Die Risiken der Vorratsdatenspeicherung
Nach dem Spruch des Europäischen Gerichtshofs (EuGH) vom 10. Februar muss die EG-Richtlinie zur Vorratsdatenspeicherung auch in Österreich umgesetzt werden. Infrastrukturministerin Doris Bures (SPÖ) hat das Ludwig-Boltzmann-Institut für Menschenrechte (BIM) damit beauftragt, einen entsprechenden Gesetzesvorschlag zu erstellen. ORF.at sprach mit BIM-Chef Hannes Tretter über das Projekt.
Am Dienstag hat der EuGH entschieden, dass die EG-Richtlinie zur Vorratsdatenspeicherung (Data-Retention) auf rechtlich korrekter Grundlage verabschiedet worden ist. Damit muss auch die österreichische Regierung die Richtlinie umsetzen und Provider gesetzlich dazu verpflichten, Telefonie-, Handystandort- und Internet-Verbindungsdaten aller Nutzer verdachtsunabhängig für mindestens sechs Monate zu Fahndungszwecken bereitzuhalten.
Infrastrukturministerin Doris Bures (SPÖ) teilte am Dienstag nach Bekanntwerden des Urteils mit, dass sie das Ludwig-Boltzmann-Institut für Menschenrechte (BIM) mit der Erstellung eines Gesetzesentwurfs zur Umsetzung der Data-Retention-Richtlinie betrauen wird. ORF.at sprach mit dem Juristen und Professor an der Universität Wien, Hannes Tretter, dem Leiter des Instituts, über Umfang und Auswirkungen des Vorhabens.
ORF.at: Infrastrukturministerin Bures hat Ihr Institut dazu eingeladen, einen Gesetzesentwurf für die Umsetzung der Vorratsdatenspeicherung in Österreich zu erarbeiten.
Hannes Tretter: Ja. Wir haben den Auftrag aber noch nicht erhalten. Wir müssen mit dem Ministerium darüber sprechen, wie der Auftrag genau aussehen soll. Immerhin handelt sich hier um eine Materie, die in den Zuständigkeitsbereich verschiedener Ministerien fällt. An der Umsetzung der Data-Retention ist nicht nur das Infrastrukturministerium beteiligt, sondern auch das zuletzt federführende Justizministerium, das Innenministerium und das Bundeskanzleramt. Denn die gesamte Materie kann auch nicht allein über das Telekommunikationsgesetz (TKG) umgesetzt werden. Es ist nicht nur das TKG betroffen, sondern auch die Strafprozessordnung, das Sicherheitspolizeigesetz (SPG) und das Datenschutzgesetz (DSG). Über das TKG können allerdings die Telekommunikationsbetreiber in die Pflicht genommen und Vorkehrungen getroffen werden, wie die Daten technisch gesichert und verwaltet werden sollen. Wie das aussehen kann und soll, ist noch vollkommen offen. Da kann ich im Moment nicht vorgreifen, das wird Aufgabe dieser Arbeitsgruppe sein.
ORF.at: Ist schon absehbar, welche Speicherfristen gewählt werden und wer unter welchen Umständen Zugriff auf die Verbindungsdaten bekommt?
Tretter: Es ist noch offen, auf welche Speicherfrist (die Richtlinie spricht von sechs Monaten bis zu zwei Jahren) sich der Gesetzgeber festlegen wird. Klar ist die Intention von Bundesministerin Bures, dass ein Höchstmaß an rechtsstaatlicher Sicherheit und hohe Standards beim technischen und rechtlichen Schutz der Daten gegeben sein müssen. Das lässt sich nur in einer Kooperation mit den anderen Ministerien realisieren. Dabei wird sicherlich auch eine Rolle spielen, dass es in der derzeitigen Fassung des Sicherheitspolizeigesetzes meines Erachtens keinen ausreichenden Rechtsschutz gibt. Das SPG erlaubt derzeit den Sicherheitsbehörden, zu Zwecken der Gefahrenabwehr auf die Kundendaten zuzugreifen, die bei den Telekommunikationsanbietern für Verrechnungszwecke gespeichert werden. Hierzu sind Beschwerden am Verfassungsgerichtshof (VfGH) anhängig. Dieser wird in der März-Session darüber beraten, möglicherweise wird es eine Verhandlung geben. Wie schnell der VfGH entscheidet, kann ich nicht sagen. Bei der Umsetzung der Richtlinie müssen eine Reihe systemischer Zusammenhänge unbedingt beachtet werden. So sagt die Richtlinie ganz klar, dass insbesondere die Europäische Menschenrechtskonvention, die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte sowie die EU-Datenschutzrichtlinien zu berücksichtigen sind. Auch wird auf die Datenschutzkonvention des Europarats und das Datenschutzgesetz zu achten sein.
ORF.at: Der Salzburger Richter und Internet-Rechtsexperte Franz Schmidbauer hat nach dem EuGH-Urteil darauf hingewiesen, dass auch die Medienindustrie großes Interesse hat, auf die gespeicherten Verkehrsdaten zuzugreifen, um Filesharer einfacher jagen zu können. Entsprechende Passagen im heimischen Urheberrecht sowie ein umstrittenes OGH-Urteil könnten der Medienindustrie demnach den Zugriff auf die Daten ermöglichen.
Tretter: Die Richtlinie ist hier ein wenig kryptisch. Sie ist sicherlich aus dem Kontext entstanden, dass verbesserte Möglichkeiten zur Aufdeckung von Straftaten der organisierten Kriminalität und des Terrorismus zur Verfügung stehen sollen. An manchen Stellen der Richtlinie wird aber nur von "schweren Straftaten" gesprochen, so dass es einen gewissen Spielraum geben könnte zu sagen, dass sie auch auf Straftaten anzuwenden wäre, die nicht im Kontext terroristischer Verbrechen oder der organisierten Kriminalität stehen. Aus der Entstehungsgeschichte lässt sich meiner Ansicht nach aber klar ableiten, dass die Richtlinie zum Zweck der Bekämpfung des Terrorismus und der organisierten Kriminalität erstellt wurde. So soll es auch bleiben. Es ist ein grundrechtlich hochsensibler Kontext. Hier müssen wir darauf achten, dass nicht unverhältnismäßig vorgegangen wird. Das Problem besteht darin, dass man nicht im Vorhinein sagen kann, dass nicht nur Daten gespeichert werden sollen, die sich ausschließlich auf Personen beziehen, die vielleicht terroristische Straftaten begehen könnten. Dazu bedürfte es konkreter Verdachtsmomente, rechtliche Möglichkeiten dazu existieren bereits. Die Richtlinie intendiert vielmehr, dass individuelle Daten völlig verdachtsunabhängig, eben "auf Vorrat", gespeichert werden sollen, damit im Bedarfsfall - wenn etwa ein Terrorakt gesetzt wird - auf sie zugegriffen werden kann. Dann sind aber Barrieren in die Gesetze einzubauen, in denen genau ausgeführt wird, wer unter welchen Umständen auf welche Daten zugreifen darf, welche Kontrollen eingezogen und welche Rechtswege eröffnet werden.
ORF.at: Für die Umsetzung steht wenig Zeit zur Verfügung. Die Frist läuft zum 15. März 2009 ab.
Tretter: Ja. Bis dahin ist die Data-Retention auch für Internet-Kommunikation einzurichten.
ORF.at: Das wird knapp. Kann Österreich da noch ohne Strafe der Kommission davonkommen?
Tretter: Bis zum 15. März schaffen wir das auf keinen Fall. Allein der parlamentarische Gesetzgebungsprozess braucht länger als diese Zeitspanne. Ich kann nicht sagen, wie die Kommission reagiert, aber wenn sie den Eindruck hat, dass Österreich zügig an der Umsetzung arbeitet, wird sie nicht gleich am 16. März eine Klage beim EuGH einreichen. Außerdem läuft wegen der Nichtumsetzung der Richtlinie in Bezug auf Telefoniedaten ohnehin bereits ein Vertragsverletzungsverfahren gegen Österreich, das aufgrund der Wahlen und auch im Hinblick auf das erst am 10. Februar 2009 gefällte kompetenzrechtliche Urteil des EuGH auf Eis gelegt wurde. Wenn die Regierung zügig arbeitet, wird die Kommission nicht gleich nach Ablauf der Frist vor den Kadi laufen.
ORF.at: Anfang März wird das Telekompaket zur zweiten Lesung im EU-Parlament erwartet. Dabei geht es auch um eine Neufassung der E-Privacy-Richtlinie und damit auch um den rechtlichen Status von IP-Adressen. Kann man diesen Aspekt bei den aktuellen Verhandlungen zur Data-Retention überhaupt mitberücksichtigen? Läuft man da nicht Gefahr, etwas zu beschließen, was dann auf EU-Ebene gleich wieder infrage gestellt wird?
Tretter: Die Gefahr besteht natürlich. Vor der Erlassung der Data-Retention-Richtlinie hat es Staaten gegeben, die bereits Verbindungsdaten auf Vorrat gespeichert haben und dabei mit sehr unterschiedlichen rechtlichen Ansätzen und Begriffen gearbeitet haben. Das war auch ein Argument dafür, einheitliche Regelungen auf EU-Ebene zu beschließen. Allerdings gehe ich davon aus, dass die EU um Regelungen bemüht sein wird, die mit bereits geltenden Richtlinien in Einklang stehen.
ORF.at: In der Zwischenzeit steht die technische Entwicklung nicht still. Die Umstellung des Internet-Protokolls von IPv4 auf IPv6 schreitet fort, was dazu führen könnte, dass IP-Adressen nicht mehr dynamisch vergeben werden müssen. Oder die zunehmende Nutzung von Smartphones als Zugangsgeräten zum Web. Das führt dazu, dass die auf Vorrat gespeicherten Verbindungsdaten in Zukunft wesentlich mehr über die Nutzer aussagen als heute.
Tretter: Da ist wirklich die gesetzgeberische Fantasie gefragt. Die Intention des BMVIT ist ja auch, Techniker in diese Arbeitsgruppe miteinzubeziehen, um der Frage nachzugehen, in welche Richtung sich Branche und Technik entwickeln könnten. Es geht darum, mögliche zukünftige Gefährdungspotenziale im Hinblick auf die Privatsphäre und den Datenschutz auszuloten. Ich glaube schon, dass man gründlich darüber nachdenken muss, welche Facetten des persönlichen Lebens hier zur Disposition stehen und welche davon letztendlich wirklich schützenswert sind. Damit nicht der Mensch aus den Augen verloren wird, muss man sich sehr gründlich überlegen, was wir eigentlich unter Privatsphäre verstehen. Da gibt es eine unglaubliche Dynamik. Wenn wir uns ansehen, wie junge Leute Websites wie Facebook nutzen und ihre Persönlichkeit gegenüber Fremden darstellen: Hier haben wir es mit einer Verschiebung des Privaten zum Öffentlichen hin zu tun. Wer in einer Disco Fremden, die er wahrscheinlich nie wiedersehen wird, in guter Laune etwas Persönliches anvertraut, gibt zwar auch etwas von sich preis, wahrt dabei aber möglicherweise seine Anonymität. Auch im eingeschränkt öffentlichen Raum des Internets ist Anonymität zwar möglich. Facebook wirkt da wie eine Disco, wie ein halböffentlicher Raum, in dem Vertrauliches ausgetauscht werden kann. Das Problem ist aber, dass über die Speicherung der Verbindungsdaten - aus denen noch dazu oft Rückschlüsse auf die Inhalte der Kommunikation gezogen werden können (!) - für völlig unbeteiligte Dritte Möglichkeiten der Auswertung geschaffen werden. Das ist zur Verhinderung oder Aufdeckung schwerer Verbrechen sicher legitim, wir müssen aber nach Lösungen suchen, die Missbräuche möglichst verhindern, indem nur in möglichst genau definierten Fällen und unter Einsatz unabhängiger Gerichte bei konkreten Verdachtsmomenten Datenanwendungen erfolgen dürfen - und dass es eine effektive unabhängige Kontrolle gibt.
ORF.at: Auch die Kontrolle nach dem Zugriff.
Tretter: Wenn ein Verdacht wegfällt, der eine weitere Datenverwendung nicht mehr erforderlich macht, müssen die Betroffenen - so sie nicht bereits Kenntnis erlangt haben - im Nachhinein darüber informiert werden, damit sie eine Chance haben, in einem rechtsstaatlichen Verfahren prüfen lassen zu können, ob die Überwachung beziehungsweise die Datenverwendung rechtens war. Daran fehlt es in vielen Rechtsordnungen.
ORF.at: Bleibt der finanzielle Aspekt. Im SPG neu ist der Zugriff der Behörden auf Internet-Datensätze kostenlos. Muss das neu geregelt werden?
Tretter: Letztendlich trifft es die Konsumentinnen und Konsumenten. Unmittelbar spürbar wird es aber zuerst für die Provider, die bereits seit Inkrafttreten der SPG-Novelle mit einem deutlichen Anstieg der Datenanfragen seitens der Polizei konfrontiert sind. Jetzt müssen sie die IP-Adressen speichern. Das ist, wie man aus Schätzungen weiß, teuer. Es stellt sich die Frage, wie weit der Staat gehen darf und den Providern vorschreiben kann, die Kosten zu übernehmen, wo doch der Staat das Sicherheitsinteresse verfolgt. Weiters ist fraglich, ob nicht auch die grundrechtlich geschützte Eigentumsgarantie gebietet, dass die Kosten vom Staat zu tragen sind bzw. wie weit sie vom Staat auf die Provider überwälzt werden dürfen. Eingriffe in das grundrechtlich geschützte Eigentum müssen ja auch im öffentlichen Interesse und verhältnismäßig sein.
ORF.at: Die Innen- und Justizminister der EU-Mitgliedsstaaten fahren derzeit eine Kampagne gegen Kinderpornos im Internet. In Österreich fordert Justizministerin Claudia Bandion-Ortner (parteilos), dass der "bewusste Konsum" von Kinderpornos im Internet unter Strafe gestellt werden soll. Dabei soll auch die Häufigkeit eine Rolle spielen, mit der jemand auf ein illegales Angebot zugegriffen hat. Auch dazu benötigt man wohl die begehrten Verkehrsdaten.
Tretter: Genau. Da zeigt sich, dass aus den Verbindungsdaten strafrechtlich relevante Rückschlüsse gezogen werden können. Bei der Data-Retention entstehen hochsensible Profile. Wenn jemand zehnmal die Website einer Klinik anwählt, die auf die Behandlung bestimmter Krankheiten spezialisiert ist, dann können dadurch Rückschlüsse auf seinen Gesundheitszustand gezogen werden. Jedoch wäre es wohl im Sinne der Richtlinie, wenn auf solche Verbindungsdaten zurückgegriffen wird, um organisierte Kriminalität im Bereich der Kinderpornografie verfolgen zu können.
ORF.at: Es stellt sich auch die Frage, was die gesammelten Daten eigentlich wert sind. Eine IP-Adresse oder ein Mobiltelefon sind eben nicht mit einer Person identisch. Außerdem können auch Logfiles gefälscht werden.
Tretter: Die Missbrauchsgefahr und die Gefahr von "Vorverurteilungen" ist bei der Verwendung von Verkehrsdaten extrem hoch. Und es bedarf eines sehr hohen Aufwands, um die nötigen datenschutzrechtlichen Standards sicherzustellen. Abgesehen davon habe ich Zweifel, inwieweit die Richtlinie überhaupt geeignet ist, die verfolgten Ziele zu erreichen, und damit grundrechtswidrig sein könnte. Internationaler Terrorismus und organisierte Kriminalität beschreiten in der Regel andere Kommunikationswege. Es genügt die Wahl eines Providers mit Sitz in einer Krisenregion. Oder der Griff zum Wertkartenhandy. Oder das konspirative Treffen in einem Hinterzimmer. Die Richtlinie trifft damit vor allem "Durchschnittsbürger", die sich auch schon zu wehren beginnen - wie in Deutschland mit einem 30.000 Beschwerdeführer umfassenden Verfahren vor dem deutschen Bundesverfassungsgericht. Es wird aber wahrscheinlich noch eine gewisse Zeit dauern, bis der Europäische Gerichtshof der EU oder der Europäische Gerichtshof für Menschenrechte des Europarats auf diese Frage eine europaweite Antwort geben wird.
(futurezone/Günter Hack)