unternehmensverantwortung im praktischen spannungsfeld
TRANSCRIPT
Unternehmensverantwortung im praktischen Spannungsfeld Schilderung aus der Sicht von Unternehmen, die staatlichen Anfragen zur Speicherung und Herausgabe von Nutzerdaten ausgesetzt sind
Maximilian Schubert
OCG: IT-Unternehmen zwischen Überwachungsstaat und Kundenverantwortung 09.10.2013, Österreichischer Gewerbeverein, Wien
Agenda
Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Die ISPA vertritt die Internetwirtschaft
– Gegründet 1997
– Rund 200 Mitglieder aus den Bereichen Access, Hosting, Content & Services
– Zwei Drittel weniger als 25 MA
www.stopline.at
Meldestelle gegen
Kinderpornographie und Nationalsozialismus
im Internet
Sämtliche Rechtsgrundlagen auf nur einem(!) Blatt Papier zusammengefasst
Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Agenda
Problemfall: Beauskunftung von „dynamischen IP-Adressen“
§103 Abs 4. TKG
Problemfall: Beauskunftung von „dynamischen IP-Adressen“
§103 Abs 4. TKG
aufgehoben 19.05.2011
Etwaige zuvor erlassene Gerichtsurteile wurden hierdurch gegenstandslos.
(zB OGH 13.04.2011, 15 OS 172/10y, ÖBB-Vorteilsticket)
Problemfall: Beauskunftung von „dynamischen IP-Adressen“
§92 Abs. 3 Z 16. TKG
Z 16 […] Öffentliche IP-Adressen sind Zugangsdaten im Sinne des § 92 Abs. 3 Z 4a. Wenn eine konkrete öffentliche IP-Adresse einem Teilnehmer für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen ist, handelt es sich zugleich um ein Stammdatum im Sinne des § 92 Abs. 3 Z 3.
In Kraft seit 19.05.2011
Erläuternde Bemerkungen zu § 92 Abs. 3 Z 16
[…] wenn sog. statische IP-Adressen vertraglich einem Teilnehmer zur ausschließlichen Nutzung individuell dauerhaft zugewiesen werden. Nur in diesem Fall handelt es sich bei der IP-Adresse auch um ein Stammdatum. Ihre Verknüpfung mit anderen Stammdaten ist ohne Auswertung von Verkehrsdaten möglich.
Problemfall: Beauskunftung von „dynamischen IP-Adressen“
DYNAMISCHE IP-ADR:
Eine IP-Adressen, die einem/r Nutzer/In nicht „für die Dauer des Vertrages zur ausschließlichen Nutzung zugewiesen“ wurde, stellt kein Stammdatum dar. Die Regelungen für die Beauskunftung von Stammdaten kommen somit nicht zur Anwendung.
Eine nicht vertraglich vereinbarte IP-Adresse, eine sog. dynamische IP-Adresse, stellt ein „Zugangsdatum“ dar. -> Abfrage nach § 135 Abs 2 TKG (Betriebsdaten > 1 Jahr FS)
-> Abfrage nach § 135 Abs 2a TKG (Vorratsdaten > 1 Jahr FS)
-> Abfrage nach § 76a Abs 2 StPO (Teil der Betriebsdaten oder Vorratsdaten, kein Mindeststrafmaß)
-> Abfrage nach § 53 (a) SPG (Betriebsdaten oder Vorratsdaten)
Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Agenda
Die ISPA bezieht eine klare Position zur Vorratsdatenspeicherung
Die beste Umsetzung wäre keine Umsetzung.
Die ISPA bezieht eine klare Position zur Vorratsdatenspeicherung
• Festhalten am Erfordernis des Richtervorbehaltes
Richterliche Bewilligung für alle Zugriffe auf Vorratsdaten
• Keine Ausweitung des Datenzugriffs
Nur für schwere Straftaten, keine niederschwelligen Delikte
• Effektiver Rechtsschutz für Betroffene
Information der Betroffenen, lückenlose Protokollierung
• Kostenersatz für Internet Service Provider
Ersatz der Investition - sowie der laufenden Kosten
Zeitrahmen bis zur Umsetzung
t
2009 2010 2011 2012 2006 2007 2008
Nov 2009 BMVIT Entwurf
TKG
2006 Erlassung RL
2007 Scheitern der ersten VDS-Umsetzung
Feb 2009 Beauftragung
BIM
Juli 2010 EuGH: Verstoß gg. GemeinschaftsR
Mai 2011 Beschluss TKG, StPO, SPG etc.
Dez 2011 Veröffentlichung
DSVO
1. April 2012 Inkrafttreten der Pflicht zur VDS
Ende März 2012 Go-Live der
Durchlaufstelle
Erfahrungen seit der Umsetzung…
29. März2012 Veröffentlichung
InvestitionskostenVO
18. April 2012 Anpassung
ÜberwachungskostenVO
2012
Dez 2011 Veröffentlichung
DSVO
1. April 2012 Inkrafttreten der Pflicht zur VDS
Ende März 2012 Go-Live der
Durchlaufstelle
t
2013
Feb 2013 Probleme Google
Chrome v17
Herbst 2012 Einreichung
Investitionskosten
Dez 2012 Vorlage VfGH
Jan 2013 Vorlage DSK
Mai 2012 DSK Verfahren gg. Anbieter
Sommer 2013 Überarbeitung Spezifikation?
Herbst 2013 Abschluss
Auditierung
Umfang der Speicherverpflichtung
Wer ist zur Speicherung verpflichtet?
• Nur Anbieter von öffentlichen Kommunikationsdiensten • Speicherverpflichtung an RTR-Beitragspflicht geknüpft
(Umsatzgrenze: ca. EUR 277.000 Jahresumsatz aus Erbringung von KommDienst im Inland)
Welche Daten müssen gespeichert werden?
• Keine Speicherung von Inhaltsdaten (§102 (7) TKG) • Nur Daten, die im Zuge der Bereitstellung der
Kommunikationsdienste erzeugt oder verarbeitet werden • Speicherung & ggf. Beauskunftung der Daten für sechs Monate,
Löschung nach spätestens sieben Monaten
• Protokollierung „betreiberintern“ und zusätzlich Protokolldatei an die DLS • Es steht Anbietern frei wie lange Daten für betriebsnotwendige Zwecke
gespeichert werden müssen.
- Privacy by Design – Vorzeigemodell
• Die Branche hat in Zusammenarbeit mit VertreterInnen von Behörden sowie der Zivilgesellschaft das Konzept der Durchlaufstelle (DLS) erarbeitet und dieses in den gesetzlichen Entwürfen vorgesehen.
• Die DLS ermöglicht einfachen Austausch (CSV-Format) von Informationen und bietet ein Höchstmaß an Sicherheit und Transparenz.
Zusammenfassung: VDS in Österreich
The Good
• Gute Zusammenarbeit mit beteiligten Stellen!
• Relativ problemlose Anlaufphase
The Bad
• Rechtliche Probleme für Anbieter (DSG vs. TKG)
• Zahlreiche Verzögerungen - bis dato kein Ersatz der Investitionskosen
The Ugly
• Kein Mindeststrafrahmen für Beauskunftungen
• Eingeschränkt aussagekräftige Statistik
Über die ISPA
Problemfall dynamische IP-Adr.
Umsetzung der VDS in Österreich
ISPs im täglichen Spannungsfeld
Agenda
ISPs im täglichen Spannungsfeld
• Provider sind beträchtlichem Druck ausgesetzt
– Androhung von Zwangs-Beugemittel (Vorladung, Vorführung) („Es ist ein weiter Weg bis nach Wien/ Innsbruck.“)
– Sicherstellung („Kriegen wir die Daten so, oder müssen wir extra vorbei kommen?“)
– Führung des/r MA im Strafverfahren als Mittäter/in
– Öffentlichkeitswirksamkeit bei Weigerung bzw. Nichterfüllung („Das steht dann morgen in der Zeitung.“)
– Druck von Seiten der Kunden / Beschuldigten
• Rechtliche Graubereiche führen zu Problemen
– Mündliche Anordnungen der StA (§ 102 Abs. 1 StPO), 24/7
– Ersuchen um Bekanntgabe von „erweiterten“ Stammdaten (Lieferadresse, letzte Aufbuchung, Guthabensstand, PUK
– Folgeanordnungen (Handytausch)
– Selbstbeauskunftung „DSG vs. TKG“
Ausblick
• Wie weit soll die Anonymität im Internet gehen?
• Offener und ehrlicher Diskurs über die Reichweite und die Intensität von Überwachungsmaßnahmen
• Mehr Transparenz für Betroffene und Öffentlichkeit
Rechtsschutzmöglichkeiten für Betroffene
Aussagekräftige Statistiken
„Justice must not only be done. It must also seen to be done.“ (Gordon Hewart, 1870 – 1943)
• Weitere vertrauensbildende Maßnahmen sowie Fortsetzung der respektvollen
und konstruktiven Zusammenarbeit von Rechtsverfolgungsbehörden und Anbietern
Vielen Dank!