Friday, June 27, 2014

VfGH hebt nationale Regelungen zur Vorratsdatenspeicherung auf - Zugriff auf Betriebsdaten weiter möglich

Nach der Feststellung der Ungültigkeit der Richtlinie über die Vorratsspeicherung von Daten durch den EuGH (dazu im Blog hier und hier) war es keine große Überraschung, dass der Verfassungsgerichtshof nun die österreichischen Regelungen, die zur Umsetzung dieser Richtlinie geschaffen wurden, als verfassungswidrig aufgehoben hat. Das Erkenntnis wurde heute mündlich verkündet, schriftlich ist vorerst nur eine Pressemitteilung des VfGH verfügbar, in der immerhin der konkrete Spruch des Erkenntnisses - zumindest betreffend die aufgehobenen Bestimmungen - wiedergegeben wird; im übrigen werden darin aber nur sehr allgemeine Hinweise auf die Begründung des Erkenntnisses gegeben (nach einer Pressemeldung wurde zudem der Antrag der Kärntner Landesregierung zurückgewiesen, "da dieser nicht ausreichend formuliert worden war" - ich nehme an, dass die aufzuhebenden Normen nicht präzise bezeichnet waren Update 29.06.2014: nach einem Gespräch mit jemandem, der bei der Verkündung zugehört hat, dürfte es so gewesen sein, dass die Kärntner Landesregierungen nur Bestimmungen des TKG 2003 angefochten hat, der VfGH jedoch der Auffassung war, dass diese mit den Bestimmungen der StPO und des SPG, die die Auskunftserteilung regeln, in einem untrennbaren Zusammenhang stehen).
Update 30.07.2014: nunmehr ist die schriftliche Ausfertigung des Erkenntnisses verfügbar.
Update 31.07.2014: siehe nun zur schriftlichen Ausfertigung des Erkenntnisses im Blog hier.

Zwar ist das Erkenntnis nach § 26 VfGG "mit den wesentlichen Entscheidungsgründen" zu verkünden, dennoch lässt sich leider aus der Meldungen, die ich bis jetzt durchgesehen habe, nicht allzuviel erkennen. Auch der Live-Ticker auf netzpolitik.org gibt dazu nicht viel her, außer dass sich die Aufhebung auf Art 1 (§ 1) DSG und Art 8 EMRK stützt, was jetzt auch nicht wirklich überraschen kann. Ob zB auch Erwägungen zu Art 10 EMRK erfolgten oder welche Rolle die GRC spielte, lässt sich damit nicht feststellen. Eine ernsthafte inhaltliche Auseinandersetzung mit dem Erkenntnis kann aber ohnehin erst nach Vorliegen der schriftlichen Ausfertigung erfolgen. Daher vorerst hier nur kurze Anmerkungen zu den aufgehobenen Rechtsvorschriften und zur Frage, auf welche Daten nun weiter zugegriffen werden kann.

Aufgehobene Rechtsvorschriften
Die Richtlinie zur Vorratsdatenspeicherung von Daten wurde in Österreich mit der Novelle BGBl I 2011/27 zum TKG 2003 umgesetzt. Begleitet wurde diese Umsetzung durch Anpassungen in der Strafprozessordnung (StPO) und im Sicherheitspolizeigesetz (SPG), beides mit der Novelle BGBl I 2011/33. Die tragenden Teile dieser Novellen wurden nun vom VfGH aufgehoben.

Im TKG 2003 sind von der Aufhebung folgende Bestimmungen betroffen:
  • § 102a ("Vorratsdaten") zur Gänze: dies betrifft die Verpflichtung zur Speicherung von Vorratsdaten
  • § 102b ("Auskunft über Vorratsdaten") zur Gänze: in dieser Bestimmung war geregelt, dass eine Auskunft über Vorratsdaten ausschließlich aufgrund einer gerichtlich bewilligten Anordnung der Staatsanwaltschaft zur Aufklärung und Verfolgung von - näher umschriebenen - schweren Straftaten zulässig ist.
  • § 102c Abs 2, 3 und 6: Regeln zur Protokollierung von Zugriffen auf Vorratsdaten.
  • Die Definition des Begriffs "Vorratsdaten" in § 92 Abs 3 Z 6b ("Daten, die ausschließlich aufgrung der Speicherverpflichtung gemäß § 102a gespeichert werden")
  • Die sich auf Vorratsdaten beziehenden Wortfolgen in einer Reihe von Bestimmungen (§ 93 Abs 3, § 94 Abs 1, 2 und 4, § 98 Abs 2, § 99 Abs 5 Z 2, 3 und 4), in denen im Wesentlichen festgelegt wurde, dass von bestimmten Regeln nicht nur "normale" Daten, sondern auch Vorratsdaten betroffen sind.
  • Die Strafbestimmungen bei Verletzung von Pflichten im Zusammenhang mit der Vorratsdatenspeicherung (§ 109 Abs 3 Z 22 bis 26).
Damit verbleiben im TKG 2003 nur mehr sehr bruchstückhafte Regelungen zu Vorratsdaten (zB die "2 Container-Lösung" in § 102c Abs 1), die aber angesichts des Wegfalls aller tragenden Regelungen zur Vorratsdatenspeicherung ins Leere laufen. Der Gesetzgeber wird sie wohl bei nächster Gelegenheit beseitigen, ebenso wie den auch noch verbliebenen Hinweis in § 1 Abs 4 Z 7 TKG 2003, wonach mit dem TKG 2003 auch die - nicht mehr gültige - RL über die Vorratsspeicherung von Daten umgesetzt wird.

In der StPO sind folgende Bestimmungen von der Aufhebung betroffen.
  • § 134 Z 2a: Definition der "Auskunft über Vorratsdaten"
  • § 135 Abs 2a: Festlegung, in welchen Fällen die Auskunft über Vorratsdaten zulässig ist
Im SPG wurde die Wortfolge "auch wenn hiefür die Verwendung von Vorratsdaten gemäß § 99 Abs. 5 Z 4 iVm § 102a TKG 2003 erforderlich ist," sowohl in § 53 Abs 3a Z 3 als auch in § 53 Abs. 3b aufgehoben. Auch in den dort geregelten Fällen (im Wesentlichen: Abwehr einer konkreten Gefahr für Leben, Gesundheit oder Freiheit, eines gefährlichen Angriffs oder einer kriminellen Verbindung bzw bei "Vermissten", wenn eine gegenwärtige Gefahr anzunehmen ist) kann also nicht mehr auf Vorratsdaten zurückgegriffen werden - die allerdings ohnehin nicht mehr gespeichert werden dürfen.

Ab wann?
Der Bundeskanzler ist nach Art 140 Abs 5 B-VG zur unverzüglichen Kundmachung der Aufhebung im Bundesgesetzblatt verpflichtet. Da der VfGH keine Frist für das Außerkrafttreten bestimmt hat, tritt die Aufhebung "mit Ablauf des Tages der Kundmachung in Kraft". Mit einer baldigen Kundmachung ist zu rechnen, sodass auch die juristisch interessante Frage, ob die - wohl auch unionsrechtswidrigen - Normen wegen des Vorrangs des Unionsrechts allenfalls auch schon bis zur Kundmachung des VfGH unangewendet bleiben müssten (zu einem derartigen Fall siehe etwa das VwGH-Erkenntnis vom 23.10.2013, 2012/03/0102), nicht beantwortet werden muss.
Update 30.06.2014: Die Aufhebung wurde kundgemacht am 30.06.2014 mit BGBl I 2014/44.

Keine Auskunft über Vorratsdaten - aber weiterhin Zugriff auf "Betriebsdaten"
Dass die Regeln über die Vorratsdatenspeicherung aufgehoben wurden, bedeutet nicht, dass die Strafverfolgungs- bzw Sicherheitsbehörden nicht dennoch auf Daten einer Nachrichtenübermittlung zugreifen könnten. Allerdings sind sie dabei auf die betriebsnotwendig anfallenden Daten, soweit diese (zulässigerweise) gespeichert sind, beschränkt (vgl die Definition von "Betriebsdaten" in § 2 Datensicherheitsverordnung TKG-DSVO]).

Für Verkehrsdaten gilt gemäß § 99 TKG 2003 - wie in der RL 2002/58 festgelegt - der Grundsatz, dass sie "nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren sind". Eine - gewichtige - Ausnahme von diesem Grundsatz ist freilich, dass diese Daten zu speichern sind, wenn dies für Zwecke der Verrechnung von Endkunden- oder Vorleistungsentgelten (also zB auch für die Interconnection-Abrechnung) erforderlich ist. Sie sind zu löschen, "sobald der Bezahlvorgang durchgeführt wurde und innerhalb einer Frist von drei Monaten die Entgelte nicht schriftlich beeinsprucht wurden." Je nach Rechnungskreislauf liegen solche Daten also zumindest etwa vier Monate, oft auch sechs Monate vor. Auf diese Daten kann natürlich weiterhin insbesondere nach § 135 StPO in den dort geregelten Fällen (vereinfacht: Aufklärung oder Aufenthaltsermittlung bei schwereren Straftaten) zugegriffen werden.

Der wesentliche Unterschied zum Zugriff auf Vorratsdaten ist, dass die Strafverfolgungsbehörden damit nur mehr auf jene Daten zugreifen können, die betriebsnotwendig vorliegen und noch nicht gelöscht sind. Das wird bei den klassischen "Verbindungsdaten" in der Telefonie in der Regel kaum einen Unterschied machen, wohl aber bei all den Daten, die nach den Regeln über die Vorratsdatenpeicherung zusätzlich zu den verrechnungsrelevanten Daten zu speichern waren oder bei E-Mail-Diensten, bei denen die bisher nach § 102 Abs 4 TKG 2003 zu speichernden Daten in der Regel wohl nicht verrechnungsrelevant waren.

No comments :