Das neue Sicherheitspolizeigesetz (SPG) verpflichtet Betreiber öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003 - TKG 2003, BGBl. I
Nr. 70) und sonstige Diensteanbieter (§ 3 Z 2 E-Commerce-Gesetz - ECG, BGBl. I Nr. 152/2001), in bestimmten Situationen, den Sicherheitsbehörden (Polizei) auf Anfrage Daten zur Verfügung zu stellen.
Da hiermit auch Diensteanbieter nach dem E-Commerce-Gesetz verpflichtet werden, ist es wichtig, sich auf Anfragen durch die Polizei einzustellen. Als Diensteanbieter („eine natürliche oder juristische Person oder sonstige rechtsfähige Einrichtung, die einen Dienst der Informations¬gesell¬schaft bereitstellt“) sind sie aber vor allem natürlich Ihren Kunden gegenüber verpflichtet, mit dem ein Vertragsverhältnis besteht. Dies stellt daher ein Spannungsverhältnis dar, unter dem es besonders wichtig ist, korrekt zu handeln und vorzugehen.
In der Praxis werden vor allem Anfragen nach §53 3a und 3b gestellt werden. Die Wirtschaftskammer, in Form des Fachverbandes der Telekom-Betreiber und der UBIT (Unternehmensberatung und IT Dienstleistung), hat mit dem Innenministerium (BMI) nach langen Verhandlungen einige Schritte der Vorgangsweise abgeklärt.
- Anfragen des BMI können nur von den 9 Landeskriminalämtern, dem BKA, …. kommen
- Alle Anfragen werden mit einem Formblatt abgefragt, das auf Anfrage bei der UBIT verfügbar ist
Damit ist zumindest erreicht und per BMI Erlass geregelt, dass nicht jeder Sicherheitswachebeamte eine Anfrage nach dem SPG stellen darf.
Um im Falle der Anfrage durch das BMI korrekt zu handeln, sind folgende Fragen zu stellen:
- Kommt die Anfrage von einer anfrageberechtigten Stelle
- Ist die Anfrage mit dem vom BMI vorgegebenen Formblatt gestellt
- Ist das Formblatt korrekt ausgefüllt
- Betrifft die Anfrage einen Dienst, der im Verantwortungsbereich Ihrer Firma oder der durch sie betreuten Firma liegt
- Gibt es in Ihrer Firma eine Vorschrift über Vorgangsweisen für Auskünfte nach dem SPG
- Gibt es rechtliche Unklarheiten bezüglich der konkret gestellten Anfrage
- Wer hat das technische Wissen, um Anfragen technisch korrekt beurteilen und Auskünfte korrekt behandeln zu können
- Welche Daten haben sie gespeichert und wie lange speichern sie diese Daten
- Können sie vor Auskunfterteilung rechtliche Beratung in Anspruch nehmen
- Wie kann Ihr von der Anfrage betroffener Kunde über das Auskunftsbegehren informiert werden
Manche Fachgruppen, wie z.B die UBIT Fachgruppe Wien, haben eine rechtsberatende Stelle eingerichtet, um Ihnen im Vorfeld der Auskunftserteilung rechtskundig zur Seite zu stehen. Vor allem im Spannungsfeld zwischen sicherheitspolizeilicher Anforderung und Ihrem Kundenverhältnis kann Ihnen die Entscheidung, ob sie zur Auskunft verpflichtet sind, hiermit fachlich qualifiziert erleichtert werden.
Anworten:
- Anfrageberechtigte Stellen können bei der UBIT angefragt werden
- Ihre WKÖ UBIT kann Ihnen immer das (aktuelle) Formular zusenden
- Formular genau prüfen, ob auch die relevanten Bereiche ausgefüllt sind
- Nur ein Dienst der Internetgesellschaft oder nach dem TKG verpflichtet sie zur Auskunftserteilung, nach derzeitiger Rechtsauffassung nur für e-mail und SMS Nachrichten. Betrifft die Anfrage einen Dienst, der nicht Ihrer Verantwortung, sondern der Ihres Kunden unterliegt (z.B. bei Serverhousing), dürfen sie keine Auskunft erteilen.
- Sollten sie noch keine Vorschrift haben, so sollten sie, unter Berücksichtigung der internen Firmenvorschriften und Vorgangsweisen, Ihren verantwortlichen MitarbeiterInnen eine entsprechende Verhaltensregel vorlegen. Bei rechtlichen Unklarheiten immer Ihre Rechtsbetreuung fragen. Ihre WKÖ UBIT steht Ihnen zur Verfügung, im Link (www.itsecurityexperts.at) können sie die Vorgangsweise finden, wie hier Rechtsauskunft für sie kurzfristig im Anlassfall organisiert wird (z. B. UBIT Wien, B, Stmk)
- Definieren sie firmenintern, wer Auskünfte technisch bearbeiten muß, und schulen sie diese Person entsprechend.
- Nur vorhandene Daten können beauskunftet werden. Das SPG beinhaltet keine Speicherungsverpflichtungen – im Gegensatz dazu sind das TKG und das DSG sehr restriktiv, was Speichererlaubnis betrifft
- Bei Unklarheiten ist eine Rechtsberatung dringend anzuraten, die im SPG vorgesehene Unverzüglichkeit ist nicht näher definiert. Jedenfalls ist zur Beantwortung von SPG-Anfragen kein eigener 24 Stunden Dienst einzurichten und sie haben, außer bei Gefahr im Verzug, immer Zeit, Ihre Rechtsvertretung zu befragen.
- Das SPG sieht keine Geheimhaltungsverpflichtung vor, sie können daher jederzeit Ihre Kunden von einem Anfragebegehren informieren.
