Wer schützt unsere Vorratsdaten?
Ende Juli hielt ich einen Vortrag über die Vorratsdatenspeicherung. Die Grünalternative Jugend Linz (GAJ) hatte mich in meiner Rolle als Themensprecher der Initiative für Netzfreiheit (IfNf) für die Vorratsdatenspeicherung um diesen Vortrag gebeten. Es war ein Set an hervorragenden und sehr interessanten Fragen vorbereitet, die ich in diesem Vortrag beantworten sollte. Unter den Fragen befand sich auch jene nach der Sicherheit unserer Vorratsdaten. Speziell interessierte mich dabei die Frage, wie es denn tatsächlich um die Sicherheit der Vorratsdaten stünde, dort, wo sie erhoben und gespeichert werden: bei den Telekommunikationsdiensteanbietern.
Das Gesetz (§102c. (1) Telekommunikationsgesetz 2003) sagt dazu: “Die Daten sind durch geeignete technische und organisatorische Maßnahmen vor unrechtmäßiger Zerstörung, zufälligem Verlust oder unrechtmäßiger Speicherung, Verarbeitung, Zugänglichmachung und Verbreitung zu schützen. Ebenso ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass der Zugang zu den Vorratsdaten ausschließlich dazu ermächtigten Personen unter Einhaltung des Vier-Augen-Prinzips vorbehalten ist.”
In der Theorie sollten unsere Vorratsdaten dem Gesetz nach also sicher verwahrt sein. Nur in der Theorie sind Theorie und Praxis das selbe, in der Praxis bekanntlich aber nicht. Wem obliegt also die Kontrolle, dass diese Daten auch tatsächlich geschützt sind? Wer bestimmt, was dazu geeignete Maßnahmen sind? Und wer definiert wie, welche Personen beim Telekommunikationsdiesnteanbieter berechtigt sind, die Vorratsdaten einzusehen?
§102c TKG sagt dazu, dass die Kontrolle der Einhaltung dieser Vorschriften nach § 30 DSG 2000 der Datenschutzkommission zukommt.
§ 30 DSK 2000 regelt eigentlich die genauen Kontrollbefugnisse der DSK für den Fall, dass z.B. eine BürgerIn grobe Datenschutzrechtsverletzungen eines Auftraggebers oder Dienstleisters bei der DSK angezeigt hat und diese begründeten Verdacht hat, dass tatsächlich entsprechende Rechte verletzt wurden. Dann darf sich die DSK die entsprechenden datenverarbeitenden Anwendungen, Dokumente und Räumlichkeiten zeigen lassen. In meinen Augen als IT Sicherheitsexperte ist der §30 TKG 2000 absolut geeignet für seinen ursprünglichen Zweck der Überprüfung von Datenanwendungen, die gegen Gesetze verstoßen oder hätten gemeldet werden müssen. Für die Sicherstellung, dass unsere Vorratsdaten sicher und dem Gesetzeslaut genüge tuend verwahrt sind, ist dieser Paragraph aber klar ungenügend.
Des weiteren stellen sich dabei aber auch eine ganze Reihe von Fragen, die entweder das Gesetz gar nicht beantworten kann oder es in §30 TKG 2000 geregelt wird: Was genau sind geeignete technische und organisatorische Maßnahmen? Wer definiert, was geeignete Maßnahmen sind? Wie genau und in welchen Intervallen werden diese von der Datenschutzkommission (DSK) überprüft? Wie sanktioniert die DSK Verstöße? In welcher Frequenz oder welchem Fall wird überhaupt die Sicherheit überprüft?
Um diese Fragen zu klären habe ich bei der Datenschutzkommission nachgefragt. Die Antworten waren teils erschreckend und augenöffnend.
Auf die Frage, welche Maßnahmen die DSK bereits ergriffen hatte, gab das stellvertretende geschäftsführende Organ der DSK an, dass noch keinerlei Maßnahmen zur Überprüfung der Sicherheit unserer Vorratsdaten ergriffen wurden, da man den Providern Zeit geben wolle, die entsprechenden Maßnahmen auch umzusetzen. Zu diesem Zeitpunkt nun sind also unsere Telekommunikations- und Ortsdaten bereits fünf von den maximal erlaubten 6 Monaten (plus einem Monat Löschfrist) gespeichert. Und niemand hat es bis dato für notwendig erachtet, sich deren tatsächliche Sicherheit auch nur einmal oberflächlch anzusehen geschweige denn, dass tiefgehende Auditierungen oder aufwendige Sicherheitsüberprüfungen statt gefunden hätten.
Zur Verteidigung der Datenschutzkommission sei gesagt, dass ihr auch keine zusätzlichen Mittel für diese zusätzliche, in ihrer enormen Verantwortung kaum zu überschätzende Aufgabe zur Verfügung gestellt wurden.
“Auch diese Frage kann ich nicht beantworten, da ich weder den Umfang einer Prüfung abschätzen kann, noch wie viele Prüfungen die DSK mit dem derzeitigen Personalstand in einem Jahr abwickeln kann. Zu bemerken ist in diesem Zusammenhang, dass § 102c TKG auch eine stichprobenartige Überprüfung oder eine Überprüfung lediglich im Verdachtsfall nicht ausschließt.”