Studie zur Datensicherheit bei der Umsetzung der Vorratsdatenspeicherung

Im Juli 2011 erfolgte die Fertigstellung einer Studie des BIM zur Datensicherheit im Rahmen der österreichischen Umsetzung der Vorratsdatenspeicherung gemäß der Richtlinie 2006/24/EG. Die Conclusio der Studie beinhaltet einen konkreten Vorschlag für eine Datensicherheitsverordnung basierend auf §§ 94 Abs. 4 und 102c TKG.

Die Richtlinie 2006/24/EG schreibt die flächendeckende vorrätige Speicherung von Telekommunikationsverbindungs- und Zugangsdaten durch alle Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste innerhalb der EU vor. Die Bereitstellung solcher Dienste beinhaltet regelmäßig die Verarbeitung von personenbezogenen Daten der Nutzer. Um dem Datenschutzgesetz und dem Telekommunikationsgeheimnis sowie den Vorgaben der Europäischen Menschenrechtskonvention, insbesondere dessen Artikel 8 zum Schutz des Privatlebens und der Korrespondenz zu entsprechen, müssen diese Daten geheim gehalten werden, wozu insbesondere auch Maßnahmen auf der technischen Ebene notwendig sind. Die Verpflichtung zur effektiven Wahrung der Grundrechte aller Nutzer erfordert dabei auch, ein System einer revisionssicheren Protokollierung zu etablieren und so eine ausreichende Nachvollziehbarkeit für den Rechtsschutz zu gewährleisten.

Von November 2009 bis Jänner 2010 befand sich ein Entwurf des Bundesministeriums für Verkehr, Innovation und Technologie (BMVIT) für eine entsprechende Novelle des Telekommunikationsgesetztes (TKG) in öffentlicher Begutachtung. Der Begutachtungsentwurf wurde im Auftrag des BMVIT vom Ludwig Boltzmann Institut für Menschenrechte (BIM) erarbeitet und entspricht grundsätzlich hohen grundrechtlichen Anforderungen. Der Entwurf wurde in der Folge in der politischen Diskussion noch an manchen Stellen abgeändert, blieb aber weitgehend und vor allem in seiner wesentlichen Struktur erhalten. Die geänderte Fassung wurde schließlich im Parlament beschlossen und am 18. Mai 2011 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 27/2011), wobei die Speicherverpflichtung für die Anbieter erst mit 1.4.2012 in Kraft treten wird. Das Gesetz enthält jedoch zur Datensicherheit nur relativ grobe Vorgaben, die detaillierte Ausgestaltung bleibt einer Verordnung in Ausführung der §§ 94 Abs. 4 und 102c TKG vorbehalten. Im März 2010 legte das BIM dem BMVIT ein Konzept für eine Datensicherheitsstudie vor, für das in der Folge entsprechende Forschungsmittel freigegeben wurden.

Die Zielsetzung dieser Studie ist, technische Lösungen auf Basis der rechtlichen Vorgaben zu evaluieren, die ein hohes Niveau an Datensicherheit und Grundrechtsschutz bieten. Die Ergebnisse münden dabei in einen konkreten Vorschlag für eine Verordnung zur Datensicherheit. Die Studie behandelt sowohl die Fragen der Datensicherheit bei den Anbietern intern, als auch im Zusammenhang mit der Übermittlung von personenbezogenen Daten im Falle einer Auskunft an Sicherheits- und Strafverfolgungsbehörden. Der Schwerpunkt der praktischen Datensicherheitsprobleme liegt jedoch bei der sicheren Übermittlung der Daten. Aus diesem Grund bildet das Konzept einer zentralen „Datendrehscheibe“ den Kern der Untersuchung. Die sogenannte „Durchlaufstelle“ (DLS) wurde vom Autor als Referenzmodell entwickelt. Personenbezogene Inhalte werden verschlüsselt zwischen Absender und Empfänger ausgetauscht und sind der DLS nicht zugänglich. Neben der theoretischen Aufbereitung wurden in einem intensiven empirischen Teil die Stakeholder eingebunden, um eine zugleich praktikable Lösung für alle Beteiligten zu finden. Der Entwurf zur Verordnung steht daher auf der Basis eines breiten fachlichen Konsenses und ist durch einen für österreichische Durchführungsverordnungen unüblich hohen technischen Determinierungsgrad bei gleichzeitiger technologieneutraler Formulierung gekennzeichnet. Die Verordnung soll nach einer öffentlichen Begutachtung über den Sommer 2011 nach allfälliger Überarbeitung vom BMVIT im Einvernehmen mit BMI und BMJ im Herbst 2011 erlassen werden.