Datenschutz

1) Anfragen von Verwaltungsbehörden

Betreiber von Kommunikationsdiensten sind gemäß § 90 Abs. 6 TKG verpflichtet, Verwaltungsbehörden auf deren schriftliches und begründetes Verlangen Auskunft über Stammdaten zu geben, die in Verdacht stehen, durch eine über ein öffentliches Telekommunikationsnetz gesetzte Handlung eine Verwaltungsübertretung begangen zu haben.

2) Anfragen von Sicherheitsbehörden

Sicherheitsbehörden können über Punkt 1) hinaus von Betreibern von Kommunikationsdiensten gemäß § 53 Abs. 3a SPG folgende Daten verlangen:

• Name, Anschrift und Teilnehmernummer eines bestimmten Anschlusses,
• Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung sowie
• Name und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war

Voraussetzung ist, dass bestimmte Tatsachen die Annahme einer konkreten Gefahrensituation rechtfertigen und dass die abgefragten Daten von den Sicherheitsbehörden als eine wesentliche Voraussetzung für deren Aufgabenerfüllung benötigt werden.

Die Annahme einer konkreten Gefahrensituation ist auf jeden Fall dann gerechtfertigt, wenn der bezeichnete Zeitpunkt nicht länger als 48 Stunden zurück liegt. Jede Anfrage, die über diesen zeitlichen Rahmen hinausgeht muss ausführlich begründet werden.

Das Bundesministerium für Inneres (BMI) hat zur Konkretisierung der Regelung einen herausgegeben, der zur „konkreten Gefahrensituation“ ausführt, dass diese dabei nicht mit einer „gegenwärtigen Gefahr“ im Sinne des § 53 Abs. 3b SPG gleichzusetzen ist, sondern Tatsachen vorliegen müssen, die den Verdacht einer sicherheitspolizeilich zu begegnenden Gefahr begründen oder erhärten. Solche Tatsachen können erfolgte Anzeigen oder Hinweise sein, aufgrund derer zulässigerweise auf das Vorhandensein einer sicherheitspolizeilichen Aufgabe geschlossen werden kann, zum Beispiel die erste allgemeine Hilfeleistung nach erfolgter Selbstmordankündigung in einem Internet-Forum oder die Notwendigkeit der Gefahrenerforschung oder Gefahrenabwehr nach Hinweisen auf mögliches Vorliegen eines gefährlichen Angriffes.

Nach diesem Erlass dürfen nur folgende Stellen Anfragen an die Unternehmen stellen:

• die 9 Landeskriminalämter (LKA)
• Bundeskriminalamt
• Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT)
• Büro für interne Angelegenheiten (BIA)

Als zusätzliches Erfordernis sieht der Erlass vor, dass die Anfragen nach dem vomBMI vorgegebenen Formblatt prinzipiell per Fax gestellt werden müssen. Das Formblatt hat folgende Informationen zu enthalten:

• Rechtsgrundlage: Absatz 3a, Ziffer 1, 2 oder 3 bzw. 2.Satz
• gewünschte Art der Auskunftserteilung: Fax, E-Mail oder telefonisch
• die der Sicherheitsbehörde bekannten Anfragekriterien: Name, Anschrift, Teilnehmernummer, Zeitraum und passive Teilnehmernummer des Gesprächs, Informationen zu einer bestimmten Nachricht im Internet, IP-Adresse und bestimmter Zeitpunkt der Übermittlung (inkl. Zeitzone); Dokumentation im Fall von Absatz 3b (Anführen der SPG-Auskunftspflicht) und Umfang des Auskunftsbegehrens: Name, Anschrift, Teilnehmernummer, IP-Adresse zur Nachricht und Zeitpunkt der Übermittlung (inkl. Zeitzone), Standortdaten, Internationale Mobilkundenkennung (IMSI).

3) Anfragen der Staatsanwaltschaften und der Gerichte

1. Netzbetreiber müssen gemäß § 18 Abs 2 ECG aufgrund der Anordnung eines dazu gesetzlich befugten inländischen Gerichtes diesem alle Informationen übermitteln, an Hand derer die Nutzer ihres Dienstes zur Verhütung, Ermittlung, Aufklärung oder Verfolgung gerichtlich strafbarer Handlungen ermittelt werden können.
   
2. Nach § 138 Abs 2 StPO müssen Anbieter „Auskunft über Daten einer Nachrichtenübermittlung“ (§ 134 Z 2 StPO) erteilen und an einer Überwachung von Nachrichten (§ 134 Z 3 StPO) mitwirken.
   
   Diese Verpflichtung, Auskunft über Daten einer Nachrichtenübermittlung zu erteilen und an einer Überwachung mitzuwirken und der Umfang der Verpflichtung, sowie die allfällige Verpflichtung, mit der Anordnung und Bewilligung verbundene Tatsachen und Vorgänge gegenüber Dritten geheim zu halten, hat die Staatsanwaltschaft dem Anbieter mit einer gesonderten Anordnung aufzutragen. Diese Anordnung hat eine entsprechende gerichtliche Bewilligung anzuführen. 
   
3. In § 103 Abs 4 TKG 2003 ist die Beauskunftung von Stammdaten anhand von Teilnehmerverzeichnissen geregelt. Problematisch sind hier Anfragen nach Stammdaten unter Vorlage einer dynamischen IP-Adresse. Diese wurden in der jüngeren höchstgerichtlichen Judikatur zwar als Verkehrsdatum qualifiziert, dennoch berufen sich manche Staatsanwaltschaften auf eine Entscheidung des Landesgerichts Wien, das diese Rechtsprechung ignoriert. 
   
   Grundsätzlich vertritt der FV TKR die Auffassung, dass in solchen Fällen nicht zu beauskunften ist. Werden jedoch Zwangsmittel  zur Durchsetzung angedroht, empfehlen wir zur Abwendung der Zwangsmittel die Durchführung der Beauskunftung, jedoch verbunden mit einem Einspruch wegen Rechtsverletzung nach § 106 StPO und einer gleichzeitigen Wahrungsbeschwerde gerichtet an die Generalprokuratur.

4) Anfragen von Privatpersonen

Auf § 87b UrhG gestützte Anfragen dürfen regelmäßig nicht beauskunftet werden, wenn dazu Verkehrsdaten verarbeitet werden müssen.

In der Praxis hatten Verwertungsgesellschaften vorgerichtlich sog. File-Sharing-Angebote im Internet überprüft und die dynamischen IP-Adressen von Nutzern ermittelt, die Musikdateien zum Herunterladen zur Verfügung stellten. Mit diesen IP-Adressen traten sie an Access-Provider heran und forderten Auskunft darüber, wem diese IP-Adressen zugeordnet waren. Sie beriefen sich dabei auf das Auskunftsrecht gegenüber Vermittlern gemäß § 87b Abs. 3 UrhG. Die Provider verweigerten die Auskunft und im folgenden Rechtsstreit legte der OGH schließlich dem EuGH die Frage vor, ob Access-Provider Vermittler seien.

Der EuGH (Entscheidung vom 19. Februar 2009, LSG/Tele2, C-557/07) hat entschieden, dass die Mitgliedsstaaten grundsätzlich eine Verpflichtung zur Weitergabe personenbezogener Verkehrsdaten an Dritte zum Zweck der zivilgerichtlichen Verfolgung von Urheberrechtsverstößen vorsehen können. Die Mitgliedsstaaten sind jedoch im konkreten Fall verpflichtet die nationale Regelung so zu gestalten, dass die beteiligten Grundrechte miteinander in Einklang gebracht werden können. Die Behörden und Gerichte der Mitgliedsstaaten sind bei der Anwendung dieser Regelung verpflichtet, nationales Recht im Einklang mit den europarechtlichen Vorgaben auszulegen. Gleichzeitig dürfen sie keine Auslegung vornehmen, die im Widerspruch zu den allgemeinen Grundsätzen des Gemeinschaftsrechts, wie etwa dem Grundsatz der Verhältnismäßigkeit, steht.

Der Oberste Gerichtshof (OGH-Entscheidung vom 14.7.2009, 4 Ob 41/09x) hat nach den Maßgaben des EuGH entschieden und ist zu dem Schluss gekommen, dass Accessprovider nicht verpflichtet sind, Daten von Nutzern, die in Verdacht stehen, Urheberrechtsverletzungen begangen zu haben, herauszugeben.

Dies deshalb, weil die Auskunft nur unter Verarbeitung von Verkehrsdaten erfolgen kann, was nach der derzeitigen Rechtslage aber für diesen Fall nicht zulässig ist. Dynamische IP-Adressen qualifiziert der OGH dabei nun als Verkehrsdaten (so zuvor schon EuGH, VfGH und Datenschutzkommission), die nur für bestimmte und in § 99 TKG abschließend aufgezählte Zwecke (z.B. Verrechnungszwecke) verarbeitet werden dürfen. Ansonsten sind die Provider verpflichtet, die Daten zu löschen und dürfen keine Auskunft unter Verarbeitung dieser Daten geben, selbst wenn sie (rechtswidrig) der Löschungsverpflichtung nicht nachgekommen sind. Allein aus dem Auskunftsanspruch aus § 87b Abs. 3 UrhG folgt jedenfalls keine Pflicht oder bloße Erlaubnis, die Daten für diesen Zweck zu speichern. Dadurch hat der OGH einer immer wieder vernommenen Rechtsansicht, dass der Auskunftsanspruch des § 87b Abs. 3 UrhG auch eine Speicherpflicht von Verkehrsdaten impliziert (entgegen des Wortlauts des § 99 TKG), ebenfalls eine Abfuhr erteilt und den Normenkonflikt (Auskunftspflicht vs. Speicherverbot) mittels Rückgriff auf das höherrangige Gemeinschaftsrecht (DatenschutzRL elektronische Kommunikation) gelöst.

5) Anfragen von Verbänden

Gemäß § 14a UWG haben bestimmte Verbände gegenüber Telekommunikationsdiensteanbietern in Bezug auf Name und Anschrift von Kunden einen Auskunftsanspruch. Auskunftsberechtigt sind klagbefugte Einrichtungen nach dem UWG (Arbeiterkammer, WKO, Präsidentenkonferenz der Landwirtschaftskammer Österreichs, ÖGB, BWB, VKI) und der Schutzverband gegen unlauteren Wettbewerb.

Wenn Sie Zweifel haben, ob Sie eine Auskunft erteilen müssen und dürfen, stehen wir für eine Prüfung des Einzelfalls gerne zur Verfügung.