ID) notieren. Handelt es sich um eine vorausbezahlten anonymen Dienst, müssen außerdem Datum und Uhrzeit der ersten Aktivierung samt Standort registriert werden.

Anbieter von E-Mail-Diensten müssen nach dem vorgeschlagenen Absatz 4 die zugewiesene Teilnehmerkennung, Name und Anschrift des Teilnehmer sowie bei jeder An- und Abmeldung Datum, Uhrzeit, Teilnehmerkennung und öffentliche IP-Adresse speichern. Beim Versand eines E-Mails gesellen sich die E-Mail-Adressen von Sender und Empfänger sowie die öffentliche IP-Adresse des Senders hinzu. Wird hingegen ein E-Mail empfange, müssen neben des Adressen von Absender und Empfänger auch "die öffentliche IP-Adresse der letztübermittelnden Kommunikationsnetzeinrichtung" vorgehalten werden.

Nach dem vorgeschlagenen Absatz 8 sollen die Vorratsdaten sechs Monate nach Beendigung der Verbindung unverzüglich, spätestens aber nach einem weiteren Monat zu löschen sein. Nach sechs Monaten wäre eine Beauskunftung jedenfalls unzulässig.

Der vorgeschlagene Paragraph 102b soll festlegen, dass Auskünfte über die auf Vorrat gespeicherten Daten "ausschließlich aufgrund einer gerichtlichen Bewilligung (zu den Ausnahmen siehe unten, Anmerkung) und nur nach Maßgabe einer ausdrücklich auf Paragraph 102a verweisenden gesetzlichen Bestimmung erteilt werden". Dies würde bedeuten, dass eine Reihe von Bestimmungen, insbesondere im Strafrecht, um einen Bezug auf diesen Paragraphen 102a erweitert werden müssten, um einen Zugriff auf die Daten zu ermöglichen. "Die Auskunft ist nur zum Zweck der Ermittlung, Feststellung und Verfolgung schwerer Straftaten an die nach den Bestimmungen der Strafprozessordnung über die Auskunft über Daten einer Nachrichtenübermittlung zuständigen Behörden zulässig", heißt es im Entwurf weiter.

Der vorgeschlagene Paragraph 102c befasst sich mit der Datensicherheit. Die Vorratsdaten sollen, getrennt von anderen Daten, sicher verwahrt werden. Zugriff sollen nur "besonders ermächtigte Personen" erhalten, zudem soll jeder Zugriff protokolliert werden müssen. Die Datenschutzkommission soll Einblick in die Protokolle nehmen dürfen, der Justizminister mindestens jährlich einen Auszug erhalten.

Der bereits bestehenden Paragraphen 109 Absatz 3 stellt eine Reihe von Verstößen gegen das TKG 2003 unter eine Verwaltungs-Strafdrohung von bis zu 37.000 Euro. Eine Reihe neuer Ziffern soll auch Verstöße gegen die neuen Vorratsdatenspeicherungsbestimmungen entsprechend sanktionieren.

Die technischen Parameter zur Vorratsdatenspeicherung sollen in einem neu formulierten Paragraph 94 umrissen werden. Die Details sollen dann in einer Verordnung bestimmt werden.

Die Verfassungsbestimmungen

Detailregelungen im Verfassungsrang sind in Österreich häufig anzutreffen. Sie sind beim Gesetzgeber besonders dann beliebt, wenn er eine an sich möglicherweise verfassungswidrige Norm der Kontrolle durch den Verfassungsgerichtshof (VfGH) entziehen möchte. Denn damit werden die Bestimmungen selbst Teil der Verfassung und können vom VfGH nicht mehr ohne Weiteres auf Vereinbarkeit mit der Verfassung geprüft werden. In der beabsichtigten TKG-Novelle finden sich zwei solcher Verfassungsbestimmungen:

Der Paragraph 98 soll einen neuen Absatz 2 erhalten, der Notrufbetreibern für die Ermittlung des Standortes eines mobilen Endgerätes Zugriff auf die Vorratsdaten gewährt. Paragraph 99 Absatz 5 Ziffer 2 soll analog zu umstrittenen Bestimmungen im Sicherheitspolizeigesetz (SPG) Behörden im Fall "einer konkreten Gefahr für das Leben oder die Gesundheit eines Menschen" Zugang zu Verkehrsdaten, Stammdaten und Standortdaten (auch aus den Vorratsdaten) verschaffen. In beiden Fällen soll kein Gerichtsbeschluss erforderlich sein, allerdings soll der Betroffene im Nachhinein von seinem Telekommunikations-Anbieter informiert werden.

Fixe IP-Adressen und Fernmeldegeheimnis

Neben der Einführung der Vorratsdatenspeicherung gibt es auch eine Regelung den Datenschutz für Internetnutzer betreffend: Statische öffentliche IP-Adressen sollen nach Paragraph 92 Absatz 3 Ziffer 16 letzter Satz als Stammdatum (und nicht als Verkehrsdatum) eingeordnet werden, wenn sie dem jeweiligen Kunden vertraglich zugesichert wurden. Stammdaten (neben den genannten IP-Adressen auch Name und Anschrift einer Person) unterliegen nicht dem strengen Fernmeldegeheimnis und müssen häufig beauskunftet werden. Insbesondere die Urheberrechtsindustrie hat Interesse an diesen Daten.

Stammdaten können durch bloße Einsicht in den Vertrag und daher ohne Auswertung von Zugangsdaten (Logfiles) erhoben werden. In den Erläuternden Bemerkungen wird auch ausdrücklich erwähnt, dass IP-Adressen, die zwar statisch zugeteilt werden, deren genaue Nummer aber nicht im Vertrag festgehalten wird, kein Stammdatum darstellen sollen – für diese IP-Adressen müssten ja wieder Logfiles und damit Verkehrsdaten ausgewertet werden. (vza)