Vorratsdaten: Nicht alle Mails werden erfasst
Heute tritt die Vorratsdatenspeicherung in Kraft. Aber welche E-Mail-Daten werden erfasst? Müssen auch Google und GMX unseren Mailverkehr speichern? Oder muss die Telekom aufzeichnen, wann wir mit wem via Google kommunizieren?
Auf diese Fragen habe ich von der Telekom Austria folgende juristische Antwort bekommen und möchte diese zitieren:
“Der dritte Dienst, der eine Speicherpflicht begründet, ist ein “E-Mail-Dienst”. Dieser wird in § 92 Abs 3 Z 15 TKG nF definiert als ein “Kommunikationsdienst im Sinne von § 3 Z 9 [TKG], welcher den Versand und die Zustellung von E-Mails auf Basis des ,Simple Mail Transfer Protocol’ (SMTP) umfasst”. Dies erscheint widersprüchlich, da es sich bei einem klassischen Mail-Service auf Basis von SMTP gerade um keinen Kommunikationsdienst iSd § 3 Z 9 TKG handelt: Ein Kommunikationsdienst ist gem leg cit eine gewerbliche Dienstleistung, die “ganz oder überwiegend in der Übertragung von Signalen über Kommunikationsnetze besteht”. Die “Übertragung von Signalen” ist hierbei von der Initiierung einer solchen Übertragung zu differenzieren. Ein Beispiel aus der physischen Welt hilft dies zu illustrieren: Jemand, der einen Brief versendet, besorgt die Übertragung des Briefes nicht selbst, er initiiert diese bloß. Gleichfalls besorgt ein Anbieter eines Mail-Service (oder eines sonstigen über das Internet angebotenen Dienstes) die “Übertragung von Signalen” nicht selbst, sondern bedient sich zu diesem Zweck eines Internet-Access-Providers, der nach entsprechender Initiierung die Signalübertragung besorgt.
Die Definition des Begriffes “E-Mail-Dienst” in § 92 Abs 3 Z 15 TKG nF ist daher so auszulegen, dass ein solcher Dienst” nur dann vorliegt, wenn der Anbieter gleichzeitig als Internet-Access-Provider (Anbieter eines Kommunikationsdienstes) und als Mail-Service-Provider fungiert. Denn nur in diesem Fall besorgt der Anbieter sowohl den Versand bzw die Zustellung von E-Mails auf Basis von SMTP als auch die “Übertragung von Signalen” (§ 3 Z 9 TKG). Ein “E-Mail-Dienst” wird daher jedenfalls erbracht, wenn über den von einem Internet-Access-Provider bereitgestellten Internetzugang E-Mails über den Mail-Server desselben Internet-Access-Providers per SMTP versendet werden. Umgekehrt wird zweifellos kein “E-Mail-Dienst” erbracht, wenn der Mail-Server eines anderen Providers verwendet wird (zB Gmail).
Dieser willkürlich anmutenden Differenzierung liegt der Gedanke zugrunde, dass es für einen Internet-Access-Provider ungleich aufwändiger wäre, die Verkehrsdaten von E-Mails zu erfassen, die nicht über seine Mail-Server versendet werden, weil er zu diesem Zweck den Datenverkehr von und zu fremden Mail-Servern, der sonst bloß weitergeleitet wird, einer “Deep Packet Inspection” unterziehen müsste. Die Verkehrsdaten von E-Mails, die über den eigenen Mail-Server übertragen werden, müssen hingegen ohnedies zu Zwecken der weiteren Behandlung nicht bloß verarbeitet, sondern interpretiert (dh abhängig von ihrem “Inhalt” unterschiedlich verarbeitet) werden.
Die österreichische Umsetzung der VDS-RL sieht im Ergebnis daher nur dann eine Speicherpflicht vor, wenn die betreffenden Daten vom Provider erzeugt oder interpretiert wurden. Dies weicht von den Vorgaben der VDS-RL ab, die von “erzeugt oder verarbeitet” spricht, wobei “verarbeitet” gem Art 2 Abs 1 leg cit iVm Art 2 lit b Datenschutz-RL denkbar weit gefasst ist und jedenfalls auch den “Inhalts-blinden” Transport von Datenpaketen zwischen einem Nutzer und einem fremden Mail-Server erfasst.
In weiterer Konsequenz führt die angesprochene Differenzierung aber auch zu weniger nachvollziehbaren Ergebnissen: Ein “E-Mail-Dienst” wird dann nicht erbracht, wenn der Provider, dessen Mail-Server verwendet wird, zwar grundsätzlich auch als Internet-Access-Provider fungiert, dies jedoch mangels entsprechender Vereinbarung gegenüber dem konkreten Nutzer nicht tut (zB ein Nutzer verwendet die Mail-Services der A1 Telekom Austria, hat aber seinen Internet-Zugang bei UPC).
Bedeutend schwieriger gestaltet sich die Beurteilung des Falles, dass der Nutzer den Provider zwar grundsätzlich sowohl als Internet-Access- als auch als Mail-Service-Provider in Anspruch nimmt, im Einzelfall aber E-Mails nicht von zu Hause, sondern vom Büro – und damit von einem anderen Internet-Access-Provider aus – verschickt. Der in Bezug auf diese konkrete E-Mail vom Mail-Service-Provider erbrachte Dienst müsste richtigerweise als sonstiger Dienst der Informationsgesellschaft und nicht als Kommunikationsdienst und daher auch nicht als “E-Mail-Dienst” beurteilt werden.
Weiters führt auch die Einschränkung auf jene Dienste, die auf Basis von SMTP erbracht werden, zu interessanten Ergebnissen: Verwendet ein Nutzer Webmail (dh HTTP statt SMTP), um über den Mail-Server seines Internet-Access-Providers eine E-Mail an eine vom selben Provider gehostete E-Mail-Adresse zu senden, so erfolgt dies oft ohne die Verwendung von SMTP, da keine Netzwerkverbindung zu einem anderen Server aufgebaut werden muss. Diesfalls liegt schon begrifflich kein “E-Mail” iSd § 92 Abs 3 Z 12 TKG nF vor, da die elektronische Post nicht auf Basis von SMTP versendet wurde.
Aus der Definition von “E-Mail-Dienst” als SMTP-basierter Dienst ergibt sich auch, dass das Abrufen von E-Mails keine Speicherpflicht begründet, da dies per POP3, IMAP (FN 29) oder Webmail, nicht aber per SMTP erfolgt.
Anbieter von E-Mail-Diensten haben gemäß § 102a Abs 4 TKG nF folgende Daten zu speichern: Teilnehmerkennung, Name und Anschrift des Teilnehmers, dem eine E-Mail-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, bei Versenden einer E-Mail die E-Mail-Adresse und die öffentliche IP-Adresse des Absenders sowie die E-Mail-Adresse jedes Empfängers, bei der Zustellung einer E-Mail in ein elektronisches Postfach die E-Mail-Adresse des Absenders und des Empfängers der Nachricht sowie die öffentliche IP-Adresse der letztübermittelnden Kommunikationsnetzeinrichtung.”
Das ist also alles sehr kompliziert, aber es macht deutlich: Es werden wesentlich weniger E-Mail-Daten gespeichert, als anfangs gedacht. Der Grund ist eben auch, dass die totale Erfassung jeglicher E-Mail-Kommunikation eine extreme überwachungstechnische Herausforderung darstellt (Stichwort: Deep Packet Inspection). In der Praxis wird wohl nur ein Teil des tatsächlichen Mail-Verkehrs für den Staat aufgezeichnet werden.
Update: Wie Helge Fahrnberger richtig anmerkte, bedeutet dies aber auch, dass von manchen Usern sehr wohl alle E-Mails gespeichert werden – etwa wenn diese als Telekom-Kunden via A1-Adresse kommunizieren.
Weitere Meinungen, Interpretationen dieser juristischen Stellungnahme, Kommentare sind erwünscht!
View Comments
Drinking water throughout your day helps you to prevent disease,
your optimal weight, as it dieting is so hard should.
For the study, Gardner and his colleagues looked at data from 300 overweight
or obese, advise people that cutting calories by a certain amount of fat to be
healthier. That is something to think about all the hoopla over his
weight.
Was ich spannend finden würde:
Wie wird eigentlich in Österreich überwacht?
Was macht die Polizei & der Verfassungsschutz?
Was die beiden militärischen Geheimdienste?
Vor allem: was dürfen die rechtlich - was machen sie faktisch, also wie weit wird die Rechtsstaatlichkeit bewahrt?
Nun, zur rechtlichen Lage hat der Sprecher des Innenministeriums Stellung genommen. Siehe: http://derstandard.at/1369363164908/Bespitzelung-a-la-PRISM-In-Oesterreich-ausgeschlossen
Inwieweit andere Staaten (etwa Österreich) auch geheime Programme haben oder die Ermittler mehr tun, als sie dürfen, kann man natürlich nicht sagen - wobei ich mir bei der Vorstellung schwer tue, dass Österreich ein ähnliches Spitzelprogramm hat. Weder haben wir große IT-Konzerne bei uns sitzen, noch einen Patriot Act, der sehr vieles sehr Problematisches möglich macht.
Und zum Vergleich mit der Vorratsdatenspeicherung:
Von manchen wird PRISM mit der Vorratsdatenspeicherung verglichen, was aber irreführend ist ist. Ich bin wahrhaft keine Freundin der Vorratsdatenspeicherung, aber sie ist mit PRISM nicht vergleichbar. PRISM ist ein geheimes (!) Programm, das Daten abzapft. Laut den internen Dokumenten kann die NSA auf E-Mails, Fotos, Videos, Chatprotokolle zugreifen. Das geht viel weiter als die Vorratsdatenspeicherung, bei der sogenannte Verbindungsdaten gespeichert werden - also nicht der Inhalt einer E-Mail, sondern die Information, wann wer mit wem wo gemailt hat. Es geht mir keine Sekunde darum, die Vorratsdatenspeicherung zu verharmlosen, nur werden hier Äpfel mit Birnen verglichen.
PRISM ist ein Geheimprogramm, von dem wir nur dank einem Whistleblower erfahren haben und das offensichtlich viel weitreichender ist als alle anderen Überwachungsmethoden, von denen wir bisher wissen.
hier vielleicht ein interessanter Link/anderer Blick: http://nakedsecurity.sophos.com/2013/06/10/prism-not-as-bad-as-you-thought-and-dont-call-it-prism/
ich glaube auch überhaupt nicht, dass Österreich hier ähnliche Programme unterhält, auch ein Vergleich mit der VDS liegt mir fern. PRISM scheint ja vielmehr sowas wie Echelon zu sein nur weit umfassener, das ist eine ganz andere liga als die Vorratsdatenspeicherung.
Aber natürlich gibt es auch in Europa eigene Überwachungsbestrebungen, wie hier http://fm4.orf.at/stories/1719346/ etwas kompliziert beschrieben. Da wird Österreich sicher auch mit an board sein.
Darüber hinaus wird zb das Projekt INDECT betrieben. (https://de.wikipedia.org/wiki/INDECT)
Und, wieder anderes Thema, es gibt ja momentan schon weitreichende Übereinkünfte mit den USA über Fluggast-Daten und auch E-Banking (SWIFT) betreffend.
Aber ja, eine maßlose allumfassende Aufzeichnung/Speicherung der "österreichischen Daten" wird es wohl nicht geben, einzelne Maßnahmen der Polizei/Geheimdienste die weiter gehen als die Gesetze es erlauben bestimmt (siehe VGT-Prozess).
Eine öffentliche Kontrolle dieser Tätigkeiten gibt es aber nicht, und auch keine Diskussion über die Befugnisse und tatsächlichen Überwachungstätigkeiten der Behörden hierzulande, womit ich wieder bei meinen Einstiegsfragen angelangt bin :)
Komisch, der Kommentar blieb im Spam-Filter hängen. Sorry! Sehr spannender Artikel auf FM4, kannte ich noch gar nicht. Danke!
Mir geht's gar nicht darum, Europa zu sehr in Schutz zu nehmen. Ich hab nur ein bisschen Angst, dass nun sehr schnell so ein generelles Wurschtigkeitsgefühl eintritt, so nach dem Motto: Jo, mei, es überwachen eh alle! Das wäre schlecht, weil das erst recht jene EU-Abgeordneten blockiert, die nun wieder Verschärfungen in die Datenschutzverordnung reinschreiben wollen. Was sicherlich generell eine gute Idee ist. Aber ja, der Tierschützerprozess wirft sicher kein gutes Licht auf das Vorgehen der Behörden...
übrigens:
http://derstandard.at/1369363661519/Bundesheer-Geheimdienst-soll-mit-NSA-kooperieren
"Etwa, dass für den Rest der Menschheit nicht die gleichen Menschenrechte gelten?"
Genau so kommt mir aber die Haltung vieler US-Amerikaner vor. Guantanamo ist nicht so schlimm, so lange keine Amerikaner dort sind. Und das F in FISA steht nicht umsonst für "Foreign". Klar, das sich ein Staat zuallererst um seine eigenen Bürger kümmert und eine Regierung um ihre Wähler. Gerade deshalb sollten in wir in Europa scharfe Datenschutzgesetze schaffen und uns nicht den Lobbyisten der großen (US-)IT-Unternehmen beugen.
Stimmt, leider entsteht dieser Eindruck derzeit tatsächlich. Wobei man ja sagen muss, dass Obama ursprünglich auch für das Versprechen, Guantanamo zu schließen, gewählt wurde. Es gibt sicherlich einige Amerikaner, die keine Freunde der Außenpolitik ihres Staates sind.
Great information. Lucky me I discovered your site by
accident (stumbleupon). I've book marked it for later!Visit my website at bike 4 chai
WOW just what I was looking for. Came here by searching for Journalismus
Incredible! This blog looks exactly like my old one!
It's on a entirely different topic but it has pretty much the same layout and design. Great choice of colors!
Mal sehen wie viele Studien über die Sinnlosigkeit der Vorratsdatenspeicherung benötigt werden um sie wieder abzuschaffen. Leider sind die Regierungen einfach so datensammelwütig.
Nachdem es jetzt eh passiert ist sollte man das ganze System mit sinnlosen Informationen zumüllen, dann geht vielleicht in der Datenflut unter wann meine Oma mit ihrem Arzt über ihre Hüftprothese via Email kommuniziert hat... (Ja ich weiß, Inhalte werden nicht gepeichert - noch nicht...)