Datentresor Schweiz und Schlussfolgerungen, volkswirtschaftliche Effekte und ...
Unternehmensverantwortung im praktischen Spannungsfeld
1. Unternehmensverantwortung im
praktischen Spannungsfeld
Schilderung aus der Sicht von Unternehmen,
die staatlichen Anfragen zur Speicherung
und Herausgabe von Nutzerdaten ausgesetzt sind
Maximilian Schubert
OCG: IT-Unternehmen zwischen Überwachungsstaat und Kundenverantwortung
09.10.2013, Österreichischer Gewerbeverein, Wien
4. Die ISPA vertritt die Internetwirtschaft
– Gegründet 1997
– Rund 200 Mitglieder
aus den Bereichen
Access, Hosting,
Content & Services
– Zwei Drittel weniger als 25 MA
www.stopline.at
Meldestelle gegen
Kinderpornographie und
Nationalsozialismus
im Internet
8. Problemfall: Beauskunftung von
„dynamischen IP-Adressen“
§103 Abs 4. TKG
aufgehoben 19.05.2011
Etwaige zuvor erlassene Gerichtsurteile wurden hierdurch gegenstandslos.
(zB OGH 13.04.2011, 15 OS 172/10y, ÖBB-Vorteilsticket)
9. Problemfall: Beauskunftung von
„dynamischen IP-Adressen“
§92 Abs. 3 Z 16. TKG
Z 16 […] Öffentliche IP-Adressen sind Zugangsdaten im Sinne des § 92
Abs. 3 Z 4a. Wenn eine konkrete öffentliche IP-Adresse einem Teilnehmer
für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen ist,
handelt es sich zugleich um ein Stammdatum im Sinne des § 92 Abs. 3
Z 3.
In Kraft seit 19.05.2011
Erläuternde Bemerkungen zu § 92 Abs. 3 Z 16
[…] wenn sog. statische IP-Adressen vertraglich einem Teilnehmer zur
ausschließlichen Nutzung individuell dauerhaft zugewiesen werden. Nur in
diesem Fall handelt es sich bei der IP-Adresse auch um ein Stammdatum.
Ihre Verknüpfung mit anderen Stammdaten ist ohne Auswertung von
Verkehrsdaten möglich.
10. Problemfall: Beauskunftung von
„dynamischen IP-Adressen“
DYNAMISCHE IP-ADR:
Eine IP-Adressen, die einem/r Nutzer/In nicht „für die Dauer des Vertrages
zur ausschließlichen Nutzung zugewiesen“ wurde, stellt kein Stammdatum
dar. Die Regelungen für die Beauskunftung von Stammdaten kommen
somit nicht zur Anwendung.
Eine nicht vertraglich vereinbarte IP-Adresse, eine sog. dynamische IP-
Adresse, stellt ein „Zugangsdatum“ dar.
-> Abfrage nach § 135 Abs 2 TKG (Betriebsdaten > 1 Jahr FS)
-> Abfrage nach § 135 Abs 2a TKG (Vorratsdaten > 1 Jahr FS)
-> Abfrage nach § 76a Abs 2 StPO
(Teil der Betriebsdaten oder Vorratsdaten, kein Mindeststrafmaß)
-> Abfrage nach § 53 (a) SPG (Betriebsdaten oder Vorratsdaten)
11. Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Agenda
12. Die ISPA bezieht eine klare Position zur
Vorratsdatenspeicherung
Die beste Umsetzung wäre
keine Umsetzung.
13. Die ISPA bezieht eine klare Position zur
Vorratsdatenspeicherung
• Festhalten am Erfordernis des Richtervorbehaltes
Richterliche Bewilligung für alle Zugriffe auf Vorratsdaten
• Keine Ausweitung des Datenzugriffs
Nur für schwere Straftaten, keine niederschwelligen Delikte
• Effektiver Rechtsschutz für Betroffene
Information der Betroffenen, lückenlose Protokollierung
• Kostenersatz für Internet Service Provider
Ersatz der Investition - sowie der laufenden Kosten
14. Zeitrahmen bis zur Umsetzung
t
2009 2010 2011 20122006 2007 2008
Nov 2009
BMVIT Entwurf
TKG
2006
Erlassung RL
2007
Scheitern der
ersten VDS-
Umsetzung
Feb 2009
Beauftragung
BIM
Juli 2010
EuGH: Verstoß gg.
GemeinschaftsR
Mai 2011
Beschluss TKG,
StPO, SPG etc.
Dez 2011
Veröffentlichung
DSVO
1. April 2012
Inkrafttreten der
Pflicht zur VDS
Ende März 2012
Go-Live der
Durchlaufstelle
15. Erfahrungen seit der Umsetzung…
29. März2012
Veröffentlichung
InvestitionskostenVO
18. April 2012
Anpassung
ÜberwachungskostenVO
2012
Dez 2011
Veröffentlichung
DSVO
1. April 2012
Inkrafttreten der
Pflicht zur VDS
Ende März 2012
Go-Live der
Durchlaufstelle
t
2013
Feb 2013
Probleme Google
Chrome v17
Herbst 2012
Einreichung
Investitionskosten
Dez 2012
Vorlage VfGH
Jan 2013
Vorlage DSK
Mai 2012
DSK Verfahren
gg. Anbieter
Sommer 2013
Überarbeitung
Spezifikation?
Herbst 2013
Abschluss
Auditierung
16. Umfang der Speicherverpflichtung
Wer ist zur Speicherung verpflichtet?
• Nur Anbieter von öffentlichen Kommunikationsdiensten
• Speicherverpflichtung an RTR-Beitragspflicht geknüpft
(Umsatzgrenze: ca. EUR 277.000 Jahresumsatz aus Erbringung von KommDienst im Inland)
Welche Daten müssen gespeichert werden?
• Keine Speicherung von Inhaltsdaten (§102 (7) TKG)
• Nur Daten, die im Zuge der Bereitstellung der
Kommunikationsdienste erzeugt oder verarbeitet werden
• Speicherung & ggf. Beauskunftung der Daten für sechs Monate,
Löschung nach spätestens sieben Monaten
• Protokollierung „betreiberintern“ und zusätzlich Protokolldatei an die DLS
• Es steht Anbietern frei wie lange Daten für betriebsnotwendige Zwecke
gespeichert werden müssen.
17. - Privacy by Design – Vorzeigemodell
• Die Branche hat in Zusammenarbeit mit VertreterInnen von
Behörden sowie der Zivilgesellschaft das Konzept der Durchlaufstelle
(DLS) erarbeitet und dieses in den gesetzlichen Entwürfen
vorgesehen.
• Die DLS ermöglicht einfachen Austausch (CSV-Format) von
Informationen und bietet ein Höchstmaß an Sicherheit und
Transparenz.
18. Zusammenfassung: VDS in Österreich
The Good
• Gute Zusammenarbeit mit beteiligten Stellen!
• Relativ problemlose Anlaufphase
The Bad
• Rechtliche Probleme für Anbieter (DSG vs. TKG)
• Zahlreiche Verzögerungen - bis dato kein Ersatz der
Investitionskosen
The Ugly
• Kein Mindeststrafrahmen für Beauskunftungen
• Eingeschränkt aussagekräftige Statistik
19. Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Agenda
20. ISPs im täglichen Spannungsfeld
• Provider sind beträchtlichem Druck ausgesetzt
– Androhung von Zwangs-Beugemittel (Vorladung, Vorführung)
(„Es ist ein weiter Weg bis nach Wien/ Innsbruck.“)
– Sicherstellung
(„Kriegen wir die Daten so, oder müssen wir extra vorbei kommen?“)
– Führung des/r MA im Strafverfahren als Mittäter/in
– Öffentlichkeitswirksamkeit bei Weigerung bzw. Nichterfüllung
(„Das steht dann morgen in der Zeitung.“)
– Druck von Seiten der Kunden / Beschuldigten
• Rechtliche Graubereiche führen zu Problemen
– Mündliche Anordnungen der StA (§ 102 Abs. 1 StPO), 24/7
– Ersuchen um Bekanntgabe von „erweiterten“ Stammdaten
(Lieferadresse, letzte Aufbuchung, Guthabensstand, PUK
– Folgeanordnungen (Handytausch)
– Selbstbeauskunftung „DSG vs. TKG“
21. Ausblick
• Wie weit soll die Anonymität im Internet gehen?
• Offener und ehrlicher Diskurs über die Reichweite und die Intensität von
Überwachungsmaßnahmen
• Mehr Transparenz für Betroffene und Öffentlichkeit
Rechtsschutzmöglichkeiten für Betroffene
Aussagekräftige Statistiken
„Justice must not only be done. It must also seen to be done.“
(Gordon Hewart, 1870 – 1943)
• Weitere vertrauensbildende Maßnahmen sowie Fortsetzung der respektvollen
und konstruktiven Zusammenarbeit von Rechtsverfolgungsbehörden und
Anbietern