Update: SPG vor VfGH / Vertragsverletzungsverfahren

In der am kommenden Montag beginnenden Herbstsession wird sich der Verfassungsgerichtshof, wie er heute in einer Presseaussendung bekanntgab, auch mit "Individualanträgen von Telekommunikationsbetreibern beschäftigen, die sich gegen Neuerungen im Sicherheitspolizeigesetz wenden." Dabei geht es um die "Kommunikationsüberwachung", die Antragsteller hätten vorgebracht, dass die neu eingeführten Regelungen (BGBl I 2007/114) aus vielen Gründen verfassungswidrig seien:

"So ergebe sich z.B. die Pflicht zur Speicherung von IP-Adressen zu einer bestimmten Nachricht (mit Zeitpunkt, Name und Anschrift), obwohl es keine Rechtsgrundlage für diese 'Vorratsdatenspeicherung' gebe. Dass die Sicherheitsbehörden Auskünfte ohne richterliche Genehmigung anfordern können, ist für die Antragsteller ebenfalls verfassungswidrig. Zahlreiche Begriffe im Gesetz (z.B. die Formulierung, dass 'bestimmte Tatsachen' eine Annahme einer Gefahrensituation rechtfertigen) seien unklar definiert. Und schließlich seien nun neue Kommunikationsüberwachungstechniken (IMSI-Catching) erlaubt, die flächendeckend in den Datenschutz völlig Unbeteiligter eingreifen würden."

Der VfGH muss zuerst entscheiden, ob die Anträge zulässig sind, erst dann kann gegebenenfalls auf den Inhalt eingegangen werden.

Das mit der fehlenden gesetzlichen Grundlage für eine Vorratsdatenspeicherung stört auch die Europäische Kommission - sie will (laut Pressemeldung, eine offizielle Aussendung habe ich jetzt nicht gefunden) daher Österreich und acht anderen Mitgliedstaaten ein "zweites Mahnschreiben" (formal: "eine mit Gründen versehene Stellungnahme") wegen bislang nicht erfolgter Umsaetzung der RL über die Vorratsspeicherung von Daten schicken. Da tatsächlich noch keinerlei Umsetzungsmaßnahmen gesetzt wurden, würde die Kommission wohl kein allzu schweres Spiel haben, wenn sie die Sache dann vor den EuGH bringen möchte (dass Österreich eine Umsetzungsmaßnahme innerhalb der nächsten zwei Monate zustandebringt, würde ich eher nicht erwarten). Spannend wird freilich, wie der EuGH über die Nichtigkeitsklage Irlands gegen die Richtlinie entscheidet. Eine erste Orientierung in der Sache kann man am 14. Oktober erwarten, wenn die Schlussanträge in diesem Verfahren (C-301/06 Irland/Rat und Parlament) gestellt werden.

In anderen Telekomsachen hat die Kommission heute ebenfalls die Einleitung oder Fortsetzung von Vertragsverletzungsverfahren (siehe auch die Übersicht hier) beschlossen:

• betreffend die Notrufnummer "112" wurde Italien gemahnt, da dort die Anrufe zur Notrufnummer "112" nicht an andere Notdienste weitergeleitet werden kann; gegen Bulgarien und Rumänien soll wegen nicht vollständiger Funktionalität der Notrufnummer "112" Klage vor dem EuGH erhoben werden, allerdings gewährt die Kommission noch gnädig eine Nachfrist von drei Monaten, bevor die Klage eingebracht werden soll (ist das eine neue Stufe des Vertragsverletzungsverfahrens - nach erstens Mahnschreiben und zweitens mit Gründen versehener Stellungnahmen dann drittens die aufschiebend beschlossene Klage?) - (Link zur Presseaussendung der Kommission)
• Spanien erhält eine mit Gründen versehene Stellungnahme betreffend die Universaldienstfinanzierung; Polen wird vor dem EuGH geklagt weil dort die Regulierungsbehörde den Breitbandmarkt regulierte, ohne vorher eine Marktanalyse vorgenommen zu haben; Zypern kommt ebenfalls vor den EuGH wegen der nicht ordnungsgemäßen Einräumung von Wegerechten betreffend Mobilfunkunternehmen (Link zur Presseaussendung)
• drei neue Vertragsverletzungsverfahren wurden eingeleitet "zur Unabhängigkeit und Effizienz der Telekom-Regulierungsbehörden in Lettland, Litauen und Schweden"; bei Lettland und Litauen, weil dort der als Regulierungsbehörde in Teilbereichen zuständige Minister gleichzeitig noch "Tätigkeiten im Zusammenhang mit Eigentum und Kontrolle ('operative Tätigkeiten') bei einigen staatlichen Telekommunikationsunternehmen" ausüben; in Schweden hat die Regulierungsbehörde aufgrund der Rechtsprechung nur eine eingeschränkte Zuständigkeit in Zusammenschaltungsstreitigkeiten zwischen Telekombetreibern (Link zur Presseaussendung).

Erste Zahlen zu Auskunftsverlangen nach § 53 Abs 3a und 3b SPG

Mit einer am 1. Jänner 2008 in Kraft getretenen Novelle zum Sicherheitspolizeigesetz (SPG) wurden die Möglichkeiten der Sicherheitsbehörden, von Betreibern öffentlicher Telekommunikationsdienste Auskünfte zu verlangen - je nach Interpretation - deutlich ausgeweitet oder bloß konkretisiert. Wie auch immer: der Beantwortung einer parlamentarischen Anfrage kann man erste Zahlen entnehmen, wie oft die Befugnisse nach § 53 Abs 3a und 3b SPG in den ersten vier Monaten dieses Jahres genutzt wurden. Demnach wurden
3.863 Auskunftsverlangen gemäß § 53 Abs 3a SPG durchgeführt (im Schnitt also etwas mehr als 32 pro Tag), und in 258 Fällen (im Schnitt 2,15 pro Tag) wurde von der Möglichkeit nach § 53 Abs 3b SPG Gebrauch gemacht, Auskunft über die Standortdaten und IMSI-Kennung zu verlangen. Die Betroffenen werden davon nicht informiert (rechtliche Grundlage dafür ist § 24 Abs 3 Z 1 DSG), der Rechtsschutzbeauftragte erfährt von den Abfragen nach spätestens vier Wochen - ob der Rechtsschutzbeauftragte vollinhaltlich prüft, ob Rechte der Betroffenen verletzt wurden, wollte der Innenminister aber den anfragenden Abgeordneten nicht sagen. Zusätzliches Personal gab es für den - nebenberuflich tätigen - Rechtsschutzbeauftragten (im Hauptberuf Generaldirektor der Bundeswettbewerbsbehörde) jedenfalls nicht.

PS: in einer anderen aktuellen Anfragebeantwortung (zu dieser Anfrage) musste Innenminister Platter auch zu eigenartigen Usancen seines Vor-Vorgängers Ernst Strasser im Hinblick auf dessen Notebooks/Laptops Stellung nehmen. Entgegen den Aussagen Strassers - falls man einem in der Zeitung Österreich erschienenen Interview mit ihm trauen soll (also wohl eher nicht) - hat Strasser demnach keine Ministeriums-Laptops benutzt, sondern ausschließlich "von ihm selbst beigebrachte". Das Ministerium ist diesbezüglich ahnungslos: "woher diese stammten, kann nicht angegeben werden", heißt es in der Anfrage. Besonders hübsch finde ich den Satz: "Ob Herr BM a.D. Dr. Strasser Kontakte zu Firmen unterhielt ist nicht bekannt."

Einiges an Aufregung über die bekannt gewordenen "rot-weiß-roten" E-Mails hätte BM a.D. Strasser vermeiden können, hätte er das vom Innenministerium herausgegebene Magazin "Öffentliche Sicherheit" aufmerksam gelesen. In der Ausgabe 11-12/2003 heißt es: "Schwachstellen bei den Sicherheitskonzepten gebe es nach Aussagen des Düsseldorfer Unternehmensberaters Ralf Sürtenich vielfach bei Notebooks" - und ein paar Absätze weiter heißt es: "'Viele Unternehmen, vor allem kleinere und mittlere, vernachlässigen leider die Sicherheit in der Informationstechnik', erläutert Innenminister Dr. Ernst Strasser. 'Wir wollen hier das Bewusstsein noch mehr schärfen, um Schäden zu vermeiden.'"

SPG-Novelle: Ein dringend notwendiges Gesetz, das gar nicht gebraucht wurde?

"Innenminister Günther Platter referierte über die Novelle zum Sicherheitspolizeigesetz, präzisierte den Inhalt des Gesetzes und meinte im Zusammenhang mit der Feststellung der Standortdaten, es habe sich bei der Telefonüberwachung nichts geändert. Für Inhaltsdaten sei eine richterliche Anordnung notwendig. Man konnte schon bisher IP-Adressen feststellen. Im Gesetz wurden keine neuen Möglichkeiten für die Exekutive geschaffen, sondern nur Konkretisierungen vorgenommen."

(Hervorhebung und Verlinkung hinzugefügt, sonst Originaltext der offiziellen Aussendung der Parlamentskorrespondenz zur Sitzung des Innenausschusses vom 24.1.2008)

Wie soll man das verstehen: Die mit ungewöhnlicher Eile - ohne Befassung des zuständigen Nationalratsausschusses - beschlossene SPG-Novelle (siehe dazu hier) wäre eigentlich gar nicht notwendig gewesen? Oder: es hat sich nichts geändert, es gibt keine neuen Möglichkeiten - aber immerhin ist die unveränderte Praxis und die Nutzung der bestehenden Möglichkeiten nun rechtlich zulässig?

Wer sich anschauen will, was Innenminister Platter als bloße "Konkretisierungen" bezeichnet, möge § 53 SPG in der Fassung vor und nach der Novelle lesen.

Multiple Choice-Überwachung

Welche Daten hätten wir denn gerne? Stamm-, Vermittlungs- oder Standortdaten? IMSI? Einfach ankreuzen, bei der nächsten Frage noch den passenden Rechtsgrund dazu ankreuzen und per Fax an den Telekombetreiber geschickt - so kann die Überwachung elektronischer Kommunikation administriert werden.

Das Nachrichtenmagazin profil hat in der aktuellen Ausgabe (nicht online verfügbar) das Faksimile eines von den Sicherheitsbehörden verwendeten Fax-Anfrageformulars abgedruckt; auf einer vom grünen Abgeordneten Peter Pilz registrierten Website, die sich der Überwachung des Innenministers widmet, ist dieses Formular zum download verfügbar. Das Bild oben links ist ein Ausschnitt daraus. Schon angesichts der sehr polizeitypischen Sprache ("Die obenangeführte Behörde ersucht um Übermittlung der unter dem Anfragegrund angeführten Daten der angefragten Teilnehmernummern ...") kann man wohl davon ausgehen, dass das Formular wirklich von den Sicherheitsbehörden stammt.

Das Formular sieht drei mögliche Rechtsgründe vor: die zwei neuen Bestimmungen im Sicherheitspolizeigesetz (§ 53 Abs 3a und § 53 Abs 3b, siehe dazu hier) und "im Dienste der Strafrechtspflege" (mit - konkret zu bezeichnender - gerichtlicher Anordnung). Ich will die Rechtsgrundlagen hier nicht kommentieren - aber die Formulargestaltung mit der Vermischung von Anfragen, die ohne richterliche Genehmigung möglich sind, und noch gravierenderen Eingriffen, die einer richterliche Anordnung bedürfen, ist jedenfalls nicht geglückt.

PS: Ich wollte zum SPG in der aktuellen Fassung verlinken - aber im Rechtsinformationssystem des Bundes ist auch knapp zwei Wochen nach dem Inkrafttreten die Aktualisierung bei der Abfrage der "geltenden Fassung" noch nicht durchgeführt worden (siehe hier den Ausdruck von heute); ich kann also auf mein voriges Post oder auf das authentische BGBl verlinken.
[PPS: Update 1.6.2008: mittlerweile ist ein entsprechender - überarbeiteter - Erlass des BMI (vom 28.1.2008) auf Grund einer parlamentarischen Anfragebeantwortung verfügbar gemacht worden.]

SPG-Novelle: bei Gefahrensituation IP-Adressen für die Polizei

Angeblich war's ja früher auch schon so, nun wird es - mit Wirkung vom 1. Jänner 2008 - jedenfalls auf eine gesetzliche Grundlage gestellt: die Weitergabe von IP-Adressen durch Provider an die Sicherheitsbehörden (ohne richterlichen Auftrag oder Genehmigung), "wenn bestimmte Tatsachen die Annahme einer konkreten Gefahrensituation rechtfertigen". Die entsprechende Novelle zum Sicherheitspolizeigesetz wurde mit BGBl I 2007/114 am 28. Dezember 2007 kundgemacht.

§ 53 Abs 3a und 3b SPG lauten demnach:

"(3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003 - TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz - ECG, BGBl. I Nr. 152/2001) Auskunft zu verlangen über
1. Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses,
2. Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung sowie
3. Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war,
wenn bestimmte Tatsachen die Annahme einer konkreten Gefahrensituation rechtfertigen und sie diese Daten als wesentliche Voraussetzung für die Erfüllung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben benötigen. Die Bezeichnung eines Anschlusses nach Z 1 kann für die Erfüllung der ersten allgemeinen Hilfeleistungspflicht oder die Abwehr gefährlicher Angriffe auch durch Bezugnahme auf ein von diesem Anschluss geführtes Gespräch durch Bezeichnung eines möglichst genauen Zeitraumes und der passiven Teilnehmernummer erfolgen. Die ersuchte Stelle ist verpflichtet, die Auskunft unverzüglich und kostenlos zu erteilen.

(3b) Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben oder die Gesundheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung zu verlangen sowie technische Mittel zu ihrer Lokalisierung zum Einsatz zu bringen. Die Sicherheitsbehörde trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens, dessen Dokumentation dem Betreiber unverzüglich, spätestens innerhalb von 24 Stunden nachzureichen ist. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und gegen Ersatz der Kosten nach § 7 Z 4 der Überwachungskostenverordnung – ÜKVO, BGBl. II Nr. 322/2004, zu erteilen."

Die parlamentarische Behandlung dieser Novelle war insofern ungewöhnlich, als zwar eine Regierungsvorlage (272 BlgNR 23. GP) eingebracht worden war, die Beschlussfassung im Plenum des Nationalrates aber auf Grund eines Fristsetzungsantrags ohne vorangegangene Beratung im Innenausschuss erfolgte. Dass dann in der Plenarsitzung mittels Abänderungsantrag noch wesentliche Veränderungen gegenüber der Regierungsvorlage vorgenommen wurden, hat die Skepsis der Oppositionsparteien nicht gerade verringert (zur parlametarischen Behandlung siehe die Ausendung der Parlamentskorrespondenz). In der Regierungsvorlage war nämlich insbesondere noch keine Beauskunftung von IP-Adressen und keine Offenlegung der IMSI vorgesehen gewesen.

Aus rechtstechnischer Sicht bemerkenswert ist auch, dass am selben Tag gleich zwei Novellen des Sicherheitspolizeigesetzes beschlossen wurden, die nun auch am selben Tag im BGBl kundgemacht wurden (BGBl I 2007/113 und BGBl I 2007/114). Beide Novellen treten am selben Tag - 1.1.2008 - in Kraft. Wenn ich nun nicht irgendwo noch eine dritte Änderung des SPG übersehen habe, die auch am 1.1.2008 in Kraft treten soll, dann entsteht jedenfalls eine echte "Gesetzeslücke": denn mit der Novelle BGBl I 2007/113 wird dem § 94 SPG ein Abs 22 angefügt, mit der Novelle BGBl I 2007/114 ein Abs 24 - ein Abs 23 ist nicht zu finden.