Evaluierung Richtlinie

Aus Freiheit statt Angst!

Wechseln zu: Navigation, Suche

Die Europäische Kommission hat u.a. den AK Vorrat gebeten, einige Fragen zu beantworten, und zwar bis zum 13.11.2009.

Hier der Entwurf der Antworten:

Questionnaire
with a view to take stock of the operation of
on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC
v 30 09 2009

Inhaltsverzeichnis

Introduction

- Scope of the questionnaire

This questionnaire seeks to gather information about all relevant aspects of the operation of the Data Retention Directive that will allow the Commission to understand its practical functioning in a manner that is as complete as possible. On that basis in particular, the Commission will draft the evaluation report mentioned in Article 14 of the Directive, which is due for 15 September 2010.

The questionnaire addresses each of the four groups of stakeholders concerned by the application of the Data Retention Directive (hereafter referred to as DRD or Directive): Member States, the private sector, Data Protection Authorities and the European Parliament, and contains a chapter for each of these stakeholders (see below under “stakeholders concerned” for more details).

Moreover, the Commission wants to use chapter 1 of the questionnaire as guideline for the discussions that it intends to organise with Member States and non-EU EEA States individually between the end of September and the end of November according to a time table to be agreed upon in the meeting of 10 September 2009.

The first group of questions aims at providing the European Commission with feedback necessary to assist it in the evaluation of the Directive further to its article 14.

Article 14 DRD states:

1. No later than 15 September 2010, the Commission shall submit to the European Parliament and the Council an evaluation of the application of this Directive and its impact on economic operators and consumers, taking into account further developments in electronic communications technology and the statistics provided to the Commission pursuant to Article 10 with a view to determining whether it is necessary to amend the provisions of this Directive, in particular with regard to the list of data in Article 5 and the periods of retention provided for in Article 6. The results of the evaluation shall be made public.

2. To that end, the Commission shall examine all observations communicated to it by the Member States or by the Working Party established under Article 29 of Directive 95/46/EC.

Pursuant to Article 10 DRD, Member States are obliged to ensure they provide the Commission on an annual basis with statistics on the retention of data. The data collection template was developed by the Experts' Group on Data Retention and was presented to Member States at their meeting of 22 January 2009 in Brussels.

The input required to conduct the evaluation draws from multiple sources: the statistics provided under Article 10 DRD, the assessment of technological progress and of the market impact, but also on law enforcement specific information to establish whether the list of data mentioned in Article 5 and the length of the retention period in Article 6 are adequate and sufficient,

The second set of questions aims at obtaining feedback to carry out the analysis that was requested by the JHA Council at its meeting of 27 and 28 November 2008. In its Conclusions (see annex) the Council asked the Commission to evaluate the effectiveness of existing (non-) legislative measures or technical solutions to ensure traceability of users of communications services, in particular mobile phones with prepaid SIM cards. The Member States undertook to “supply, at the request of the Commission, all relevant information on legislative and non-legislative measures or technical solutions implemented to identify users of communications media, and their degree of operational effectiveness”. This questionnaire contains the specific requests from the Commission to obtain the relevant information.

The evaluation will therefore consist of two strands, namely, the assessment of

- the degree to which the Data Retention Directive is fit for purpose, i.e. to establish the extent to which the harmonisation of obligations on information service providers (hereafter referred to as ISPs) is able to ensure that data are available for the purpose of the investigation, detection and prosecution of serious crime, and

- the degree of effectiveness of national measures to trace the identity of users to combat the criminal misuse and anonymous use of electronic communications.

- Stakeholders concerned

The stakeholders that are concerned by these two sets of questions are the following

  1. EU Member States and EEA States and in particular (). law enforcement authorities (Ministries of Interior, and of Justice) and (b). telecommunication authorities (Ministry of Telecommunication, National Regulatory Authorities) (concerning chapter 1 of the questionnaire)
  2. European Parliament and Civil Society (concerning chapter 2 of the questionnaire)
  3. National data protection authorities and the European Data Protection Supervisor (EDPS) (concerning chapter 3 of the questionnaire)
  4. Private sector (communications service providers, comprising internet service providers, fixed and mobile telecommunication operators, network and cable operators, etc) (concerning chapter 4 of the questionnaire)

- Preparation of the questionnaire

The questionnaire was prepared by DG JLS and DG INFSO in particular on the basis of input received from the conference "Towards the Evaluation of the Data Retention Directive" of 14 May 2009. It was discussed for the first time by the Subgroup "Evaluation" of the Experts' Group on Data Retention on 9 September 2009 and presented to Member State representatives on 10 September 2009 in a meeting in the Secure Zone of DG JLS in Brussels. The Commission invited comments from the representatives to that meeting by 17 September 2009 with the drafting of the final questionnaire thereafter.

The current version takes account of the comments from (in alphabetical order:) Austria, the Czech Republic, Estonia, Finland, France, Germany, Greece, Hungary, Latvia, Romania, Spain, Sweden, the United Kingdom, France.

The Subgroup “Evaluation” is composed in the same stakeholder groups as the Experts’ Group on Data Retention. It has 2-3 representatives of Member States, Industry, Data Protection and the European Parliament.

The questionnaire will be the backbone of the evaluation process.

- Content of the questionnaire

The questionnaire consists of two types of questions: qualitative questions that examine the modalities of and conditions under which the Directive operates, and quantitative questions to gauge data volumes, financial, technological and legal impacts, and ratios between different aspects.

The Subgroup “Evaluation” was of the opinion that replying to the qualitative questions would require less time than providing quantitative data.

In the questionnaire indicates all questions that require a quantitative reply as follows: “[Quantitative Reply]”. The other questions are qualitative questions by default.

- Time table for replying to the questionnaire

This version of the questionnaire was handed out to Member States during the meeting of 10 September 2009. The Commission invited Member States to give their views on the content and form of the questions until 17 September, in view of issuing a final questionnaire on thereafter.

According to the Subgroup “Evaluation” a period of eight weeks is a reasonable period to formulate answers to the quantitative questions, and a period of twelve weeks reasonable to gather information necessary to answer the quantitative questions.

On the basis of that assessment, the Commission would like to receive th first answers from each of the stakeholder groups within its own chapter (see before “stakeholders concerned”) to the first type of questions by 15 November 2009, and the second type of questions (quantitative) by 15 December 2009.

Processing of confidential or classified information

Transparency rules can require that the Commission discloses information upon request, unless stakeholders identify all or some (explicitly identified) replies to the questionnaire as coming under one of the exceptions mentioned in Article 4 (1) or (2) of Regulation 1049/2001/EC as appropriate. The intention of the Commission is to use the replies solely for the purpose of the evaluation. .Aggregated or anonymized results can be included in the report and will not expose individual stakeholders, for instance to illustrate certain positions and statements contained in the evaluation report.

Replying to certain questions could entail the disclosure of confidential or classified information.

Respondents are requested to indicate in their answer to the questionnaire whether answers should be treated as confidential or as classified information (EU Confidential or EU Secret] and to provide these answers separately via the appropriate procedure.

The Commission shall ensure that within its organisation the information received shall receive a level of protection that is equivalent to the level of protection offered by measures applied to that information by the stakeholder concerned. Stakeholders are invited to mention such measures and forward information accordingly. Information identified as such will be kept in the Secure Zone and will only be accessible to persons that have the appropriate clearance.

Comments about data categories

The Data Retention Directive covers three types of operational data: 1. Data concerning fixed network telephony; 2. Data concerning mobile telephony and 3. Data concerning Internet access, Internet e-mail and Internet telephony.

The subgroup “Evaluation” of the Experts' Group on Data Retention is of the opinion that in case precise quantitative data can not (yet) be provided, it is easier to provide the ratio between the different categories of data, in particular since the ration between Internet data in comparison to telephony data is changing in favour of the first.

Comment with regard to technological development

Article 14 DRD requires that the evaluation takes into account “further developments in electronic communications technology”.

The convergent market is moving beyond the technology that was available in 2004/2005 when the Directive was drafted.

New broadband type services delivered through 3G-GSM and WiFi enabled mobile handsets for instance have an impact on the ability to compare network events being generated on networks. All stakeholders are request to consider the impact of this and other developments on the application of the Directive.

Die Kommission überlegt also, weitere Daten speichern zu lassen. Stattdessen sollten wir darauf hinweisen, dass die technologische Entwicklung dazu geführt hat, dass inzwischen immer mehr Daten erzeugt werden (z.B. iPhone), dass also weniger Daten gespeichert werden sollten, um wenigstens die bestehende Tarierung der Gewichte nicht noch weiter zu verschieben.

Definition of “Request”

The Subgroup “Evaluation” noted that one “request” (cf Article 8 and 10(1) of the Directive and under 1.A.1 below) can concern several (many) “data”. The number of requests can therefore be significantly smaller than the number of data that are transmitted. Depending on the context, the answer should refer to the total number of requests or of data that are provided.

Apart from quantitative indications that provide meaningful insight in for instance in the volume of the data processing or of the impact of the operation of the Directive on economic operators, a qualitative assessment is required to establish inter alia whether the list of data in Article 5 of the Directive or the retention period mentioned in Article 6 are relevant and effective to achieve the purpose of the Directive, namely to detect, investigate and prosecute serious crime. In order to support fact-finding on this matter, Member States in particular are invited to forward case studies or examples of prosecution cases where retained data have assisted investigations and prosecutions.

Throughout the first set of questions (on the evaluation of the Directive) the expression “country” is used to denote the fact that the addressees of the questionnaire are not only the EU Member States, but also non-EU EEA States.

Questions to Member States and and non-EU EEA States

Qualitative and quantitative aspects of the application of Directive 2006/24/EC, taking into account further developments in electronic communications technology and the statistics provided pursuant to Article 10,

Law enforcement issues

Total number of requests that are issued by year to obtain data retained under the DRD [Quantitative Reply]

Number/percentage of these requests that are generated by type of requesting authority: 1. police, 2. judicial, and 3. other authorities (please specify as relevant) [Quantitative Reply]

The time elapsed between the date on which the data were retained and the date on which the competent authority requested the transmission of the data, or if unavailable, the average age of the data that are requested, ? The answer to this question may already have been provided in the context of the statistics of Article 10 DRD. [Quantitative Reply]

Which communication channels are used to exchange information between law enforcement authorities and service providers (e-mail, fax, secure network, or other channels)? If certain channels are required to be used, please provide information about the channels to be used

Type of crimes

For what types of crime does the national law authorise the acquisition and use of retained data? Please provide a list of these crimes

What is the average age of the data that has been requested for the different types of crime mentioned under I.A.1.e.1 ? [Quantitative Reply]

Does the national law allow for or prohibit acquisistion of data from communications providers of data subservient of the Directive and/or related instruments for purposes other than the investigation, detection and prosecution of serious crime (e.g. copy right infringements). If so, please provide details about the alternative purpose(s) or laws prohibiting such acquisition.

Assessment of the data to be retained

Does the national law transposing the Data Retention Directive or a related instrument, require the retention of other categories of data in addition to the data contained in Article 5 of the Directive? If so, please provide details about the additional data as well as the instrument in which this obligation is enshrined.

Adequacy and law enforcement relevance of the data retained under Article 5 of the Data Retention Directive

Please indicate whether the data the service providers must retain under Article 5 of the Directive are relevant and sufficient from a law enforcement perspective, and mention which data either should be removed from the list of Article 5 where redundant or be added where relevant data is not yet retained.

Member States are invited to motivate their answer and provide examples of situations that demonstrate the redundancy or the law enforcement requirements.

1.A.1.f. Details of the requests that are issued

1.A.1.f.1 The kind of information that service providers are requested to retrieve; Please provide information about typical search parameters (information selection criteria) contained in requests for the acquisition of retained data, e.g. listing of the communications made from or to a given phone number, or on certain date, or at a certain hour, or listing of all calls made from a certain location, or of all numbers used by an identified user.
1.A.1.f.2 Did your country standardise or seeking to standardise the format for the acquisition and disclosure of communications data between public authorities and communications service providers (for instance in service level agreements, or by making reference to relevant ETSI standards)? If so, please provide information about the standard (form or format) for requests, the message format, the technical modalities and/or interface.
Die Kommission plant eine Vereinheitlichung der Datenschnittstellen. Hier Textbaustein aus Stellungnahme gegenüber dem Bundestag einfügen.

Details of the replies to the requests mentioned under I.A.1.g

Does the national law governing the acquisition of communications data enable the public authority to specify the time period within which data must be disclosed, as referred to in the Directive as “without undue delay”. If so:

Please provide examples of time frames enforceable within the context of national legislation or by service level agreements between competent authorities and communication providers.
What measures do competent authorities avail of to ensure the respect of the time period within which they request the reply to be given?
Where relevant, do competent authorities distinguish between time periods within which they require the disclosure of data by communication providers and the type of request or type of data they need? If so, please provide examples of such differentiation.

Reimbursement of costs

Does your country reimburse CAPEX[1] and/or OPEX[2] incurred by service providers? If so, please provide information about the type of costs that are reimbursed, as well as about the modalities and amount or ratio of reimbursement
Does your country make the reimbursement of costs conditional on the respect of certain conditions, such as, for instance, guaranteeing a certain quality of service (request profiles, amount of requests to be handled, speed of retrieval)? If so, could you please provide information about the conditions that service providers have to meet and the link between reimbursement scheme.

1.A.1.j Effectiveness - What is the success rate of the use of retained data

Entscheidend ist die Frage, ob Kriminalitätsrate oder wenigstens Aufklärungsrate nicht nur vorübergehend erhöht werden, und ob die aufgewandten Mittel nicht andernorts mehr Sicherheit bewirken würden. Einzelfälle genügen nicht. Text einfügen: Nützlichkeit ist nicht gleich Sicherheit.
1.A.1.j.1 Did the use of retained data assist in crimes being detected and/or prosecuted within the courts that otherwise would have failed? If so, please provide examples [can entail Quantitative elements]
1.A.1.j.2 How much does the use of retained data cost in terms of deployment of Human Resources and acquisition & maintenance of dedicated equipment ? What are the typical cost drivers? [Quantitative Reply]
1.A.1.j.3 How can cost-effectiveness of the acquisition and use of retained data be increased? [entails quantitative elements]

1.A.2 National and transnational requests and answers

Hinweis darauf, dass die Cybercrime-Konvention (Auslieferung an 52 Vertragsstaaten) verfassungswidrig ist und auch dem Rahmenbeschluss zum Datenschutz widerspricht.

1.A.2.a Within this questionnaire, a "transnational request" means a cross-border request for the acquisition of communications data between EU Member States and non-EU EEA States as appropriate where: law enforcement authorities from another county requests you to provide data retained by service providers within your country (the “incoming requests”) and requests initiated by your competent authorities for data held within another country's jurisdiction (the “outgoing requests”).

Having regard to the total number of requests mentioned under section 1.A.1.a:

1.A.2.a.3 how many (a) incoming and how many (b) outgoing transnational requests are processed by your country on an annual basis. When possible, please differentiate between judicial co-operation and non-judicial cooperation [Quantitative Replies]
1.A.2.a.4 what is the ratio between national and transnational requests (total number of transnational requests)? [Quantitative Reply]

1.A.2.b What is the average time to:

1.A.2.b.1 receive an answer to an outgoing request, between the moment of issuing the request and the reception of the answer (see also A.A.2.f)? What are the elements (for instance: type of procedure) that determine the length of the procedure? [Quantitative elements]
1.A.2.b.2 provide an answer to an incoming request, between the moment of reception of the request and the sending of the answer? What are the elements (for instance: type of procedure) that determine the length of the procedure? [Quantitative elements]
1.A.2.b.3 Which strategies could be deployed to reduce the time it takes to answer an incoming request?

1.A.2.c Which authority takes the decision in your country to issue a transnational request? Are all law enforcement authorities entitled to make or prompt to make a transnational request?

1.A.2.d Does your country have a central point that issues outgoing requests or receives incoming requests? If so, please provide details about these central points.

Costs

If your country reimburses OPEX (see 1.A.1.k) do you reimburse national service providers in the same way for replying to transnational requests? Do you or do you plan to ask other Member States to share the costs?

Language

Does your country impose linguistic conditions to incoming requests (e.g. translation in a national or vehicular language? If so, please provide details about those conditions.
What means does your country deploy to comply with linguistic conditions imposed by other countries to outgoing requests? Do you have a central facility to provide linguistic support?

Data security

Which measures (rules, procedures, audit provisions) are enforced to protect data against misuse?

Telecommunications authorities

Allocation of tasks

Which national authorities are charged with tasks resulting from the Directive (for instance, as appropriate, following up with relevant service providers about applicable law, specifying content of data to be retained e.g. in CDRs, providing for a certain standardisation e.g. on the basis of ETSI standards, managing reimbursement schemes, assessing the economic impact of the implementation and application of the Directive)? Which tasks are assigned to which authority?
When did/will the respective authorities start to be operational for these tasks?
For each authority: Did/does the authority need to acquire additional expertise in order to perform its tasks under the Directive? Which? How was this implemented (e.g. new staff, reorganisation, special training) or how will it be implemented?
Does any authority mentioned under this section collect data about the economic effects of measures required under the Directive, including the impact of replying to court orders to provide retained data issued by Civil Courts on the request of copy right owners in cases brought by them against illicit downloading and file sharing of copy right protected material. If the answer to this question is affirmative, please provide details about the authority as well as about the data that are collected? [May entail Quantitative elementsy]
Does any authority mentioned under this section engage in cross-border co-operation relating to the Directive? If so, please provide details about 1. those authorities 2. the type of action or activity that these authorities undertake in this context. [may entail Quantitative elements]
Do the authorities mentioned under this section gather data concerning the impact of the required measures on competition e.g. on market entry for new operators, on advantages for bigger companies? Please provide details about the kind of data that are being collected! [last par may entail Quantitative elements]
Centralised storage of data by Service providers
Da ein ähnlicher Plan in Großbritannien gerade gescheitert ist und es auch sonst nirgendwo eine zentrale Aufbewahrung stattfindet, sollte die Kommission nicht einmal daran denken, derartiges vorzuschlagen oder zu befürworten. Eine zentrale Speicherung führt dazu, dass Datenpannen und Missbrauch den größtmöglichen Schaden nach sich ziehen. In der IT-Sicherheit ist anerkannt, dass eine zentralisierte oder auch nur vernetzte Speicherung aus Sicherheitsgründen zu vermeiden ist.
Does your country have problems (e.g. time to obtain an answer, quality of the reply) to obtain retained data that are stored by service providers outside of your country. Please provide details of problems you may have experienced and means deployed to redress these problems. [can entail Quantitative elements]

1.B Evaluation of the effectiveness of existing (non-)legislative measures or technical solutions to ensure traceability of users of communications services, in particular mobile phone lines, opened with prepaid SIM cards (cfr Council Conclusions in Annex)

1.B.1 Law enforcement issues

1.B.1.a Which means (technical, operational) or measures (procedural, law-based) does your country deploy to increase the traceability of users of communication services so as to assist law enforcement authorities in the attribution of end-user devices to the person using them? Among the measures mentioned are those that take account of data that are presently held by communication providers, such as customer service notes, payment history, insurance agreements, IMEI history, but also supermarket loyaly cards associated to the top-up history, use of e-top-up linked to debit or credit cards, information held by credit reference agencies and mobile device given as contact point, forensic examination of mobile devices? Please provide a description of these measures.

1.B.1.b What is the scope of these means or measures in terms of contribution to increasing the traceability of users ? Please provide details about the legal justification or administrative motivation and as well as about the scope of these instruments, i.e. whether they are aiming to assist the prevention of crime, or its detection, investigation or prosecution. Which crimes are specifically addressed by the means and measures that your country deploys..

1.B.1.c Efficiency

1.B.1.c.1 Are the measures imposed by your country efficient in terms of achieving the aim for which they have been put in place? Please provide details about results obtained as a result of the deployment of the relevant means or measures [may entail Quantitative elements].
1.B.1.c.2 Did your country assess the effectiveness of the measures If so, please provide details of this assessment.
1.B.1.c.3 What is the added efficiency of the measures deployed by your Member State in terms of improvement of your capabilities to detect, investigate or prosecute of terrorism and other serious forms of crime that go beyond the results obtained with the data obtained under Article 5(1)(e)(2) of the Directive and in particular its paragraph (vi)? [can entail Quantitative elements]
Entscheidend ist die Frage, ob Kriminalitätsrate oder wenigstens Aufklärungsrate nicht nur vorübergehend erhöht werden, und ob die aufgewandten Mittel nicht andernorts mehr Sicherheit bewirken würden. Einzelfälle genügen nicht. Text einfügen: Nützlichkeit ist nicht gleich Sicherheit.
1.B.1.c.4 What are the costs or these measures for the private sector? [can entail Quantitative elements]
1.B.1.d Should measures be taken at European level to increase the traceability of users of communication devices? If so, which measures should be taken, at European level? How would these measures improve the efficiency of the means and measures that you deploy at national level?
Nein. Zitat aus CCC-Stellungnahme gegenüber Kommission.
1.B.1.e Which training or skill-development scheme, if any, does your Member State provide for law enforcement authorities to train them in attributing (linking) end-user devices (e.g. mobile phones) to data that are held by communication providers to identify the end-users?
Telecommunications authorities
Which impacts on the market do the means or measures mentioned in section 1.B.1 have?
Does the authority mentioned in 1.A.3.a.& monitor and enforce national measures on providers or other stakeholders?
Did the authority mentioned in the previous question investigate any cases of non-compliance with national means or measures? Please provide details, if relevente. [can entail Quantitative elements]
If the national law provides for measures to ensure the identification of users of prepaid SIM cards, what treatment is given to the cards acquired before the entry into force of the law? Are these cards cancelled after a certain period in use?

2 Questions addressed to the European Parliament and Civil Society

2.A. Assessment of the application of Directive 2006/24/EC, taking into account further developments in electronic communications technology and the statistics provided pursuant to Article 10

2.A.1. Which has been the effect, if any, on civil liberties of the use by law enforcement authorities of data retained under the Directive? Please provide examples of these effects as well as indications of the size of their impact.

Die Richtlinie zur Vorratsdatenspeicherung hat katastrophale Auswirkungen auf die Bürger und Verbraucher.

Wegen der Kosten der Vorratsdatenspeicherung, die sich wegen der hohen Investitions- und Fixkosten bei kleinen Anbietern überproportional bemerkbar machen, sind kommerzielle Dienste teurer geworden, was für die Verbraucher ein Nachteil ist. Eine Quantifizierung ist uns nicht möglich.

Wegen der hohen Kosten der Vorratsdatenspeicherung, von denen in Deutschland weder die Investitions- noch die Vorhaltekosten ersetzt werden, sind kleinere Anbieter vom Markt verdrängt oder von Wettbewerbern aufgekauft worden. Für Verbraucher bedeutet dies weniger Wettbewerb und dadurch auch mittelbar schlechtere Leistungen.

Die Vorratsdatenspeicherung bedeutet für Verbraucher vor allem weniger Freiheit. Wegen der Vorratsdatenspeicherung können Sie Kontakte, die absolut vertraulich bleiben müssen, schlichtweg nicht mehr über Telefon, Handy, E-Mail oder Internet abwickeln. Damit ist das Medium der Telekommunikation nur noch eingeschränkt einsetzbar.

Eine nicht repräsentative Umfrage, die wir nach Inkrafttreten der Vorratsdatenspeicherung in Deutschland Anfang 2008 durchgeführt haben hat ergeben:

Ein Teil der Bürger nutzt ihr Handy nicht mehr, seit bei jedem Kontakt der Standort festgehalten wird. Online-Foren beispielsweise für Opfer sexuellen Missbrauchs oder für politische Bewegungen sterben aus, seit jeder Teilnehmer anhand seiner IP-Adresse sechs Monate lang identifizierbar ist.

Viele Journalisten haben berichtet, dass wichtige Informanten - beispielsweise aus Polizei, Feuerwehr, Unternehmen - mit Inkrafttreten der Vorratsdatenspeicherung ihren Kontakt abgebrochen haben oder nur noch persönliche Treffen wünschen.

Steuerberater, Rechtsanwälte und Notare berichten, ihre Mandanten wünschten keine elektronische Kontaktaufnahme mehr. In vielen Fällen scheitere eine Beratung daran überhaupt. Ein Steuerberater fürchtet, dass sich seine Mandanten strafbar machen könnten, wenn sie ihn nicht mehr telefonisch um Rat bitten können, was steuerliche Angaben gegenüber staatlichen Behörden angeht. Früher sei es ihm bei solchen Gelegenheiten gelungen, Mandanten "auf den rechten Weg" zu bringen, was wegen der abnehmenden Telefonate oft nicht mehr möglich sei.

Geschäftsleute berichten, dass Kunden nicht mehr damit einverstanden sind, Geschäftsinformationen (z.B. Pläne und Zeichnungen) per E-Mail oder Fax zu übermitteln. Dass diese nun abgeholt werden müssten, erschwere Geschäftskontakte teils und mache sie in anderen Fällen - z.B. aus Zeitmangel - unmöglich.

Psychotherapeuten, Drogenberater und Telefonberatungen berichten, dass weniger Menschen elektronisch Kontakt zu ihnen aufnehmen und oft nicht mehr bereit seien, offen zu sprechen. Da eine persönliche Beratung oft nicht möglich sei, könne psychisch kranken Menschen, Drogenabhängigen, gewaltbereiten Menschen usw. teils nicht mehr geholfen werden, was Gesundheits- und Lebensgefahr - auch für Dritte - nach sich ziehen kann.

Die vollständigen Berichte über die Auswirkungen finden sich im Internet.[3]

Vor dem Hintergrund dieser Ergebnisse, haben der Arbeitskreis Vorratsdatenspeicherung und andere Verbände eine repräsentative Umfrage des renommierten Meinungsforschungsinstituts Forsa in Auftrag gegeben. Dieses befragte 1.002 Bundesbürgern am 27./28. Mai 2008. Ergebnisse der Umfrage waren:

Sieben von zehn Befragten war bekannt, dass seit Beginn des Jahres 2008 alle Verbindungsdaten jedes Bürgers in Deutschland sechs Monate lang gespeichert werden müssen (731 der Befragten).

Die Mehrheit der Befragten würde wegen der Vorratsdatenspeicherung davon absehen, per Telefon, E-Mail oder Handy Kontakt zu einer Eheberatungsstelle, einem Psychotherapeuten oder einer Drogenberatungsstelle aufzunehmen, wenn sie deren Rat benötigten (517 der Befragten). Hochgerechnet entspricht dies über 43 Mio. Deutschen.

Jede dreizehnte Person hat wegen der Verbindungsdatenspeicherung bereits mindestens einmal darauf verzichtet, Telefon, Handy oder E-Mail zu benutzen (79 der Befragten). Hochgerechnet entspricht dies 6,5 Mio. Deutschen. Jede sechzehnte Person hat den Eindruck, dass andere Menschen seit Beginn der Vorratsdatenspeicherung seltener per Telefon, Handy oder E-Mail Kontakt mit ihr aufnehmen (62 der Befragten). Hochgerechnet entspricht dies 5 Mio. Deutschen. Besonders stark ist die Veränderung des Kommunikationsverhaltens unter Menschen mit geringem Bildungsniveau (Haupt- oder Grundschulabschluss).

Nahezu jeder zweite Bundesbürger sieht in der Vorratsdatenspeicherung einen unverhältnismäßigen und unnötigen Eingriff in seine Freiheitsrechte (465 der Befragten). Hochgerechnet entspricht dies 43 Mio. Deutschen, die sich gegen die Verbindungsdatenspeicherung aussprechen.

Die vollständigen Umfrageergebnisse finden sich im Internet.[4]

Im weiteren Verlauf des Jahres 2008 stellte sich heraus, dass die Deutsche Telekom AG als größter Anbieter von Telekommunikationsdiensten in Deutschland in den Jahren 2005 und 2006 über einen Zeitraum von insgesamt anderthalb Jahren missbräuchlich die Telefonverbindungsdaten von Journalisten sowie von Arbeitnehmer-Aufsichtsräten und Managern des Unternehmens ausgewertet hat, um undichte Stellen im Unternehmen aufzudecken.[5] Ziel der Operation war die Auswertung der Festnetz- und Mobilfunk-Verbindungsdatensätze der wichtigsten über die Telekom berichtenden deutschen Journalisten und deren privater Kontaktpersonen.[6] Ausgewertet wurden nicht weniger als 250.000 Verbindungen.[7] Anhand von Handy-Standortdaten wurden selbst die Bewegungen der Betroffenen nachverfolgt, um mögliche Zusammentreffen zu ermitteln.[8] Überwacht wurden auch Personen, die mit der Telekom kaum oder garnicht zu tun hatten.[9] Es besteht der Verdacht, dass Daten auch missbraucht wurden, um Vorteile in Arbeitskämpfen zu erzielen.[10]

Wenngleich diese missbräuchlichen Nutzungen gespeicherter Kommunikationsdaten vor Inkrafttreten der Vorratsdatenspeicherung erfolgten, waren zum damaligen Zeitpunkt doch zumindest all diejenigen Personen vor einer missbräuchlichen Aufdeckung ihres Kommunikationsverhaltens geschützt, die einen Pauschaltarif („Flatrate“) nutzten oder eine Löschung oder Verkürzung ihrer Verbindungsdaten verlangt hatten. Standortdaten waren damals dadurch vor einer rückwirkenden Aufdeckung geschützt, dass sie nicht gespeichert werden durften. Die Deutsche Telekom AG konnte in diesen Fällen allenfalls für die Zukunft Verkehrsdaten missbräuchlich aufzeichnen.

Einem heute stattfindenden Missbrauch von Kommunikationsdaten würden wegen der Vorratsdatenspeicherung sehr viel größere Datenmengen sowie eine sehr viel größere Zahl von Kontakten und Personen anheim fallen. Die bisherigen Möglichkeiten zum Schutz vor einer Protokollierung des Kommunikations-, Bewegungs- und Informationsverhaltens sind mit der Vorratsdatenspeicherung entfallen. Spätestens seit 2009 ist zusätzlich der gesamte E-Mail-Verkehr einer missbräuchlichen Auswertung ausgesetzt.

Eine Beschränkung der staatlichen Zugriffsrechte ist von vornherein nicht geeignet, derartigen Missbrauch zu verhindern.[11] Dies zeigt sich bereits daran, dass das Vorgehen der Deutschen Telekom AG gegen Telekommunikationsgesetz und Strafgesetzbuch verstieß und dennoch stattgefunden hat. Nach Auskunft der Bundesregierung sind bei Kontrollen der Deutschen Telekom AG durch die Aufsichtsbehörden keine Auffälligkeiten festgestellt worden; das Sicherheitskonzept war nicht zu beanstanden.[12] Dies zeigt, dass Sicherungsvorkehrungen auch in Zukunft weitere Fälle von Datenmissbrauch nicht werden verhindern können.

Einen wirksamen Schutz vor Missbrauch ermöglicht somit alleine die Unterbindung der Protokollierung des Verhaltens selbst entsprechend dem Gebot der Datensparsamkeit.[13] Nur nicht gespeicherte Daten sind sichere Daten.

Die von der Richtlinie in Blick genommene Datennutzung zu Strafverfolgungszwecken – die nicht selten aufgrund eines falschen Verdachts, mitunter auch missbräuchlich erfolgt – stellt nur einen kleinen Ausschnitt aus den insgesamt durch die Kommunikationsdatenerfassung drohenden Gefahren dar. Bloße Beschränkungen der Datennutzung durch die staatlichen Stellen lassen die Bürger ungeschützt vor

  1. illegalen Zugriffen des speichernden Unternehmens
  2. illegalen Zugriffen einzelner Mitarbeiter des speichernden Unternehmens
  3. illegalen Zugriffen staatlicher Stellen
  4. illegalen Zugriffen einzelner Mitarbeiter staatlicher Stellen
  5. illegalen Zugriffen Dritter wie etwa Hacker
  6. versehentlicher Offenlegung durch das speichernde Unternehmen
  7. versehentlicher Offenlegung durch einzelne Mitarbeiter des speichernden Unternehmens
  8. versehentlicher Offenlegung durch staatliche Stellen
  9. versehentlicher Offenlegung durch einzelne Mitarbeiter staatlicher Stellen.

Die Vorfälle bei der Telekom beweisen, dass Beschränkungen von Zugriffsrechten und ‑möglichkeiten vor irreparablen Nachteilen aufgrund der Aufzeichnung von Kommunikationsdaten nicht wirksam schützen können.

Ausweislich einer am 02. Juni 2008 vom Meinungsforschungsinstitut Emnid unter 1.000 Bundesbürgern durchgeführten Umfrage sind acht von zehn Bürgern überzeugt, dass es sich bei den Vorgängen bei der Telekom nicht um einen Einzelfall handelt, sondern dass derartige Vorgänge an der Tagesordnung sind.[14] Diese durchaus realistische Einschätzung zeigt, dass die Vorgänge bei der Telekom das Vertrauen der Bürger in die Vertraulichkeit der Telekommunikation weiter zerstört haben. Die Mehrheit der befragten Bürger forderte als Konsequenz aus den Vorgängen einen verbesserten Datenschutz.[15] Aus den genannten Gründen kann eine solche Verbesserung einzig in der Beendigung der Vorratsdatenspeicherung selbst liegen. Allein dies bietet einen effektiven Schutz vor Missbräuchen.

Eine Umfrage des Instituts für Demoskopie Allensbach im Januar 2009[16] ergab, dass nur 8% der Bundesbürger Unternehmen, wie sie mit gespeicherten Daten umgehen vertrauen. 82% misstrauen den Unternehmen da eher. Nur 16% der Bundesbürger vertrauen dem Staat, wie er mit gespeicherten Daten umgeht. 72% misstrauen dem Staat da eher. 61% der Befragten machen sich Sorgen, dass ihre eigenen Daten nicht ausreichend geschützt sind. 52% sind in letzter Zeit vorsichtiger geworden, wenn sie irgendwo ihre persönlichen Daten angeben mussten. Weitere 24% waren schon immer vorsichtig, wenn sie irgendwo ihre persönlichen Daten angeben mussten.

Neben dem Risiko von Datenverlust und -missbrauch bei den speichernden Stellen ist aber auch die Gefahr von Nachteilen infolge von Fehlern oder Irrtümern staatlicher Stellen bekannt. Telekommunikationsdaten führen regelmäßig dazu, dass Unschuldige überwacht, durchsucht oder sogar verhaftet werden. Sie weisen nämlich nur auf einen Anschluss hin, nicht aber auf die Person des Nutzers. Es kommt häufig zu Falschverdächtigungen, etwa weil Personen ein offenes WLAN-Netz anbieten.

Zu Unrecht ins Visier der Kriminalpolizei ist etwa ein 63-jähriger Mann aus Nürnberg geraten. Er war angezeigt worden, da von seinem Internetanschluss aus kostenpflichtige Erotikseiten besucht wurden, ohne die angefallenen Kosten hierfür zu bezahlen. Erst später stellte sich heraus, dass der eigentliche Täter den Internetzugang des zu Unrecht Verdächtigten über Funknetz (WLAN) genutzt hatte.[17]

Auch die Wohnung eines deutschen Professors wurde durchsucht und seine Computer beschlagnahmt, weil er Kinderpornografie über das Internet verbreitet haben soll. Tatsächlich hatte sein Internet-Zugangsanbieter der Polizei bloß eine falsche Auskunft erteilt.[18]

Insgesamt zeigt sich, dass die Vorratsdatenspeicherung zu einem hohen Maß an Verunsicherung unter Bürgern und Verbrauchern führt, die - mit Recht - um die Sicherheit ihrer sensiblen Verbindungs-, Standort- und Internetzugangsinformationen fürchten müssen, daneben aber auch mit der jederzeitigen (legalen) staatlichen Nachverfolgbarkeit ihrer Kommunikationsbeziehungen nicht einverstanden sind. Dieser Vertrauensverlust behindert oder verhindert die Nutzung der neuen Medien teilweise, was verheerende Auswirkungen auf die Betroffenen, die Gesellschaft, aber auch die Wirtschaft hat.

2.A.2. What additional measures (administrative, technical, legal, or other) would be appropriate for the offset of any negative impact(s) which has been identified?

1. Aufhebung der Richtlinie

Da nur nicht gespeicherte Daten sichere Daten sind, sollte die Richtlinie zur Vorratsdatenspeicherung in erster Linie als Irrweg aufgegeben werden. So hat keines ihrer Ziele erreicht, weder eine Harmonisierung der Datenspeicherung, noch eine messbare Verbesserung der Sicherheit der Bürger.

Von der ursprü�nglichen Zielsetzung der Richtlinie, die Speicherung von Telekommunikationsdaten in Europa zu vereinheitlichen, ist nichts ü�brig geblieben. Die Richtlinie schreibt lediglich Mindeststandards vor. Den EU-Mitgliedstaaten bleibt es unbenommen, die Daten lä�nger speichern zu lassen (Art. 12 Abs. 1 RiL 2006/24/EG), weitere Datentypen aufzeichnen zu lassen (Art. 15 RiL 2002/58/EG) oder Zugriffe zu anderen Zwecken als zur Verfolgung schwerer Straftaten zuzulassen. Während die Telekommunikationsbranche vor Inkrafttreten der Richtlinie in einigen Mitgliedsstaaten unterschiedlichen Anforderungen zur Vorratsdatenspeicherung ausgesetzt war, ist sie nun in sämtlichen Mitgliedsstaaten unterschiedlichen Anforderungen zur Vorratsdatenspeicherung ausgesetzt. Die Richtlinie hat also das Gegenteil ihres Ziels erreicht.

Ferner ist für keinen Staat ersichtlich, dass Kriminalitätsrate und Aufklärungsrate - und sei es auch nur im Bereich der Netzkriminalität - mit Vorratsdatenspeicherung höher wäre als ohne.

2. Sonst: Einführung eines Opt-out-Rechts der Mitgliesstaaten

Sollte die Kommission eine Aufhebung der Richtlinie nicht vorschlagen, so fordern wir, die Richtlinie dahin zu ändern, dass jeder Mitgliedsstaat selbst entscheidet, ob er eine verdachtslose Erfassung von Telekommunikationsdaten anordnen will und - nach seinem nationalen Verfassungsrecht - darf. Dazu könnte an Artikel 1 der Richtlinie 2006/24/EG beispielsweise folgender Absatz 3 angefügt werden:

Diese Richtlinie gilt nur für diejenigen Mitgliedsstaaten, nach deren nationalem Recht abweichend von den Artikeln 5, 6 und 9 der Richtlinie 2002/58/EG Daten, soweit sie im Rahmen ihrer Zuständigkeit im Zuge der Bereitstellung der betreffenden Kommunikationsdienste von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes erzeugt oder verarbeitet werden, auf Vorrat zu speichern sind.

Wenn man die Richtlinie auf ihre eigentliche Grundlage - die Beseitigung von Wettbewerbshindernissen durch unterschiedliche Anforderungen an Wirtschaftsunternehmen - zurück führt, ist bei Lichte betrachtet eine Harmonisierung der Vorratsdatenspeicherung nämlich nur in denjenigen Staaten erforderlich, die überhaupt eine Vorratsdatenspeicherung wollen. Vor allem ist eine verpflichtende Vorratsdatenspeicherung mit den Grundrechten der Bürger nicht vereinbar.

3. Klare Ausnahme nicht-kommerzieller Dienste

In Deutschland wird bestritten, dass die Pflicht zur Vorratsdatenspeicherung nach der RiL 2006/24/EG nur für kommerzielle Dienste gilt, wie es die Kommission zutreffend erläutert hat.[19] Ursache sind die insoweit divergierenden Sprachfassungen der Richtlinie 2002/21/EG, auf deren Definitionen die RiL 2006/24/EG Bezug nimmt.

In der englischen Fassung der RiL 2002/21/EG lautet Art. 2 Buchst. c: "'electronic communications service' means a service normally provided for remuneration […]". Auch in der französischen Fassung definiert Art. 2 Buchst. c "service de communications électroniques" als "le service fourni normalement contre rémunération […]".

Nur die deutsche Fassung verursacht Verwirrung, weil "elektronische Kommunikationsdienste" im Plural als "gewöhnlich gegen Entgelt erbrachte Dienste" definiert werden. Dies wird nun von der Bundesregierung und der Bundesnetzagentur so ausgelegt, dass selbst unentgeltliche WLAN-Zugänge, E-Mail-Dienste o.ä. zur Vorratsdatenspeicherung verpflichtet seien, weil WLAN-Zugänge und E-Mail-Dienste gewöhnlich gegen Entgelt erbracht würden.[20] Richtigerweise ist aber maßgeblich, ob das jeweilige Angebot des einzelnen Anbieters gewöhnlich gegen Entgelt erbracht wird oder nicht.

Es macht inhaltlich einen Unterschied, ob "Dienste [einer Art] gewöhnlich gegen Entgelt" erbracht werden oder ob "ein Dienst gewöhnlich gegen Entgelt" erbracht wird.

Daher muss die deutsche Definition in Art. 2 Buchst. c RiL 2002/21/EG entsprechend der französischen und englischen Fassung formuliert werden:

c) "elektronischer Kommunikationsdienst": ein gewöhnlich gegen Entgelt erbrachter Dienst, der ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze besteht, einschließlich Telekommunikations- und Übertragungsdienste in Rundfunknetzen, jedoch ausgenommen Dienste, die Inhalte über elektronische Kommunikationsnetze und -dienste anbieten oder eine redaktionelle Kontrolle über sie ausüben; nicht dazu gehören die Dienste der Informationsgesellschaft im Sinne von Artikel 1 der Richtlinie 98/34/EG, die nicht ganz oder überwiegend in der Übertragung von Signalen über elektronische Kommunikationsnetze bestehen;

Wir fordern die Kommission auf, auf eine entsprechende Berichtigung der deutschen Sprachfassung des Art. 2 Buchst. c RiL 2002/21/EG hinzuwirken.

4. Volle Kostenerstattung für die verpflichteten Unternehmen

Viertens fordern wir, die ursprünglich von der Kommission vorgeschlagene Kostenerstattungspflicht in die Richtlinie aufzunehmen, wobei die erforderlichen Investitions-, Vorhalte- und Auskunftskosten voll zu erstatten sind.

Die wirtschaftlichen Auswirkungen einer Vorratsspeicherungspflicht sind enorm. Diese Zusatzkosten könnten 15-20% der Kosten von Telekommunikationsdienstleistungen ausmachen[21] und zur Einstellung bisher kostenloser Angebote führen. Ausnahmen für kleinere Anbieter sind nicht vorgesehen. Die vorgeschriebene Datenspeicherung können kleine Anbieter nicht leisten; die dazu erforderlichen Einrichtungen werden sie aus finanziellen Gründen nicht anschaffen. Die Vorratsdatenspeicherung führt dadurch zu einer deutlichen Verschlechterung der telekommunikativen Infrastruktur, auch im internationalen Vergleich.

Die Verfassungsgerichte Österreichs und Frankreichs haben bereits entschieden, dass eine entschädigungslose Inpflichtnahme der Wirtschaft zu Strafverfolgungszwecken verfassungswidrig ist.[22] In der Tat sind Telekommunikationsunternehmen für den Missbrauch ihrer Dienste durch Straftäter nicht verantwortlich. Sie kontrollieren die Kommunikation ihrer Kunden nicht und dürfen dies wegen des Fernmeldegeheimnisses auch nicht. Die Telekommunikationsüberwachung erfolgt nicht zu ihren Gunsten, sondern ist eine öffentliche Angelegenheit, deren Lasten die Allgemeinheit der Steuerzahler zu tragen hat. In Deutschland ist deshalb aus Art. 12 und Art. 3 GG abzuleiten, dass der Staat Telekommunikationsunternehmen die Mehrkosten einer staatlich angeordneten Vorratsdatenspeicherung voll zu erstatten hat.[23] Eine Verfassungsbeschwerde gegen den Ausschluss der Kostenerstattung ist in Deutschland anhängig.[24] Das Verwaltungsgericht Berlin hält den Ausschluss für verfassungswidrig.[25]

Bislang ist in Deutschland eine (teilweise) Entschädigung für die Mitwirkung an der Telekommunikationsüberwachung nur für Mehrkosten infolge einzelner Überwachungsanordnungen vorgesehen (§ 23 Abs. 1 S. 1 Nr. 2 JVEG, § 20 G10). Diese Entschädigung deckt nur 2% der Kosten ab, die Telekommunikationsunternehmen durch ihre gesetzlich angeordnete Mitwirkung an der Telekommunikationsüberwachung entstehen.[26] Insbesondere eine Entschädigung für gesetzlich vorgeschriebene Überwachungsvorrichtungen und für sonstige Vorhaltekosten (z.B. Personalkosten) ist gegenwärtig ausgeschlossen (§ 110 Abs. 1 und Abs. 9 S. 2 TKG). Viele Anbieter haben nicht einmal eine Überwachungsmaßnahme pro Jahr durchzuführen.

Müsste der Staat für die enormen Kosten der Vorratsdatenspeicherung aufkommen, so würde offenbar, dass der damit verbundene Aufwand zulasten tatsächlicher, gezielter Maßnahmen zur Gewährleistung der Sicherheit geht. Es würde sich schon aus Haushaltssicht die Frage stellen, ob die für die Vorratsdatenspeicherung aufgewandten Mittel nicht sinnvoller und effektiver eingesetzt werden könnten. Zum Schutz vor Netzkriminalität beispielsweise versprechen technische Schutzmaßnahmen und Aufklärungskampagnen einen weitaus größeren Erfolg als repressive Maßnahmen.[27]

5. Schutz von Datenpannen, Datendiebstahl und Datenmissbrauch verbessern

Folgende Maßnahmen erscheinen zur besseren Sicherung von Telekommunikationsdaten gegen unbefugte Zugriffe sinnvoll:

1. Verschlüsselung der Vorratsdaten

Erstens sollten die Anbieter personenbezogene Telekommunikationsdaten mithilfe von asymmetrischen Schlüsseln der „Bedarfsträger“ in Echtzeit verschlüsseln und verschlüsselt in einer gesonderten Datenbank aufbewahren. Durch den Einsatz asymmetrischer Schlüssel ist gesichert, dass die Daten ausschließlich von den Bedarfsträgern unter Verwendung ihres geheimen Entschlüsselungs-Schlüssels (privater Schlüssel) wieder in Klartext verwandelt und genutzt werden können und nicht von dem Anbieter oder Dritten, wie es etwa bei der Deutschen Telekom AG systematisch geschehen ist. Auskunftsersuchen kann der Anbieter auch dann bedienen, wenn er die gespeicherten personenbezogenen Telekommunikationsdaten verschlüsselt hat. Er muss dazu nur die Suchkriterien aus dem Auskunftsersuchen mit den Schlüsseln der Bedarfsträger verschlüsseln und das Ergebnis mit seiner Datenbank abgleichen. Die ermittelten, verschlüsselten Daten übermittelt er an die Behörde. Die Behörde entschlüsselt die Daten sodann mit ihrem geheimen Schlüssel.

2. Isolierung der Vorratsdaten

Damit Telekommunikationsdaten nicht versehentlich über das Internet veröffentlicht oder zugänglich gemacht werden, darf die Datenbank zweitens nicht an das Internet angebunden sein. Eine strenge physikalische Trennung des Datenbankrechners vom Internet ist dazu erforderlich.

3. Sichere Übermittlung von Vorratsdaten

Drittens ist gegenwärtig zu beklagen, dass die Anbieter Auskunftsersuchen verbreitet per E-Mail beantworten. Die angeforderten Telekommunikationsdaten werden entweder überhaupt nicht oder mit einem so schwachen Verfahren verschlüsselt (ZIP), dass sich der Schutz mit kostenloser Software aus dem Internet in Sekundenschnelle aufheben lässt. Da E-Mails über beliebige Rechner im In- und Ausland übertragen werden, bis sie zum Empfänger gelangen, liegt in dieser Verfahrensweise ein gravierendes Risiko für die Vertraulichkeit der übermittelten Telekommunikationsdaten. Zu fordern ist entweder eine wirksame Verschlüsselung oder die Nutzung eines anderen Übertragungsmediums (z.B. Post). Papier ist ohnehin besser vor unbefugter Weitergabe geschützt als elektronische Daten, die sich beliebig und spurenlos weiterstreuen lassen.

4. Maßnahmen zur Gewährleistung der Datensicherheit müssen dem Stand der Technik entsprechen

Begründung: In den letzten Monaten sind immer wieder schwerwiegende Datenpannen mit Millionen von Betroffenen bekannt geworden, die hätten vermieden werden können, wenn die Verarbeitungssysteme auf dem Stand der Technik gewesen wären (z.B. durch Anwendung von Updates).

Formulierungsvorschlag für Artikel 17 (1) RiL 95/46/EG – neu: „Die Mitgliedstaaten sehen vor, daß der für die Verarbeitung Verantwortliche die geeigneten technischen und organisatorischen Maßnahmen durchführen muß, die für den Schutz gegen die zufällige oder unrechtmässige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang – insbesondere wenn im Rahmen der Verarbeitung Daten in einem Netz übertragen werden – und gegen jede andere Form der unrechtmässigen Verarbeitung personenbezogener Daten erforderlich sind.Diese Maßnahmen müssen dem Stand der Technik entsprechen und ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.“

Rechtliche Anforderungen an die Datensicherheit werden allerdings verbreitet nicht beachtet, selbst wo sie bestehen. Dies zeigen die zahlreichen Datenmissbräuche, Datenpannen und sonstigen Datenskandale der vergangenen Monate. Um diesem Durchsetzungsdefizit besser zu begegnen, kommen etwa die folgenden Maßnahmen in Betracht:

1. Einführung eines Verbandsklagerechts für Verbraucher- und Datenschutzverbände, damit sie gegen datenschutzwidrige Praktiken klagen können.

Begründung: Bei von Einzelnen angestrengten Prozessen wegen datenschutzwidriger Praktiken – etwa im Fall Voss ./. T-Online – gibt es immer wieder Finanzierungsschwierigkeiten; außerdem wird das Urteil von der Gegenseite oftmals nur für den jeweiligen Kläger umgesetzt und nicht für alle Kunden.

2. Klarstellung, dass Datenschutzbestimmungen auch dem Schutz eines fairen Wettbewerbs dienen.

Begründung: Die Einhaltung des Datenschutzrechts ist wettbewerbsrelevant, weil sich hiergegen verstoßende Unternehmen im Wettbewerb mit datenschutzkonform arbeitenden Konkurrenten einen unlauteren Vorteil durch Rechtsbruch verschaffen. Bisher sind die Gerichte in Deutschland der Meinung, dass Datenschutzvorschriften nicht wettbewerbsschützend seien. Das Wettbewerbsrecht ist aber ein effizientes, unbürokratisches und erfolgreiches Instrument, das auf den Bereich des Datenschutzes erstreckt werden sollte.

3. Einführung einer Herstellerhaftung für den Fall, dass unsichere Produkte zu Datenschutzverletzungen führen (Produkthaftung)

Begründung: Im Softwarebereich wäre es sinnvoll, die Produkthaftung von Herstellern informationstechnischer Produkte auf Vermögensschäden zu erstrecken, die dadurch entstehen, dass ein Produkt nicht wirksam (Stand der Technik) vor Computerattacken oder Datenverlust geschützt ist. Dann würden Softwarehersteller für die Folgen ihrer Sicherheitslücken („Bugs“) haften, die schon oft für Verluste persönlicher Daten und von Betriebsgeheimnissen gesorgt haben. Das Haftungsrecht ist ein sehr effizientes Rechtsdurchsetzungsinstrument, wie sich etwa im Bereich derArbeitssicherheit gezeigt hat. Es sollte auch für den Datenschutz nutzbar gemacht werden.

4. Verschuldensunabhängige Haftung für Datenschutzverletzungen mit pauschaler Entschädigungssumme

Die Datenverarbeiter sollten den Betroffenen auch fürimmaterielle Schäden haften (z.B. Sorge um einen möglichen Missbrauch ihrer Daten infolge einer Datenpanne), und zwar verschuldensunabhängig. Ein Regelwert für den immateriellen Schaden sollte festgelegt werden (z.B. 200 Euro pro Person). Entschädigungszahlungen wegen Datenpannen könnte der für die Verarbeitung Verantwortliche dann vom Hersteller ersetzt verlangen (siehe Punkt 3 oben), wenn ein unsicheres Produkt für den Schaden verantwortlich ist.

Begründung: Durch die Einführung einer Haftung für Datenpannen samt pauschaler Entschädigungssummen wären große Datenverarbeiter gezwungen, sich gegen Datenschutzverletzungen zu versichern. Durch die Versicherungsprämie hätten sie ein eigenes finanzielles Interesse daran, die Schadenswahrscheinlichkeit zu senken. Auf dem Gebiet der Unfallversicherung hat ein solches System bereits zu einem drastischen Rückgang der Zahl der Arbeitsunfälle geführt.

5. Benachteiligungsverbot bei Gebrauchmachen von Datenschutzrechten

Begründung: In der Praxis werden unabdingbare Regelungen des Datenschutzrechts immer wieder dadurch umgangen, dass Unternehmen mit einer ordentlichen Kündigung reagieren, wenn Betroffene von ihren gesetzlich garantierten Rechten Gebrauch machen. Zu diesen unabdingbaren Betroffenenrechten zählt insbesondere das Recht, Auskunft über die zur eigenen Person gespeicherten Daten verlangen zu dürfen sowie die Rechte auf Berichtigung, Löschung und Sperrung personenbezogener Daten.

Formulierungsvorschlag Richtlinie 95/46/EG: "Der für die Verarbeitung Verantwortliche darf den Betroffenen nicht benachteiligen, weil dieser in zulässiger Weise von Rechten aus dieser Richtlinie Gebrauch macht. Wenn im Streitfall der Betroffene Tatsachen glaubhaft macht, die eine Benachteiligung im Sinne des Satzes 1 vermuten lassen, trägt der Verantwortliche die Beweislast dafür, dass andere, sachliche Gründe die Behandlung des Betroffenen rechtfertigen."

6. Einrichtung einer „Stiftung Datentest“ nach dem Vorbild der „Stiftung Warentest“, um verschiedene Anbieter von Dienstleistungen einer Art zu vergleichen im Hinblick auf die Menge der jeweils erhobenen personenbezogenen Daten, die Datenverwendung und -weitergabe (etwa ins Ausland, an Auskunfteien oder zu Werbezwecken) und die Datensicherheit

Begründung: Verbraucher können heutzutage realistischerweise nicht überblicken, was einzelne Anbieter mit ihren Daten machen. Auf dem Gebiet der Qualitätssicherung hat sich in Deutschland das Modell der „Stiftung Warentest“ bewährt, die Produkte testet, vergleicht und benotet. Wenn es eine „Stiftung Datentest“ gäbe, könnten Verbraucher sich ausgehend von deren Urteil leicht für ein datenschutzfreundliches Produkt entscheiden. Hersteller würden schon präventiv für mehr Datenschutz sorgen, um eine Empfehlung zu erzielen und schlechte Bewertungen zu vermeiden.



1. Aufhebung. 2. Optionale Umgestaltung. EU-Maßnahme ist zur Harmonisierung nicht erforderlich und taugt dazu auch nicht. 3. Kostenerstattung (Textbaustein aus Stellungnahme gegenüber Bundestag). 4. Textbaustein Schriftsatz an BVerfG zu Datensicherheit. 5. Vorschläge ggü EU-Kommission zur DS-RL. 6. Ausnahme für nicht-kommerzielle.

2.A.3. Which ones of the measures mentioned under 2.A.2 should be addressed at the level of the European Union?

alle

2.A.4. Having regard to changes in technology and experience gathered with the operation of the Data Retention Directive, is the balance provided for by the Directive between enhancing security by means of retaining communication data and protecting civil liberties still appropriate. If a different balance is deemed to be appropriate, please provide details how to adjust the balance as well as the motivation underlying the assessment. [can entail Quantitative elements]

s.o.

2.B. Evaluation of the effectiveness of existing (non-)legislative measures or technical solutions to ensure the traceability of users of communications services, in particular mobile phone lines, opened with prepaid SIM cards.

2.B.1. What has been the effect, if any, on civil liberties of measures taken at national level to increase the traceability of users of communication devices? Please provide examples of these effects as well as indications of the size of their impact.

T-Mobile-Skandal. Tauschbörse, Anleitungen, Flohmärkte, eBay. Klagen der Polizei. Zahl der Abfragen.

Eine Umfrage unter über 100.000 Internetnutzern im Jahr 2009[28]hat ergeben, dass jeder vierte Internet-Nutzer zum Schutz seiner Daten immer oder vorwiegend unter Fantasienamen im Netz unterwegs ist. Jeder fünfte Internetnutzer macht Fantasieangaben bei Online-Registrierungen. Fantasieangaben werden aus den folgenden Gründen gemacht:

  • 66% wollen auf diese Weise die Zusendung unerwünschter Werbung verhindern.
  • 62% wollen auf diese Weise einen Verkauf ihrer Daten verhindern.
  • 58% wollen auf diese Weise ein Internetangebot anonym nutzen.
  • 53% wollen sich dagegen wehren, dass unangemessen viele Daten abgefragt werden.
  • 41% wollen im Internet überall anonym bleiben.

Wenngleich sich die Umfrage nicht auf Telekommunikationsangebote bezieht, ist zu vermuten, dass ebenso viele Menschen bei der Registrierung von Handy-SIM-Karten oder von E-Mail-Diensten Fantasieangaben macht.

2.B.2. Which additional measures (administrative, technical, legal, or other) should be taken for the offset of negative impacts, if any?

Abschaffung des Identifizierungszwangs, keinesfalls Einführung auf EU-Ebene. Zitat Europaratsrichtlinien.

2.B.3. Which ones of these measures should be addressed at the level of the European Union?

Keine Einführung.

Questions addressed to national supervisory authorities and the European Data Protection Supervisor (EDPS)

Assessment of the application of Directive 2006/24/EC, taking into account further developments in electronic communications technology and the statistics provided pursuant to Article 10Please provide information on the distribution of competences of supervisory authorities according to Directives 95/46/EC, 2002/58/EC and 2006/24/EC.

Do authorities have investigative powers vis-à-vis providers? Which cases of complaints, if any, that have led to supervisory or investigative activities? Please provide for an overview of these activities and the outcome of proceedings.

Do authorities have investigative powers vis-à-vis public authorities? Which cases of complaints, if any, that have led to supervisory or investigative activities? Please provide for an overview of these activities and the outcome of proceedings.

Do authorities have the power to audit the compliance of providers and have there been any audits? If so, please provide details about such audits and the outcome of proceedings. [can entail Quantitative elements]

Which problems have supervisory authorities identified with the practical implementation of the Directive? (legal, practical, other; please provide details) [can entail Quantitative elements]

3.A.5 What experience do authorities have with the supervision of data that service providers have stored centrally, i.e. either within their jurisdiction or beyond? If so, please provide details about the challenges met in that context, also with regard to data stored outside of the EU/EEA. Please specify in particular the data protection issues that have been addressed that that context and the approach that has been followed to settle the contentious issues. [can entail Quantitative elements]

3.A.6 Please provide details about case law (jurisprudence), if any, with regard to the implementation or use of the Data Retention Directive or concerning the use of retained data within criminal investigations?

Evaluation of the effectiveness of existing (non-)legislative measures or technical solutions to ensure traceability of users of communications services, in particular mobile phone lines, opened with prepaid SIM cards. Please provide details of the observations made by the data protection authorities with regard to practical needs and privacy issues surrounding measures intended to increase the traceability of users, if any, in particular of mobile pre-paid SIM cards, in particular from the point of view of ensuring the appropriate balance between the respect the privacy of users and security interests. In case any procedure has been brought against the such means or measures deployed in your country, please provider details about this procedure. [can entail Quantitative elements]

Questions to the private sector (ISPs, telecom operators, network and cable operators)

Assessment of the application of Directive 2006/24/EC, taking into account further developments in electronic communications technology and the statistics provided pursuant to Article 10.

For all questions in this section, please differentiate by type of service if applicable

Does the implementation of the Directive have the effect of requiring communication providers to retain data for a longer period than permitted for business purposes under Directive 2002/58/EC?

Do national authorities oblige communication providers to retain data, e.g. regardless of size, customer type and number, type of service? If national authorities differentiate between private sector stakeholders, please describe the criteria for .such differentiation.

Since when are data retention obligations in force, and, where relevant: since when is data retention applied in practice within a specific Member State with regard to specific communication providers?

Please provide details about the investment costs, if any, to fulfil their obligations on:

retaining the data for the period required by national law,

ensuring the security requirements imposed by the Directive,

responding to requests without “undue delay”, as defined by national law or in a service level agreement.

ensuring that data are only retained for the purposes defined in the Directive and separated from data used for business operations, as determined by national law and necessary.

Please provide details about the implementation of specific organisational measures and procedures, if any, by communication providers that are necessary to comply with the obligations identified in the previous question (a-d)?

Is it possible to quantify financial impacts of the necessary measures? If so, please provide the relevant information to assess this impact. [can entail Quantitative elements]

Does the reimbursement by national authorities, if any, cover the expenditure necessary for compliance with the Directive?

Does the relevant legislation and practice provide providers with legal certainty regarding their obligations concerning the protection of data of their subscribers and users?

Have providers received direct requests from authorities in another Member State than that of their establishment? Were their any problems with these requests? If so, please provide for a description of these problems.

Please provide information, differentiated by type of operator etc concerning the elements of section 1.A.1 of this questionnaire.

Which economic effect do providers observe

on competition,

investment in new infrastructures and services,

retail tariffs? Please provide quantitative information, and where such is not possible, qualitative indicators to allow assessment of the economic effect.

Centralised storage of retained data

Do operators store data at a centralised level outside of the country where the data are generated? If so please provide details about the location, size and business impact of the centralised storage

Do operators transfer retained data that are stored at centralised level to other countries that are bound by the Data Retention Directive or to third countries?

Evaluation of the effectiveness of existing (non-)legislative measures or technical solutions to ensure traceability of users of communications services, in particular mobile phone lines, opened with prepaid SIM cards

Please provide information about the number of cases where communication providers been requested to identify users of pre-paid SIM cards?

Which means do providers have to identify users of prepaid SIM cards? Please describe the number of cases or ratio of cases where information could not be provided in relation to the means used.

.
Annex
Council Conclusions on combating the criminal misuse and anonymous use of electronic communications

2908th JUSTICE and HOME AFFAIRS Council meeting Brussels, 27-28 November 2008

The Council adopted the following conclusions:

"THE COUNCIL OF THE EUROPEAN UNION,

RECALLING the importance it attaches to the development in the territory of the European Union of electronic communications and of roaming, which are corollaries of the principle of the free movement of persons and of the establishment of a real "People's Europe";

WELCOMING the efforts of the European Commission, the Member States, national regulators and providers of electronic communications to improve communications between users, in particular through roaming agreements;

WELCOMING the reduction of roaming costs resulting from Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (the framework Directive) and Regulation (EC) No 717/2007 of the European Parliament and of the Council of 27 June 2007 on roaming on public mobile telephone networks within the Community and amending Directive 2002/21/EC;

RECALLING that the free movement of persons and the development of electronic

communications must go hand in hand with the establishment of an area of freedom, security and justice, one of the substantive objectives of the European Union;

BEARING IN MIND Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) and Directive 2006/24/EC of the European Parliament and of the Council of 15 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks, and amending

Directive 2002/58/EC;

EMPHASISING the importance of the rules contained in the abovementioned instruments for both the protection of data derived from electronic communications and the conservation of such data for the purposes of criminal investigations;

DRAWING ATTENTION to the fact that organised criminal groups take advantage of the implementation of the principle of free movement of persons and the development of electronic (and especially mobile) communications to conduct their criminal activities in the territory of the Union;

NOTING that the impossibility, for the competent authorities, of identifying users of mobile telephones working with prepaid SIM cards can allow perpetrators of criminal offences to communicate with co-perpetrators or accomplices with complete impunity;

NOTING also that cross-border crime can be facilitated by the fact that, in roaming, the identity of the subscriber of the telephone line, registered with the home operator, is unknown to the host country operator registered in the destination country, whether that line operates on the basis of a subscription or a prepaid SIM card;

CONSIDERING the advantage there would be in being able to know the identity of the purchaser of a prepaid SIM card, in order to trace the user of a terminal;

EMPHASISING furthermore that mobile telephony is the medium of numerous criminal offences against mobile phone operators such as fraudulent reloading of prepaid phone cards and VAT fraud;

INSISTING that the development and intensification of police and judicial cooperation in criminal matters in European Union territory must be accompanied by improvements in the partnership between the public and the private sectors;

BEARING IN MIND its conclusions of 8 May 2003, in which it considered that the tracing of the use of prepaid mobile telephone cards could improve criminal investigations and particularly those relating to serious criminal offences,

CONCLUDES THAT IT IS NECESSARY TO COMBAT THE CRIMINAL MISUSE AND ANONYMOUS USE OF ELECTRONIC COMMUNICATIONS, AND TO THAT END:

RECALLS the importance of making the best possible use of the potential offered by the abovementioned European instruments;

INVITES Member States to supply, at the request of the Commission, all relevant information on legislative and non-legislative measures or technical solutions implemented to identify users of communications media, and their degree of operational effectiveness;

INVITES the Commission, in the context of the report referred to in Article 14 of the

abovementioned Directive 2006/24/EC, and by 15 September 2010, to inform it of the legislative and non-legislative measures or technical solutions notified by the Member States and, on that basis, to propose non-legislative and technical solutions to help the services and authorities responsible for compliance with the law to better identify users of electronic communications services such as users of mobile phone lines opened with prepaid SIM cards and, if after evaluation it is apparent that these measures are unsuccessful in effectively ensuring traceability, to propose legislative measures;

SUGGESTS that these proposals also address the question of the reasonable retention period for information necessary to identify the phone user, given the time required for criminal investigations and in particular for those relating to serious forms of crime;

STRESSES that these proposals must take account of the objective of keeping the processing of personal data to a minimum and of using anonymous or pseudonymous data where possible, pursuant to the abovementioned Directive 2006/24/EC;

STATES that it is important that these proposals take account of their cost in relation to their anticipated benefit, and of a fair balance between the needs of the authorities and services responsible for criminal investigations and the economic development of operators and distributors bearing in mind the constraints which already weigh on them;

HOPES, finally, that the Commission proposals will, if appropriate, address any other difficulty encountered by Member States or their competent authorities in the framework of criminal investigations relating, in particular, to serious forms of crime, as regards the traceability of electronic communications, whether mobile or not – for example, difficulties relating to instant messaging used from a portable computer."


  1. CAPEX or CAPital EXpenditure, are expenditures creating future benefits. In concrete terms it is the cost of developing or providing non-consumable parts for the product or system, and may also include the cost of workers and facility expenses such as rent and utilities.
  2. OPEX or OPerational EXpenditure are operating costs or recurring expenses which are related to the operation of a business, or to the operation of a device, component, piece of equipment or facility.
  3. http://www.vorratsdatenspeicherung.de/images/schriftsatz_2008-02-11_anon.pdf
  4. http://www.vorratsdatenspeicherung.de/images/forsa_2008-06-03.pdf
  5. Spiegel Online vom 24.05.2008, http://www.spiegel.de/wirtschaft/0,1518,555162,00.html.
  6. a.a.O.
  7. Spiegel Online vom 29.05.2008, http://www.spiegel.de/wirtschaft/0,1518,556398,00.html.
  8. Handelsblatt vom 30.05.2008, http://www.handelsblatt.com/News/default.aspx?_p=201197&_t=ft&_b=1436894.
  9. http://www.spiegel.de/wirtschaft/0,1518,591374,00.html
  10. http://www.swr.de/report/-/id=233454/did=4196196/pv=video/gp1=4340300/nid=233454/16mqp0q/index.html
  11. Gola/Klug/Reif, Datenschutz- und presserechtliche Bewertung der „Vorratsdatenspeicherung“ (2007), 38.
  12. Bundesregierung, BT-Drs. 16/9894, 3.
  13. Gola/Klug/Reif, Datenschutz- und presserechtliche Bewertung der „Vorratsdatenspeicherung“ (2007), 38; Rusteberg, VBlBW 2007, 171 (175).
  14. Pressemitteilung von N24 vom 04.06.2008, http://www.presseportal.de/pm/13399/1204206/n24.
  15. a.a.O.
  16. http://www.ifd-allensbach.de/pdf/prd_0906.pdf
  17. http://www.presseportal.de/polizeipresse/p_story.htx?nr=920697
  18. http://www.lawblog.de/index.php/archives/2008/03/11/provider-liefert-falsche-daten-ans-bka/
  19. Antworten E-0969/2009 und E-4374/09.
  20. Bundesjustizministerium, Stellungnahme vom 02.06.2009 gegenüber dem Bundesverfassungsgericht, http://www.vorratsdatenspeicherung.de/images/StN_BMJ_2009-06-02.pdf, S. 21 ff.
  21. ISPA Austria, http://www.ispa.at/www/getFile.php?id=452.
  22. Conseil constitutionnel, 2000-441 DC vom 28.12.2000, http://www.conseil-constitutionnel.fr/decision/2000/2000441/2000441dc.htm; Österr. Verfassungsgerichtshof, G 37/02-16 u.a. vom 27.02.2003, http://www.epic.org/privacy/intl/austrian_ct_dec_022703.html.
  23. Näher Breyer, Vorratsspeicherung (2005), www.vorratsspeicherung.de.vu, 277 ff. und 357 ff.
  24. Initiative Europäischer Netzbetreiber (IEN), Pressemitteilung vom 10.11.2006, http://www.ien-berlin.de/resources/061110-PM-AKUE.pdf.
  25. Verwaltungsgericht Berlin, Beschluss v. 02.07.2008 - Az.: VG 27 A 3.07, http://www.webhosting-und-recht.de/urteile/Verwaltungsgericht-Berlin-20080702.html
  26. Bitkom: Schriftliche Stellungnahme zur öffentlichen Anhörung am 09.02.2004 zum Entwurf eines Telekommunikationsgesetzes, in Ausschussdrucksache 15(9)961, http://www.bitkom.org/files/documents/StN_BITKOM_TKG_Wirtschaftsausschuss_03.02.04.pdf, 24.
  27. Näher Breyer, Vorratsspeicherung (2005), www.vorratsspeicherung.de.vu, 338 ff.
  28. http://www.w3b.org/nutzerverhalten/furcht-vor-datenmissbrauch-beeinflusst-nutzerverhalten.html
Von „http://wiki.vorratsdatenspeicherung.de/Evaluierung_Richtlinie
Persönliche Werkzeuge
Werkzeuge