1673/AB XXIII. GP
Eingelangt am 18.12.2007
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
BM für Verkehr, Innovation und Technologie
Anfragebeantwortung
GZ. BMVIT-12.000/0024-I/PR3/2007 DVR:0000175
Präsidentin des Nationalrates
Mag. Barbara Prammer
Parlament
1017 W i e n
Sehr geehrte Frau Präsidentin!
Die schriftliche parlamentarische Anfrage Nr. 1715/J-NR/2007 betreffend Data Mining bei der Vorratsdatenspeicherung – ETSI Standards?, die die Abgeordneten Mag. Johann Maier und GenossInnen am 30. Oktober 2007 an mich gerichtet haben, beehre ich mich wie folgt zu beantworten:
Allgemeines:
Die gegenständliche Anfrage bezieht sich auf einen Teilbereich der Normung im Telekommunikationswesen. Zum besseren Verständnis des Hintergrundes der Anfrage und auch der Antworten zu den einzelnen Fragen wird zunächst in einer kurzen Hintergrundinformation die Gestaltung der Normenlandschaft in der Telekommunikation dargestellt.
Das Europäische Normungsinstitut für Telekommunikationsnormen (European Technical Standards Institut) wurde 1988 von der Konferenz der Europäischen Post- und Telekom-Verwaltungen (CEPT) gegründet mit dem Ziel, dass in Zukunft nicht mehr nur die Verwaltungen, sondern auch die Industrie, die Netzbetreiber und die Diensteanbieter gleichermaßen am Normungsprozess teilnehmen sollen. Entsprechend seiner Mitgliederstruktur ist die Arbeitsweise des Instituts nachfrageorientiert, dh., es erarbeitet Standards und Normen entsprechend den Bedürfnissen seiner Mitglieder - im Unterschied zu seiner als Behörde organisierten Vorgängerorganisation, die Vorschriften aufstellte, an die sich die betroffenen Behörden und Unternehmen dann zu halten hatten.
ETSI ist sachbezogen in Technischen Komitees (TC's) gegliedert. Derzeit sind mehr als zwanzig solcher Technischen Komitees aktiv.
Wichtige Standards, die von ETSI entwickelt wurden, sind zum Beispiel GSM 900 und GSM 1800, Digital Enhanced Cordless Telecommunications (DECT), NGN (Next Generation Network).
Die Normungsarbeit in ETSI ist in Technical Committees (ETSI TC) organisiert.
Die Entwicklung der GSM Standards war nicht nur ein europäischer sondern nach und nach auch ein weltweiter Erfolg. Die weitere Entwicklung der Mobilfunkgeräte der nunmehr dritten Generation wurde deshalb nicht mehr von einer europäischen Normungsinstitution in Angriff genommen, sondern es wurde für diesen Bereich eine neue Organisation 3GPP gegründet, um eine weltweite Akzeptanz für die Normen zu erreichen.
Das 3rd Generation Partnership Project (3GPP)
ist eine weltweite Kooperation von
Standardisierungsgremien für die
Standardisierung im Mobilfunk; konkret für UMTS. 3GPP wurde am 4. Dezember
1998 von fünf so genannten „Organizational Partners"
gegründet. Über diese Organizational
Partners sind weltweit die
Mobilfunknetzbetreiber, -hersteller und -regulierungsbehörden organisiert.
Ziel der Standardisierungsarbeit ist die Erstellung von technischen Spezifikationen (TS), die alle Aspekte der Mobilfunktechnik so präzise beschreiben, dass die Mobilgeräte aller Hersteller in allen Mobilfunknetzen fehlerfrei funktionieren.
Die Standardisierungsarbeit geschieht in sogenannten TSGs (Technical Standardisation Groups). Es gibt folgende TSGs:
TSG SA (= Services and Architecture)
TSG CT (= Core Network & Terminals)
TSG GERAN (= GSM EDGE Radio Access Network)
TSG RAN (= UMTS Radio Access Network)
Jede TSG hat wiederum mehrere WGs (Working Groups), in denen jeweils Teilgebiete der TSG-Aufgaben behandelt werden. Die WGs können Teilarbeitsbereiche an weitere Unterarbeitsgruppen delegieren.
Das BMVIT nimmt an diesem Prozess wegen der begrenzten budgetären und personellen Ressourcen nur teilweise (beobachtend) teil, da die Tagungen an Orten rund um den Globus stattfinden.
Im Rahmen von ETSI beschäftigt sich das „ETSI Technical Committee LI“ (ETSI TC LI) mit den technischen Standards, die „rechtmäßiges Abhören“ von Mobilfunk in GSM 900 und GSM 1800 Netzen ermöglichen.
Ein Ergebnis der Arbeiten dieses Komitees ist die Definition einer Datenschnittstelle (ETSI Standard ES 201.671 v 2.1.1), um die reibungslose Übergabe der rechtmäßig (in der Regel auf richterlichen Befehl) abgehörten Nachrichten von den Netzbetreibern an die Polizei- bzw. Justizbehörden (sog. Law Enforcement Agencies/LEA) sicherzustellen.
In Österreich ist dieser Standard in die „Überwachungsverordnung“ BGBl. II Nr. 418/2001 eingeflossen und gewährleistet so die „Überwachung einer Telekommunikation nach den Bestimmungen der StPO und den Schutz der zu übermittelten Daten gegen unbefugte Kenntnisnahme durch Dritte“ (§ 94 Abs.3 TKG 2003).
Damit wird auch die Aufteilung der Aufgaben bzw. die Zusammenarbeit der einzelnen Ressorts exemplarisch dargetan: In die Kompetenz des BMVIT fällt die Erarbeitung und Festlegung technischer Parameter, wie z.B. der Schnittstelle; die Fragen der Zulässigkeit der Nutzung dieser technischen Mittel sind jedoch von anderen Ressorts (BMJ bzw. BMI) zu beurteilen bzw. vom Gesetzgeber entsprechend festzulegen.
Mit der Richtlinie 2006/24/EG haben das Europäische Parlament und der Rat Vorschriften über die Vorratsdatenspeicherung erlassen (Richtlinie über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden). Diese Richtlinie ist von den Mitgliedstaaten in nationales Recht umzusetzen.
Das BMVIT hat in Zusammenarbeit mit dem BMJ eine entsprechende Novelle des TKG 2003 erarbeitet und ein Begutachtungsverfahren durchgeführt.
Das ETSI Technical Committee LI hat nach der Verabschiedung der Richtlinie 2006/24/EG sein Arbeitsprogramm (Terms of Reference) erweitert um auch das Thema Vorratsdatenspeicherung behandeln zu können; dies wird in der Anfrage zwar nicht unmittelbar thematisiert, soll der Vollständigkeit halber aber erwähnt werden.
Frage 1:
Sind Ihnen die im Einleitungstext zit. internen Dokumente des European Telecom Standards Institute (ETSI) bekannt?
Antwort:
Ja, eines davon ist im November 2007 als technische Spezifikation (TS) von ETSI veröffentlicht worden.
Frage 2:
Wenn ja, wie werden diese vorgeschlagenen Normen seitens des Ressorts beurteilt?
Antwort:
Die Spezifikationen bzw. Arbeitspapiere des ETSI sind keine konkreten Vorschläge, die sich unmittelbar an Staaten oder an Verwaltungen richten; sie beschreiben lediglich jene Möglichkeiten, wie bestimmte Geräte funktionieren können.
Frage 3:
Ist es richtig, dass beide Dokumente die Umsetzung der EU-Richtlinie zur Vorratsdatenspeicherung betreffen? Wenn nein, was dann?
Antwort:
Die Umsetzung der Richtlinie 2006/24/EG muss durch Gesetze, in diesem Fall durch eine Novelle des TKG 2003 erfolgen. Dies ist bislang noch nicht erfolgt. Erst wenn die rechtlichen Rahmenbedingungen geschaffen worden sind, kann über die Anwendung der jeweils geeigneten technischen Standards beraten und entschieden werden.
Frage 4:
Ist es richtig, dass die darin vorgesehenen technischen Normen flächendeckendes Data-Mining bei Telefonie-Verkehrsdaten vorsehen (Verbindungs- und Standortdaten), die im Zuge der Vorratsdatenspeicherung gesammelt werden? Wenn nein, wofür dann?
Antwort:
Aus der Definition von technischen Standards kann nicht auf die rechtliche Zulässigkeit des Einsatzes solcher Standards geschlossen werden. Die im Rahmen von ETSI entwickelten technischen Standards kommen in Staaten mit unterschiedlichen Rechtssystemen und unterschiedlichen gesetzlichen Vorgaben für die Überwachung des Telekommunikationsverkehrs zur Anwendung. Sie müssen daher entsprechend allgemein gehalten werden.
Schon heute werden Verbindungsdaten in Österreich auf richterlichem Befehl erhoben; wie dies technisch zu erfolgen hat, ist im Detail in der Überwachungsverordnung, BGBl. II Nr. 418/2001 geregelt; der Datenumfang sowie die weiteren Aspekte der konkreten Überwachung sind vom richterlichen Befehl festzulegen.
Frage 5:
Ist es richtig, dass es sich dabei um die technische Standardisierung von Data-Mining in den Verkehrsdaten aller Telefonieteilnehmer handelt?
Antwort:
Auch hier gilt, dass aus der Definition von technischen Standards nicht auf die rechtliche Zulässigkeit des Einsatzes solcher Standards geschlossen werden kann. Die im Rahmen von ETSI entwickelten technischen Standards kommen in Staaten mit unterschiedlichen Rechtssystemen und unterschiedlichen gesetzlichen Vorgaben für die Überwachung des Telekommunikationsverkehrs zur Anwendung. Sie müssen daher entsprechend allgemein gehalten werden.
Die Richtlinie 2006/24/EG umfasst die Verkehrsdaten von Telefonieteilnehmern und auch von Datendiensten; hier ist nur ein zeitlich gestaffeltes In-Kraft-Treten vorgesehen. Der in der Richtlinie verwendete Begriff „retained data“ kennt keine Einschränkung auf Telefonieteilnehmer. Über richterlichen Auftrag sind alle Vermittlungsdaten herauszugeben.
Fragen 6 bis 9:
Wie beurteilen Sie rechtlich die Suchmöglichkeiten mit „Wildcards“ über den gesamten Datenbestand der gespeicherten Telekommunikationsverkehrsdaten?
Sehen sie eine potentielle Missbrauchsgefahr beim Einsatz von Wildcards?
Sind sie auch der Auffassung, dass eine derartige Vorgangsweise (d.h. Datamining in dieser Form) illegal ist, der EMRK, der österreichischen Bundesverfassung, dem DSG und dem TKG widerspricht?
In welchen EU-Mitgliedsstaaten wäre zur Zeit diese Vorgangsweise legal und rechtlich möglich?
Antwort:
Die Beantwortung dieser Frage fällt im Hinblick auf das Erfordernis eines richterlichen Befehls in den Zuständigkeitsbereich des Bundesministeriums für Justiz.
Frage 10:
Ist es richtig, dass in ETSI-Dokumenten nationale Regelungen als die Ausnahme von der geplanten ETSI-Norm definiert werden? Wenn ja, was bedeutet dies?
Antwort:
In den ETSI Arbeitspapieren werden keine nationalstaatlichen Regelungen definiert. ETSI-Normen sind technische Standards. Jeder Staat behält sein souveränes Recht, den Einsatz dieser Standards in seinem Hoheitsgebiet zu regeln.
Fragen 11 und 12:
Wer sind die Mitglieder in dieser ETSI-Arbeitsgruppe, die diese beiden internen Dokumente erarbeitet haben?
Wie beurteilen Sie die offensichtlichen Verbindungen zwischen diesem Normierungsgremium und den beiden internen Dokumenten mit der internationalen Geheimdienstszene und Sicherheitsunternehmen?
Antwort:
Teilnehmer an den Sitzungen der ETSI-Arbeitsgruppe sind Vertreter der Verwaltungsbehörden sowie Vertreter der Netzbetreiber und der TK-Industrie.
Welche Aufgaben die Sitzungsteilnehmer in den von ihnen vertretenen Organisationen (Verwaltungsbehörden bzw. Unternehmungen) erfüllen, ist mir nicht bekannt.
Frage 13:
Ist es richtig, dass das Pflichtenheft vom Niederländischen Nachrichtendienst PIDS (Platform Interceptie, Decryptie en Signalanalyse) stammt? Wenn nein, von wem dann?
Antwort:
Arbeitspapiere werden nach den Regeln der ETSI im Konsens erarbeitet. Für jedes Arbeitspapier wird ein „Rapporteur“ benannt, dessen Aufgabe die redaktionelle Betrauung des Papiers ist. Im Übrigen verweise ich auf die Antwort zu den Fragen 11 und 12.
Frage 14:
Ist es richtig, dass beim Entwurf über technische Standards der britische Geheimdienst MI 5 mitgearbeitet hat? Wenn nein, von wem dann?
Antwort:
Als Vertreter von UK nehmen Mitarbeiter des Home Office (Innenministerium) und Mitarbeiter von BT (British Telecom) an den Sitzungen teil. Im Übrigen verweise ich auf die Antwort zu den Fragen 11 und 12.
Frage 15:
Wie viele Mitarbeiter der Geheimdienste arbeiten in diesem ETSI-Normungsgremium überhaupt mit?
Antwort:
Diese Frage betrifft keinen Gegenstand der Vollziehung gemäß Art. 52 B-VG. Im Übrigen verweise ich auf die Antwort zu den Fragen 11 und 12.
Frage 16:
Nach welchen Kriterien erfolgte überhaupt die Zusammensetzung dieses Gremiums? Wer ist darin vertreten?
Antwort:
Allen ETSI-Mitgliedern steht es frei, bei Arbeitsgruppen mitzuarbeiten. Im Übrigen betrifft diese Frage keinen Gegenstand der Vollziehung gemäß Art. 52 B-VG.
Frage 17:
Ist es richtig, dass auch ein Mitarbeiter des BMVIT Mitglied der Arbeitsgruppe 3GPP SA LI angehört und bei der Erstellung dieser Entwürfe eingebunden war?
Antwort:
Ein Mitarbeiter aus dem Bereich Post/Telekommunikation meines Ressorts nahm an Sitzungen einer Unterarbeitsgruppe (eine Arbeitsgruppe 3GPP SA LI existiert nicht) teil.
Frage 18:
Wenn ja, welche Positionen hat dieser in diesem Gremium vertreten?
Antwort:
Der Mitarbeiter hat die Position des Bundesministeriums für Verkehr, Innovation und Technologie vertreten, wie ich sie im allgemeinen Teil dargestellt habe. Insbesondere hat er darauf hingewiesen, dass die Richtlinie 2006/24/EG in Österreich noch nicht umgesetzt worden ist und die Anwendung der technischen Standards diese Umsetzung jedenfalls voraussetzt.
Frage 19:
Welchen Rechtscharakter soll diese zukünftige ETSI-Norm in der EU bzw. in Österreich bekommen?
Antwort:
Ob und in welcher Rechtsform die in Betracht kommenden technischen ETSI-Standards in Österreich umgesetzt werden, kann erst nach Umsetzung der Richtlinie 2006/24/EG in österreichisches Recht entschieden werden. Möglich wäre die Umsetzung in Form einer Verordnung, vergleichbar der Überwachungsverordnung.
Frage 20:
Wie werden Sie in Österreich die Einhaltung von europäischem und österreichischem Recht bei Verabschiedung des nun im Entwurf vorliegenden Pflichtenheftes und den davon abgeleiteten technischen Standards sicherstellen?
Antwort:
Die Arbeitspapiere werden erst durch einen konkreten Rechtsakt anwendbar. Solange ein solcher noch nicht erlassen ist, und bis heute gibt es keine solche Rechtsnorm, sind die technischen Spezifikationen nicht anwendbar.
Wie bereits mehrfach erwähnt (siehe insbesondere Antwort zu Frage 19), ist zunächst die EU-Richtlinie über Vorratsdatenspeicherung, RL 2006/24/EU, in österreichisches Recht umzusetzen. Erst danach können die rechtlichen Rahmenbedingungen für die Anwendung der technischen Spezifikationen bzw. Möglichkeiten beraten und festgelegt und kann deren Einsatz normiert werden.
Ich danke den Abgeordneten für das Aufzeigen von ergänzenden Fragen des Datenschutzes und der Rechtssicherheit in Verbindung mit der Umsetzung der Richtlinie 2006/24/EG. Ich werde mich dafür einsetzen, dass ihre Bedenken im Rahmen der mit der Umsetzung verbundenen Diskussionsprozesse entsprechende Aufmerksamkeit erfahren.
Mit freundlichen Grüßen
Werner Faymann