Öffentliche Konsultation der Verordnung des Bundesministers für Verkehr, Innovation und Technologie betreffend die Datensicherheit (Datensicherheitsverordnung TKG-DSVO-TKG)
Das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT) führt bis 20. September eine öffentliche Konsultation über den Entwurf der DatensicherheitsVO durch. In der Datensicherheitsverordnung ist im Detail ausgeführt, wie die Beauskunftungen von Verkehrs- sowie Vorratsdaten abzuwickeln ist.
Für Anbieter ist diese Verordnung insofern von großer Bedeutung, da diese u.A. bestimmt, mit wie viel Aufwand der Beauskunftungsprozess auf Seiten der Provider verbunden ist.
Bei einer oberflächlichen Analyse der Verordnung sind uns folgende Punkte aufgefallen:
- Es wurde in § 2 Abs. 2 Z 1 DSVO der Terminus „Betriebsdaten“ neu eingeführt. Dies deshalb, da in zahlreichen öffentlichen Diskussionen ausschließlich der Begriff der „Verrechnungsdaten“ verwendet wurde, dieser jedoch nicht weitreichend genug ist. Der Begriff Betriebsdaten umfasst sowohl Verrechnungsdaten, als auch betriebsnotwendige Daten. Eben diese Betriebsdaten werden, sofern Sie ausschließlich zum Zwecke der Vorratsdatenspeicherung vom Anbieter gespeichert werden, zu Vorratsdaten.
- Die Parallelspeicherung von Daten als „Betriebsdaten“ sowie als „Vorratsdaten“ wird in §§ 5 Abs. 3, § 6 Abs. 3 DSVO als ausdrücklich zulässig anerkannt Die Erläuterungen zu § 6 Abs 3. DSVO führen hierzu aus:
„Das heißt aber nicht, dass eine gleichzeitige Speicherung von Daten als Betriebsdaten und Vorratsdaten dadurch ausgeschlossen ist. Eine gleichzeitige Speicherung von Daten sowohl in der Vorratsdatenbank als auch in den betrieblichen Datenbanken der Anbieter kann die operative Abwicklung für die Anbieter erleichtern. Die Anbieter könnten nämlich alle Daten schon bei der ersten Verarbeitung aus dem Live-System „abgreifen“ und in die Vorratsdatenbank überführen. Aus den betrieblichen Datenbanken müssen die Daten dann gelöscht werden, sobald die betriebliche Notwendigkeit nicht mehr gegeben ist.“
Somit können Betriebsdaten bereits bei Ihrer Entstehung in eine Vorratsdaten-Datenbank übergeführt werden und gleichzeitig im „Live“-System verbleiben. Aus diesem „Live“-System sind die Daten jedoch zu löschen, sobald eine Speicherung aus Verrechnungszwecken oder aus betriebsnotwendigen Zwecken nicht mehr notwendig ist. Ab dem Zeitpunkt der Löschung im „Live“-System, muss der betreffende Datensatz in der Vorratsdaten-Datenbank als Vorratsdatum gekennzeichnet werden.
- Anbieter werden gemäß dem Entwurf verpflichtet, ihre internen Richtlinien betreffend die tatsächliche Speicherdauer von Betriebsdaten im Falle einer Prüfung durch oder bei Anfrage der Datenschutzkommission an diese bekannt zu geben. Dies bedeutet, dass Anbieter nicht verpflichtet sind, die Daten an andere Stellen als die Datenschutzkommission bekannt zu geben. (§ 5 Abs. 5 DSVO)
- Im Wege eines Größenschlusses (Ratio: Wenn von Seiten der anfragenden Behörde die relativ strengen Voraussetzungen für eine Beauskunftung von Vorratsdaten erfüllt werden, sind die Voraussetzungen für die Beauskunftung von Betriebsdaten gegeben) werden Anbieter berechtigt bzw verpflichtet sein, bei einer Anfrage der Behörde auf Vorratsdaten ggf. auch Betriebsdaten zu beauskunften. (§ 6 Abs. 1 DSVO)
Dies soll verhindern, dass eine Anfrage der Behörde auf Vorratsdaten nicht beantwortet werden kann, da es sich bei den Daten (noch) um Betriebsdaten handelt, und bei einer zweiten Anfrage der Behörde auf Betriebsdaten dieser mitgeteilt werden muss, dass die betroffenen Daten im Zeitraum seit der ersten Anfrage mittlerweile zu Vorratsdaten geworden sind.
Sofern es bei einer Anfrage auf Vorratsdaten zu einer ausschließlichen Beauskunftung von Betriebsdaten gekommen ist, führt dies auf Seiten der Provider voraussichtlich zu keiner Protokollierung. Eine Protokollierung erfolgt jedoch durch die Durchlaufstelle, da bei jeder Beauskunftungsanfrage die Rechtsgrundlage (und damit implizit ob Vorratsdaten abgefragt werden sollen) angegeben werden muss.
- Das Vier-Augen-Prinzip wird gem. vom Provider derart auszugestalten sein, dass der Zugriff der zweiten Person auch nachträglich, jedoch „zeitnah“ zu erfolgen hat. Eine Verpflichtung der Anbieter zur Einrichtung eines „Journaldienstes“ ist nicht zu erwarten. (§ 7 DSVO, Erläuterungen zu § 7 Abs. 1 und 2 DSVO)
- Das Alter von Datensätzen wird vom Beginn des Kommunikationsvorganges aus gemessen werden. Dies ist uA von Relevanz für Kommunikationsvorgänge die über längere Zeit bestehen, wie z.B. eine dynamische IP-Adresse, die über einen längeren Zeitraum dem/derselben Kunden/in zugeteilt bleibt (§ 7 Abs. 3 Z 4 DSVO).
Den Bedürfnissen kleineren Anbietern wurde an zahlreichen Stellen der Verordnung Rechnung getragen. So wird es den Anbietern frei stehen, entweder eine direkte Anbindung an die Durchlaufstelle zu konzipieren, oder, mit der Durchlaufstelle via Browser (HTTPS) zu kommunizieren. Es besteht zudem auch keine Verpflichtung, die Beantwortung der Anfragen (Befüllung des CSV-Files) automatisiert vorzunehmen (Erläuterung zu § 15 DSVO). Ebenso wurde in § 21 DSVO festgehalten, dass Anbieter „im Einvernehmen optieren“ können Stammdatenauskünfte über die Durchlaufstelle abzuwickeln.
Die ISPA plant zu diesem Thema eine Stellungnahme abzugeben und ersucht um Input/Feedback bis Montag, 29. August 2011.