VfGH: Keine Grundlage für erweiterte Speicherung von Handy- und Internetdaten

Erstellt von Manfred Krejcik am 7/18/09 • In Kategorie Bundestrojaner, Coverstory, Datenschutz, Handyortung, Innenpolitik, Innere Sicherheit, Menschenrechte, Onlinedurchsuchung, Politik, Privatsphäre, Sicherheitspolizeigesetz, Terrorverdacht

Der Verfassungsgerichtshof hat jene Verfahren abgeschlossen, die das neue Sicherheitspolizeigesetz zum Thema hatten. Telekombetreiber und Privatpersonen hatten Anträge gestellt, Teile dieses Gesetzes als verfassungswidrig aufzuheben, weil sie darin – vereinfacht dargestellt – unzulässige Überwachungsmaßnahmen erblickten. Konkret wurde in den Anträgen ausgeführt, das neue Sicherheitspolizeigesetz verpflichte Telekombetreiber dazu, in großem Stil Handy- und Internetdaten zu sammeln und bei Verlangen den Polizeibehörden zu übermitteln.

Die 14 Verfassungsrichterinnen und Verfassungsrichter stellen dazu in ihren Entscheidungen fest: o Derzeit dürfen von den Telekombetreibern Kundendaten bis zum Ablauf jener Frist gespeichert werden, innerhalb derer die Rechnung rechtlich angefochten werden kann bzw. solange ein Anspruch auf Zahlung besteht. Dies ist zulässig. Danach müssen die Daten unverzüglich gelöscht werden.

Der Verfassungsgerichtshof kann nicht erkennen, dass das neue Sicherheitspolizeigesetz irgendeine Grundlage für eine darüber hinaus gehende Speicherung von Handy- und Internetdaten schafft. Es bleibt also verboten, Kundendaten außer für den oben beschriebenen Zweck zu speichern. Tatsächlich wurde mit dem Sicherheitspolizeigesetz jedoch die Möglichkeit eingeführt, dass Polizeibehörden “Auskunftsverlangen” an die Telekombetreiber stellen können, wenn “bestimmte Tatsachen für die Annahme einer konkreten Gefahrensituation” sprechen. Dazu stellt der Verfassungsgerichtshof fest, dass sich ein solches Auskunftsverlangen nur auf jene Daten beziehen kann, die beim Telekombetreiber zulässigerweise (noch) gespeichert sind (siehe oben).

Gegen ein solches Auskunftsverlangen kann sich der Telekombetreiber mit rechtlichen Mitteln wehren und schließlich im Einzelfall auch Beschwerde an den Verfassungsgerichtshof dagegen einreichen. Auskunftsverlangen, die sich auf Daten beziehen, deren Speicherung verboten ist, müssen naturgemäß ins Leere gehen. o Wenn Notrufdienste (also zB die Rettung) in Ausnahmefällen den Standort eines Handy-Benützers benötigen, sind Telekombetreiber schon derzeit verpflichtet, diese Information zur Verfügung zu stellen.

Das Sicherheitspolizeigesetz ermöglicht nun, dass ein so genannter IMSI-Catcher zum Einsatz kommen kann. Dieses Gerät ist in der Lage, ebenfalls Standorte von Handy-Benützern zu ermitteln. Der Verfassungsgerichtshof stellt dazu klar: Der Einsatz solcher Geräte bleibt auf die Ermittlung des Standorts des Handy-Benützers beschränkt. Für alles andere, etwa – wie von den Telekombetreibern befürchtet – für die Erfassung von Inhaltsdaten von Gesprächen, bieten die bekämpften Bestimmungen keine Grundlage.

Schließlich halten die 14 Verfassungsrichterinnen und Verfassungsrichter noch fest: Personen, die den konkreten Verdacht haben, dass ihre Daten aufgrund dieser Bestimmungen im Sicherheitspolizeigesetz unzulässigerweise ermittelt werden, haben zahlreiche Rechte. Dazu gehört das Auskunftsrecht, das Löschungsrecht und das Beschwerderecht an die Datenschutzkommission (gegen deren Entscheidungen dann wiederum Beschwerde an den Verfassungsgerichtshof erhoben werden kann).

Die umstrittenen Regelungen des Sicherheitspolizeigesetzes sind nur so wie vom Verfassungsgerichtshof dargestellt zu verstehen. Eine andere Auslegung durch die Behörden wäre verfassungswidrig. Weil das Gesetz so und nicht anders zu verstehen ist, sind die Anträge der Telekombetreiber und der Privatpersonen, diese Teile des Sicherheitspolizeigesetzes aufzuheben, unzulässig. Zum einen besteht keine aktuelle Betroffenheit, weil sich nicht weitere als schon bisher vorhandene Speicherverpflichtungen ergeben. Zum anderen stehen zunächst andere Möglichkeiten offen, dagegen rechtlich vorzugehen.

Erst wenn dieser Instanzenzug ausgeschöpft ist, kann eine zulässige Beschwerde beim Verfassungsgerichtshof eingebracht werden.

Fragen & Antworten im Zusammenhang mit diesen Entscheidungen

1. Dürfen meine Handy- und Internetdaten gespeichert werden? Nur solange, wie es für Ihre Handy- und Internetrechnung notwendig ist. Wenn Sie zB eine Reklamation haben, wird auf diese Daten zurückgegriffen. Danach müssen diese Daten gelöscht werden.

2. Warum sind die neuen Regeln im Sicherheitspolizeigesetz dann so umstritten? Weil die Telekom-Betreiber annehmen, dieses Gesetz verpflichtet sie, die Daten ihrer Kunden viel länger und umfangreicher zu speichern. Dies ist aber, wie der Verfassungsgerichtshof jetzt festgestellt hat, nicht der Fall.

Im Gegenteil: eine solche Vorgangsweise ist verboten.

3. Dürfen die Sicherheitsbehörden auf meine Daten zugreifen? Die Sicherheitspolizeibehörden können unter gewissen Umständen ein “Auskunftsverlangen” an die Telekombetreiber stellen. Diese müssen entscheiden, ob sie dem nachkommen oder dagegen rechtliche Schritte ergreifen.

4. Was, wenn die Sicherheitspolizeibehörden Auskünfte zu Daten wollen, die vom Telekom-Betreiber bereits gelöscht worden sind? Die Telekombetreiber müssen nach einiger Zeit die Kundendaten löschen. Klarerweise können dann solche Auskunftsverlangen nicht mehr beantwortet werden.

5. Dürfen die Sicherheitsbehörden von den Inhalten meine Handygespräche erfahren? Nein; außer, es wird von einem Gericht eine so genannte Telefonüberwachung angeordnet. Dies kommt jedoch nur in Ausnahmesituationen in Betracht.

6. Aber ist mit dem IMSI-Catcher nicht ein Abhören der Gespräche möglich? Der Verfassungsgerichtshof hat dazu für dieses Verfahren das Innenministerium befragt. Laut Innenministerium ist das Ermitteln von Gesprächsinhalten mit diesem Gerät nicht möglich. Der Verfassungsgerichtshof geht vom Wahrheitsgehalt dieser Auskunft aus. Eine Grundlage für einen solchen Einsatz gibt es durch das Sicherheitspolizeigesetz jedenfalls nicht. Er wäre verboten.

7. Ab wann gilt diese Entscheidung des Verfassungsgerichtshoes? Das Gesetz ist ab sofort so zu verstehen. Eine andere Auslegung wäre verfassungswidrig.

8. Ist das Thema für den Verfassungsgerichtshof damit abgeschlossen? Nein, denn die Anträge waren ja aus formalen Gründen unzulässig. Vereinfacht gesagt kann man sich nur dann direkt an den Verfassungsgerichtshof wenden, wenn man aktuell betroffen ist und kein anderer zumutbarer Weg (damit ist ein Instanzenzug gemeint) besteht. Dies war hier nicht der Fall, denn es gibt, wie gezeigt, andere Möglichkeiten (etwa über Bescheidbeschwerden oder Beschwerden an die Datenschutzkommission).

Bei zulässigen Anträgen oder Beschwerden wird sich der Verfassungsgerichtshof damit weiter auseinandersetzen.

9. Haben diese Entscheidungen des VfGH etwas mit der Vorratsdatenspeicherung, die von der EU beschlossen wurde, zu tun? Nein. Bei diesen Regelungen im Sicherheitspolizeigesetz handelt es sich um eine österreichische Angelegenheit. Über die Vorratsdatenspeicherung kann der VfGH erst dann eine Entscheidung treffen, wenn sie in Österreich konkret umgesetzt ist und es dazu zulässige Anträge bzw. Beschwerden an de VfGH gibt. Das ist derzeit noch nicht der Fall.

15. 7. 2009 Zahl der Entscheidung: G 31/08, G 147, 148/08 und weitere

Quelle: vfgh

Verfassungsgerichtshof

Judenplatz 11, 1010 Wien

G 31/08-13

B E S C H L U S S :

Der Verfassungsgerichtshof hat unter dem Vorsitz des

Präsidenten Dr. H o l z i n g e r , in Anwesenheit der Vizepräsidentin Dr. B i e r l e i n und der Mitglieder Dr. B e r c h t o l d – O s t e r m a n n , DDr. G r a b e n w a r t e r , Dr. H a l l e r , Dr. H e l l e r , Dr. H ö r t e n h u b e r , Dr. K a h r , Dr. L a s s , Dr. L i e h r , Dr. M ü l l e r , Dr. O b e r n d o r f e r , DDr. R u p p e und Dr. S p i e l b ü c h l e r als Stimmführer, im Beisein des Schriftführers Mag. C e d e , über den Antrag der T – M o b i l e A u s t r i a G m b H , Rennweg 97-99, 1030 Wien, vertreten durch die Preslmayr Rechtsanwälte OG, Dr. Karl Lueger-Ring 12, 1010 Wien, auf Aufhebung des Art. 1 Punkt 4. des Bundesgesetzes, mit dem das Sicherheitspolizeigesetz (SPG), das Grenzkontrollgesetz und das Polizeikooperationsgesetz geändert werden, BGBl. I Nr. 114/2007, bzw. einzelner Bestim-mungen des SPG idF des genannten Gesetzes als verfassungswidrig, in seiner heutigen nichtöffentlichen Sitzung beschlossen:

Die Anträge werden zurückgewiesen.

B e g r ü n d u n g :

I. 1. Die antragstellende Gesellschaft verfügt nach ihren Angaben über eine Konzession zur Erbringung eines reservierten

(1. Juli 2009)

- 2 -

Fernmeldedienstes im digitalen, zellularen Mobilfunkbereich (GSM und UMTS).

Sie beantragt als Betreiberin öffentlicher Telekommuni-kationsdienste iSd § 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003 – TKG 2003, BGBl. I 70/2003, mit ihrem ersten Hauptantrag die Aufhebung des gesamten Art. 1 Punkt 4. des Bundesgesetzes, mit dem das Sicherheitspolizeigesetz, das Grenzkontrollgesetz und das Polizeikooperationsgesetz geändert werden, BGBl. I 114/2007, wegen Verfassungswidrigkeit.

In eventu beantragt sie die Aufhebung des gesamten § 53 Abs. 3a des Bundesgesetzes über die Organisation der Sicherheits-verwaltung und die Ausübung der Sicherheitspolizei (Sicherheits-polizeigesetz – SPG), BGBl. 566/1991 idF BGBl. I 114/2007 unter Wiederinkrafttreten der davor geltenden Textfassung des § 53 Abs. 3a SPG BGBl. I 158/2005 wegen Verfassungswidrigkeit.

Weiters beantragt sie die Aufhebung des gesamten § 53 Abs. 3b SPG idF BGBl. I 114/2007 (zweiter Hauptantrag) sowie die Aufhebung der Wortfolge “Kommunikations- und” in § 53a Abs. 2 Z 1 lit. n SPG idF BGBl. I 114/2007 (dritter Hauptantrag) wegen Verfassungswidrigkeit.

2.1. Art. 1 Z 4 bis 8 des Bundesgesetzes, mit dem das Sicherheitspolizeigesetz, das Grenzkontrollgesetz und das Polizeikooperationsgesetz geändert werden, BGBl. I 114/2007 lautet:

“4. § 53 Abs. 3a lautet:

‘(3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003 – TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz – ECG, BGBl. I Nr. 152/2001) Auskunft zu verlangen über

1. Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses,

2. Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung sowie

3. Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war,

wenn bestimmte Tatsachen die Annahme einer konkreten Gefahren-situation rechtfertigen und sie diese Daten als wesentliche Voraussetzung für die Erfüllung der ihnen nach diesem Bundes-gesetz übertragenen Aufgaben benötigen. Die Bezeichnung eines Anschlusses nach Z 1 kann für die Erfüllung der ersten allge-meinen Hilfeleistungspflicht oder die Abwehr gefährlicher Angriffe auch durch Bezugnahme auf ein von diesem Anschluss geführtes Gespräch durch Bezeichnung eines möglichst genauen Zeitraumes und der passiven Teilnehmernummer erfolgen. Die ersuchte Stelle ist verpflichtet, die Auskunft unverzüglich und kostenlos zu erteilen.’

5. Der bisherige § 53 Abs. 3b erhält die Absatz-bezeichnung ‘(3c)’.

6. Nach § 53 Abs. 3a wird folgender Abs. 3b (neu) eingefügt:

‘(3b) Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben oder die Gesundheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endein-richtung zu verlangen sowie technische Mittel zu ihrer Lokali-sierung zum Einsatz zu bringen. Die Sicherheitsbehörde trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunfts-begehrens, dessen Dokumentation dem Betreiber unverzüglich, spätestens innerhalb von 24 Stunden nachzureichen ist. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und gegen Ersatz der Kosten nach § 7 Z 4 der Überwachungskosten-verordnung – ÜKVO, BGBl. II Nr. 322/2004, zu erteilen.’

7. Der bisherige § 53a samt Paragraphenüberschrift wird zu § 53b.

8. § 53a (neu) samt Überschrift lautet:

‘Datenanwendungen der Sicherheitsbehörden

§ 53a. (1) Die Sicherheitsbehörden dürfen für die Leitung, Administration und Koordination von Einsätzen, insbe-sondere von sicherheitspolizeilichen Schwerpunktaktionen, Fahndungen oder ordnungsdienstlichen Anlässen sowie für den Personen- und Objektschutz und die Erfüllung der ersten allge-meinen Hilfeleistungspflicht Daten über natürliche und juristi-sche Personen sowie Sachen und Gebäude verarbeiten. Es dürfen zu Personen, die von einer Amtshandlung betroffen sind, zu Ein-bringern von Anträgen, Anzeigen oder sonstigen Mitteilungen, zu gefährdeten Personen oder Institutionen und zu Zeugen und anderen Personen, die im Zuge einer Amtshandlung zu verständigen sind, die erforderlichen Identifikations- und Erreichbarkeitsdaten verarbeitet werden sowie zu gefahndeten Personen auch Lichtbild und eine allenfalls vorhandene Beschreibung des Aussehens und ihrer Kleidung. Darüber hinaus dürfen die erforderlichen Sach-daten einschließlich KFZ-Kennzeichen, Angaben zu Zeit, Ort, Grund und Art des Einschreitens sowie Verwaltungsdaten verarbeitet werden.

(2) Die Sicherheitsbehörden dürfen für die Abwehr krimineller Verbindungen oder gefährlicher Angriffe sowie zur Vorbeugung gefährlicher Angriffe, wenn nach der Art des Angriffs eine wiederholte Begehung wahrscheinlich ist, mittels operativer oder strategischer Analyse

1. zu Verdächtigen

a) Namen,

b) frühere Namen,

c) Aliasdaten,

d) Namen der Eltern,

e) Geschlecht,

f) Geburtsdatum und Ort,

g) Staatsangehörigkeit,

h) Wohnanschrift/Aufenthalt,

i) sonstige zur Personenbeschreibung erforderliche Daten,

j) Dokumentendaten,

k) Beruf und Qualifikation/Beschäftigung/Lebensverhältnisse,

l) erkennungsdienstliche Daten,

m) Informationen über wirtschaftliche und finanzielle Verhält-nisse einschließlich damit im Zusammenhang stehender Daten juristischer Personen und

n) sachbezogene Daten zu Kommunikations- und Verkehrsmittel sowie Waffen einschließlich Registrierungsnummer/Kenn-zeichen,

2. zu Opfern oder Personen, bei denen bestimmte Tatsachen die Annahme rechtfertigen, dass sie Opfer einer mit beträchtlicher Strafe bedrohten Handlung werden können, die Datenarten 1. a) bis k) sowie Gründe für die Viktimisierung und eingetretener Schaden,

3. zu Zeugen die Datenarten 1. a) bis j) und zeugenschutz-relevante Daten,

4. zu Kontakt- oder Begleitpersonen, die nicht nur zufällig mit Verdächtigen in Verbindung stehen und bei denen ausreichende Gründe für die Annahme bestehen, dass über sie Informationen zu Verdächtigen beschafft werden können, die Datenarten 1. a) bis n) bis zur möglichst rasch vorzunehmenden Klärung der Beziehung zum Verdächtigen, sowie

5. zu Informanten und sonstigen Auskunftspersonen die Datenarten 1. a) bis j),

sowie tat- und fallbezogene Informationen und Verwaltungsdaten verarbeiten, auch wenn es sich um besonders schutzwürdige Daten im Sinne des § 4 Z 2 DSG 2000 handelt.

(3) Zur Evidenthaltung von Wegweisungen, Betretungs-verboten und einstweiligen Verfügungen zum Schutz vor Gewalt in der Familie sind die Sicherheitsbehörden ermächtigt, zu Personen, gegen die eine derartige Maßnahme verfügt wurde, Namen, Geburts-datum und Ort, Geschlecht, Verhältnis zur gefährdeten Person, Staatsangehörigkeit, Wohnanschrift, zu gefährdeten Personen Namen, Geburtsdatum und Ort, Geschlecht, Staatsangehörigkeit, Beziehung zum Gefährder, Wohnanschrift und Erreichbarkeitsdaten sowie Art der Maßnahme, frühere Maßnahmen, Bereich (Anschrift, nähere Beschreibung), auf den sich die Maßnahme bezieht, be-stimmte Tatsachen, auf die sich die Maßnahme stützt (insbesondere vorangegangener gefährlicher Angriff), Geltungsdauer der Maß-nahme, Verstöße gegen verfügte Maßnahmen, Abgabestelle für Zwecke der Zustellung der Aufhebung des Betretungsverbotes oder einer einstweiligen Verfügung nach § 382b EO, und Verwaltungsdaten zu verarbeiten. Die Daten von Opfern sind längstens nach einem Jahr zu löschen. Bei mehreren Speicherungen bestimmt sich die Löschung nach dem Zeitpunkt der letzten Speicherung.

(4) Zur Evidenthaltung von Wegweisungen und Betretungs-verboten in Schutzzonen sind die Sicherheitsbehörden ermächtigt, zu Personen, gegen die eine derartige Maßnahme verfügt wurde, Namen, Geburtsdatum und Ort, Geschlecht, Staatsangehörigkeit, Wohnanschrift, sowie Art der Maßnahme, Bereich (Anschrift, nähere Beschreibung), auf den sich die Maßnahme bezieht, bestimmte Tat-sachen, auf die sich die Maßnahme stützt (insbesondere vorange-gangener gefährlicher Angriff), Geltungsdauer der Maßnahme und Verwaltungsdaten zu verarbeiten.

(5) Soweit wegen eines sprengelübergreifenden Einsatzes eine gemeinsame Verarbeitung durch mehrere Sicherheitsbehörden erforderlich ist, dürfen Datenanwendungen gemäß Abs. 1 im Informationsverbundsystem geführt werden. Die Daten sind nach Beendigung und Evaluierung des Einsatzes, längstens jedoch nach einem Jahr zu löschen. Übermittlungen der gemäß Abs. 1 verarbei-teten Daten sind nur zulässig, wenn hierfür eine ausdrückliche gesetzliche Ermächtigung besteht.

(6) Soweit eine gemeinsame Verarbeitung durch mehrere Sicherheitsbehörden erforderlich ist, dürfen Datenanwendungen gemäß Abs. 2 im Informationsverbundsystem geführt werden. Daten gemäß Abs. 2 Z 1 sind längstens nach drei Jahren, Daten nach Abs. 2 Z 2 und 3 längstens nach einem Jahr, Daten gemäß Abs. 2 Z 4 bei Wegfall der ausreichenden Gründe für die Annahme nach dieser Ziffer, längstens aber nach drei Jahren und Daten gemäß Abs. 2 Z 5 längstens nach drei Jahren zu löschen. Bei mehreren Speicherungen nach derselben Ziffer bestimmt sich die Löschung nach dem Zeitpunkt der letzten Speicherung. Übermittlungen sind an Sicherheitsbehörden, Staatsanwaltschaften und Gerichte für Zwecke der Strafrechtspflege und im Übrigen nur zulässig, wenn hierfür eine ausdrückliche gesetzliche Ermächtigung besteht.’”

2.2. Für die Beurteilung der Zulässigkeit der Anträge sind noch folgende Bestimmungen des SPG und des Telekommuni-kationsgesetzes 2003 – TKG 2003, BGBl. I 70, von Bedeutung:

2.2.1. § 88 SPG:

“Beschwerden wegen Verletzung subjektiver Rechte

§ 88. (1) Die unabhängigen Verwaltungssenate erkennen über Beschwerden von Menschen, die behaupten, durch die Ausübung unmittelbarer sicherheitsbehördlicher Befehls- und Zwangsgewalt in ihren Rechten verletzt worden zu sein (Art. 129a Abs. 1 Z 2 B-VG).

(2) Außerdem erkennen die unabhängigen Verwaltungssenate über Beschwerden von Menschen, die behaupten, auf andere Weise durch die Besorgung der Sicherheitsverwaltung in ihren Rechten verletzt worden zu sein, sofern dies nicht in Form eines Bescheides erfolgt ist.

(3) Beschwerden gemäß Abs. 1, die sich gegen einen auf dieses Bundesgesetz gestützten Entzug der persönlichen Freiheit richten, können während der Anhaltung bei der Sicherheitsbehörde eingebracht werden, die sie unverzüglich dem unabhängigen Verwal-tungssenat zuzuleiten hat.

(4) Über Beschwerden gemäß Abs. 1 oder 2 entscheidet der unabhängige Verwaltungssenat durch eines seiner Mitglieder. Im übrigen gelten die §§ 67c bis 67g und 79a AVG.”

2.2.2. § 50 SPG:

“Unmittelbare Zwangsgewalt

§ 50. (1) Die Organe des öffentlichen Sicherheits-dienstes sind, sofern nicht anderes bestimmt ist, ermächtigt, die ihnen von diesem Bundesgesetz oder von einer auf Grund dieses Bundesgesetzes erlassenen Verordnung eingeräumten Befugnisse mit unmittelbarer Zwangsgewalt durchzusetzen.

(2) Die Organe des öffentlichen Sicherheitsdienstes haben anwesenden Betroffenen die Ausübung von unmittelbarer Zwangsgewalt anzudrohen und anzukündigen. Hievon kann in den Fällen der Notwehr oder der Beendigung gefährlicher Angriffe (§ 33) soweit abgesehen werden, als dies für die Verteidigung des angegriffenen Rechtsgutes unerläßlich erscheint.

(3) Für die Anwendung von unmittelbarer Zwangsgewalt gegen Menschen gelten die Bestimmungen des Waffengebrauchs-gesetzes 1969.

(4) Die Organe des öffentlichen Sicherheitsdienstes dürfen physische Gewalt gegen Sachen anwenden, wenn dies für die Ausübung einer Befugnis unerläßlich ist. Hiebei haben sie alles daranzusetzen, daß eine Gefährdung von Menschen unterbleibt.”

2.2.3. § 18 SPG:

“Rechte und Pflichten juristischer Personen

§ 18. Soweit in diesem Bundesgesetz von Rechten und Pflichten von Menschen die Rede ist, sind darunter auch Rechte und Pflichten juristischer Personen zu verstehen.”

2.2.4. § 92 und 93 TKG 2003:

“Allgemeines

§ 92. (1) Soweit dieses Bundesgesetz nicht anderes bestimmt, sind auf die in diesem Bundesgesetz geregelten Sach-verhalte die Bestimmungen des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, anzuwenden.

(2) Die Bestimmungen der Strafprozessordnung (StPO), BGBl. Nr. 631/1975, bleiben durch die Bestimmungen dieses Abschnittes unberührt.

(3) In diesem Abschnitt bezeichnet unbeschadet des § 3 der Begriff

1. ‘Anbieter’ Betreiber von öffentlichen Kommunikationsdiensten;

2. ‘Benutzer’ eine natürliche Person, die einen öffentlichen Kommunikationsdienst für private oder geschäftliche Zwecke nutzt, ohne diesen Dienst zwangsläufig abonniert zu haben;

3. ‘Stammdaten’ alle personenbezogenen Daten, die für die Begründung, die Abwicklung, Änderung oder Beendigung der Rechtsbeziehungen zwischen dem Benutzer und dem Anbieter oder zur Erstellung und Herausgabe von Teilnehmerverzeichnissen erforderlich sind; dies sind:

a) Familienname und Vorname,

b) akademischer Grad,

c) Wohnadresse,

d) Teilnehmernummer und sonstige Kontaktinformation für die

Nachricht,

e) Information über Art und Inhalt des Vertragsverhältnisses,

f) Bonität;

4. ‘Verkehrsdaten’ Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;

4a. ‘Zugangsdaten’ jene Verkehrsdaten, die beim Zugang eines Teilnehmers zu einem öffentlichen Kommunikationsnetz beim Betreiber entstehen und für die Zuordnung der zu einem bestimmten Zeitpunkt für eine Kommunikation verwendeten Netzwerkadressierungen zum Teilnehmer notwendig sind;

5. ‘Inhaltsdaten’ die Inhalte übertragener Nachrichten (Z 7);

6. ‘Standortdaten’ Daten, die in einem Kommunikationsnetz verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben;

7. ‘Nachricht’ jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlichen Kommunikations-dienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein Kommunikationsnetz an die Öffentlichkeit weiter-geleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;

8. ‘Anruf’ eine über einen öffentlich zugänglichen Telefondienst aufgebaute Verbindung, die eine zweiseitige Echtzeit-Kommuni-kation ermöglicht;

9. ‘Dienst mit Zusatznutzen’ jeden Dienst, der die Bearbeitung von Verkehrsdaten oder anderen Standortdaten als Verkehrs-daten in einem Maße erfordert, das über das für die Über-mittlung einer Nachricht oder die Fakturierung dieses Vorgangs erforderliche Maß hinausgeht;

10.’elektronische Post’ jede über ein öffentliches Kommuni-kationsnetz verschickte Text-, Sprach-, Ton- oder Bildnach-richt, die im Netz oder im Endgerät des Empfängers gespeichert werden kann, bis sie von diesem abgerufen wird.

Kommunikationsgeheimnis

§ 93. (1) Dem Kommunikationsgeheimnis unterliegen die Inhaltsdaten, die Verkehrsdaten und die Standortdaten. Das Kommunikationsgeheimnis erstreckt sich auch auf die Daten erfolgloser Verbindungsversuche.

(2) Zur Wahrung des Kommunikationsgeheimnisses ist jeder Betreiber und alle Personen, die an der Tätigkeit des Betreibers mitwirken, verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist.

(3) Das Mithören, Abhören, Aufzeichnen, Abfangen oder sonstige Überwachen von Nachrichten und der damit verbundenen Verkehrs- und Standortdaten sowie die Weitergabe von Informa-tionen darüber durch andere Personen als einen Benutzer ohne Einwilligung aller beteiligten Benutzer ist unzulässig. Dies gilt nicht für die Aufzeichnung und Rückverfolgung von Telefonge-sprächen im Rahmen der Entgegennahme von Notrufen und die Fälle der Fangschaltung sowie für eine technische Speicherung, die für die Weiterleitung einer Nachricht erforderlich ist.

(4) Werden mittels einer Funkanlage, einer Telekommuni-kationsendeinrichtung oder mittels einer sonstigen technischen Einrichtung Nachrichten unbeabsichtigt empfangen, die für diese Funkanlage, diese Telekommunikationsendeinrichtung oder den Anwender der sonstigen Einrichtung nicht bestimmt sind, so dürfen der Inhalt der Nachrichten sowie die Tatsache ihres Empfanges weder aufgezeichnet noch Unbefugten mitgeteilt oder für irgend-welche Zwecke verwertet werden. Aufgezeichnete Nachrichten sind zu löschen oder auf andere Art zu vernichten.”

2.2.5. §§ 97 – 99 TKG 2003:

“Stammdaten

§ 97. (1) Stammdaten dürfen unbeschadet der §§ 90 Abs. 6 und 96 Abs. 2 von Betreibern nur für folgende Zwecke ermittelt und verarbeitet werden:

1. Abschluss, Durchführung, Änderung oder Beendigung des Vertrages mit dem Teilnehmer;

2. Verrechnung der Entgelte;

3. Erstellung von Teilnehmerverzeichnissen, auch gemäß § 18 und

4. Erteilung von Auskünften an Notrufträger.

(2) Stammdaten sind spätestens nach Beendigung der vertraglichen Beziehungen mit dem Teilnehmer vom Betreiber zu löschen. Ausnahmen sind nur soweit zulässig, als diese Daten noch benötigt werden, um Entgelte zu verrechnen oder einzubringen, Beschwerden zu bearbeiten oder sonstige gesetzliche Verpflich-tungen zu erfüllen.

Auskünfte an Betreiber von Notrufdiensten

§ 98. Betreiber haben Betreibern von Notrufdiensten [Anm:: derzeit sind das die einheitliche europäische Notruf-nummer 112, Feuerwehr 122, Notrufnummer bei Gasgebrechen 128, Polizei 133, Bergrettung 140, Ärztenotdienst 141, Telefonseel-sorge 142, Rettungsdienst 144 und Notrufdienst für Kinder und Jugendliche 147 - vgl. § 17 der Kommunikationsparameter-, Entgelt- und Mehrwertdiensteverordnung (KEM V) der RTR-GmbH] auf deren Verlangen Auskünfte über Stammdaten im Sinne von § 92 Abs. 3 Z 3 lit. a bis d sowie über Standortdaten im Sinne des § 92 Abs. 3 Z 6 zu erteilen. In beiden Fällen ist Voraussetzung für die Zulässigkeit der Übermittlung ein Notfall, der nur durch Bekanntgabe dieser Informationen abgewehrt werden kann. Die Notwendigkeit der Informationsübermittlung ist vom Betreiber des Notrufdienstes zu dokumentieren und dem Betreiber unverzüglich, spätestens jedoch innerhalb von 24 Stunden nachzureichen. Der Betreiber darf die Übermittlung nicht von der vorherigen Darlegung der Notwendigkeit abhängig machen. Den Betreiber des Notrufdienstes trifft die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens.

Verkehrsdaten

§ 99. (1) Verkehrsdaten dürfen außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind vom Betreiber nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren.

(2) Sofern dies für Zwecke der Verrechnung von Ent-gelten, einschließlich der Entgelte für Zusammenschaltungen, erforderlich ist, hat der Betreiber Verkehrsdaten bis zum Ablauf jener Frist zu speichern, innerhalb derer die Rechnung rechtlich angefochten werden oder der Anspruch auf Zahlung geltend gemacht werden kann. Diese Daten sind im Streitfall der entscheidenden Einrichtung sowie der Schlichtungsstelle unverkürzt zur Verfügung zu stellen. Wird ein Verfahren über die Höhe der Entgelte einge-leitet, dürfen die Daten bis zur endgültigen Entscheidung über die Höhe der Entgelte nicht gelöscht werden. Der Umfang der gespeicherten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.

(3) Die Verarbeitung von Verkehrsdaten darf nur durch solche Personen erfolgen, die für die Entgeltverrechnung oder Verkehrsabwicklung, Behebung von Störungen, Kundenanfragen, Betrugsermittlung oder Vermarktung der Kommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen zuständig sind oder die von diesen Personen beauftragt wurden. Der Umfang der verwendeten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.

(4) Dem Betreiber ist es außer in den gesetzlich besonders geregelten Fällen untersagt, einen Teilnehmeranschluss über die Zwecke der Verrechnung hinaus nach den von diesem Anschluss aus angerufenen Teilnehmernummern auszuwerten. Mit Zustimmung des Teilnehmers darf der Betreiber die Daten zur Vermarktung für Zwecke der eigenen Telekommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen verwenden.”

2.2.6. § 102 TKG 2003:

“§ 102. (1) Andere Standortdaten als Verkehrsdaten dürfen unbeschadet des § 98 nur verarbeitet werden, wenn sie

1. anonymisiert werden oder

2. die Benutzer oder Teilnehmer eine jederzeit widerrufbare Einwilligung gegeben haben.

(2) Selbst im Falle einer Einwilligung zur Verarbeitung von Daten gemäß Abs. 1 müssen die Benutzer oder Teilnehmer die Möglichkeit haben, diese Verarbeitung von Daten für jede Übertragung einfach und kostenlos zeitweise zu untersagen.

(3) Die Verarbeitung anderer Standortdaten als Verkehrs-daten gemäß Abs. 1 und 2 muss auf das für die Bereitstellung des Dienstes mit Zusatznutzen erforderliche Maß sowie auf Personen beschränkt werden, die im Auftrag des Betreibers oder des Dritten, der den Dienst mit Zusatznutzen anbietet, handeln.”

2.3. § 7 Z 4 der Überwachungskostenverordnung – ÜKVO, BGBl. II 322/2004 lautet:

“§ 7. Die Kosten einer Standortbestimmung betragen

…

4. für eine Ermittlung aktueller Standortdaten

a) Einrichtung pro Rufnummer ……………….. Euro 37,00

b) Auswertung und Versand pro Abfrage ohne

Plandarstellung/Landkarte ……………….. Euro 16,00

c) Plandarstellung/Landkarte pro Abfrage …….. Euro 16,00″

3. Zur Antragslegitimation führt die antragstellende Gesellschaft aus:

Sie sei Diensteanbieterin im Sinne des § 92 Abs. 3 Z 1 TKG 2003. Sie sei daher gemäß § 53 Abs. 3a SPG verpflichtet, Behörden die Internetprotokolladresse (IP-Adresse) einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung sowie Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, wenn bestimmte Tatsachen die Annahme einer konkreten Gefahrensituation rechtfertigen, mitzu-teilen. Um dieser Mitteilungspflicht nachkommen zu können, müsste die antragstellende Gesellschaft die IP-Adressen zunächst über-haupt erst einmal speichern. Bislang speichere die antrag-stellende Gesellschaft die IP-Adressen allerdings noch nicht, weil sie diese zur Erbringung ihrer Dienstleistungen nicht benötige und für eine Speicherung keine Rechtsgrundlage existiere, sondern diese gegen das Kommunikationsgeheimnis des § 93 TKG 2003 sowie das Fernmeldegeheimnis des Art. 10a StGG verstoßen würde. § 53 Abs. 3a Z 2 SPG enthalte somit eine implizite Speicherpflicht. Dies sei ein offensichtlicher Vorgriff auf die in Österreich noch umzusetzende Richtlinie 2006/24/EG über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, ABl. 2006 L 105, S. 54. Da § 53 Abs. 3a Z 2 SPG nicht unter-scheide, ob eine bestimmte Nachricht von einem Kunden des Netzbetreibers gesendet oder empfangen wurde, müssten sämtliche IP-Pakete (Nachricht plus IP-Adresse), die in einem bestimmten Zeitraum anfallen, – egal ob gesendet oder empfangen – gespei-chert werden, ergänzt um einen Zeitstempel. Auf einen Zeitraum von 6 Monaten hochgerechnet würde das dabei anfallende Daten-volumen mindestens 685 Terabyte betragen.

Weiters sei die antragstellende Gesellschaft gemäß § 53 Abs. 3b SPG verpflichtet, über Standortdaten Auskunft zu erteilen, was “im Falle nicht geführter Gespräche” nur durch Verarbeitung gesonderter Verbindungsdaten, die durch Zuhilfenahme der Verbindungswege nach Beauftragung durch den Betreiber indivi-duell herzustellen seien, erfolgen könne. Dies stehe gemäß §§ 134 ff StPO unter Vorbehalt der Anordnung durch die Staats-anwaltschaft nach richterlicher Bewilligung. Überdies sehe diese Bestimmung den Einsatz eines IMSI-Catchers vor, der es der antragstellenden Gesellschaft unmöglich mache, die ihr nach § 93 Abs. 2 TKG 2003 gesetzlich obliegende Pflicht zur Wahrung des Kommunikationsgeheimnisses sowie die gemäß § 20 TKG 2003 bestehende Verpflichtung zur Herstellung der Verbindung zu Notrufnummern zu erfüllen und der sie daran hindere, die in ihrer Mobilfunkkonzession vorgeschriebene Netzverfügbarkeit zu garantieren.

Zwar enthalte ein Formblatt, das für die konkreten Anfragen zu § 53 Abs. 3a und 3b SPG von den Sicherheitsbehörden entworfen worden sei, den Hinweis, dass die Sicherheitsbehörden “die Verantwortung für die rechtliche Zulässigkeit des Auskunfts-begehrens trifft”. Tatsächlich führe dies aber zu keiner Haftungsbefreiung der antragstellenden Gesellschaft gegenüber ihren Kunden für unzulässige Auskünfte nach § 53 Abs. 3a und 3b SPG. “Willkürliche” Auskunftsbegehren, die die Sicherheits-behörden unter vermeintlicher Übernahme der Haftung stellen, könnten die antragstellende Gesellschaft somit direkt in eine Haftung gegenüber ihren Kunden bringen (Schadenersatzforderungen, Unterlassungsklagen), womit die antragstellende Gesellschaft durch § 53 Abs. 3a und 3b SPG in ihrer Rechtssphäre (Eigentums-freiheit, Erwerbsfreiheit) unmittelbar betroffen sei.

Die angefochtenen Bestimmungen würden unmittelbar und aktuell – also ohne Fällung eines gerichtlichen Urteils oder Erlassung eines Bescheids – in die (Verfassungs-)Rechtssphäre der antragstellenden Gesellschaft eingreifen, nämlich in das Grund-recht auf Freiheit des Eigentums und der Erwerbsfreiheit, den Gleichheitsgrundsatz, das Datengeheimnis, Art. 8 Abs. 2 EMRK, das Fernmeldegeheimnis und das Kommunikationsgeheimnis. Die antrag-stellende Gesellschaft erhalte seit dem In-Kraft-Treten der bekämpften Bestimmungen am 1. Jänner 2008 laufend Anfragen von Polizeidienststellen.

Da der antragstellenden Gesellschaft kein anderer zumutbarer Weg zur Verfügung stehe, sich gegen die angefochtenen Bestimmungen zur Wehr zu setzen, sei sie antragslegitimiert.

4. Die Bundesregierung bestreitet die Legitimation der antragstellenden Gesellschaft mit folgenden Argumenten:

Der erste Hauptantrag sei auf die Aufhebung der Novellierungsanordnung des Art. I Z 4 des Bundesgesetzes BGBl. I 114/2007 gerichtet. Die Anfechtung einer bloßen Novellierungs-anordnung – an Stelle der novellierten Gesetzesstelle in der Fassung der Novelle – sei nur dann zulässig, wenn eine Bestimmung durch eine Novelle aufgehoben worden ist und sich das Bedenken (etwa auf Grund des Fehlens von Ausnahmen oder Übergangsbe-stimmungen) gegen diese Aufhebung richtet, sodass die behauptete Verfassungswidrigkeit anders nicht beseitigt werden könnte (VfSlg. 16.588/2002, 16.764/2002). Vor diesem Hintergrund erweise sich der erste Hauptantrag als unzulässig.

Die Bundesregierung bestreitet auch die Legitimation zur Anfechtung des gesamten § 53 Abs. 3a SPG idF BGBl. I 114/2007 (Eventualantrag) mit folgender Argumentation:

Bereits aus dem Antragsvorbringen sei erschließbar, dass die angefochtenen Bestimmungen selbst keine direkte Wirksamkeit entfalten. Die in den angefochtenen Bestimmungen statuierten Verpflichtungen zur Erteilung bestimmter Auskünfte über dort näher normierte Daten seien nicht bereits mit In-Kraft-Treten der Novelle BGBl. I 114/2007 für die antragstellende Gesellschaft direkt wirksam; vielmehr bedürfe es für die Aktualisierung der konkreten Verpflichtung zur Erteilung der normierten Auskünfte des Dazwischentretens eines diesem unmittelbar vorangehenden und konkretisierenden Auskunftsverlangens der Sicherheitsbehörden. In ihrem Vorbringen beziehe sich die antragstellende Gesellschaft selbst auf solche Auskunftsverlangen.

Die antragstellende Gesellschaft moniere, sie sei auf Grund des § 53 Abs. 3a SPG verpflichtet, die dort genannten Daten zu speichern, um bei entsprechendem Verlangen solche Auskünfte erteilen zu können. Dem sei entgegenzuhalten, dass diese Bestimmung die Sicherheitsbehörden ermächtige, ein Auskunfts-verlangen zu bestimmten taxativ aufgezählten Daten, die von der antragstellenden Gesellschaft als Betreiberin öffentlicher Telekommunikationsdienste verarbeitet wurden, zu stellen. Eine Verpflichtung zur Speicherung von Daten, sei es der Name, die Anschrift oder die Teilnehmernummer eines bestimmten Teilnehmers (Z 1) oder die IP-Adresse zu einer bestimmten Nachricht (Z 2) oder Name und Anschrift eines Benutzers (Z 3), ergebe sich hingegen nicht daraus.

Die Erteilung der Auskunft sei auf diejenigen Daten beschränkt, die die antragstellende Gesellschaft auf der Grundlage anderer (gesetzlicher) Verpflichtungen verarbeitet hat, wie zB zu Verrechnungszwecken nach § 97 TKG 2003. Der Auskunfts-verpflichtung könne nur in dem Maße nachgekommen werden, als die angefragten Daten auch tatsächlich zur Verfügung stünden. Insofern würden den Betreibern öffentlicher Telekommunikations-dienste oder sonstigen Diensteanbietern keine zusätzlichen Speicherverpflichtungen aufgrund von § 53 Abs. 3a SPG auferlegt, die nicht auch schon vor dessen In-Kraft-Treten bestanden.

Auch hinsichtlich des § 53 Abs. 3b SPG (zweiter Haupt-antrag) sei nicht ersichtlich, inwieweit dieser die Rechtssphäre der antragstellenden Gesellschaft aktuell beeinträchtigt. Dabei handle es sich um eine Pflicht zur Auskunftserteilung, konkret zur Auskunft über Standortdaten und die internationale Mobilteil-nehmerkennung der von einem in Gefahr befindlichen Menschen mitgeführten Endeinrichtung. Die Standortdaten seien regelmäßig bei Betreibern öffentlicher Telekommunikationsdienste vorhanden und schon auf Grund der bestehenden Rechtslage etwa bei Notrufen gemäß § 98 TKG 2003 zu beauskunften; es entstehe durch diese Bestimmung des SPG keine wie immer geartete Verpflichtung, Daten gesondert zu speichern.

Die antragstellende Gesellschaft begründe ihre recht-liche Betroffenheit durch § 53 Abs. 3a und 3b SPG auch mit all-fälligen Haftungen gegenüber ihren Kunden. Hinsichtlich Abs. 3b leg.cit. werde zunächst angemerkt, dass die Sicherheitsbehörden ebenso wie die Notrufdienste nach § 98 TKG 2003 die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens treffe. Für den Fall einer unrechtmäßigen Anfrage treffe die Sicherheits-behörde bis zu allfälligen Amtshaftungsansprüchen die Verant-wortung. Abgesehen davon könnten die monierten zivilrechtlichen Haftungen der antragstellenden Gesellschaft gegenüber ihren Kunden lediglich einen potentiellen Eingriff in die rechtlich geschützten Interessen der antragstellenden Gesellschaft dartun, nicht jedoch die von Art. 140 B-VG geforderte aktuelle Beein-trächtigung.

Schließlich moniere die antragstellende Gesellschaft, ihr stünde kein anderer zumutbarer Weg offen, sich gegen “die Novellierung der genannten Bestimmungen … zur Wehr zu setzen”. Dem hält die Bundesregierung entgegen, dass § 88 SPG einen Rechtsschutzweg eröffne. Der antragstellenden Gesellschaft wäre es möglich und auch zumutbar, dort die vermeintliche Rechts-widrigkeit des Auskunftsverlangens und in weiterer Folge die Bedenken, die nach ihrer Ansicht gegen die Verfassungsmäßigkeit der angefochtenen Normen sprechen, vorzubringen und geltend zu machen.

Im Übrigen weist die Bundesregierung darauf hin, dass die antragstellende Gesellschaft nicht dartut, inwieweit durch die mit Drittantrag angefochtene Wortfolge “Kommunikations- und” in § 53a Abs. 2 Z 1 lit. n SPG in ihre Rechtssphäre unmittelbar und aktuell eingegriffen wird. Da der Antrag keine Ausführungen zur Legitimation zum dritten Hauptantrag enthalte, sei er zurückzuweisen.

Schließlich bringt die Bundesregierung vor, dass der Antrag dem Erfordernis der Darlegung der gegen die Verfassungs-mäßigkeit des Gesetzes sprechenden Bedenken im Einzelnen an mehreren Stellen nicht entspreche.

5. Der Verfassungsgerichtshof richtete an den Bundes-minister für Inneres folgende Fragen, die dieser wie im Folgenden kursiv wiedergegeben beantwortete:

“Frage 1: Welche technischen Mittel werden zur Lokalisierung von Endeinrichtungen iSd § 53 Abs. 3b SPG eingesetzt?

Zur Lokalisierung von Mobilfunkendeinrichtungen iSd § 53 Abs. 3b SPG wird von der Sicherheitsbehörde das unter der Bezeichnung ‘IMSI-Catcher’ bekannte technische Einsatzmittel im Zusammenwirken mit geeigneten Peilempfängern/-antennen eingesetzt.

Frage 2: Kann mit den zu diesem Zweck eingesetzten technischen Mitteln tatsächlich nur der Standort der ‘Endein-richtung’ oder können auch Inhalte von Gesprächen und anderen Datenübermittlungen mit diesen Endeinrichtungen ermittelt werden?

Aufgrund der technischen Beschaffenheit des der Sondereinheit für Observation (SEO) für diesen Zweck zur Verfügung stehenden Einsatzmittels ist ein ‘Ermitteln’ von Gesprächsinhalten oder anderen Datenübermittlungen nicht möglich.

Frage 3: Gibt es Vorkehrungen, um sicherzustellen, dass in Fällen, in denen von der Berechtigung gemäß § 53 Abs. 3b SPG Gebrauch gemacht wird, tatsächlich nur der Standort der Endein-richtung des gefährdeten Menschen und nicht auch von unbetei-ligten Dritten ermittelt wird?

Durch den Einsatz spezieller Software des IMSI-Catchers wird sichergestellt, dass dem Bediener des technischen Einsatz-mittels bei Messungen ausschließlich die gerätespezifische Nummer der zu lokalisierenden Mobilfunkendeinrichtung eines gefährdeten Menschen angezeigt wird.

Frage 4: Kann es im Zusammenhang mit dem Einsatz dieser technischen Mittel zu Beeinträchtigungen des Betriebes von Mobilfunknetzen kommen? Sind bisher solche Beeinträchtigungen aufgetreten?

Bei einer Verwendung des technischen Einsatzmittels durch geschultes und qualifiziertes Fachpersonal der SEO, das über ausgezeichnete Kenntnisse in Bezug auf den Aufbau und die Funktionsweise der Mobilfunknetzstruktur sowie über entsprechende Erfahrungen im Umgang und der Arbeitsweise des eingesetzten technischen Mittels verfügt, ist eine Beeinträchtigung des Mobilfunknetzes auszuschließen. Die SEO kann auf eine zehnjährige Erfahrung beim Einsatz des IMSI-Catchers zurückblicken. Innerhalb dieses Zeitraumes sind bis dato keine Beeinträchtigungen evident.”

II. Der Verfassungsgerichtshof hat zur Zulässigkeit des Antrags erwogen:

1. Voraussetzung der Antragslegitimation ist einerseits, dass der Antragsteller behauptet, unmittelbar durch das angefoch-tene Gesetz – im Hinblick auf dessen Verfassungswidrigkeit – in seinen Rechten verletzt worden zu sein, dann aber auch, dass das Gesetz für den Antragsteller tatsächlich, und zwar ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides wirksam geworden ist. Grundlegende Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese – im Falle seiner Verfassungswidrigkeit – verletzt. Hiebei hat der Verfassungs-gerichtshof vom Antragsvorbringen auszugehen und lediglich zu prüfen, ob die vom Antragsteller ins Treffen geführten Wirkungen solche sind, wie sie Art. 140 Abs. 1 letzter Satz B-VG als Voraussetzung für die Antragslegitimation fordert (vgl. zB VfSlg. 11.730/1988, 15.863/2000, 16.088/2001, 16.120/2001).

Nicht jedem Normadressaten aber kommt die Anfechtungs-befugnis zu. Es ist darüber hinaus erforderlich, dass das Gesetz selbst tatsächlich in die Rechtssphäre des Antragstellers unmittelbar eingreift. Ein derartiger Eingriff ist jedenfalls nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschütz-ten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des – behaupteterweise – rechtswidrigen Eingriffes zur Verfügung steht (VfSlg. 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003).

2. Mit dem ersten Hauptantrag begehrt die antrag-stellende Gesellschaft, Art. 1 Z 4 des Bundesgesetzes BGBl. I 114/2007 als verfassungswidrig aufzuheben. Mit dieser Novel-lierungsanordnung wurde § 53 Abs. 3a SPG neu gefasst. Eine solche Novellierungsanordnung greift selbst nicht unmittelbar in die Rechtssphäre eines Normadressaten ein; ein Eingriff könnte sich nur aus der Gesetzesstelle selbst in ihrer novellierten Fassung ergeben (vgl. VfSlg. 17.363/2004, 18.285/2007 und VfGH 24.9.2008, G 44/07 ua.). Insoweit ist der Antrag schon aus diesem Grund unzulässig.

Mit ihrem Eventualantrag bekämpft die antragstellende Gesellschaft § 53 Abs. 3a SPG idF BGBl. I 114/2007. Die antrag-stellende Gesellschaft bringt zunächst vor, sie müsse, um der Auskunftspflicht gemäß § 53 Abs. 3a SPG bezüglich der Internet-protokolladressen nachkommen zu können, die IP-Adressen zunächst überhaupt erst einmal speichern. Bislang speichere die antrag-stellende Gesellschaft die IP-Adressen noch nicht, weil sie diese zur Erbringung ihrer Dienstleistung nicht benötige und weil für eine derartige Speicherung keine Rechtsgrundlage existiere.

Die Bundesregierung hält dieser Argumentation entgegen, dass sich aus § 53 Abs. 3a Z 2 SPG keine Verpflichtung ergebe, die Internetprotokolladressen zu speichern; mit der Neuregelung des § 53 Abs. 3a Z 2 und Z 3 SPG habe der Gesetzgeber lediglich auf die Entscheidung der Datenschutzkommission vom 3. Oktober 2007, K 121.279/0017-DSK/2007 reagiert, in der diese die Ansicht vertrat, dass “für die Übermittlung der (dynamischen) IP-Adresse, die unzweifelhaft ein Verkehrsdatum darstellt, auf Basis eines ‘nickname’ … § 53 Abs. 3a SPG [idF vor der Novelle BGBl. I 117/2008] keine geeignete Grundlage bieten” könne.

Der Verfassungsgerichtshof vertritt dazu die folgende Auffassung: Mit der Novellierung des § 53 Abs. 3a SPG wurde zwar eine gesetzliche Grundlage für die Übermittlung der IP-Adresse an die Sicherheitsbehörden, aber keine neue Verpflichtung zur Speicherung von IP-Adressen geschaffen: Gemäß der – durch die genannte SPG-Novelle unberührt gebliebenen – Regelung des § 99 Abs. 1 TKG 2003 dürfen nämlich Verkehrsdaten außer in den gesetzlich geregelten Fällen nicht gespeichert werden und sind diese Daten vom Betreiber nach Beendigung der Verbindung unver-züglich zu löschen oder zu anonymisieren. Gemäß § 99 Abs. 2 TKG 2003 dürfen Verkehrsdaten für Zwecke der Verrechnung von Ent-gelten bis zum Ablauf jener Frist gespeichert werden, innerhalb derer die Rechnung rechtlich angefochten werden oder der Anspruch auf Zahlung geltend gemacht werden kann. Gemäß § 99 Abs. 3 TKG 2003 dürfen Verkehrsdaten nur durch solche Personen verarbeitet werden, die für die Entgeltverrechnung oder Verkehrsabwicklung, Behebung von Störungen, Kundenanfragen, Betrugsermittlung oder Vermarktung der Kommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen zuständig sind oder die von diesen Personen beauftragt wurden. Der Umfang der verwendeten Verkehrs-daten ist auf das unbedingt notwendige Minimum zu beschränken. Nach diesen Bestimmungen kann es zu einer Speicherung der IP-Adresse beispielsweise zum Zwecke der Verrechnung von Entgelten oder zur Behebung von Störungen (Lösung von Internet-Verbindungsproblemen) kommen. Das SPG idF der Novelle BGBl. I 114/2007 enthält hingegen keine Ermächtigung zur Speicherung von Verkehrsdaten. Somit ist davon auszugehen, dass durch die SPG-Novelle den Betreibern von Telekommunikationsdiensten keine weiter reichenden Speicherverpflichtungen auferlegt wurden, als sie schon bisher bestanden haben. Die hier bekämpften Bestim-mungen schaffen Auskunftsverpflichtungen; aus solchen Auskunfts-verpflichtungen können jedoch keine zusätzlichen Speicherver-pflichtungen abgeleitet werden, sodass diese Auskunftsver-pflichtungen nur solche Daten betreffen können, hinsichtlich derer bereits aufgrund der genannten – durch die SPG-Novelle unverändert gebliebenen – Bestimmungen des TKG 2003 die Ermächtigung der Betreiber von Telekommunikationsdiensten zur Speicherung besteht.

Da § 53 Abs. 3a SPG somit keine Verpflichtung zur Speicherung der IP-Adresse vorsieht, liegen die von der antrag-stellenden Gesellschaft behaupteten Eingriffe in ihre rechtlich geschützten Interessen infolge der Verpflichtung zur zusätzlichen Speicherung von Daten im Ausmaß von 685 Terabyte nicht vor.

Hingegen greifen die Auskunftsverpflichtungen der antragstellenden Gesellschaft gemäß § 53 Abs. 3a SPG in ihre rechtlich geschützten Interessen aktuell ein.

Die Bundesregierung bringt vor, dass § 88 SPG einen Rechtsschutzweg eröffne. Der antragstellenden Gesellschaft wäre es möglich und auch zumutbar, dort die vermeintliche “Rechts-widrigkeit des Auskunftsverlangens” und in weiterer Folge die Bedenken, die nach ihrer Ansicht gegen die Verfassungsmäßigkeit der angefochtenen Normen sprechen, vorzubringen und geltend zu machen.

Gemäß § 88 Abs. 1 SPG erkennen die unabhängigen Verwaltungssenate über Beschwerden von Menschen (wobei darunter gemäß § 18 SPG auch juristische Personen zu verstehen sind), die behaupten, durch die Ausübung unmittelbarer sicherheitsbehörd-licher Befehls- und Zwangsgewalt in ihren Rechten verletzt worden zu sein (Art. 129a Abs. 1 Z 2 B-VG). Gemäß § 88 Abs. 2 SPG erkennen die unabhängigen Verwaltungssenate über Beschwerden von Menschen, die behaupten, auf andere Weise durch die Besorgung der Sicherheitsverwaltung in ihren Rechten verletzt worden zu sein, sofern dies nicht in Form eines Bescheides erfolgt ist. Soweit ein Auskunftsverlangen als Akt der Ausübung unmittelbarer sicher-heitsbehördlicher Befehls- und Zwangsgewalt zu qualifizieren wäre, ist es gemäß § 88 Abs. 1 SPG bekämpfbar; erfolgt es in anderer Weise, kann der zur Auskunft Verpflichtete eine Beschwerde gemäß § 88 Abs. 2 SPG erheben.

Da somit der antragstellenden Gesellschaft, wenn von ihr als Betreiberin eines öffentlichen Telekommunikationsdienstes tatsächlich eine Auskunft iSd § 53 Abs. 3a SPG verlangt wird, über eine Beschwerde gemäß § 88 Abs. 1 bzw. 2 SPG und über eine Beschwerde gemäß Art. 144 B-VG gegen die Entscheidung des UVS ein anderer zumutbarer Weg zur Verfügung steht, die Frage der Verfassungsmäßigkeit des § 53 Abs. 3a SPG an den Verfassungs-gerichtshof heranzutragen, erweist sich auch der – in eventu gestellte – Individualantrag auf Aufhebung dieser Bestimmung als unzulässig. Er war daher zurückzuweisen.

3. Betreffend den zweiten Hauptantrag behauptet die antragstellende Gesellschaft, sie sei nach § 53 Abs. 3b SPG verpflichtet, Auskunft über Standortdaten zu erteilen, was “im Falle nicht geführter Gespräche” nur durch Verarbeitung geson-derter Verbindungsdaten, die durch Zuhilfenahme der Verbindungs-wege nach Beauftragung durch den Betreiber individuell herzu-stellen seien, erfolgen könne. Dies stehe gemäß § 134 ff StPO unter Vorbehalt der Anordnung durch die Staatsanwaltschaft nach richterlicher Bewilligung. Überdies sehe diese Bestimmung den Einsatz eines IMSI (International Mobile Subscriber Identity)-Catchers vor, der es der antragstellenden Gesellschaft unmöglich mache, die ihr nach § 93 Abs. 2 TKG 2003 gesetzlich obliegende Pflicht zur Wahrung des Kommunikationsgeheimnisses sowie die gemäß § 20 TKG 2003 bestehende Verpflichtung zur Herstellung der Verbindung zu Notrufnummern zu erfüllen und der sie daran hindere, die in ihrer Mobilfunkkonzession vorgeschriebene Netz-verfügbarkeit zu garantieren.

Dazu vertritt der Verfassungsgerichtshof folgende Auffassung:

§ 53 Abs. 3b SPG verpflichtet zunächst Betreiber öffent-licher Telekommunikationsdienste, Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten Menschen mitgeführten Endeinrichtung (Mobiltelefon) zu erteilen.

Standortdaten sind gemäß § 92 Abs. 2 Z 6 TKG 2003 Daten, die in einem Kommunikationsnetz verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben. Gemäß § 96 Abs. 1 TKG 2003 dürfen Standortdaten nur für Zwecke der Besorgung eines Kommunikationsdienstes ermittelt oder verarbeitet werden. Standortdaten unterliegen gemäß § 93 Abs. 1 TKG 2003 dem Kommunikationsgeheimnis. § 98 TKG 2003 verpflichtet Betreiber öffentlicher Kommunikationsdienste, Betreibern von Notrufdiensten auf deren Verlangen Auskünfte über Standortdaten zu erteilen. Für den Verfassungsgerichtshof ist daher nicht erkennbar, dass § 53 Abs. 3b SPG die antragstellende Gesellschaft zur Speicherung zusätzlicher Daten verpflichtet.

Gemäß § 53 Abs. 3b letzter Satz SPG sind die Auskünfte gegen Ersatz der Kosten zu erteilen.

Soweit die antragstellende Gesellschaft behauptet, die Kostenersatzregelung entspreche “weder dem Legalitätsprinzip des Art. 18 Abs. 1 B-VG noch dem allgemeinen Sachlichkeitsgebot”, ist darauf hinzuweisen, dass die Frage der Verfassungsmäßigkeit der Kostenersatzregelung über einen Antrag auf Kostenbestimmung durch Bescheid, dagegen gerichtete Rechtsmittel und schließlich über eine Beschwerde gemäß Art. 144 Abs. 1 B-VG an den Verfassungs-gerichtshof herangetragen werden kann. Überdies steht der antragstellenden Gesellschaft über eine Beschwerde gemäß § 88 Abs. 1 bzw. 2 SPG und über eine Beschwerde gemäß Art. 144 B-VG gegen die Entscheidung des UVS ein anderer zumutbarer Weg zur Verfügung, die Frage der Verfassungsmäßigkeit auch des § 53 Abs. 3b SPG an den Verfassungsgerichtshof heranzutragen, was die dort enthaltene Verpflichtung zur Auskunftserteilung betrifft (vgl. oben Pkt. 2.).

§ 53 Abs. 3b SPG ermächtigt außerdem die Sicherheits-behörden, technische Mittel zur Lokalisierung der Endeinrichtung zum Einsatz zu bringen. Auf die Klärung der Frage, welche “technischen Mittel” der Gesetzgeber hier anspricht, zielten die oben in Punkt I.5. wiedergegebenen Fragen an den Bundesminister für Inneres ab. Aus den – den übrigen mitbeteiligten Parteien zur Kenntnisnahme übermittelten und unwidersprochen gebliebenen – Antworten des Bundesministers für Inneres geht hervor, dass hier sog. “IMSI-Catcher” und “Peilempfänger/-antennen” zum Einsatz kommen, die nicht zur Ermittlung von Gesprächsinhalten geeignet sind, sondern nur zur Standortermittlung von Mobilfunkendein-richtungen, wobei nur die zu lokalisierende Mobilfunkendein-richtung und nicht auch solche unbeteiligter Dritter angezeigt werden; überdies würden diese “technischen Mittel” bei fach-gerechter Bedienung den Betrieb von Mobilfunknetzen nicht stören. Der Verfassungsgerichtshof geht davon aus, dass § 53 Abs. 3b SPG – verfassungskonform interpretiert – auch nur den Einsatz solcher Einrichtungen zulässt, deren Funktionen auf die Ermittlung des Standorts der gesuchten Mobilfunkendeinrichtung beschränkt sind, weil sie das gelindeste Mittel zur Erreichung des vom Gesetz verfolgten Zwecks darstellen.

Wenn die antragstellende Gesellschaft behauptet, der durch § 53 Abs. 3b SPG erlaubte Einsatz technischer Mittel zur Lokalisierung von Telekommunikationsendeinrichtungen (Mobil-telefonen) führe einerseits dazu, dass sie daran gehindert werde, die in ihrer Mobilfunkkonzession vorgeschriebene Netzverfüg-barkeit zu garantieren, und andererseits dazu, dass es ihr unmöglich gemacht werde, das Kommunikationsgeheimnis zu wahren (gemeint offenbar: da die Sicherheitsbehörden über solche technische Einrichtungen auch den Inhalt von Telefongesprächen ermitteln könnten), so ist ihr Folgendes entgegenzuhalten:

Die bekämpfte Norm richtet sich nicht an die Betreiber von Telekommunikationsdiensten, sondern an die Sicherheits-behörden. Die Ermächtigung der Sicherheitsbehörden, technische Mittel zur Lokalisierung der Endeinrichtung zum Einsatz zu bringen, bewirkt daher keinen Eingriff in die rechtlich geschützten Interessen der antragstellenden Gesellschaft, zumal § 53 Abs. 3b SPG keine Grundlage für die Ermittlung von Inhalts-daten von Mobiltelefongesprächen bietet und insofern die Rechtssphäre des Telekommunikationsdienstebetreibers, der zur Wahrung des Kommunikationsgeheimnisses verpflichtet ist, nicht berührt. Eine allfällige Beeinträchtigung der Verpflichtungen der antragstellenden Gesellschaft aus ihrer Mobilfunkkonzession, die Netzverfügbarkeit zu garantieren, ist aber kein Eingriff in eine Rechtsposition; vielmehr wäre eine allfällige Störung des Mobil-funkbetriebs durch den Einsatz eines IMSI-Catchers bloß eine faktische Reflexwirkung (vgl. 16.364/2001) der bekämpften Bestimmungen des SPG.

Was schließlich die Behauptung einer allfälligen Haftung der antragstellenden Gesellschaft gegenüber ihren Kunden betrifft, ist darauf hinzuweisen, dass allfällige zivilrechtliche Haftungen der antragstellenden Gesellschaft gegenüber ihren Kunden keine aktuelle Beeinträchtigung ihrer rechtlich geschütz-ten Interessen, sondern bloß eine potentielle Beeinträchtigung dieser Interessen darstellt (vgl. VfSlg. 17.093/2003). Es ist derzeit nämlich ungewiss, ob gegenüber der antragstellenden Gesellschaft jemals Haftungsansprüche geltend gemacht werden. Wie der Verfassungsgerichtshof in ständiger Judikatur ausgesprochen hat, reicht die bloß potentielle Beeinträchtigung von rechtlich geschützten Interessen nicht aus, um die Antragslegitimation nach Art. 140 B-VG zu begründen.

Selbst wenn aber eine solche Klage gegen die antrag-stellende Gesellschaft eingebracht werden sollte, würde ihr dann der Weg offen stehen, ihre Bedenken gegen die angefochtenen Bestimmungen dem ordentlichen Gericht vorzutragen, und es könnten die Rechtsmittelgerichte einen Gesetzesprüfungsantrag beim Verfassungsgerichtshof stellen. Ein solcher Weg ist den Antrag-stellern auch zumutbar: Der Verfassungsgerichtshof hat zwar wiederholt ausgesprochen, dass einem Normunterworfenen nicht zumutbar sei, eine Klage und ein in der Folge eingeleitetes zivilgerichtliches Verfahren dadurch zu provozieren, dass er sich rechtswidrig verhält (VfSlg. 13.659/1993, 15.030/1997, 16.042/2000, 16.920/2003, 17.093/2003). Die antragstellende Gesellschaft müsste sich jedoch gerade nicht rechtswidrig, sondern dem § 53 Abs. 3a bzw. 3b SPG entsprechend verhalten, um in einem allfälligen Haftungsprozess Bedenken gegen diese Bestimmungen vorzutragen.

Aus diesen Gründen ist auch der Individualantrag auf Aufhebung des § 53 Abs. 3b SPG (zweiter Hauptantrag) unzulässig und war daher zurückzuweisen.

4. Zum dritten Hauptbegehren auf Aufhebung der Wortfolge “Kommunikations- und” in § 53a Abs. 2 Z 1 lit. n SPG enthält der Antrag keine Ausführungen, inwieweit diese Bestimmungen in die rechtlich geschützten Interessen der antragstellenden Gesell-schaft aktuell eingreifen. Der Antrag war insoweit daher schon aus diesem Grunde zurückzuweisen.

5. Dieser Beschluss konnte gemäß § 19 Abs. 3 Z 2 lit. e VfGG in nichtöffentlicher Sitzung gefasst werden.

Wien, am 1. Juli 2009

Der Präsident:

Dr. H o l z i n g e r

Schriftführer:

Mag. C e d e

Quelle: vfgh

Verfassungsgerichtshof

Judenplatz 11, 1010 Wien

G 147, 148/08-14

B E S C H L U S S :

Der Verfassungsgerichtshof hat unter dem Vorsitz des

1. des Dr. Hannes T., (… ,

Wien,

2. des Mag. Ewald S c h. , (… ,

Wien,

3. der Dr. Kerstin B. , (… ,

1200 Wien,

4. des Mag. Christian S c h. , (… ,

Gablitz,

5. des Mag. Ing. Christof T. , (… ,

Wien,

6. des Alexander Z. , (… ,

Wien,

7. der Mag. Stefanie D. , (… ,

Wien,

8. der Marianne E. , (… , Wien,

9. des Dr. Martin G. , (… ,

Wels,

(1. Juli 2009)

- 2 -

10. des Mag. Dr. Nikolaus F. , (… ,

Wien,

11. der Dr. Barbara H. , (… ,

Wien,

12. des Dr. Manfred H. , (… ,

Liebenfels,

13. des Josef K. , (… ,

Wien,

14. des Dr. Martin L. , (… ,

Perchtoldsdorf,

15. des DDr. Eduard L. , (… , Wien,

16. des Dr. Siroos M. , (… ,

Perchtoldsdorf,

17. des Mag. Martin N. , (… ,

Wien,

18. der Dr. Ulrike N. , (… , Thalheim,

19. des Dr. Manfred N. , (… ,

Wien,

20. des Dr. Hans Dieter S c h., (… ,

Wien,

21. der Mag. Astrid S., (… ,

Wien,

22. der Dr. Maria W., (… ,

Wien,

23. des Mag. Dr. Helmut P. , (… , Röthis,

24. des Mag. Hannes H. , (… ,

Wien,

25. der M. E. C. , (… , Wien,

26. des Dr. Stefan P., (… ,

Wien,

27. der Dr. Elisabeth R., (… , 1030 Wien,

alle vertreten durch Rechtsanwalt Mag. Ewald Scheucher, Lindengasse 39, 1070 Wien, auf Aufhebung (von Teilen) der §§ 53, 53a und 54 des Sicherheitspolizeigesetzes, BGBl. Nr. 566/1991 idF

BGBl. I Nr. 4/2008, und des § 24 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999, als verfassungswidrig, in seiner heutigen nichtöffentlichen Sitzung beschlossen:

Die Anträge werden zurückgewiesen.

B e g r ü n d u n g :

I. 27 Antragsteller begehren mit ihren auf Art. 140 Abs. 1 B-VG gestützten Anträgen die Aufhebung folgender gesetzlicher Bestimmungen “wegen Verletzung verfassungsgesetzlich gewähr-leisteter Rechte”:

1. Aufhebung des § 53 Abs. 1 des Bundesgesetzes über die Organisation und die Ausübung der Sicherheitspolizei (Sicher-heitspolizeigesetz – SPG), BGBl. 566/1991 idF BGBl. I 4/2008 zur Gänze sowie in Abs. 2 der Wortfolgen “Die Sicherheitsbehörden dürfen Daten, die sie in Vollziehung von Bundes- oder Landes-gesetzes[n] verarbeitet haben, für die Zwecke und unter den Voraussetzungen nach Abs. 1 ermitteln und weiterverarbeiten;” und “ihnen jedoch”

1.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

2. Aufhebung des § 53 Abs. 3a SPG zur Gänze

2.1. In eventu wird der Antrag gestellt, in § 53 Abs. 3a SPG die Wortfolgen “und sie diese Daten als wesentliche Voraussetzung für die Erfüllung der ihnen nach diesem Bundes-gesetz übertragenen Aufgaben benötigen. Die Bezeichnung eines Anschlusses nach Z 1 kann” und “oder die Abwehr gefährlicher Angriffe” und des Wortes “erfolgen” aufzuheben sowie in § 53 Abs. 3a zweiter Satz SPG die Wortfolge “durch Bezeichnung eines möglichst genauen Zeitraumes” mit der Maßgabe aufzuheben, dass die Wortfolge “durch die Bezeichnung des Zeitpunktes” in der vor der SPG-Novelle BGBl. I 114/2007 gültigen Fassung des § 53 Abs. 3a zweiter Satz SPG, BGBl. 566/1991 idF BGBl. I 146/1999, wieder in Kraft tritt.

2.2. Ebenfalls in eventu wird der unter 12. wiederge- gebene Antrag gestellt.

3. Aufhebung des § 53 Abs. 3b SPG zur Gänze

3.1. In eventu wird der Antrag gestellt, in § 53 Abs. 3b SPG die Wortfolge “und die Internationale Mobilteilnehmerkennung (IMSI)” sowie die Wortfolge “sowie technische Mittel zu ihrer Lokalisierung zum Einsatz zu bringen” aufzuheben.

3.2. Ebenfalls in eventu wird der unter 12. wiederge-gebene Antrag gestellt.

4. Aufhebung der Wortfolge “aus allen anderen verfüg-baren Quellen durch Einsatz geeigneter Mittel, insbesondere” im § 53 Abs. 4 SPG

4.1. In eventu wird der Antrag gestellt, im § 53 Abs. 4 SPG die Wortfolge “aus allen anderen verfügbaren Quellen” aufzu-heben.

4.2. Ebenfalls in eventu wird der unter 12. wiederge-gebene Antrag gestellt.

5. Aufhebung der Wortfolge “sowie Verwaltungsdaten” im § 53a Abs. 1 SPG

5.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

6. Aufhebung des § 53a Abs. 2 SPG zur Gänze

6.1. In eventu wird der Antrag gestellt, im Einleitungs-satz des § 53a Abs. 2 SPG im die Wortfolge “oder gefährlicher Angriffe sowie zur Vorbeugung gefährlicher Angriffe, wenn nach der Art des Angriffs eine wiederholte Begehung wahrscheinlich ist, mittels operativer oder strategischer Analyse” sowie die Z 2 bis 5 des § 53a Abs. 2 SPG aufzuheben.

6.2. Ebenfalls in eventu wird der Antrag gestellt, im Einleitungsteil des § 53a Abs. 2 SPG die Wortfolge “oder gefährlicher Angriffe sowie zur Vorbeugung gefährlicher Angriffe, wenn nach der Art des Angriffs eine wiederholte Begehung wahr-scheinlich ist, mittels operativer oder strategischer Analyse”, in § 53a Abs. 2 lit. k SPG das Wort “/Lebensverhältnisse” und in § 53a Abs. 2 lit. n SPG die Wortfolge “Kommunikations- und Verkehrsmittel sowie” und im Schlussteil des § 53a Abs. 2 SPG die Wortfolge “und Verwaltungsdaten” aufzuheben.

6.3. Ebenfalls in eventu wird der unter 12. wiederge-gebene Antrag gestellt.

7. Aufhebung der Wortfolge “gefährlicher Angriffe oder” in § 54 Abs. 2 Z 3 SPG

7.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

8. Aufhebung der Wortfolge “gefährlicher Angriffe oder” in § 54 Abs. 3 SPG

8.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

9. Aufhebung der Wortfolge “gefährlicher Angriffe oder” in § 54 Abs. 4 SPG

9.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

10. Aufhebung des § 54 Abs. 4b SPG

10.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

11. Aufhebung des letzten Satzes des § 56 Abs. 2 SPG

11.1. In eventu wird der unter 12. wiedergegebene Antrag gestellt.

12. Aufhebung der Wortfolge “aus Anlaß der Ermittlung von Daten” in § 24 Abs. 1 des Bundesgesetzes über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I 165/1999 idF BGBl. I 2/2008, des § 24 Abs. 3 Z l DSG 2000 zur Gänze und der Wortfolge “und 3″ in § 24 Abs. 4 DSG 2000.

II. Zur Rechtslage:

1. Die angefochtenen Bestimmungen des Bundesgesetzes über die Organisation und die Ausübung der Sicherheitspolizei (Sicherheitspolizeigesetz – SPG), BGBl. 566/1991 idF BGBl. I 4/2008 haben folgenden Wortlaut:

“Zulässigkeit der Verarbeitung

§ 53. (1) Die Sicherheitsbehörden dürfen personen-bezogene Daten ermitteln und weiterverarbeiten

1. für die Erfüllung der ersten allgemeinen Hilfeleistungs-pflicht (§ 19);

2. für die Abwehr krimineller Verbindungen (§§ 16 Abs. 1 Z 2 und 21);

2a. für die erweiterte Gefahrenerforschung (§ 21 Abs. 3) unter den Voraussetzungen des § 91c Abs. 3;

3. für die Abwehr gefährlicher Angriffe (§§ 16 Abs. 2 und 3 sowie 21 Abs. 2); einschließlich der im Rahmen der Gefahren-abwehr notwendigen Gefahrenerforschung (§ 16 Abs. 4 und § 28a);

4. für die Vorbeugung wahrscheinlicher gefährlicher Angriffe gegen Leben, Gesundheit, Sittlichkeit, Freiheit, Vermögen oder Umwelt (§ 22 Abs. 2 und 3) oder für die Vorbeugung gefähr-licher Angriffe mittels Kriminalitätsanalyse, wenn nach der Art des Angriffes eine wiederholte Begehung wahrscheinlich ist;

5. für Zwecke der Fahndung (§ 24);

6. um bei einem bestimmten Ereignis die öffentliche Ordnung aufrechterhalten zu können.

(2) Die Sicherheitsbehörden dürfen Daten, die sie in Vollziehung von Bundes- oder Landesgesetzen verarbeitet haben, für die Zwecke und unter den Voraussetzungen nach Abs. 1 ermitteln und weiterverarbeiten; ein automationsunterstützter Datenabgleich im Sinne des § 141 StPO ist ihnen jedoch untersagt. Bestehende Übermittlungsverbote bleiben unberührt.

…

(3a) Die Sicherheitsbehörden sind berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003 – TKG 2003, BGBl. I Nr. 70) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz – ECG, BGBl. I Nr. 152/2001) Auskunft zu verlangen über

1. Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses,

2. Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung sowie

3. Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war,

(3b) Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben oder die Gesundheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefähr-deten Menschen mitgeführten Endeinrichtung zu verlangen sowie technische Mittel zu ihrer Lokalisierung zum Einsatz zu bringen. Die Sicherheitsbehörde trifft die Verantwortung für die recht-liche Zulässigkeit des Auskunftsbegehrens, dessen Dokumentation dem Betreiber unverzüglich, spätestens innerhalb von 24 Stunden nachzureichen ist. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und gegen Ersatz der Kosten nach § 7 Z 4 der Überwachungskostenverordnung – ÜKVO, BGBl. II Nr. 322/2004, zu erteilen.

…

(4) Abgesehen von den Fällen der Abs. 2 bis 3b sind die Sicherheitsbehörden für Zwecke des Abs. 1 berechtigt, personen-bezogene Daten aus allen anderen verfügbaren Quellen durch Ein-satz geeigneter Mittel, insbesondere durch Zugriff auf allgemein zugängliche Daten, zu ermitteln und weiterzuverarbeiten.

Datenanwendungen der Sicherheitsbehörden

§ 53a. (1) Die Sicherheitsbehörden dürfen für die Leitung, Administration und Koordination von Einsätzen, insbe-sondere von sicherheitspolizeilichen Schwerpunktaktionen, Fahn-dungen oder ordnungsdienstlichen Anlässen sowie für den Personen- und Objektschutz und die Erfüllung der ersten allgemeinen Hilfe-leistungspflicht Daten über natürliche und juristische Personen sowie Sachen und Gebäude verarbeiten. Es dürfen zu Personen, die von einer Amtshandlung betroffen sind, zu Einbringern von Anträgen, Anzeigen oder sonstigen Mitteilungen, zu gefährdeten Personen oder Institutionen und zu Zeugen und anderen Personen, die im Zuge einer Amtshandlung zu verständigen sind, die erfor-derlichen Identifikations- und Erreichbarkeitsdaten verarbeitet werden sowie zu gefahndeten Personen auch Lichtbild und eine allenfalls vorhandene Beschreibung des Aussehens und ihrer Kleidung. Darüber hinaus dürfen die erforderlichen Sachdaten einschließlich KFZ-Kennzeichen, Angaben zu Zeit, Ort, Grund und Art des Einschreitens sowie Verwaltungsdaten verarbeitet werden.

1. zu Verdächtigen

a) Namen,

b) frühere Namen,

c) Aliasdaten,

d) Namen der Eltern,

e) Geschlecht,

f) Geburtsdatum und Ort,

g) Staatsangehörigkeit,

h) Wohnanschrift/Aufenthalt,

i) sonstige zur Personenbeschreibung erforderliche Daten,

j) Dokumentendaten,

k) Beruf und Qualifikation/Beschäftigung/Lebensverhältnisse,

l) erkennungsdienstliche Daten,

m) Informationen über wirtschaftliche und finanzielle Verhält-nisse einschließlich damit im Zusammenhang stehender Daten juristischer Personen und

n) sachbezogene Daten zu Kommunikations- und Verkehrsmittel sowie Waffen einschließlich Registrierungsnummer/Kenn-zeichen,

3. zu Zeugen die Datenarten 1. a) bis j) und zeugenschutz-relevante Daten,

5. zu Informanten und sonstigen Auskunftspersonen die Datenarten 1. a) bis j),

sowie tat- und fallbezogene Informationen und Verwaltungsdaten verarbeiten, auch wenn es sich um besonders schutzwürdige Daten im Sinne des § 4 Z 2 DSG 2000 handelt.

…

Besondere Bestimmungen für die Ermittlung

§ 54. …

(2) Die Ermittlung personenbezogener Daten durch Beobachten (Observation) ist zulässig

1. zur erweiterten Gefahrenerforschung (§ 21 Abs. 3);

2. um eine von einem bestimmten Menschen geplante strafbare Handlung gegen Leben, Gesundheit, Sittlichkeit, Freiheit, Vermögen oder Umwelt noch während ihrer Vorbereitung (§ 16 Abs. 3) verhindern zu können;

3. wenn sonst die Abwehr gefährlicher Angriffe oder krimineller Verbindungen gefährdet oder erheblich erschwert wäre.

(3) Das Einholen von Auskünften ohne Hinweis gemäß Abs. 1 (verdeckte Ermittlung) ist zulässig, wenn sonst die Abwehr gefährlicher Angriffe oder krimineller Verbindungen gefährdet oder erheblich erschwert, oder die erweiterte Gefahrenerforschung durch Einsatz anderer Ermittlungsmaßnahmen aussichtslos wäre.

(4) Die Ermittlung personenbezogener Daten mit Bild- und Tonaufzeichnungsgeräten ist nur für die Abwehr gefährlicher Angriffe oder krimineller Verbindungen und zur erweiterten Gefahrenerforschung (§ 21 Abs. 3) zulässig; sie darf unter den Voraussetzungen des Abs. 3 auch verdeckt erfolgen. Das Fern-meldegeheimnis bleibt unberührt. Unzulässig ist die Ermittlung personenbezogener Daten jedoch

1. mit Tonaufzeichnungsgeräten, um nichtöffentliche und nicht in Anwesenheit eines Ermittelnden erfolgende Äußerungen aufzu-zeichnen;

2. mit Bildaufzeichnungsgeräten, um nichtöffentliches und nicht im Wahrnehmungsbereich eines Ermittelnden erfolgendes Ver-halten aufzuzeichnen.

…

(4b) Die Sicherheitsbehörden sind ermächtigt, verdeckt mittels Einsatz von Kennzeichenerkennungsgeräten personenbezogene Daten für Zwecke der Fahndung (§ 24 SPG) zu verarbeiten. Der Einsatz ist auf maximal einen Monat zu beschränken. Die Daten sind zu löschen, sobald sie für Zwecke der konkreten Fahndung nicht mehr benötigt werden.

…

Zulässigkeit der Übermittlung

§ 56. …

(2) Die Übermittlung personenbezogener Daten ist aktenkundig zu machen. Übermittlungen aus einer automations-unterstützt geführten Evidenz können statt dessen protokolliert werden; die Protokollaufzeichnungen können nach drei Jahren gelöscht werden. Von der Protokollierung ausgenommen sind automatisierte Abfragen gemäß § 54 Abs. 4b, es sei denn, es handelt sich um einen Trefferfall.”

2. Die weiteren hier maßgeblichen Bestimmungen des SPG lauten:

“Beschwerden wegen Verletzung der Bestimmungen über den Datenschutz

§ 90. Die Datenschutzkommission entscheidet gemäß § 31 des Datenschutzgesetzes 2000 über Beschwerden wegen Verletzung von Rechten durch Verwenden personenbezogener Daten in Angelegen-heiten der Sicherheitsverwaltung entgegen den Bestimmungen des Datenschutzgesetzes. Davon ausgenommen ist die Beurteilung der Rechtmäßigkeit der Ermittlung von Daten durch die Ausübung verwaltungsbehördlicher Befehls- und Zwangsgewalt.

…

Rechtsschutzbeauftragter

§ 91a. (1) Zur Wahrnehmung des besonderen Rechtsschutzes im Ermittlungsdienst der Sicherheitsbehörden ist beim Bundes-minister für Inneres ein Rechtsschutzbeauftragter mit zwei Stellvertretern eingerichtet, die bei der Besorgung der ihnen nach dem Sicherheitspolizeigesetz zukommenden Aufgaben unabhängig und weisungsfrei sind und der Amtsverschwiegenheit unterliegen.

(2) Der Rechtsschutzbeauftragte und seine Stellvertreter haben gleiche Rechte und Pflichten. Sie werden vom Bundespräsi-denten auf Vorschlag der Bundesregierung nach Anhörung der Präsidenten des Nationalrates sowie der Präsidenten des Verfas-sungsgerichtshofes und des Verwaltungsgerichtshofes auf die Dauer von fünf Jahren bestellt. Wiederbestellungen sind zulässig.

(3) (Verfassungsbestimmung) Eine Einschränkung seiner Befugnisse nach § 91c sowie seiner Rechte und Pflichten nach § 91d kann vom Nationalrat nur in Anwesenheit von mindestens der Hälfte der Mitglieder mit einer Mehrheit von zwei Dritteln der abgegebenen Stimmen beschlossen werden.

Organisation

§ 91b. (1) Der Rechtsschutzbeauftragte und seine Stellvertreter müssen besondere Kenntnisse und Erfahrungen auf dem Gebiet der Grund- und Freiheitsrechte aufweisen und mindestens fünf Jahre in einem Beruf tätig gewesen sein, in dem der Abschluss des Studiums der Rechtswissenschaften Berufsvor-aussetzung ist. Richter und Staatsanwälte des Dienststandes, Rechtsanwälte, die in die Liste der Rechtsanwälte eingetragen sind, und andere Personen, die vom Amt eines Geschworenen oder Schöffen ausgeschlossen oder zu diesem nicht zu berufen sind (§§ 2 und 3 des Geschworenen- und Schöffengesetzes 1990) dürfen nicht bestellt werden.

(2) Die Bestellung des Rechtsschutzbeauftragten und seiner Stellvertreter erlischt bei Verzicht, im Todesfall oder mit Wirksamkeit der Neu- oder Wiederbestellung. Wenn ein Grund besteht, die volle Unbefangenheit des Rechtsschutzbeauftragten oder eines Stellvertreters in Zweifel zu ziehen, hat sich dieser des Einschreitens in der Sache zu enthalten.

(3) Der Bundesminister für Inneres stellt dem Rechts-schutzbeauftragten die zur Bewältigung der administrativen Tätigkeit notwendigen Personal- und Sacherfordernisse zur Verfügung. Dem Rechtsschutzbeauftragten und seinen Stellver-tretern gebührt für die Erfüllung ihrer Aufgaben eine Entschädi-gung. Der Bundesminister für Inneres ist ermächtigt, mit Verordnung Pauschalsätze für die Bemessung dieser Entschädigung festzusetzen.

Befassung des Rechtsschutzbeauftragten

§ 91c. (1) Die Sicherheitsbehörden sind verpflichtet, den Rechtsschutzbeauftragten von jeder Ermittlung personen-bezogener Daten durch verdeckte Ermittlung (§ 54 Abs. 3), durch den verdeckten Einsatz von Bild- oder Tonaufzeichnungsgeräten (§ 54 Abs. 4), durch Verarbeiten von Daten, die andere mittels Einsatz von Bild- und Tonaufzeichnungsgeräten er- und übermittelt haben (§ 53 Abs. 5) unter Angabe der für die Ermittlung wesent-lichen Gründe in Kenntnis zu setzen. Für derartige Maßnahmen im Rahmen der erweiterten Gefahrenerforschung gilt Abs. 3. Darüber hinaus ist der Rechtsschutzbeauftragte über Auskunftsverlangen (§ 53 Abs. 3a Z 2 und 3, Abs. 3a zweiter Satz und 3b) sowie über den Einsatz von Kennzeichenerkennungsgeräten (§ 54 Abs. 4b) zu informieren.

(2) Sicherheitsbehörden, die die Überwachung öffent-licher Orte mit Bild- und Tonaufzeichnungsgeräten im Sinne des § 54 Abs. 6 und 7 oder die Führung einer Datenanwendung gemäß § 53a Abs. 2 und 6 beabsichtigen, haben unverzüglich den Bundesminister für Inneres zu verständigen. Dieser hat dem Rechtsschutzbeauftragten Gelegenheit zur Äußerung binnen drei Tagen zu geben. Der tatsächliche Einsatz der Bild- und Tonauf-zeichnungsgeräte oder die Aufnahme der Datenanwendung darf erst nach Ablauf dieser Frist oder Vorliegen einer entsprechenden Äußerung des Rechtsschutzbeauftragten erfolgen.

(3) Sicherheitsbehörden, denen sich eine Aufgabe gemäß § 21 Abs. 3 stellt, haben vor der Durchführung der Aufgabe die Ermächtigung des Rechtsschutzbeauftragten im Wege des Bundes-ministers für Inneres einzuholen. Dasselbe gilt, wenn beab-sichtigt ist, im Rahmen der erweiterten Gefahrenerforschung (§ 21 Abs. 3) besondere Ermittlungsmaßnahmen nach § 54 Abs. 3 und 4 zu setzen oder gemäß § 53 Abs. 5 ermittelte Daten weiterzuver-arbeiten.

Rechte und Pflichten des Rechtsschutzbeauftragten

§ 91d. (1) Die Sicherheitsbehörden haben dem Rechts-schutzbeauftragten bei der Wahrnehmung seiner Aufgaben jederzeit Einblick in alle erforderlichen Unterlagen und Aufzeichnungen zu gewähren, ihm auf Verlangen Abschriften (Ablichtungen) einzelner Aktenstücke unentgeltlich auszufolgen und alle erforderlichen Auskünfte zu erteilen; insofern kann ihm gegenüber Amtsverschwiegenheit nicht geltend gemacht werden. Dies gilt jedoch nicht für Auskünfte und Unterlagen über die Identität von Personen oder über Quellen, deren Bekannt werden die nationale Sicherheit oder die Sicherheit von Menschen gefährden würde, und für Abschriften (Ablichtungen), wenn das Bekannt werden der Information die nationale Sicherheit oder die Sicherheit von Menschen gefährden würde.

(2) Dem Rechtsschutzbeauftragten ist jederzeit Gelegen-heit zu geben, die Durchführung der in § 91c genannten Maßnahmen zu überwachen und alle Räume zu betreten, in denen Aufnahmen oder sonstige Überwachungsergebnisse aufbewahrt werden. Darüber hinaus hat er im Rahmen seiner Aufgabenstellungen die Einhaltung der Pflicht zur Richtigstellung oder Löschung nach § 63 oder den besonderen Löschungsbestimmungen zu überwachen.

(3) Nimmt der Rechtsschutzbeauftragte wahr, dass durch Verwenden personenbezogener Daten Rechte von Betroffenen verletzt worden sind, die von dieser Datenverwendung keine Kenntnis haben, so ist er zu deren Information oder, sofern eine solche aus den Gründen des § 26 Abs. 2 des DSG 2000 nicht erfolgen kann, zur Erhebung einer Beschwerde an die Datenschutzkommission nach § 90 befugt.

(4) Der Rechtsschutzbeauftragte erstattet dem Bundes-minister für Inneres jährlich bis spätestens 31. März einen Bericht über seine Tätigkeit und Wahrnehmungen im Rahmen seiner Aufgabenerfüllung. Diesen Bericht hat der Bundesminister für Inneres dem ständigen Unterausschuss des Ausschusses für innere Angelegenheiten zur Überprüfung von Maßnahmen zum Schutz der verfassungsmäßigen Einrichtungen und ihrer Handlungsfähigkeit auf dessen Verlangen im Rahmen des Auskunfts- und Einsichtsrechtes nach Art. 52a Abs. 2 B-VG zugänglich zu machen.”

3. § 24 des Bundesgesetzes über den Schutz personen-bezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I 165/1999 (teilweise zur Aufhebung beantragt) lautet:

“Informationspflicht des Auftraggebers

§ 24. (1) Der Auftraggeber einer Datenanwendung hat aus Anlaß der Ermittlung von Daten die Betroffenen in geeigneter Weise

1. über den Zweck der Datenanwendung, für die die Daten ermittelt werden, und

2. über Namen und Adresse des Auftraggebers,

zu informieren, sofern diese Informationen dem Betroffenen nach den Umständen des Falles nicht bereits vorliegen.

(2) Über Abs. 1 hinausgehende Informationen sind in geeigneter Weise zu geben, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist; dies gilt insbesondere dann, wenn

1. gegen eine beabsichtigte Verarbeitung oder Übermittlung von Daten ein Widerspruchsrecht des Betroffenen gemäß § 28 besteht oder

2. es für den Betroffenen nach den Umständen des Falles nicht klar erkennbar ist, ob er zur Beantwortung der an ihn gestellten Fragen rechtlich verpflichtet ist, oder

3. Daten in einem Informationsverbundsystem verarbeitet werden sollen, ohne daß dies gesetzlich vorgesehen ist.

(3) Werden Daten nicht durch Befragung des Betroffenen, sondern durch Übermittlung von Daten aus anderen Aufgabengebieten desselben Auftraggebers oder aus Anwendungen anderer Auftraggeber ermittelt, darf die Information gemäß Abs. 1 entfallen, wenn

1. die Datenverwendung durch Gesetz oder Verordnung vorgesehen ist oder

2. die Information im Hinblick auf die mangelnde Erreichbarkeit von Betroffenen unmöglich ist oder

3. wenn sie angesichts der Unwahrscheinlichkeit einer Beeinträch-tigung der Betroffenenrechte einerseits und der Kosten der Information aller Betroffenen andererseits einen unverhältnis-mäßigen Aufwand erfordert. Dies liegt insbesondere dann vor, wenn Daten für Zwecke der wissenschaftlichen Forschung oder Statistik gemäß § 46 oder Adreßdaten im Rahmen des § 47 ermittelt werden und die Information des Betroffenen in diesen Bestimmungen nicht ausdrücklich vorgeschrieben ist. Der Bundeskanzler kann durch Verordnung weitere Fälle festlegen, in welchen die Pflicht zur Information entfällt.

(4) Keine Informationspflicht besteht bei jenen Datenan-wendungen, die gemäß § 17 Abs. 2 und 3 nicht meldepflichtig sind.”

4. Die weiteren hier maßgeblichen Bestimmungen des DSG 2000 lauten:

“5. Abschnitt

Die Rechte des Betroffenen

Auskunftsrecht

§ 26. (1) Der Auftraggeber hat dem Betroffenen Auskunft über die zu seiner Person verarbeiteten Daten zu geben, wenn der Betroffene dies schriftlich verlangt und seine Identität in geeigneter Form nachweist. Mit Zustimmung des Auftraggebers kann das Auskunftsbegehren auch mündlich gestellt werden. Die Auskunft hat die verarbeiteten Daten, die verfügbaren Informationen über ihre Herkunft, allfällige Empfänger oder Empfängerkreise von Übermittlungen, den Zweck der Datenverwendung sowie die Rechts-grundlagen hiefür in allgemein verständlicher Form anzuführen. Auf Verlangen des Betroffenen sind auch Namen und Adresse von Dienstleistern bekannt zu geben, falls sie mit der Verarbeitung seiner Daten beauftragt sind. Mit Zustimmung des Betroffenen kann anstelle der schriftlichen Auskunft auch eine mündliche Auskunft mit der Möglichkeit der Einsichtnahme und der Abschrift oder Ablichtung gegeben werden.

(2) Die Auskunft ist nicht zu erteilen, soweit dies zum Schutz des Betroffenen aus besonderen Gründen notwendig ist oder soweit überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten, insbesondere auch überwiegende öffentliche Inter-essen, der Auskunftserteilung entgegenstehen. Überwiegende öffentliche Interessen können sich hiebei aus der Notwendigkeit

1. des Schutzes der verfassungsmäßigen Einrichtungen der Republik Österreich oder

2. der Sicherung der Einsatzbereitschaft des Bundesheeres oder

3. der Sicherung der Interessen der umfassenden Landesver-teidigung oder

4. des Schutzes wichtiger außenpolitischer, wirtschaftlicher oder finanzieller Interessen der Republik Österreich oder der Europäischen Union oder

5. der Vorbeugung, Verhinderung oder Verfolgung von Straftaten ergeben. Die Zulässigkeit der Auskunftsverweigerung aus den Gründen der Z 1 bis 5 unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission gemäß § 31 Abs. 4.

(3) Der Betroffene hat am Auskunftsverfahren über Befragung in dem ihm zumutbaren Ausmaß mitzuwirken, um ungerecht-fertigten und unverhältnismäßigen Aufwand beim Auftraggeber zu vermeiden.

(4) Innerhalb von acht Wochen nach Einlangen des Begehrens ist die Auskunft zu erteilen oder schriftlich zu begründen, warum sie nicht oder nicht vollständig erteilt wird. Von der Erteilung der Auskunft kann auch deshalb abgesehen werden, weil der Betroffene am Verfahren nicht gemäß Abs. 3 mitgewirkt oder weil er den Kostenersatz nicht geleistet hat.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Auskunftsverweigerung erfordert, folgendermaßen vorzugehen:

Es ist in allen Fällen, in welchen keine Auskunft erteilt wird – also auch weil tatsächlich keine Daten verwendet werden -, anstelle einer inhaltlichen Begründung der Hinweis zu geben, daß keine der Auskunftspflicht unterliegenden Daten über den Betroffenen verwendet werden. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutz-kommission nach § 30 Abs. 3 und dem besonderen Beschwerde-verfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Die Auskunft ist unentgeltlich zu erteilen, wenn sie den aktuellen Datenbestand einer Datenanwendung betrifft und wenn der Betroffene im laufenden Jahr noch kein Auskunftsersuchen an den Auftraggeber zum selben Aufgabengebiet gestellt hat. In allen anderen Fällen kann ein pauschalierter Kostenersatz von 18,89 Euro verlangt werden, von dem wegen tatsächlich erwachsender höherer Kosten abgewichen werden darf. Ein etwa geleisteter Kostenersatz ist ungeachtet allfälliger Schadenersatzansprüche zurückzuerstatten, wenn Daten rechtswidrig verwendet wurden oder wenn die Auskunft sonst zu einer Richtigstellung geführt hat.

(7) Ab dem Zeitpunkt der Kenntnis von einem Auskunfts-verlangen darf der Auftraggeber Daten über den Betroffenen innerhalb eines Zeitraums von vier Monaten und im Falle der Erhebung einer Beschwerde gemäß § 31 an die Datenschutzkommission bis zum rechtskräftigen Abschluß des Verfahrens nicht vernichten.

(8) Soweit Datenanwendungen von Gesetzes wegen öffent-lich einsehbar sind, hat der Betroffene ein Recht auf Auskunft in dem Umfang, in dem ein Einsichtsrecht besteht. Für das Verfahren der Einsichtnahme gelten die näheren Regelungen der das öffent-liche Buch oder Register einrichtenden Gesetze.

(9) Für Auskünfte aus dem Strafregister gelten die besonderen Bestimmungen des Strafregistergesetzes 1968 über Strafregisterbescheinigungen.

(10) Im Falle der auf Grund von Rechtsvorschriften, Standesregeln oder Verhaltensregeln gemäß § 6 Abs. 4 eigenver-antwortlichen Entscheidung über die Durchführung einer Daten-anwendung durch einen Auftragnehmer gemäß § 4 Z 4, dritter Satz, kann der Betroffene sein Auskunftsbegehren zunächst auch an denjenigen richten, der die Herstellung des Werkes aufgetragen hat. Dieser hat dem Betroffenen, soweit dies nicht ohnehin bekannt ist, binnen zwei Wochen unentgeltlich Namen und Adresse des eigenverantwortlichen Auftragnehmers mitzuteilen, damit der Betroffene sein Auskunftsrecht gemäß Abs. 1 gegen diesen geltend machen kann.

Recht auf Richtigstellung oder Löschung

27. (1) Jeder Auftraggeber hat unrichtige oder entgegen den Bestimmungen dieses Bundesgesetzes verarbeitete Daten richtigzustellen oder zu löschen, und zwar

1. aus eigenem, sobald ihm die Unrichtigkeit von Daten oder die Unzulässigkeit ihrer Verarbeitung bekannt geworden ist, oder

2. auf begründeten Antrag des Betroffenen.

Der Pflicht zur Richtigstellung nach Z 1 unterliegen nur solche Daten, deren Richtigkeit für den Zweck der Datenanwendung von Bedeutung ist. Die Unvollständigkeit verwendeter Daten bewirkt nur dann einen Berichtigungsanspruch, wenn sich aus der Unvollständigkeit im Hinblick auf den Zweck der Datenanwendung die Unrichtigkeit der Gesamtinformation ergibt. Sobald Daten für den Zweck der Datenanwendung nicht mehr benötigt werden, gelten sie als unzulässig verarbeitete Daten und sind zu löschen, es sei denn, daß ihre Archivierung rechtlich zulässig ist und daß der Zugang zu diesen Daten besonders geschützt ist. Die Weiter-verwendung von Daten für einen anderen Zweck ist nur zulässig, wenn eine Übermittlung der Daten für diesen Zweck zulässig ist; die Zulässigkeit der Weiterverwendung für wissenschaftliche oder statistische Zwecke ergibt sich aus den §§ 46 und 47.

(2) Der Beweis der Richtigkeit der Daten obliegt – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist – dem Auftraggeber, soweit die Daten nicht ausschließlich auf Grund von Angaben des Betroffenen ermittelt wurden.

(3) Eine Richtigstellung oder Löschung von Daten ist ausgeschlossen, soweit der Dokumentationszweck einer Daten-anwendung nachträgliche Änderungen nicht zuläßt. Die erforder-lichen Richtigstellungen sind diesfalls durch entsprechende zusätzliche Anmerkungen zu bewirken.

(4) Innerhalb von acht Wochen nach Einlangen eines Antrags auf Richtigstellung oder Löschung ist dem Antrag zu entsprechen und dem Betroffenen davon Mitteilung zu machen oder schriftlich zu begründen, warum die verlangte Löschung oder Richtigstellung nicht vorgenommen wird.

(5) In jenen Bereichen der Vollziehung, die mit der Wahrnehmung der in § 26 Abs. 2 Z 1 bis 5 bezeichneten Aufgaben betraut sind, ist, soweit dies zum Schutz jener öffentlichen Interessen notwendig ist, die eine Geheimhaltung erfordern, mit einem Richtigstellungs- oder Löschungsantrag folgendermaßen zu verfahren: Die Richtigstellung oder Löschung ist vorzunehmen, wenn das Begehren des Betroffenen nach Auffassung des Auftrag-gebers berechtigt ist. Die gemäß Abs. 4 erforderliche Mitteilung an den Betroffenen hat in allen Fällen dahingehend zu lauten, daß die Überprüfung der Datenbestände des Auftraggebers im Hinblick auf das Richtigstellungs- oder Löschungsbegehren durchgeführt wurde. Die Zulässigkeit dieser Vorgangsweise unterliegt der Kontrolle durch die Datenschutzkommission nach § 30 Abs. 3 und dem besonderen Beschwerdeverfahren vor der Datenschutzkommission nach § 31 Abs. 4.

(6) Wenn die Löschung oder Richtigstellung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern aus Gründen der Wirtschaftlichkeit nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind bis dahin die zu löschenden Daten für den Zugriff zu sperren und die zu berichtigenden Daten mit einer berichtigenden Anmerkung zu versehen.

(7) Werden Daten verwendet, deren Richtigkeit der Betroffene bestreitet, und läßt sich weder ihre Richtigkeit noch ihre Unrichtigkeit feststellen, so ist auf Verlangen des Betrof-fenen ein Vermerk über die Bestreitung beizufügen. Der Bestrei-tungsvermerk darf nur mit Zustimmung des Betroffenen oder auf Grund einer Entscheidung des zuständigen Gerichtes oder der Datenschutzkommission gelöscht werden.

(8) Wurden im Sinne des Abs. 1 richtiggestellte oder gelöschte Daten vor der Richtigstellung oder Löschung über-mittelt, so hat der Auftraggeber die Empfänger dieser Daten hievon in geeigneter Weise zu verständigen, sofern dies keinen unverhältnismäßigen Aufwand, insbesondere im Hinblick auf das Vorhandensein eines berechtigten Interesses an der Verständigung, bedeutet und die Empfänger noch feststellbar sind.

(9) Die Regelungen der Abs. 1 bis 8 gelten für das gemäß Strafregistergesetz 1968 geführte Strafregister sowie für öffent-liche Bücher und Register, die von Auftraggebern des öffentlichen Bereichs geführt werden, nur insoweit als für

1. die Verpflichtung zur Richtigstellung und Löschung von Amts wegen oder

2. das Verfahren der Durchsetzung und die Zuständigkeit zur Entscheidung über Berichtigungs- und Löschungsanträge von Betroffenen

durch Bundesgesetz nicht anderes bestimmt ist.

…

6. Abschnitt

Rechtsschutz

Kontrollbefugnisse der Datenschutzkommission

§ 30. (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

(2) Die Datenschutzkommission kann im Fall eines begründeten Verdachtes auf Verletzung der im Abs. 1 genannten Rechte und Pflichten Datenanwendungen überprüfen. Hiebei kann sie vom Auftraggeber oder Dienstleister der überprüften Datenan-wendung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenanwendungen und diesbezügliche Unterlagen begehren.

(3) Datenanwendungen, die der Vorabkontrolle gemäß § 18 Abs. 2 unterliegen, dürfen auch ohne Vorliegen eines Verdachts auf rechtswidrige Datenverwendung überprüft werden. Dies gilt auch für jene Bereiche der Vollziehung, in welchen ein Auftrag-geber des öffentlichen Bereichs die grundsätzliche Anwendbarkeit der §§ 26 Abs. 5 und 27 Abs. 5 in Anspruch nimmt.

(4) Zum Zweck der Einschau ist die Datenschutzkommission nach Verständigung des Inhabers der Räumlichkeiten und des Auftraggebers (Dienstleisters) berechtigt, Räume, in welchen Datenanwendungen vorgenommen werden, zu betreten, Datenver-arbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen. Der Auftraggeber (Dienstleister) hat die für die Einschau notwendige Unterstützung zu leisten. Die Kontroll-tätigkeit ist unter möglichster Schonung der Rechte des Auftrag-gebers (Dienstleisters) und Dritter auszuüben.

(5) Informationen, die der Datenschutzkommission oder ihren Beauftragten bei der Kontrolltätigkeit zukommen, dürfen ausschließlich für die Kontrolle im Rahmen der Vollziehung datenschutzrechtlicher Vorschriften verwendet werden. Die Pflicht zur Verschwiegenheit besteht auch gegenüber Gerichten und Verwaltungsbehörden, insbesondere Abgabenbehörden; dies aller-dings mit der Maßgabe, daß dann, wenn die Einschau den Verdacht einer strafbaren Handlung nach den §§ 51 oder 52 dieses Bundes-gesetzes oder eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, ergibt, Anzeige zu erstatten ist und hinsichtlich solcher Verbrechen und Vergehen auch dem Ersuchen der Strafgerichte nach § 26 StPO zu entsprechen ist.

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

1. ein Verfahren zur Überprüfung der Registrierung gemäß § 22 Abs. 4 einleiten, oder

2. Strafanzeige nach §§ 51 oder 52 erstatten, oder

3. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß § 32 Abs. 5 erheben, oder

4. bei Verstößen von Auftraggebern, die Organe einer Gebiets-körperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, daß der Empfehlung der Datenschutzkommission ent-sprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.

(7) Der Einschreiter ist darüber zu informieren, wie mit seiner Eingabe verfahren wurde.

Beschwerde an die Datenschutzkommission

§ 31. (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutz-kommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.

(3) Bei Gefahr im Verzug kann die Datenschutzkommission im Zuge der Behandlung einer Beschwerde nach Abs. 2 die weitere Verwendung von Daten zur Gänze oder teilweise untersagen oder auch – bei Streitigkeiten über die Richtigkeit von Daten – dem Auftraggeber die Anbringung eines Bestreitungsvermerks auftragen.

(4) Beruft sich ein Auftraggeber des öffentlichen Bereichs bei einer Beschwerde wegen Verletzung des Auskunfts-, Richtigstellungs- oder Löschungsrechts gegenüber der Daten-schutzkommission auf die §§ 26 Abs. 5 oder 27 Abs. 5, so hat diese nach Überprüfung der Notwendigkeit der Geheimhaltung die geschützten öffentlichen Interessen in ihrem Verfahren zu wahren. Kommt sie zur Auffassung, daß die Geheimhaltung von verarbeiteten Daten gegenüber dem Betroffenen nicht gerechtfertigt war, ist die Offenlegung der Daten mit Bescheid aufzutragen. Gegen diese Entscheidung der Datenschutzkommission kann die belangte Behörde Beschwerde an den Verwaltungsgerichtshof erheben. Wurde keine derartige Beschwerde eingebracht und wird dem Bescheid der Daten-schutzkommission binnen acht Wochen nicht entsprochen, so hat die Datenschutzkommission die Offenlegung der Daten gegenüber dem

Betroffenen selbst vorzunehmen und ihm die verlangte Auskunft zu erteilen oder ihm mitzuteilen, welche Daten bereits berichtigt oder gelöscht wurden.”

III. Antragsvorbringen betreffend die Frage der Zulässigkeit:

1. Im Antrag seien im Hinblick auf das Zulässigkeits-kriterium der Betroffenheit – und in der Folge auch im Hinblick auf die Eingriffsfrage und die Grundrechtswidrigkeit der ange-fochtenen gesetzlichen Regelungen – zwei unterschiedliche Argumentationsstränge zu unterscheiden:

• wonach das durch die Ausnahmen von der Informations-pflicht des § 24 DSG 2000 bedingte Fehlen eines effizienten, gesetzlich eingerichteten Rechtsschutzes gegen die Ausübung der angefochtenen Befugnisse der Sicherheitsbehörden eine aktuelle und unmittelbare Betroffenheit der Antragsteller im Hinblick auf das prozessuale Recht auf eine wirksame Beschwerde gemäß Art. 13 EMRK iVm § 1 DSG, Art. 8 und 10 EMRK sowie Art. 7 B-VG, aber auch “in” die materiellen Rechte auf Datenschutz gemäß § 1 DSG 2000, auf Achtung des Privatlebens und des Briefverkehrs gemäß Art. 8 EMRK, auf Meinungs- und Informationsfreiheit des Art. 10 EMRK sowie auf Gleichheit vor dem Gesetz gemäß Art. 7 B-VG auslöse;

• wonach eben wegen des Fehlens eines wirksamen Rechts-schutzes die angefochtenen, im SPG geregelten Befugnisse der Sicherheitsbehörden ebenso in materiellrechtlicher Hinsicht eine aktuelle und unmittelbare Betroffenheit der Antrag-steller im Hinblick auf deren Rechte auf Datenschutz gemäß § 1 DSG 2000, auf Achtung des Privatlebens und des Brief-verkehrs gemäß Art. 8 EMRK, auf Meinungs- und Informations-freiheit des Art. 10 EMRK sowie auf Gleichheit vor dem Gesetz gemäß Art. 7 B-VG auslösten.

Betroffen könnten nach ständiger Rechtsprechung des Verfassungsgerichtshofs nur solche Rechtsträger sein, an oder gegen die sich das Gesetz richtet. Die angefochtenen SPG-Normen würden die Organe der Sicherheitsbehörden nun zur Verwendung personenbezogener Daten ermächtigen. Die Antragsteller verfügten alle über einen Wohnsitz/Unternehmenssitz in Österreich und einen mobilen und/oder festen Telefonanschluss sowie einen EDV/Inter-netanschluss mit IP-Adresse. Gegen sie – so wie gegen alle anderen Menschen in Österreich, auf die diese Eigenschaften zutreffen – würden sich somit die angefochtenen Bestimmungen des SPG richten, die den Sicherheitsbehörden rechtsstaatlich unkon-trollierte Datenverwendungen einräumten. Den von den Antrag-stellern geltend gemachten verfassungsgesetzlich gewährleisteten Rechten werde auch durch § 24 iVm § 17 DSG 2000 aufgrund fehlender Informationsverpflichtungen nicht wirksam Rechnung getragen, weswegen sie ebenso durch die angefochtenen Teile des § 24 DSG 2000 rechtlich betroffen seien.

Es stelle sich aber die grundsätzliche Frage, ob ein Rechtsträger durch ein Gesetz, das die Behörden zur Vornahme von Vollzugsakten ermächtige, überhaupt “aktuell” und “unmittelbar” iSd Rechtsprechung des Verfassungsgerichtshofs zu Art. 140 B-VG betroffen sein kann. Eine “Betroffenheit” bzw. ein “Eingriff” im Sinne dieser Rechtsprechung scheine erst durch ein konkretes Organhandeln möglich zu sein, im vorliegenden Fall also durch eine konkrete Datenverwendung im Einzelfall.

Da die Antragsteller alleine bedingt durch die Gesetzes-lage ohne Dazwischentreten einer individuellen Entscheidung über allfällige sicherheitsbehördliche Datenverwendungen der Sicher-heitsbehörden nicht informiert würden, verträten sie die Auffas-sung, dass die angefochtenen gesetzlichen Bestimmungen eine “aktuelle” und “unmittelbare” rechtliche Betroffenheit der Antragsteller auslösten. Nur für den Fall, dass “der VfGH dieser Argumentation nicht zu folgen vermag”, also in eventu, würden die Antragsteller auf die Judikatur des deutschen Bundesverfassungs-gerichts (BVerfG) hinweisen, wonach für die Annahme einer aktuellen und gegenwärtigen Betroffenheit ausreiche, wenn der Beschwerdeführer darlegt, dass er “mit einiger Wahrscheinlichkeit” durch die auf den angegriffenen Rechtsnormen beruhenden Maßnahmen in seinen Grundrechten berührt wird. Der geforderte Grad der Wahrscheinlichkeit werde davon beeinflusst, welche Möglichkeit der Beschwerdeführer habe, seine Betroffenheit darzulegen. So sei bedeutsam, ob die Maßnahme auf einen tat-bestandlich eng umgrenzten Personenkreis zielt oder ob sie eine große Streubreite hat und Dritte auch zufällig erfassen kann. Darlegungen, durch die sich der Beschwerdeführer selbst einer Straftat bezichtigen müsste, dürften zum Beleg der eigenen gegenwärtigen Betroffenheit nicht verlangt werden.

Wie “das BVerfG ausführt”, genügten im Hinblick auf die Frage der unmittelbaren und gegenwärtigen Betroffenheit die Darlegungen der Antragsteller zum Nachweis ihrer persönlichen und gegenwärtigen Betroffenheit. Betroffener einer Überwachung sei dieser Judikaturlinie zufolge jeder, in dessen Persönlichkeits-rechte durch die Maßnahme eingegriffen wird, auch wenn er nicht Zielperson der Anordnung ist. Die Möglichkeit, Objekt einer Maßnahme der Telekommunikationsüberwachung aufgrund der angegriffenen Regelungen zu werden, bestehe zwar praktisch für jede Person. Sie betreffe aber nicht nur mögliche Straftäter selbst oder deren Kontakt- und Begleitpersonen, sondern auch Personen, die mit den Adressaten der Maßnahme über Telekommuni-kationseinrichtungen auch nur zufällig in Verbindung stehen.

Wenngleich alle Antragsteller (und letztlich alle in Österreich lebenden Menschen, die über ein Mobiltelefon, einen Internetanschluss und ein Fahrzeug verfügen) durch die ange-fochtenen Normen unmittelbar und aktuell betroffen seien, solle für ausgewählte Antragsteller deren besondere berufliche Situation herausgestrichen werden, die für die Beantwortung der Frage nach deren wahrscheinlicher Betroffenheit von erheblicher Relevanz sei. Die Antragsteller seien unterschiedlichen Berufs-gruppen zuzuordnen. Die meisten von ihnen würden Tätigkeiten ausüben, bei denen mit Hilfe moderner Technologie sensible Inhalte, oft auch auf vertraulicher Basis, kommuniziert würden, an deren Kenntnis Sicherheitsbehörden in Verdachtsfällen im Sinne der angefochtenen Bestimmungen des SPG ein Interesse hätten. Die Wahrscheinlichkeit, dass die Antragsteller von entsprechenden “Auskunftsverlangen an Datenverwendungen” der Sicherheitsbehörden betroffen sein könnten, sei daher sehr hoch.

Die meisten Antragsteller würden nämlich Berufsgruppen angehören, deren berufliche Kommunikation über Telefon und Internet – in unterschiedlichem Umfang – auch mit Personen erfolge, an denen Sicherheitsbehörden im Sinne der Wahrnehmung der ihnen nach den angefochtenen Bestimmungen des SPG über-tragenen Aufgaben ein Interesse haben könnten. Dadurch sei im Sinne der Rechtsprechung des BVerfG “mit einiger Wahrschein-lichkeit” davon auszugehen, dass die Antragsteller durch die angefochtenen Bestimmungen betroffen und in den geltend gemachten Grundrechten berührt sind.

2. Die Antragsteller vertreten die Auffassung, dass die angefochtenen Bestimmungen ohne Dazwischentreten eines indivi-duellen Vollzugsaktes in ihre verfassungsgesetzlich gewähr-leisteten Rechte auf Datenschutz gemäß § 1 DSG 2000, auf Achtung des Privatlebens und des Briefverkehrs gemäß Art. 8 EMRK, auf Meinungs- und Informationsfreiheit des Art. 10 EMRK sowie auf Gleichheit vor dem Gesetz gemäß Art. 7 B-VG eingriffen.

3.1. Die Ausübung der angefochtenen Befugnisse erfolge nicht durch einen den Antragstellern zur Kenntnis zu bringenden Verwaltungsakt, etwa einen Bescheid. Vielmehr dürften diese Maßnahmen als so genanntes “schlichtes Verwaltungshandeln” zu qualifizieren sein.

Mangels entsprechender Regelungen sei davon auszugehen, dass Betroffene tatsächlich über Datenverwendungen iSd ange-fochtenen Befugnisse [nicht] informiert werden würden. Daher seien die Antragsteller – wie alle anderen Kommunikations-teilnehmer in Österreich auch – “stets gleichermaßen aktuell wie potentiell” in ihrer Rechtssphäre betroffen. Diese Frage verschmelze auch untrennbar mit jener nach einem zumutbaren

Rechtsweg. Denn um herauszufinden, ob “ein Auskunftsersuchen nach § 26 Abs. 1 DSG 2000 der angefochtenen Befugnisse ausgeübt wurde”, müssten die Antragsteller praktisch täglich eine entsprechende Beschwerde gegen eine unbekannte Sicherheitsbehörde oder alle Sicherheitsbehörden an die Datenschutzkommission erheben oder eine Anfrage nach dem Auskunftspflichtgesetz an jede zur Vollziehung der angefochtenen Bestimmungen des SPG befugte Sicherheitsbehörde als Auftraggeber iSd DSG 2000 wegen einer bloß vermuteten, aber jederzeit möglichen Datenverwendung stellen. So eine Vorgehensweise sei weder effektiv noch den Antragstellern zumutbar. Noch weniger zumutbar sei den Antragstellern, die Sicherheitsbehörden zu einer Datenverwendung zu provozieren, etwa indem sie sich selbst in eine Gefahrensituation begeben oder den Verdacht eines gefährlichen Angriffs erwecken.

3.2. Ein möglicher Rechtsschutz über den Zivilrechtsweg scheide schon deshalb als zumutbarer “Umweg” aus, weil bei gegebenenfalls rechtswidrigen Verhaltensweisen der Dienste-anbieter und Provider die hier bekämpften Normen gar nicht präjudiziell wären.

Es sei den Antragstellern im Sinne der Rechtsprechung des Verfassungsgerichtshofs zur “Umwegs(un)zumutbarkeit” gemäß Art. 140 Abs. 1 B-VG keinesfalls zumutbar, bei vollem Kosten-risiko irgendeinen privaten Anbieter zivilgerichtlich wegen einer mutmaßlichen Handlung (der Herausgabe personenbezogener Daten) zu klagen, dessen Passivlegitimation sie mangels Information nicht einmal substantiiert behaupten könnten. Daher könne eine Klage gegen Betreiber vor den Zivilgerichten keinesfalls eine zumutbare Rechtsschutzalternative sein.

3.3. Der Antrag nach Art 140 Abs. 1 B-VG bleibe das letzte und einzige zumutbare Rechtsmittel, er sei hier die “ultima ratio” des Grundrechtsschutzes. Weil Art. 13 EMRK den Antragstellern ein Recht auf eine wirksame Beschwerde vor einer nationalen Instanz einräume, wenn die Möglichkeit der Verletzung eines materiellen Konventionsrechtes besteht, würden die Antragsteller wegen des Fehlens zumutbarer Rechtsschutzwege von der Zulässigkeit des vorliegenden Individualantrags ausgehen.

Die zur Wahrung der Rechtsschutzinteressen durchaus als conditio sine qua non zu bezeichnenden Informationen über zumindest den Zweck und somit den Umstand der Datenverwendung sowie über die Identität des Auftraggebers kämen den Betroffenen nicht zu. Die dieser Praxis zugrunde liegende Rechtsauffassung des Bundesministers für Inneres sei zumindest vom Wortlaut der (einfach)gesetzlichen Bestimmungen des DSG 2000 sowie des SPG gedeckt. Ohne entsprechende Information hätten die Betroffenen aber keine Möglichkeiten, Datenverwendungen auf deren Recht-mäßigkeit zu überprüfen und im Falle einer rechtswidrigen Vorgangsweise der Behörden sich gegen diese zur Wehr zu setzen. Auch die anderen Kontroll- und Beschwerdeinstrumente erwiesen sich angesichts des Rechtsschutzbedürfnisses der Antragsteller gegen die angefochtenen Befugnisse der Sicherheitsbehörden als ungeeignet oder ungenügend, da sie keine “wirksame Beschwerde-möglichkeit” iSd Art. 13 EMRK in Verbindung mit den geltend gemachten materiellen Grundrechten eröffneten.

IV. Die Bundesregierung erstattete eine Äußerung, in der sie die Zulässigkeit des Individualantrages mit folgenden Argumenten bestreitet:

1. Zur Zulässigkeit der Anträge im Allgemeinen führt die Bundesregierung aus:

Die Antragsteller würden zu ihrer aktuellen und unmittelbaren Betroffenheit argumentieren, sie “verfügen alle über einen Wohnsitz/Unternehmenssitz in Österreich und einen mobilen und/oder festen Telefonanschluss sowie einen EDV-Inter-netanschluss mit IP-Adresse. Gegen sie – so wie gegen alle anderen Menschen in Österreich, auf die diese Eigenschaft[en] zutreffen – würden sich somit die angefochtenen Bestimmungen des SPG richten, die den Sicherheitsbehörden rechtsstaatlich unkontrollierte Datenverwendungen einräumen …”.

Zu diesem Vorbringen sei zunächst anzumerken, dass ihm der entsprechende Nachweis bezogen auf die jeweiligen Antrag-steller fehle. Das Vorbringen werde auch pauschal zu allen der angefochtenen Bestimmungen vorgebracht und unterlasse eine nähere Substantiierung und Auseinandersetzung mit den jeweiligen – immerhin zu zwölf Antragsgegenständen gruppierten – Bestimmungen. Vermissen lasse das Vorbringen zum einen auch die Darlegung der jeweiligen konkreten Betroffenheit der siebenundzwanzig Antrag-steller. Zum anderen lege es auch nicht dar, inwieweit die Antragsteller im Einzelnen, etwa von der angefochtenen ermächti-genden Bestimmung des Einsatzes von Kennzeichenerkennungsgeräten (§ 54 Abs. 4b SPG), in ihren Rechten konkret betroffen sein könnten. Das Erfordernis der Darlegung der aktuellen und unmittelbaren rechtlichen Betroffenheit der Antragsteller erfordere nach Ansicht der Bundesregierung substantiiertere Darlegungen als das – zusammengefasste – Vorbringen, dass sich die angefochtenen Bestimmungen gegen die Antragsteller ebenso wie gegen alle anderen Menschen in Österreich richten.

Die Antragsteller argumentierten in eventu – und bei näherer Betrachtung liege hier das Schwergewicht der Argumen-tation der Betroffenheit – darüber hinaus unter Abstellen auf die Judikatur des deutschen Bundesverfassungsgerichts, dass es für die Annahme einer aktuellen und gegenwärtigen Betroffenheit ausreiche, wenn von den Antragstellern dargelegt werde, dass sie “mit einiger Wahrscheinlichkeit” durch die auf den angegriffenen Rechtsnormen beruhenden Maßnahmen in ihren Rechten berührt werden. Die Ausführungen des Antrages zu den vom deutschen Bundesverfassungsgericht aufgestellten Kriterien für die Beurtei-lung der aktuellen und gegenwärtigen Betroffenheit bedürften nach Ansicht der Bundesregierung keiner Auseinandersetzung, da die Antragsteller nicht dargetan hätten, inwieweit diese Recht-sprechung geeignet ist, den vom (österreichischen) Verfassungs-gerichtshof in ständiger Rechtsprechung festgelegten Prüf- und Beurteilungsmaßstab der aktuellen und unmittelbaren Betroffenheit zu modifizieren.

2. Zur Zulässigkeit des Antrages auf Aufhebung von Bestimmungen des DSG 2000 führt die Bundesregierung aus:

Der Antrag enthalte keine Darlegungen über die unmittel-bare Betroffenheit der Antragsteller in ihrer Rechtssphäre durch die angefochtene Wortfolge in § 24 Abs. 1 DSG 2000, wonach die Information “aus Anlaß der Ermittlung von Daten” zu erfolgen hat. Im Antrag würden wohl verfassungsrechtliche Bedenken gegen diese Wortfolge im Hinblick auf näher bezeichnete Grundrechte vorge-bracht. Weder dabei noch sonst werde jedoch ausgeführt, inwieweit eine Rechtssphäre des Antragstellers bestünde, in welche durch diese Norm eingegriffen würde bzw. inwieweit die Antragsteller durch diese Norm unmittelbar betroffen wären. Fehlt eine solche Darlegung, führe dies zur Unzulässigkeit des Individualantrages.

Auch im Übrigen vermöge der Antrag die Voraussetzungen für die Zulässigkeit nicht zu erfüllen. Die Antragsteller begründeten ihre Legitimation allgemein damit, dass das “durch die Ausnahmen von der Informationspflicht des § 24 DSG 2000 bedingte Fehlen eines effizienten, gesetzlich eingerichteten Rechtsschutzes gegen die Ausübung der angefochtenen Befugnisse der Sicherheitsbehörden … eine aktuelle und unmittelbare Betroffenheit im Hinblick auf das prozessuale Recht auf eine wirksame Beschwerde gemäß Art. 13 EMRK iVm § 1 DSG, Art. 8 und 10 EMRK sowie Art. 7 B-VG, aber auch ‘in’ die materiellen Rechte auf Datenschutz gemäß § 1 DSG 2000, auf Achtung des Privatlebens und des Briefverkehrs gemäß Art. 8 EMRK, auf Meinungs- und Informationsfreiheit des Art. 10 EMRK sowie auf Gleichheit vor dem Gesetz gemäß [Art.] 7 B-VG auslöst”. Diesen Rechten werde “auch durch § 24 iVm § 17 DSG 2000 aufgrund fehlender Informa-tionsverpflichtungen nicht wirksam Rechnung getragen, weswegen [die Antragsteller] … durch die angefochtenen Teile des § 24 DSG 2000 rechtlich betroffen sind”. Dadurch vermöge ein Eingriff in eine Rechtssphäre der Antragsteller nicht dargetan zu werden.

Die Antragsteller vermöchten auch nicht darzulegen, dass sie Normadressaten der angefochtenen Wortfolgen in § 24 DSG 2000 seien und es zu einem unmittelbaren Eingriff in ihre (behauptete) Rechtssphäre komme. Der Antrag begründe die rechtliche Betrof-fenheit der Antragsteller allgemein damit, dass an sich alle in Österreich lebenden Menschen, die über einen Telefon- oder Internetanschluss verfügen, durch die angefochtenen Bestimmungen aktuell und unmittelbar in ihrer Rechtssphäre berührt seien. Die Antragsteller würden aber nicht darlegen, dass gerade ihre (behauptete) Rechtssphäre berührt würde. Es würden auch keine besonderen Umstände geltend gemacht, die es erlauben würden, einen solchen Eingriff bei ihnen anzunehmen. Der Antrag behaupte zwar eine “sehr hohe Wahrscheinlichkeit”, dass die Antragsteller “von entsprechenden Auskunftsverlangen an Datenverwendungen der Sicherheitsbehörden betroffen sein können” und führe dies hinsichtlich der einzelnen Antragsteller näher aus. Diese Ausführungen bezögen sich allerdings im Detail lediglich auf die angefochtenen Ermittlungsbefugnisse des § 53 Abs. 3a und 3b SPG, nicht aber auf die angefochtenen Wortfolgen in § 24 DSG 2000.

3. Zur Zulässigkeit der Anträge auf Aufhebung von Bestimmungen des SPG führt die Bundesregierung aus:

Dem Antragsvorbringen sei zu entnehmen, dass keine der angefochtenen Bestimmungen für einen oder mehrere Antragsteller direkte Wirkung dadurch entfalte, dass aus konkretem Anlass eine Ermittlung (und Verarbeitung) personenbezogener Daten eines der Antragsteller stattgefunden hat. Insbesondere werde nicht behauptet, dass ein konkretes Auskunftsverlangen gemäß §§ 53 Abs. 3a oder 3b SPG an Betreiber oder Diensteanbieter gestellt worden sei, im Zuge dessen Auskünfte über Daten eines der Antragsteller an die Sicherheitsbehörden erteilt worden seien. Es werde vielmehr ausdrücklich darauf verwiesen, dass auf Basis der vorgebrachten Argumente “letztlich alle in Österreich lebenden Menschen, die über ein Mobiltelefon, einen Internetanschluss und ein Fahrzeug verfügen, durch die angefochtenen Normen unmittelbar und aktuell betroffen seien”. Das Vorbringen beziehe sich jedoch wie die Antragsteller selbst einräumten – nicht auf eine konkrete Datenverwendung (insbesondere Ermittlung und Verarbei-tung) durch die Exekutive, von der einer oder mehrere Antrag-steller betroffen seien, was aber Voraussetzung für die Antragslegitimation sei.

Lediglich hinsichtlich der Antragsgegenstände § 53 Abs. 3a und 3b SPG würden die Antragsteller ihre Ausführungen zur Antragslegitimation vertiefen, insbesondere auch zum Fehlen zumutbarer Rechtsschutzwege. Die Antragsteller vermöchten dabei aber nicht darzulegen, dass sie Normadressaten der Bestimmungen des § 53 Abs. 3a und 3b SPG seien und diese auch für sie selbst direkte und aktuelle Wirksamkeit entfalteten. Die darin statuierten Verpflichtungen zur Erteilung bestimmter Auskünfte würden sich an Betreiber von Telekommunikationsdiensten und sonstige Diensteanbieter richten und seien erst dann für die Antragsteller wirksam, wenn es zu einem die Daten eines Antrag-stellers betreffenden Auskunftsverlangen der Sicherheitsbehörden kommt. Dies sei nicht behauptet worden. § 53 Abs. 3b SPG statuiere eine Pflicht zur Auskunftserteilung, konkret zur Erteilung der Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung der von einem in Gefahr befindlichen Menschen mitgeführten Endeinrichtung. Standortdaten seien regelmäßig bei Betreibern öffentlicher Telekommunikationsdienste vorhanden; über sie sei schon auf Grund der bestehenden Rechts-lage etwa bei Notrufen gemäß § 98 TKG 2003 Auskunft zu erteilen; wären die Antragsteller Betreiber öffentlicher Telekommuni-kationsdienste, so träfe sie bereits aufgrund der zuletzt genannten Bestimmung eine Verpflichtung einem Auskunftsverlangen zu entsprechen. Dass über Standortdaten eines der Antragsteller Auskunft erteilt wurde, werde ebenfalls nicht behauptet.

Darüber hinaus sei dem Vorbringen entgegenzuhalten, dass der aktuell von einer Datenermittlung auf Grundlage der §§ 53 Abs. 3a und 3b SPG Betroffene regelmäßig von der Ermittlung seiner Daten erfahre, da diese nicht von der Aufgabenstellung losgelöst zu sehen sei. Es handle sich bei jeder Dateneingriffsermächtigung um eine Befugnis, die nur unter den im Gesetz normierten Voraussetzungen und unter Beachtung der Verhältnis-mäßigkeit zulässig sei. Konkret sei der Bezug zu einer gesetzlich vorgesehenen Aufgabe erforderlich. Die Datenverwendung durch die Sicherheitsbehörde gemäß § 53 Abs. 3a und 3b SPG sei nur zur Erfüllung der ihr gesetzlich übertragenen Aufgaben, insbesondere zur Gefahrenabwehr (§ 21 SPG) und zur ersten allgemeinen Hilfe-leistung (§ 19 SPG) zulässig. Daher werde der Datenermittlung regelmäßig ein “außenwirksames” Einschreiten folgen, etwa das Ausforschen eines Verdächtigen zur Beendigung eines gefährlichen Angriffs oder die Rettung eines Verirrten, und damit gehe für den Betroffenen die Möglichkeit einher, wegen einer behaupteten Verletzung seines Rechts auf Geheimhaltung Rechtsmittel (insb. gemäß §§ 90 und 88 SPG) zu ergreifen. Dasselbe gelte im Übrigen beim Einsatz besonderer Ermittlungsmaßnahmen nach § 54 Abs. 2 Z 3 sowie Abs. 3 und 4 SPG zur Abwehr gefährlicher Angriffe, weil aufgrund der vorauszusetzenden Aktualität der Rechtsgutbedrohung der verdeckten Maßnahme im Regelfall ein außenwirksames Einschreiten folgen werde. Insoweit gehe daher die Argumentation zum fehlenden Rechtsschutz ins Leere.

Abgesehen von den spezifischen Ausführungen zu den Antragsgegenständen § 53 Abs. 3a und 3b SPG würden nähere Ausführungen zur Antragslegitimation gänzlich fehlen, insbe-sondere zur zentralen Frage der aktuellen Betroffenheit. Auch die Ausführungen zur Grundrechtswidrigkeit, auf die im Vorbringen zur Antragslegitimation verwiesen werde, würden keine weiteren Anhaltspunkte für eine aktuelle und unmittelbare rechtliche Betroffenheit eines der Antragsteller hinsichtlich der einzelnen Antragsgegenstände geben, weshalb sich diese Anträge jedenfalls als unzulässig erweisen würden.

Keiner der Antragsteller habe eine konkrete und aktuelle Betroffenheit durch Verwendung ihn betreffender personenbezogener Daten in einer Anwendung auch nur behauptet, obwohl dies im Wege der Rechte Betroffener insbesondere auf Auskunft (§ 26 DSG 2000) feststellbar gewesen wäre. Vom Fehlen zumutbarer Rechtsschutzwege könne insofern nicht gesprochen werden.

Unabhängig von den Beschwerdemöglichkeiten durch den Betroffenen selbst werde an dieser Stelle auf den Rechtsschutz durch den im Sicherheitspolizeigesetz verankerten Rechtsschutz-beauftragten (§§ 91a ff) hingewiesen, dessen Aufgabe es gerade sei, effektiven Rechtsschutz in allen Fällen von Ermittlung ohne Wissen der Betroffenen zu gewährleisten.

V. Der Verfassungsgerichtshof hat über die Zulässigkeit der Anträge erwogen:

Nicht jedem Normadressaten aber kommt die Anfechtungs-befugnis zu. Es ist darüber hinaus erforderlich, dass das Gesetz selbst tatsächlich in die Rechtssphäre des Antragstellers un-mittelbar eingreift. Ein derartiger Eingriff ist jedenfalls nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschütz-ten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des – behaupteterweise – rechtswidrigen Eingriffes zur Verfügung steht (VfSlg. 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003).

2. Die Antragsteller behaupten nicht, dass aufgrund der in den bekämpften Bestimmungen des SPG vorgesehenen Ermächti-gungen unmittelbar und aktuell in ihre Rechtsposition einge-griffen werde. Sie bringen im Wesentlichen lediglich vor, dass sie mit einiger Wahrscheinlichkeit von Maßnahmen der Sicherheits-behörden betroffen sein könnten, zu denen die bekämpften Bestim-mungen des SPG ermächtigen. Damit stützen sie ihre Antrags-legitimation bloß auf die Existenz einer die Sicherheitsbehörden ermächtigenden Norm, die erst im Falle der Inanspruchnahme dieser Ermächtigung unter Umständen zu einer Beeinträchtigung der Rechtssphäre der Antragsteller führen könnte. Der bloße Verweis auf die rechtliche Existenz von die Sicherheitsbehörden zu Auskunftsverlangen gegenüber Dritten ermächtigenden Bestimmungen sowie auf die Tatsache, dass die Antragsteller österreichische Staatsbürger sind, bestimmte Berufe ausüben, Internetnutzer sind und über ein Mobiltelefon und ein KFZ verfügen, vermag aber eine unmittelbare und aktuelle Betroffenheit der Antragsteller durch die von ihnen bekämpften Bestimmungen des SPG nicht darzutun.

Soweit die Antragsteller jedoch ihre Legitimation aus Entscheidungen des EGMR abzuleiten versuchen (insb. EGMR 6.9.1978, Fall Klass ua. gg. Deutschland, EuGRZ 1979, 278, und zuletzt EGMR 29.6.2006, Fall Weber und Saravia gg. Deutschland, Appl. 54.934/00), ist ihnen zu entgegnen: Der EGMR hat zwar ausgesprochen, dass

“die bloße Existenz von Gesetzen, die eine geheime Überwachung des Fernmeldeverkehrs gestatten [Anm.: in diesen Fällen ging es um die Befugnisse des dt. Bundesnachrichten-dienstes zur Abhörung des Fernmeldeverkehrs im Zuge der sog. 'strategischen Überwachung'], für alle möglicherweise von dem Gesetz Betroffenen ein Überwachungsrisiko beinhaltet. Dieses Risiko betrifft notwendigerweise die Kommunikationsfreiheit zwischen den Nutzern der Telekommunikationsdienste und stellt daher an sich schon einen Eingriff in die Rechte der Beschwerdeführer nach Artikel 8 dar, unabhängig davon, ob gegen sie tatsächlich Maßnahmen ergriffen wurden.” (EGMR, Fall Weber und Saravia gegen Deutschland, Rz 78)

Die hier angegriffenen Bestimmungen des SPG gestatten hingegen nicht – wie von den Antragstellern befürchtet – die “geheime Überwachung des Fernmeldeverkehrs”. § 53 Abs. 3a SPG ermächtigt die Sicherheitsbehörden vielmehr bloß, bei Vorliegen gesetzlich bestimmter Voraussetzungen von Betreibern öffentlicher Telekommunikationsdienste und von sonstigen Diensteanbietern bestimmte Auskünfte zu verlangen. Auch § 53 Abs. 3b SPG bietet keine Grundlage für die Ermittlung von Inhaltsdaten von Mobiltelefongesprächen (vgl. VfGH 1.7.2009, G 31/08). Die gegen Bestimmungen des SPG gerichteten Anträge sind daher schon deshalb unzulässig.

Im Übrigen wird auch noch auf Folgendes hingewiesen: Personen, die den konkreten Verdacht hegen, dass ihre Daten aufgrund der angegriffenen Bestimmungen des SPG ermittelt wurden, stehen das Auskunftsrecht gemäß § 26 DSG 2000, das Löschungsrecht gemäß § 27 DSG 2000 (etwa wegen Wegfalls des gesetzlichen Zwecks der Datenerhebung), das Beschwerderecht gemäß § 31 DSG 2000 iVm § 90 SPG, aber auch die Eingabe an die Datenschutzkommission gemäß § 30 Abs. 1 DSG 2000, die im Fall eines begründeten Verdachtes zu einer Systemprüfung gemäß § 30 Abs. 2 DSG 2000 führen kann, zur Verfügung.

Schließlich wird auch auf den kommissarischen Rechts-schutz durch den Rechtsschutzbeauftragten (vgl. §§ 91a bis 91d SPG) hingewiesen. Gemäß § 91c Abs. 1 SPG sind die Sicherheits-behörden verpflichtet, den Rechtsschutzbeauftragten u.a. von jeder Ermittlung personenbezogener Daten durch verdeckte Ermittlung (§ 54 Abs. 3 SPG) und durch den verdeckten Einsatz von Bild- oder Tonaufzeichnungsgeräten (§ 54 Abs. 4 SPG) unter Angabe der für die Ermittlung wesentlichen Gründe in Kenntnis zu setzen. Darüber hinaus ist der Rechtsschutzbeauftragte über Auskunfts-verlangen (§ 53 Abs. 3a Z 2 und 3, Abs. 3a zweiter Satz und 3b SPG) sowie über den Einsatz von Kennzeichenerkennungsgeräten (§ 54 Abs. 4b SPG) zu informieren. Gemäß § 91c Abs. 3 SPG haben Sicherheitsbehörden, wenn beabsichtigt ist, im Rahmen der erweiterten Gefahrenerforschung (§ 21 Abs. 3 SPG) besondere Ermittlungsmaßnahmen nach § 54 Abs. 3 und 4 SPG zu setzen, die Ermächtigung des Rechtsschutzbeauftragten im Wege des Bundes-ministers für Inneres einzuholen. Gemäß § 91c Abs. 2 SPG haben Sicherheitsbehörden, die die Führung einer Datenanwendung gemäß § 53a Abs. 2 SPG beabsichtigen, unverzüglich den Bundesminister für Inneres zu verständigen. Dieser hat dem Rechtsschutz-beauftragten Gelegenheit zur Äußerung binnen drei Tagen zu geben. Nimmt der Rechtsschutzbeauftragte wahr, dass durch Verwenden personenbezogener Daten Rechte von Betroffenen verletzt worden sind, die von dieser Datenverwendung keine Kenntnis haben, so ist er – in (pflichtgemäßer) Erfüllung seiner Aufgabe zur Wahrnehmung des besonderen Rechtsschutzes im Ermittlungsdienst der Sicher-heitsbehörden (vgl. § 91a Abs. 1 SPG) – gemäß § 91d Abs. 3 SPG zu deren Information oder, sofern eine solche aus den Gründen des § 26 Abs. 2 des DSG 2000 nicht erfolgen kann, zur Erhebung einer Beschwerde an die Datenschutzkommission nach § 90 SPG befugt.

3. Zur Zulässigkeit des Antrags auf Aufhebung von Teilen des § 24 DSG 2000:

Der Antrag enthält weder nähere Ausführungen über die Rechtssphäre der Antragsteller, in die § 24 DSG 2000 eingreifen solle, noch über die Unmittelbarkeit dieses Eingriffs. Eingriffe werden stets im Zusammenhang mit den angefochtenen Bestimmungen des SPG geltend gemacht. Zum allgemein gehaltenen Vorbringen, die Ausnahmen von der Informationspflicht des § 24 DSG 2000 und das Fehlen eines ausreichenden Rechtsschutzes gegen die Ausübung der Befugnisse der Sicherheitsbehörden lösten eine aktuelle und unmittelbare Betroffenheit im Hinblick auf die Verfassungs-garantien der Art. 8, 10 und 13 EMRK, des § 1 DSG 2000 und des Art. 7 B-VG aus, wird auf die Ausführungen unter Punkt 2. verwiesen.

4. Die Anträge sind daher insgesamt unzulässig und waren daher zurückzuweisen.

Dieser Beschluss konnte gemäß § 19 Abs. 3 Z 2 lit. e VfGG in nichtöffentlicher Sitzung gefasst werden.

Wien, am 1. Juli 2009

Der Präsident:

Dr. H o l z i n g e r

Schriftführer:

Mag. C e d e

Quelle: vfgh

Stellungnahme der ISPA

Verkehrsdaten sind Verkehrsdaten sind Verkehrsdaten Verfassungsgerichtliche Sicherheitspolizeigesetz-Entscheidung klärt auch langjährige Diskussionen um IP-Adressen Am 15. Juli veröffentlichte der Verfassungsgerichtshof seinen Beschluss bezüglich des Antrags auf Aufhebung einiger im Vorfeld heftig diskutierter Regelungen des Sicherheitspolizeigesetzes (SPG) bezüglich der Beauskunftung und Überwachung von Benutzerinnen und Benutzern öffentlicher Telekommunikationsdienste.

Darin wurde unter anderem festgehalten, dass diese Bestimmungen keine Grundlage für eine erweiterte Speicherung von Handy- und Internetdaten, wie beispielsweise IP-Adressen, darstellen. Diese Daten dürfen also im Wesentlichen nur bis zum Ablauf jener Frist gespeichert werden, innerhalb derer ein Anspruch auf Zahlung seitens des Diensteanbieters besteht bzw. eine Rechnung durch eine Kundin oder einen Kunden beeinsprucht werden kann. “Mit der vorliegenden Entscheidung des Verfassungsgerichtshofes wurde nunmehr auch auf höchster Ebene geklärt, dass (dynamische) IP-Adressen, d.h. Internet Adressen, die beim Eingehen einer Internetverbindung zugewiesen werden, Verkehrsdaten im Sinne des Telekommunikationsgesetzes (TKG) sind”, erklärt ISPA Generalsekretär Andreas Wildberger.

Dieser Klarstellung gehen jahrelange Diskussionen mit den Strafverfolgungsbehörden voraus, die vielfach der Auffassung waren, dass es sich bei dynamischen IP-Adressen um Stammdaten handle, die gespeichert und auch abseits einer konkreten Gefahrensituation ohne richterlichen Befehl herausgegeben werden dürfen. Hingegen sieht das TKG, außer für die oben genannten Verrechnungszwecke, ein Speicherverbot für Verkehrsdaten vor, das – laut Verfassungsgerichtshof – auch durch die Bestimmungen des SPG nicht aufgeweicht würde. “Damit ist nun für Internet Service Provider erhöhte Rechtssicherheit für unterschiedliche Auskunftsbegehren – nicht nur gemäß SPG – geschaffen worden” betont Andreas Wildberger. “Im Wesentlichen bedeutet dies: Wenn keine konkrete Gefahrensituation vorliegt, darf eine Auskunft über die Nutzerin beziehungsweise den Nutzer einer IP-Adresse nur aufgrund einer richterlichen Entscheidung erfolgen”, so Wildberger weiter.

Der VfGH hat auch präzisiert, dass die Strafverfolgungsbehörden keine Anfragen stellen dürfen, die Daten betreffen, die der Provider gar nicht (mehr) haben dürfte. Teilweise wurden in der Vergangenheit nämlich auch Auskunftsbegehren für Zeiträume gestellt, die augenzwinkernd mit “Aber geh – ihr habt’s die Daten eh sicher noch!” begründet wurden. Dieser Praxis wird damit ein Ende gesetzt. “Wie jede andere Branche braucht auch die Internetwirtschaft größtmögliche Rechtssicherheit als Basis für ihr unternehmerisches Handeln. Mit dem Beschluss des Verfassungsgerichtshofes sind wir diesem Ziel einen guten Schritt näher gekommen”, so der ISPA Generalsekretär.

Die ISPA – Internet Service Providers Austria – ist der Dachverband der österreichischen Internet Service-Anbieter und wurde im Jahr 1997 als eingetragener Verein gegründet. Ziel des Verbandes ist die Förderung des Internets in Österreich und die Unterstützung der Anliegen und Interessen von rund 200 Mitgliedern gegenüber Regierung, Behörden und anderen Institutionen, Verbänden und Gremien. Die ISPA vertritt Mitglieder aus Bereichen wie etwa Access, Services, Hosting und Content und fördert die Kommunikation der Markt-Teilnehmer untereinander.

Stellungnahme des BMVIT

OTS0066: Vorratsdatenspeicherung: Bures mit VfGH-Präsident Holzinger auf einer Linie

Vorratsdatenspeicherung: Bures mit VfGH-Präsident Holzinger auf einer Linie Entwurf für Vorratsdatenspeicherung wird im September vorliegen =

Wien (BMVIT) – Infrastrukturministerin Doris Bures sieht sich mit ihrer Haltung bei der Vorratsdatenspeicherung auf einer Linie mit VfGH-Präsident Gerhart Holzinger. Bekanntlich will die Ministerin eine Mindestumsetzung der EU-Richtlinie zur Vorratsdatenspeicherung, das heißt, dass man für die Speicherdauer die untere Grenze von sechs Monaten wählt. Die Richtlinie sieht Fristen von sechs Monaten bis zwei Jahre vor. Zugleich soll es bei der Speicherung persönlicher Daten über die Telefonie- und Internetznutzung größtmögliche datenschutzrechtliche und rechtsstaatliche Standards geben.

Gestern hat auch VfGH-Präsident Holzinger in dieser Frage zu “großer Zurückhaltung” geraten, auch er drängt darauf, die Speicherungsfrist möglichst kurz zu halten. **** “Im Umgang mit personenbezogenen Daten ist größte Sorgfalt das oberste Gebot. Daher steht für mich im Vordergrund, dass eine Regelung gefunden wird, die den größtmöglichen Schutz persönlicher Daten sicherstellt”, betont die Ministerin.

Sie hat bereits nach dem Urteil des EuGH vom Februar eine Gruppe unabhängiger Expertinnen und Experten beauftragt, einen Gesetzesentwurf, der allen datenschutzrechtlichen und rechtsstaatlichen Erfordernissen gerecht werden soll, zu erstellen. In dieser Expertinnen- und Experten-Gruppe unter Federführung des Boltzmann-Instituts für Menschenrechte sind Grundrechts-, Datenschutz- und Strafrechtsexpertinnen und -experten und auch Fachleute aus der technischen Praxis vertreten.

Seit Vergabe des Auftrags haben bereits intensive Gespräche durch das Institut mit Betreibern, mit Nichtregierungsorganisationen, den Sozialpartnern sowie dem Rechtsanwaltskammertag, mit den beteiligten Ministerien, dem Datenschutzrat, Vertretern der österreichischen Richtervereinigung und der Datenschutzkommission stattgefunden. Der Entwurf des Boltzmann-Institutes wird im September vorliegen.

Rating: 0.0/10 (0 votes cast)

Rating: 0 (from 0 votes)

Schlagworte: Sicherheitspolizeigesetz, VfGH, VfGH: Keine Grundlage für erweiterte Speicherung von Handy- und Internetdaten

Kommentar schreiben

Sie müssen eingeloggt sein um einen Kommentar zu schreiben.

Netwatcher 24 @ AT

VfGH: Keine Grundlage für erweiterte Speicherung von Handy- und Internetdaten

Kommentar schreiben

Mehr in 'Bundestrojaner'

Mehr in 'Coverstory'

Mehr in 'Datenschutz'

Mehr in 'Handyortung'

Mehr in 'Innenpolitik'

Mehr in 'Innere Sicherheit'

Mehr in 'Menschenrechte'

Mehr in 'Onlinedurchsuchung'

Mehr in 'Politik'

Mehr in 'Privatsphäre'

Mehr in 'Sicherheitspolizeigesetz'

Mehr in 'Terrorverdacht'

spurlos und anonym surfen

Letzte Artikel

Netwatcher24 @ Twitter

Netwatcher unterstützen

facebook

Letzte Kommentare

Links

Schlagwörter

Archiv

Themen