4130/J XXIII. GP
Eingelangt am 23.04.2008
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind
möglich.
Anfrage
des Abgeordneten Zach und weiterer Abgeordneter
an den Bundesminister für Inneres
betreffend Datenabfrage durch die Sicherheitsbehörden bei Internet- und Tele- foniebetreibern gemäß § 53ff SPG
Mit BGB! Nr. 114/2007 wurden die Bestimmungen § 53 Abs 3a
sowie Abs 3b SPG dahingehend
novelliert, dass die Sicherheitsbehörden
berechtigt sind, unter den dort normierten
Umständen von Netzanbietern und Dienstbetreibern Auskunft zu verlangen über Namen,
Anschrift und Teilnehmernummer eines bestimmten Anschlusses,
statische wie dynamische Internetprotokolladressen (IP-Adressen) zu bestimmten
Nachrichten einschließlich des Zeitpunkts ihrer Übermittlung
und schließlich Standortdaten und die internationale
Teilnehmerkennung (IMSI) mobiler Endeinrichtungen. Der Anfragesteller ist - wie
die überwiegende Mehrheit der Bevölkerung - als
Inhaber und Nutzer eines Mobiltelefons sowie Inhaber und Nutzer eines
Internetanschlusses von dieser Norm im Hinblick auf sein subjektives,
verfassungsgesetzlich gewährleistetes Recht auf Datenschutz (§ 1 DSG 2000,
Art 8 EMRK) betroffen. Weil im SPG selbst diesbezüglich keine
Informationspflichten vorgesehen sind, basiert der Rechtsschutz auf dem
Datenschutzgesetz 2000 (welches nach § 51 Abs 2 SPG subsidiär anwendbar
ist), insbesondere auf den im
§ 24 DSG 2000 normierten
Informationspflichten.
Die unterzeichneten Abgeordneten stellen daher folgende
Anfrage
1. § 53 Abs 3a ermächtigt Sicherheitsbehörden, von BetreiberInnen öffentlicher Telekommunikationsdienste Auskunft über Name, Anschrift und Teilnehmernummer eines bestimmten Abschlusses, die IP-Adresse zu einer bestimmten Nachricht sowie den Zeitpunkt ihrer Übermittlung und schließlich die Bekanntgabe von Namen und Anschrift jener Benutzer zu verlangen, denen zu einem bestimmten Zeitpunkt eine IP- Adresse zugewiesen war. Zwar normiert das SPG selbst keine Informationspflicht gegenüber dem Betroffenen, doch sieht § 51 Abs 2 SPG eine subsidiäre Anwendbarkeit des DSG 2000 vor. Gemäß § 24 DSG 2000 treffen den/die Auftraggeberin umfassende Informationspflichten. Findet in der Praxis § 24 DSG 2000 dahingehend Anwendung, dass Betroffene von Abfragen iSd § 53 Abs 3a SPG informiert werden?
2. Wenn nicht, warum nicht (auf welcher Rechtsgrundlage beruht die Nichtinformation der Betroffenen)?
3. Wie gedenkt das BM.I vorzugehen, wenn es - trotz derzeit allenfalls entgegenstehender Praxis - in Zukunft von einer Anwendbarkeit des DSG 2000 und somit von einer Informationsverpflichtung gegenüber den Betroffenen ausgeht?
4. Wenn ja, in wie vielen Fällen wurden seit Inkrafttreten der jüngsten SPG-Novelle am 1.1.2008 Daten nach § 53 Abs 3a SPG abgefragt und in wie vielen Fällen wurden die Betroffenen über die Datenabfrage informiert?
5. Binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen informiert?
6. Binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen in jenen Fällen informiert, in denen eine Information zunächst nach § 24 Abs 4 iVm § 17 Abs 3 Z 5 DSG 2000 unterblieben ist?
7. Binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen in jenen Fällen informiert, in denen der Ausnahmetatbestand des § 24 Abs 4 iVm § 17 Abs 3 Z 5 DSG 2000 nicht zur Anwendung ge-langt (da keine Vorbeugung, Verhinderung oder Verfolgung von Straftaten vorliegt, sondern z.B. Selbstmordgefahr)?
8. Welche Organisationseinheit(en) des BM.I ist (sind) für die Information der Betroffenen zuständig?
9. Auf welche Weise werden Betroffene informiert (schriftlich, fernmündlich, persönlich,...)?
10. Geht der Bundesminister davon aus, dass (auch) die übermittelnden Provider die Betroffenen zu informieren haben?
11. Falls nein, geht der Bundesminister davon aus, dass die übermittelnden Provider berechtigt sind, die Betroffenen zu informieren?
12. Falls nein, in welchen Fällen, auf welcher Rechtsgrundlage und mit welchen Konsequenzen soll den übermittelnden Providern nach Ansicht des Bundesministers die Information der Betroffenen untersagt sein?
13. Im Erlass des BMI vom 28.01.2008 zu GZ 94.762/101-GD/08 (nachfolgend kurz „Überwachungserlass") definiert der Bundesminister für Inneres, dass für die Annahme einer „konkrete Gefahrensituation" iSd § 53 Abs 3a SPG Tatsachen vorliegen müssen, „die den Verdacht einer sicherheitspolizeilich zu begegnenden Gefahr begründen oder erhärten." Das BMI geht offen-sichtlich davon aus, dass die Befugnisse des § 53 Abs. 3a im Zusammenhang mit jeder sicherheitspolizeilichen Aufgabe nach dem SPG den Behörden zur Verfügung stehen. Versteht daher der Bundesminister für Inneres jede Situation, die sicherheitsbehördliches Einschreiten rechtfertigt, gleichzeitig auch als „konkrete Gefahrensituation" iSd § 53 Abs 3a SPG ?
14. Was unterscheidet eine Gefahrensituation von einer konkreten Gefahrensituation?
15. In weichem Verhältnis steht nach Ansicht des BM.I die Annahme einer „konkreten Gefahrensituation" iSd § 53 Abs 3a zu den im SPG definierten Begriffen „allgemeine Gefahr" bzw. „gefährlicher Angriff' (§16 SPG) sowie „allgemeine Hilfeleistungspflicht" (§19 SPG); in welchem Verhältnis stehen all diese Begriffe zu der in § 17 Abs 3 Z 5 DSG 2000 gewählten Formulierung: „der Vorbeugung, Verhinderung, oder Verfolgung von Straftaten [...]"?
16. BetreiberInnen/AnbieterInnen haften nach den Bestimmungen des DSG 2000 dafür, dass Übermittlungen von Daten nur erfolgen, wenn und soweit der/die Empfängerin seine/ihre ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und durch den Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden. Wie wird sichergestellt, dass Anfragen an die BetreiberInnen/AnbieterInnen in derart substantiierten Form erfolgen, dass diese die Übermittlung der betreffenden Daten im Einklang mit den Bestimmungen des DSG 2000 (insb. § 7 Abs 2 DSG 2000) vornehmen können und somit keine haftungs-rechtlichen Folgen zu erwarten haben?
17. Gemäß § 91b Abs 3 SPG hat der Bundesminister für Inneres dem Rechtschutzbeauftragten die „notwendigen Personal- und Sacherfordernisse" zur Verfügung zu stellen.
18. Wie viel zusätzliches Personal bzw. wie viel zusätzliche Sachunterstützung wurde dem Rechtsschutzbeauftragten zur Bewältigung der mit Inkrafttreten der SPG- Novelle zusätzlich zu bewältigenden Aufgaben mit Jahresbeginn zur Verfügung gestellt?
19. Nimmt der Rechtsschutzbeauftragte wahr, dass durch die Verwendung personenbezogener Daten Rechte von Betroffenen verletzt wurden, die von der jeweiligen Datenanwendung keine Kenntnis hatten, so ist er gemäß § 91d Abs 3 SPG zu deren Information bzw. zur Erhebung einer Beschwerde an die Datenschutzkommission befugt. Überprüft der Rechtschutzbeauftragte in jedem der an ihn herangetragenen Fälle nach § 53a Z 2 und 3 SPG vollinhaltlich, ob iSd § 91d Abs 3 SPG Rechte von Betroffenen verletzt wurden?
20. In wie vielen Fällen wurde der Rechtsschutzbeauftragte bislang mit besagten Fällen befasst?
21. Inwieweit und in wie vielen Fällen machte der Rechtsschutzbeauftragte bisher von seiner Befugnis Gebrauch, Betroffene, deren Rechte verletzt wurden, nach § 91d Abs 3 SPG über diesen Umstand zu informieren?
22. In wie vielen Fällen entfiel gem. § 26 Abs 2 DSG 2000 eine derartige Information?
23. Binnen welcher Frist ab Abfrage bzw. Datenerfassung wird der Rechtsschutzbeauftragte informiert?
24. In wie vielen Fällen wurde eine nachträgliche Information des Rechtsschutzbeauftragten, wie sie im „Überwachungserlass" gem. III.4. letzter Absatz ausdrücklich angeordnet wird, zwischenzeitlich vorgenommen?
25. In Hinkunft müssen BetreiberInnen/AnbieterInnen gemäß § 53 Abs 3b SPG, wenn aufgrund bestimmter Tatsachen anzunehmen ist, dass eine „gegenwärtige Gefahr für das Leben oder die Gesundheit eines Menschen besteht", welche die Sicherheitsbehörden berechtigt, Hilfestellung bzw. Abwehr zu leisten, Standortdaten eines Mobiltelefons auch dann bekannt geben, wenn - so die Materialien zum SPG - zuvor kein Notruf der hilfsbedürftigen Person bei BetreiberInnen eines Notrufdienstes eingelangt ist (vgl. § 98 TKG 2003). Findet in der Praxis § 24 DSG 2000 dahingehend Anwendung, dass Betroffene von Abfragen iSd § 53 Abs 3b SPG informiert werden?
26. Wenn nein, warum nicht (auf welcher Rechtsgrundlage beruht die Nichtinformation der Betroffenen)?
27. Wie gedenkt das BM.I vorzugehen, wenn es - trotz derzeit allenfalls entgegenstehender Praxis - in Zukunft von einer Anwendbarkeit des DSG 2000 und somit von einer Informationsverpflichtung gegenüber den Betroffenen ausgeht?
28. Wenn ja, in wie vielen Fällen wurden seit Inkrafttreten der jüngsten SPG-Novelle am 1.1.2008 Daten nach § 53b SPG abgefragt und in wie vielen Fällen wurden die Betroffenen über die Datenabfrage informiert?
29. Binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen informiert?
30. Welche Organisationseinheit(en) des BM.I ist (sind) für die Information der Betroffenen zuständig?
31. Auf welche Weise werden Betroffene informiert (schriftlich, fernmündlich, persönlich,...)?
32. Geht der Bundesminister davon aus, dass (auch) die übermittelnden Provider die Betroffenen zu informieren haben?
33. Falls nein, geht der Bundesminister davon aus, dass die übermittelnden Provider berechtigt sind, die Betroffenen zu informieren?
34. Falls nein, in welchen Fällen, auf welcher Rechtsgrundlage und mit welchen Konsequenzen soll den übermittelnden Providern nach Ansicht des Bundesministers die Information der Betroffenen untersagt sein?
35. § 53 Abs 3b SPG ermächtigt ausdrücklich nur zur Abfrage der Standortdaten sowie der internationalen Mobilteilnehmerkennung (IMSI) in Bezug auf die vom „gefährdeten Menschen mitgeführte Endeinrichtung", also ausschließlich Daten des mutmaßlichen „Opfers". Geht der Bundesminister für Inneres davon aus, dass es auch bei Abfragen gem. § 53 Abs 3b SPG Fallkonstellationen gibt, bei denen eine Information der Betroffenen aufgrund des Ausnahmetatbestands des § 17 Abs. 3 Z 5 DSG 2000 unterbleibt?
36. Wenn ja, was für eine Situation ist für den Bundesminister vorstellbar, in der eine Ausnahme der Informationspflicht gegenüber dem Opfer einer Straftat „zur Verwirklichung des Zweckes der Datenanwendung notwendig ist" (§17 DSG 2000, letzter Satz).?
37. Wenn ja, von welcher den Ermittlungszweck gefährdenden Informationsweise geht das BM.I dabei aus (z.B. Informations-SMS an das Opfer, das gerade im Keller seines Entführers sitzt)?
38. Wenn ja, binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen in jenen Fällen informiert, in denen eine Information zunächst nach § 24 Abs 4 iVm § 17 Abs 3 Z 5 DSG 2000 unterblieben ist?
39. Binnen welchen Zeitraums ab Abfrage/Übermittlung der Daten werden die Betroffenen in jenen Fällen informiert, in denen der Ausnahmetatbestand des § 24 Abs 4 iVm § 17 Abs 3 Z 5 DSG 2000 nicht zur Anwendung gelangt (da keine Vorbeugung, Verhinderung oder Verfolgung von Straftaten vorliegt, sondern z.B. Selbstmordgefahr)?
40. In wie vielen Fällen wurden seit Inkrafttreten der jüngsten SPG-Novelle am 1.1.2008 Daten nach § 53 Abs 3b SPG abgefragt und in wie vielen Fällen wurden die Betroffenen über die Datenabfrage informiert?
41. § 53 Abs 3b SPG ermächtigt die Sicherheitsbehörden weiters auch zum Einsatz technischer Mittel zur Lokalisierung der gefährdeten Person (sog. IMSI-Catcher). Ausgehend vom Umstand, dass im Fall der Verschüttung eines Wintersportlers unter einer Lawine nur sehr wenig Zeit zu dessen Rettung verbleibt, wie wird sichergestellt, dass der IMSI-Catcher - ein Gerät von der Größe eines mittleren Kühlschranks, das zudem in der Regel wohl nicht in räumlicher Nähe zum Einsatz stationiert ist - seiner bestimmungsgemäßen Verwendung iSd SPG zugeführt werden kann und somit unmittelbar nach Bekanntwerden der Verschüttung einer Person (etwa in Tirol) an die Unglückstelle verbracht und dort zum Einsatz gebracht werden kann?
42. Erachtet das BM.I das Gerät - insbesondere angesichts seiner Unhand-lichkeit -als zur Rettung von Lawinenopfern geeignet?
43. Gemäß § 53a Abs. 2 dürfen Sicherheitsbehörden für die Abwehr krimineller Verbindungen oder gefährlicher Angriffe sowie zur Vorbeugung gefährlicher Angriffe Daten u.a. zu Verdächtigen, zu (potentiellen) Opfern, zu Zeugen so-wie zu Kontakt- und Begleitpersonen mittels operativer und strategischer Ana-lyse verarbeiten. Ist der Begriff des „Verdächtigen" nach § 53a Abs 2 SPG ident mit jenem des § 22 Abs 3 SPG ?
44. Wenn nein, worin unterscheidet er sich und kommt § 53a Abs 2 SPG zur Anwendung, noch bevor eine Person iSd § 22 Abs 3 verdächtig ist.
45. Wenn ja, in welcher Form und durch wen (welche Organisationseinheit des BMI) werden die Betroffenen informiert?
46. Wie wird sichergestellt, dass die Daten gelöscht werden, wenn die StA von einer weiteren Verfolgung Abstand nimmt/ der/die Betroffene rechtskräftig freigesprochen wird/ wenn die StPO nicht zur Anwendung kommt?
47. Soweit die Datenanwendung nicht im Rahmen eines Informationsverbundssystems (§ 53a Abs 5 und 6) geführt wird, nach Ablauf welcher Frist sind die Daten in Ansehung von
48. Verdächtigen
49. Opfern
50. Zeugen
51. Kontakt - und Begleitpersonen
52. zu löschen?
53. Handelt es sich hierbei um eine Höchstspeicherfrist, sodass die Daten bei Entfall des Speicherungszweckes auch schon früher gelöscht werden können?
54. Wer entscheidet in diesem Fall über den Entfall des Speicherungszweckes?
55. Werden die Betroffenen (Verdächtigte, Opfer, Zeugen,...) über die Tatsache der Datenerfassung und den Umstand der weiteren Verwendung informiert?
56. Wenn nein, auf welcher rechtlichen Grundlage beruht das Unterlassen der Information?
57. Welche Möglichkeiten haben die Betroffenen, sich gegen eine Speicherung als Verdächtiger im Falle eines unzutreffenden Verdachts (rechtlich) zur Wehr zu setzen?
58. § 58d SPG sieht die Errichtung einer zentralen Analysedatei bzw. eines Informationsverbundsystems im Zusammenhang mit bestimmten Straftaten vor. Welches Maß an Begehungswahrscheinlichkeit muss vorliegen, damit eine Person als Verdächtigter in das System aufgenommen wird?
59. Werden die Betroffenen (Verdächtigte, Opfer, Zeugen,...) über die Tatsache der Datenerfassung und den Umstand der weiteren Verwendung informiert?
60. Wenn nein: Auf welcher rechtlichen Grundlage fußt das Unterlassen der Information?
61. Welche Möglichkeiten haben die Betroffenen, sich gegen eine Speicherung als Verdächtiger im Falle eines unzutreffenden Verdachts (rechtlich) zur Wehr zu setzen?
62. Welche Möglichkeiten haben Verdächtigte als Betroffenen sowie die weiteren Betroffenen von ihrem Recht auf Richtigstellung oder Löschung Gebrauch zu machen?
63. Gemäß § 58d Abs 3 sind die Daten von Verdächtigen nach längstens nach 30 Jahren, Daten von Opfern nach längstens 20 Jahren zu löschen. Offenkundig handelt es sich bei diesen Fristen um Höchstfristen. Unter welchen Umständen und aufgrund welcher rechtlichen Grundlage (welcher gesetzlichen Bestimmung) ist daher im Einklang mit besagter Bestimmung des SPG eine Löschung vor Ablauf der Höchstfrist möglich bzw. geboten?
64. Handelt es sich hierbei nach Auffassung des BMI um eine Löschungsmöglichkeit oder Löschungspflicht?
65. Wer entscheidet konkret darüber, ob eine Löschung vor Ablauf der Höchstfrist erfolgt?
66. Nach welchen (rechtlichen) Kriterien wird entschieden, ob Daten vor Verstreichen der Höchstfrist zu löschen sind?
67. Werden Betroffene nach Löschung über das Faktum der vorausgegangenen Datenverwendung informiert?
68. Werden Betroffenen über das Faktum der Datenlöschung informiert?
69. Wenn nein, auf welche rechtliche Grundlage ist die Nichtinformation der Betroffenen gegründet?
70. Wenn ja, auf welche rechtliche Grundlage gründet sich die Information der Betroffenen?
71. Gemäß § 59 Abs 3 sind in Ansehung von übermittelten personenbezogenen Daten, welche sich im Nachhinein als unvollständig oder unrichtig erweisen, die Richtigstellung oder Aktualisierung in allen Auskünften, „die nach der Richtigstellung oder Aktualisierung erfolgen", zu kennzeichnen. Da zuvor hinsichtlich konkreter Personen unrichtige Daten übermittelt wurden und die Aktualisierung und Richtigstellung nur für alle künftigen Auskünfte wirkt, wie wird sichergestellt, dass die Empfänger der unrichtigen Information über die Tatsache der Unrichtigkeit im Interesse des Betroffenen in Kenntnis gesetzt werden?