Zur mobilen Ansicht wechseln »

Österreich Vorratsdaten: Sicherheit wird nicht kontrolliert.

Foto: Bastian Foest, ap
Rund 140 österreichische Telekom- und Internetanbieter müssen seit 1. April Verbindungs- und Standortdaten ihrer Kunden sechs Monate lang speichern. Ob sie sich dabei an gesetzliche Sicherheitsvorgaben halten, wurde laut einer Untersuchung der Initiative für Netzfreiheit (IfNf) bislang nicht überprüft. Die Initiative fordert deshalb die sofortige Aussetzung der Vorratsdatenspeicherung.

"Die Datensicherheit der Vorratsdaten ist mehr als fragwürdig", kritisiert Josef Irnberger, Sprecher der Initiative für Netzfreiheit (IfNf). Seit mittlerweile mehr als sieben Monaten müssen österreichische Telekommunikationsunternehmen ein halbes Jahr lang speichern, wer wann mit wem telefoniert, wer sich wann mit dem Internet verbunden und wer wann wem eine E-Mail oder eine SMS geschickt hat. "Bis heute hat aber keine einzige Überprüfung eines speicherpflichtigen Providers bezüglich der Sicherheit der gespeicherten Daten stattgefunden", kritisiert Irnberger: "Fraglich ist auch, ob und wieviele Provider überprüft werden können."

Der IT-Spezialist hat in einer siebenseitigen Analyse (PDF) die tatsächliche Sicherheit der Vorratsdaten in Österreich untersucht und kommt zu dem Schluss: "Es kann keineswegs ausgeschlossen werden, dass die Daten nicht bereits längst ihren Weg in falsche Hände gefunden haben." Die Initiative fordert deshalb den Stopp der Vorratsdatenspeicherung, zumindest bis die Datensicherheit gewährleistet werden kann.

"Bisher wurden keine Überprüfungen getätigt"
Die für die Überprüfungen der Datensicherheit bei den Vorratsdaten zuständige Datenschutzkommission (DSK) bestätigt auf Anfrage der futurezone, dass bisher keine Kontrollen bei den Providern stattgefunden haben. "Bisher wurden keine Überprüfungen getätigt", sagt Eva Souhrada-Kirchmayer, geschäftsführendes Mitglied der DSK. Es habe jedoch auch keine Beschwerden oder Hinweise bezüglich der Datensicherheitsverstößen bei den gespeicherten Daten gegeben.

Die Datenschutzkommission ist gesetzlich verpflichtet, bei Beschwerden oder einem begründeten Verdacht von Datenschutzverstößen tätig zu werden. Weil es sich bei den im Rahmen der Vorratsdatenspeicherung gespeicherten Daten um strafrechtlich relevante Daten handle, könne die Behörde aber auch von sich aus Überprüfungen einleiten, sagt Souhrada-Kirchmayer: "Es ist möglich, dass wir das tun." Konkreten Zeitplan für Kontrollen gebe es aber keinen: "Die Überprüfungen könnten aus Ressourcengründen wahrscheinlich auch nur stichprobenartig stattfinden."

Bei den Überprüfungen könnten etwa Zugriffsprotokolle eingesehen oder Fragebögen versandt werden. Möglich sei auch, dass ein von der Behörde beauftragter Techniker die Sicherheit vor Ort überprüfe, sagt Souhrada-Kirchmayer: "Das hängt von den Kapazitäten ab." Zusätzliches Personal wurde der Behörde für die Überprüfung der Datensicherheit bei der Vorratsdatenspeicherung nicht zur Verfügung gestellt. "Wir verfügen nicht über die dazu nötigen Ressourcen", sagt Souhrada-Kirchmayer.

Verpflichtende Prüfung nur bei begründetem Verdacht
Eine gesetzliche Verpflichtung die Sicherheit zu überprüfen gibt es, - vom begründeten Verdachtsfall abgesehen - nicht. Ein System der verpflichtenden Auditierung von Datensicherheitsmaßnahmen sei zwar diskutiert worden, heißt es in dem Bericht der Initiative für Netzfreiheit unter Berufung auch Christof Tschohl vom Boltzmann Institut für Menschenrechte, das den Gesetzesentwurf erarbeitete. Solche Vorschäge seien jedoch von allen Beteiligten, außer den Vertretern der Bürgerrechtsorganisationen, abgelehnt worden.

Datensicherheitsverordnung
Vorschriften hinsichtlich der Datensicherheit bei der Vorratsdatenspeicherung, die seit 1. April in Österreich in Kraft ist, sind in einer vom Bundesministerium für Verkehr, Technologie und Innnovation (bmvit) veröffentlichteten Verordnung (Datensicherheitsverordnung TKG-DSVO) festgehalten. Im Telekommunikationsgesetz (§102c) heißt es dazu allgemeiner, die Daten müssten durch "geeignete technische und organisatorische Maßnahmen" unter anderem vor unrechtmäßiger Verarbeitung und Verbreitung geschützt werden. Auch müsse sichergestellt werden, dass der Zugang "ausschließlich dazu ermächtigten Personen unter Einhaltung des Vier-Augen-Prinzips vorbehalten ist."

Löschung ungewiss
In Österreich sind laut einer vom Infrastrukturministerium veröffentlichten Liste rund 140 Telekom- und Internetanbieter zur verdachtslosen Speicherung sämtlicher Internet-, Telefon-, SMS - und E-Mail-Verbindungsdaten für sechs Monate verpflichtet. Spätestens nach sieben Monaten müssen sie die Daten löschen. Ob dies auch tatsächlich passiert, wurde von der Datenschutzkommission laut dem Bericht der Initiative für Netzfreiheit bislang ebensowenig kontrolliert.

Kopien nicht ausgeschlossen
Es gebe technisch keine Möglichkeit, zu überprüfen, ob Daten tatsächlich gelöscht wurden, heißt es dazu in einer an Irnberger im August übermittelten Anfragebeantwortung der Datenschutzkommission. Laut der Behörde könne auch nicht ausgeschlossen werden, dass Kopien der Vorratsdaten erstellt wurden: "Soetwas merkt man dann, wenn die Daten später mal für irgend was anderes verwendet werden, obwohl es sie eigentlich nicht mehr geben dürfte", heißt es in dem Schreiben der Datenschutzkommission, das der futurezone vorliegt. Angesichts der in der Datensicherheitsverordnung vorgeschriebenen revisionssicheren Protokollierung zeigt sich IT-Spezialist Irnberger gegenüber der futurezone verwundert: Wenn tatsächlich revisionssichere Systeme zum Einsatz kommen, müsse dokumentiert sein, wenn Datenbanken kopiert oder gelöscht werden.

Sanktionsmöglichkeiten gering
Telekom- und Internet-Anbieter, die sich nicht die vorgeschriebenen Sicherheitsvorkehrungen bei der Vorratsdatenspeicherung halten, haben auch nicht viel zu befürchten. Die Datenschutzkommission kann lediglich eine Empfehlung aussprechen und eine Frist setzen, innerhalb der der rechtmäßige Zustand hergestellt werden muss. Wurden Sicherheitsvorkehrungen "grob außer Acht" gelassen, droht säumigen Anbietern schlimmstenfalls eine Verwaltungsstrafe von 10.000 Euro, die von Bezirkshauptmannschaften oder Magistratsbehörden verhängt wird. "Woher Telekommunikationsanbieter die Motivation nehmen sollen, die vom Gesetz geforderten Sicherheitsanforderungen umzusetzen, bleibt fragwürdig", meint Irnberger.

Das Resüme der Vereins für Netzfreiheit zur Sicherheit der Vorratsdaten in Österreich fällt vernichtend aus: "Die gesetzlichen Grundlagen für eine effektive Prüfung der Sicherheit der Vorratsdaten bei den Telekomanbietern sind ungeeignet und die mit der Kontrolle der Sicherheit betraute Stelle hat nicht die nötigen Kompetenzen, personellen und fachlichen Ressourcen noch stehen geeignete Sanktionierungsmöglichkeiten zur Verfügung." Die von den verantwortlichen Ministerien suggerierte Sicherheit der Daten sei nicht gewährleistet, kritisiert Irnberger: "Die Privatsphäre der Bürger ist deshalb akut gefährdet."

Bürgerinitiative und Verfassungsklage
Die Initiative für Netzfreiheit zählt zu den Unterstützern des österreichischen Arbeitskreis Vorratsdatenspeicherung (AK Vorrat) der im vergangenen Jahr eine Bürgerinitiative gegen die verdachtsunabhängige Datenspeicherung startete, die von mehr als 106.000 Österreichern unterschrieben wurde. Am Mittwoch findet dazu auch eine Anhörung im Justizausschuss des Parlaments statt. Gemeinsam mit den Grünen wurde auch eine Verfassungsklage gegen die Vorratsdatenspeicherung eingebracht, der sich mehr als 11.000 Bürger angeschlossen haben.

Daten wecken Begehrlichkeiten
Eine ursprünglich für den Sommer geplante Überarbeitung der EU-Richtlinie zur Vorratsdatenspeicherung wurde von der zuständigen EU-Kommissarin auf die lange Bank geschoben. Unterdessen fordern in Österreich auch Interessensvertreter der Film- und Musikwirtschaft zumindest drei Monate lang Zugriff auf die Vorratsdaten , um Urheberrechtsvergehen verfolgen zu können. Der AK Vorrat lehnt das entschieden ab: "Das wäre ein Dammbruch."

Mehr zum Thema

(futurezone) Erstellt am 23.11.2012, 12:00

Kommentare ()

Einen neuen Kommentar hinzufügen

( Abmelden )

Dein Kommentar

Antworten folgen
Melden Sie den Kommentar dem Seitenbetreiber. Sind Sie sicher, dass Sie diesen Kommentar als unangemessen melden möchten?
    Bitte Javascript aktivieren!