Unternehmensverantwortung im praktischen Spannungsfeld

Transkript

1 Unternehmensverantwortung im praktischen Spannungsfeld Schilderung aus der Sicht von Unternehmen, die staatlichen Anfragen zur Speicherung und Herausgabe von Nutzerdaten ausgesetzt sind Maximilian Schubert OCG: IT-Unternehmen zwischen Überwachungsstaat und Kundenverantwortung , Österreichischer Gewerbeverein, Wien

2

3 Agenda Über die ISPA Problemfall dynamische IP-Adr. Umsetzung der VDS in Österreich ISPs im täglichen Spannungsfeld

4 Die ISPA vertritt die Internetwirtschaft Gegründet 1997 Rund 200 Mitglieder aus den Bereichen Access, Hosting, Content & Services Zwei Drittel weniger als 25 MA Meldestelle gegen Kinderpornographie und Nationalsozialismus im Internet

5 Sämtliche Rechtsgrundlagen auf nur einem(!) Blatt Papier zusammengefasst

6 Agenda Über die ISPA Problemfall dynamische IP-Adr. Umsetzung der VDS in Österreich ISPs im täglichen Spannungsfeld

7 Problemfall: Beauskunftung von dynamischen IP-Adressen 103 Abs 4. TKG

8 Problemfall: Beauskunftung von dynamischen IP-Adressen 103 Abs 4. TKG aufgehoben Etwaige zuvor erlassene Gerichtsurteile wurden hierdurch gegenstandslos. (zb OGH , 15 OS 172/10y, ÖBB-Vorteilsticket)

9 Problemfall: Beauskunftung von dynamischen IP-Adressen 92 Abs. 3 Z 16. TKG Z 16 [ ] Öffentliche IP-Adressen sind Zugangsdaten im Sinne des 92 Abs. 3 Z 4a. Wenn eine konkrete öffentliche IP-Adresse einem Teilnehmer für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen ist, handelt es sich zugleich um ein Stammdatum im Sinne des 92 Abs. 3 Z 3. In Kraft seit Erläuternde Bemerkungen zu 92 Abs. 3 Z 16 [ ] wenn sog. statische IP-Adressen vertraglich einem Teilnehmer zur ausschließlichen Nutzung individuell dauerhaft zugewiesen werden. Nur in diesem Fall handelt es sich bei der IP-Adresse auch um ein Stammdatum. Ihre Verknüpfung mit anderen Stammdaten ist ohne Auswertung von Verkehrsdaten möglich.

10 Problemfall: Beauskunftung von dynamischen IP-Adressen DYNAMISCHE IP-ADR: Eine IP-Adressen, die einem/r Nutzer/In nicht für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen wurde, stellt kein Stammdatum dar. Die Regelungen für die Beauskunftung von Stammdaten kommen somit nicht zur Anwendung. Eine nicht vertraglich vereinbarte IP-Adresse, eine sog. dynamische IP- Adresse, stellt ein Zugangsdatum dar. -> Abfrage nach 135 Abs 2 TKG (Betriebsdaten > 1 Jahr FS) -> Abfrage nach 135 Abs 2a TKG (Vorratsdaten > 1 Jahr FS) -> Abfrage nach 76a Abs 2 StPO (Teil der Betriebsdaten oder Vorratsdaten, kein Mindeststrafmaß) -> Abfrage nach 53 (a) SPG (Betriebsdaten oder Vorratsdaten)

11 Agenda Über die ISPA Problemfall dynamische IP-Adr. Umsetzung der VDS in Österreich ISPs im täglichen Spannungsfeld

12 Die ISPA bezieht eine klare Position zur Vorratsdatenspeicherung Die beste Umsetzung wäre keine Umsetzung.

13 Die ISPA bezieht eine klare Position zur Vorratsdatenspeicherung Festhalten am Erfordernis des Richtervorbehaltes Richterliche Bewilligung für alle Zugriffe auf Vorratsdaten Keine Ausweitung des Datenzugriffs Nur für schwere Straftaten, keine niederschwelligen Delikte Effektiver Rechtsschutz für Betroffene Information der Betroffenen, lückenlose Protokollierung Kostenersatz für Internet Service Provider Ersatz der Investition - sowie der laufenden Kosten

14 Zeitrahmen bis zur Umsetzung t 2006 Erlassung RL Feb 2009 Beauftragung BIM Dez 2011 Veröffentlichung DSVO 2007 Scheitern der ersten VDS- Umsetzung Nov 2009 BMVIT Entwurf TKG Juli 2010 EuGH: Verstoß gg. GemeinschaftsR Mai 2011 Beschluss TKG, StPO, SPG etc. 1. April 2012 Inkrafttreten der Pflicht zur VDS Ende März 2012 Go-Live der Durchlaufstelle

15 Erfahrungen seit der Umsetzung t Dez 2011 Veröffentlichung DSVO Mai 2012 DSK Verfahren gg. Anbieter Feb 2013 Probleme Google Chrome v17 1. April 2012 Inkrafttreten der Pflicht zur VDS 29. März2012 Veröffentlichung InvestitionskostenVO Ende März 2012 Go-Live der Durchlaufstelle 18. April 2012 Anpassung ÜberwachungskostenVO Herbst 2012 Einreichung Investitionskosten Dez 2012 Vorlage VfGH Jan 2013 Vorlage DSK Herbst 2013 Abschluss Auditierung Sommer 2013 Überarbeitung Spezifikation?

16 Umfang der Speicherverpflichtung Wer ist zur Speicherung verpflichtet? Nur Anbieter von öffentlichen Kommunikationsdiensten Speicherverpflichtung an RTR-Beitragspflicht geknüpft (Umsatzgrenze: ca. EUR Jahresumsatz aus Erbringung von KommDienst im Inland) Welche Daten müssen gespeichert werden? Keine Speicherung von Inhaltsdaten ( 102 (7) TKG) Nur Daten, die im Zuge der Bereitstellung der Kommunikationsdienste erzeugt oder verarbeitet werden Speicherung & ggf. Beauskunftung der Daten für sechs Monate, Löschung nach spätestens sieben Monaten Protokollierung betreiberintern und zusätzlich Protokolldatei an die DLS Es steht Anbietern frei wie lange Daten für betriebsnotwendige Zwecke gespeichert werden müssen.

17 - Privacy by Design Vorzeigemodell Die Branche hat in Zusammenarbeit mit VertreterInnen von Behörden sowie der Zivilgesellschaft das Konzept der Durchlaufstelle (DLS) erarbeitet und dieses in den gesetzlichen Entwürfen vorgesehen. Die DLS ermöglicht einfachen Austausch (CSV-Format) von Informationen und bietet ein Höchstmaß an Sicherheit und Transparenz.

18 Zusammenfassung: VDS in Österreich The Good The Bad Gute Zusammenarbeit mit beteiligten Stellen! Relativ problemlose Anlaufphase Rechtliche Probleme für Anbieter (DSG vs. TKG) Zahlreiche Verzögerungen - bis dato kein Ersatz der Investitionskosen The Ugly Kein Mindeststrafrahmen für Beauskunftungen Eingeschränkt aussagekräftige Statistik

19 Agenda Über die ISPA Problemfall dynamische IP-Adr. Umsetzung der VDS in Österreich ISPs im täglichen Spannungsfeld

20 ISPs im täglichen Spannungsfeld Provider sind beträchtlichem Druck ausgesetzt Androhung von Zwangs-Beugemittel (Vorladung, Vorführung) ( Es ist ein weiter Weg bis nach Wien/ Innsbruck. ) Sicherstellung ( Kriegen wir die Daten so, oder müssen wir extra vorbei kommen? ) Führung des/r MA im Strafverfahren als Mittäter/in Öffentlichkeitswirksamkeit bei Weigerung bzw. Nichterfüllung ( Das steht dann morgen in der Zeitung. ) Druck von Seiten der Kunden / Beschuldigten Rechtliche Graubereiche führen zu Problemen Mündliche Anordnungen der StA ( 102 Abs. 1 StPO), 24/7 Ersuchen um Bekanntgabe von erweiterten Stammdaten (Lieferadresse, letzte Aufbuchung, Guthabensstand, PUK Folgeanordnungen (Handytausch) Selbstbeauskunftung DSG vs. TKG

21 Ausblick Wie weit soll die Anonymität im Internet gehen? Offener und ehrlicher Diskurs über die Reichweite und die Intensität von Überwachungsmaßnahmen Mehr Transparenz für Betroffene und Öffentlichkeit Rechtsschutzmöglichkeiten für Betroffene Aussagekräftige Statistiken Justice must not only be done. It must also seen to be done. (Gordon Hewart, ) Weitere vertrauensbildende Maßnahmen sowie Fortsetzung der respektvollen und konstruktiven Zusammenarbeit von Rechtsverfolgungsbehörden und Anbietern

22 Vielen Dank!