Vorratsdatenspeicherung

Unter Vorratsdatenspeicherung (kurz VDS) versteht man die Speicherung von personenbezogenen Daten, die bei der Telekommunikation anfallen, zur späteren Verwendung durch die Strafverfolgungs- und allenfalls durch die Sicherheitsbehörden. Die Vorratsdatenspeicherung soll grundsätzlich zur Aufklärung von schweren Straftaten dienen. Im Gegensatz zu anderen Formen der Datenbeschaffung zur Aufklärung von Straftaten wie Rufnummernrückerfassung, Abhören von Telefonen oder Lauschangriffen werden bei der Vorratsdatenspeicherung die Daten aller Kommunikationsvorgänge ohne konkreten Verdacht "auf Vorrat" gespeichert, damit sie später für Ermittlungen zur Verfügung stehen. Die Vorratsdatenspeicherung zielt nicht auf die Speicherung von Gesprächsinhalten ab, sondern auf die Speicherung von Verbindungs- und Ortungsdaten.

Die Vorratsdatenspeicherung fällt grundsätzlich in den Zuständigkeitsbereich des Bundesministeriums für Verkehr, Innovation und Technologie . Die Datenschutzbehörde selbst hat begrenzte Zuständigkeiten gemäß §§ 102c Abs. 1, Abs. 4 Z 2 und Abs. 5 TKG 2003 betreffend die rechtmäßige Durchführung der VDS. Die grundsätzliche Verantwortung für die rechtmäßige Verwendung der Vorratsdaten trifft die jeweiligen Auftraggeber, d. h. die Provider und im Fall der Abfrage auch die Strafverfolgungsbehörden sowie in bestimmten Fällen auch die Sicherheitsbehörden.

Was ist die Rechtsgrundlage?

Die Vorratsdatenspeicherung beruht auf der EU-Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG .

Die Richtlinie 2006/24/EG wurde in Form einer Novelle zum Telekommunikationsgesetz 2003, wenn auch wegen der grundsätzlich skeptischen Einstellung Österreichs zur VDS verspätet, umgesetzt (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 - TKG 2003 geändert wird, BGBl. I Nr. 27/2011). Die darauf beruhende Verordnung der Bundesministerin für Verkehr, Innovation und Technologie betreffend die Datensicherheit (Datensicherheitsverordnung TKG-DSVO) enthält Bestimmungen zu den Dateiformaten sowie zur Datensicherheit bei der Speicherung und der Zugriffsprotokollierung von Vorratsdaten.

Was wird gespeichert?

Die zu speichernden Daten sind in § 102a Telekommunikationsgesetz 2003 angeführt:

Anbieter von Internet-Zugangsdiensten haben folgende Daten ihrer Kunden abzuspeichern:

  • Name und Anschrift
  • Teilnehmerkennung des Teilnehmers dem eine öffentliche IP-Adresse zu einem bestimmten Zeitpunkt unter Angabe der zugrunde liegenden Zeitzone zugewiesen war
  • Datum und Uhrzeit der Zuteilung und des Entzuges einer öffentlichen IP-Adresse bei einem Internet-Zugangsdienst unter Angabe der zugrundeliegenden Zeitzone
  • Rufnummer des anrufenden Anschlusses für den Zugang über Wählanschluss
  • Eindeutige Kennung des Anschlusses, über den der Internet-Zugang erfolgt ist
  • Anfragen durch berechtigte Behörden

Anbieter öffentlicher Telefondienste einschließlich Internet-Telefondiensten und Mobilfunkdiensten haben folgende Daten ihrer Kunden abzuspeichern:

  • Name und Anschrift des anrufenden und des angerufenen Teilnehmers
  • Teilnehmernummer oder andere Kennung des anrufenden oder des angerufenen Anschlusses
  • Bei Zusatzdiensten wie Rufweiterleitung oder Rufumleitung die Teilnehmernummer, an die der Anruf weitergeleitet wird
  • Datum, Uhrzeit des Beginns und Dauer eines Kommunikationsvorganges unter Angabe der zugrundeliegenden Zeitzone
  • Art des in Anspruch genommenen Dienstes (Anrufe, Zusatzdienste und Mitteilungs- und Multimediadienste)
  • Bei Mobilfunknetzen zudem
    • internationale Mobilteilnehmerkennung (IMSI) des anrufenden und des angerufenen Anschlusses
    • internationale Mobilfunkgerätekennung (IMEI) des anrufenden und des angerufenen Anschlusses
    • Datum und Uhrzeit der ersten Aktivierung des Dienstes und die Standortkennung (Cell-ID), an dem der Dienst aktiviert wurde, wenn es sich um vorbezahlte anonyme Dienste handelt
    • Standortkennung (Cell-ID) bei Beginn einer Verbindung
  • Anfragen durch berechtigte Behörden

Anbieter von E-Mail-Diensten haben folgende Daten ihrer Kunden abzuspeichern:

  • Name und Anschrift des Teilnehmers, dem eine E-Mail-Adresse zu einem bestimmten Zeitpunkt zugewiesen war
  • Teilnehmerkennung
  • Bei Versenden einer E-Mail die E-Mail-Adresse und die öffentliche IP Adresse des Absenders sowie die E-Mail-Adresse jedes Empfängers der E-Mail
  • Beim Empfang einer E-Mail und deren Zustellung in ein elektronisches Postfach die E-Mail-Adresse des Absenders und des Empfängers der Nachricht sowie die öffentliche IP-Adresse der letztübermittelnden Kommunikationsnetzeinrichtung
  • Bei An- und Abmeldung beim E-Mail-Dienst Datum, Uhrzeit, Teilnehmerkennung und öffentliche IP-Adresse des Teilnehmers unter Angabe der zugrunde liegenden Zeitzone
  • Anfragen durch berechtigte Behörden

Der Inhalt der Kommunikation und insbesondere Daten über im Internet aufgerufene Adressen dürfen auf Grund dieser Vorschrift nicht gespeichert werden (§ 102a Abs. 7 TKG 2003).

Die Speicherpflicht besteht nicht für solche Anbieter, deren Unternehmen nicht der Verpflichtung zur Entrichtung des Finanzierungsbeitrages gemäß § 34 KommAustriaG unterliegen.

Wer darf auf die Vorratsdaten zugreifen?

Gemäß § 102b TKG 2003 und § 135 StPO ist eine Auskunft über Vorratsdaten ausschließlich aufgrund einer gerichtlich bewilligten Anordnung der Staatsanwaltschaft zulässig

  • wenn zu erwarten ist, dass dadurch die Aufklärung einer vorsätzlich begangenen Straftat, die mit einer Freiheitsstrafe von mehr als sechs Monaten bedroht ist, gefördert werden kann und der Inhaber der technischen Einrichtung, die Ursprung oder Ziel einer Übertragung von Nachrichten war oder sein wird, der Auskunft ausdrücklich zustimmt, oder
  • wenn zu erwarten ist, dass dadurch die Aufklärung einer vorsätzlich begangenen Straftat, die mit Freiheitsstrafe von mehr als einem Jahr bedroht ist, gefördert werden kann und auf Grund bestimmter Tatsachen anzunehmen ist, dass dadurch Daten des Beschuldigten ermittelt werden können.
  • wenn auf Grund bestimmter Tatsachen zu erwarten ist, dass dadurch der Aufenthalt eines flüchtigen oder abwesenden Beschuldigten, der einer vorsätzlich begangenen, mit mehr als einjähriger Freiheitsstrafe bedrohten strafbaren Handlung dringend verdächtig ist, ermittelt werden kann.

Gemäß § 53 Abs. 3a bis Abs. 3d SPG sind die Sicherheitsbehörden berechtigt, von Betreibern öffentlicher Telekommunikationsdienste (§ 92 Abs. 3 Z 1 Telekommunikationsgesetz 2003) und sonstigen Diensteanbietern (§ 3 Z 2 E-Commerce-Gesetz) Auskünfte zu verlangen:

Abs. 3a:


  1. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses wenn dies zur Erfüllung der ihnen nach diesem Bundesgesetz übertragenen Aufgaben erforderlich ist,

  2. über die Internetprotokolladresse (IP-Adresse) zu einer bestimmten Nachricht und den Zeitpunkt ihrer Übermittlung, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr


    • a) einer konkreten Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen im Rahmen der ersten allgemeinen Hilfeleistungspflicht (§ 19 SPG),

    • b) eines gefährlichen Angriffs (§ 16 Abs. 1 Z 1 SPG) oder

    • c) einer kriminellen Verbindung (§ 16 Abs. 1 Z 2 SPG) benötigen,


  3. über Namen und Anschrift eines Benutzers, dem eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war, wenn sie diese Daten als wesentliche Voraussetzung zur Abwehr


  4. über Namen, Anschrift und Teilnehmernummer eines bestimmten Anschlusses durch Bezugnahme auf ein von diesem Anschluss geführtes Gespräch durch Bezeichnung eines möglichst genauen Zeitraumes und der passiven Teilnehmernummer, wenn dies zur Erfüllung der ersten allgemeinen Hilfeleistungspflicht oder zur Abwehr gefährlicher Angriffe erforderlich ist.

Abs. 3b:
Ist auf Grund bestimmter Tatsachen anzunehmen, dass eine gegenwärtige Gefahr für das Leben, die Gesundheit oder die Freiheit eines Menschen besteht, sind die Sicherheitsbehörden zur Hilfeleistung oder Abwehr dieser Gefahr berechtigt, von Betreibern öffentlicher Telekommunikationsdienste Auskunft über Standortdaten und die internationale Mobilteilnehmerkennung (IMSI) der von dem gefährdeten oder diesen begleitenden Menschen mitgeführten Endeinrichtung zu verlangen, auch wenn hiefür die Verwendung von Vorratsdaten gemäß § 99 Abs. 5 Z 3 iVm § 102a TKG 2003 erforderlich ist, sowie technische Mittel zur Lokalisierung der Endeinrichtung zum Einsatz zu bringen.

Abs. 3c:
In den Fällen der Abs. 3a und 3b trifft die Sicherheitsbehörde die Verantwortung für die rechtliche Zulässigkeit des Auskunftsbegehrens. Die ersuchte Stelle ist verpflichtet, die Auskünfte unverzüglich und im Fall des Abs. 3b gegen Ersatz der Kosten nach der Überwachungskostenverordnung, zu erteilen. Im Falle des Abs. 3b hat die Sicherheitsbehörde dem Betreiber überdies unverzüglich, spätestens innerhalb von 24 Stunden eine schriftliche Dokumentation nachzureichen. In den Fällen des Abs. 3a Z 3 sowie Abs. 3b ist die Sicherheitsbehörde verpflichtet, den Betroffenen darüber zu informieren, dass eine Auskunft zur Zuordnung seines Namens oder seiner Anschrift zu einer bestimmten IP-Adresse (§ 53 Abs. 3a Z 3 SPG) oder zur Standortbeauskunftung (§ 53 Abs. 3b SPG) eingeholt wurde, sofern hiefür die Verwendung von Vorratsdaten gemäß § 99 Abs. 5 Z 3 oder 4 iVm § 102a TKG 2003 erforderlich war. Dabei sind dem Betroffenen nachweislich und ehestmöglich die Rechtsgrundlage sowie das Datum und die Uhrzeit der Anfrage bekannt zu geben. Die Information Betroffener kann aufgeschoben werden, solange durch sie der Ermittlungszweck gefährdet wäre, und kann unterbleiben, wenn der Betroffene bereits nachweislich Kenntnis erlangt hat oder die Information des Betroffenen unmöglich ist.

Abs. 3d:
Die Sicherheitsbehörden sind zur Vorbeugung und Abwehr gefährlicher Angriffe gegen die Umwelt berechtigt, von Behörden des Bundes, der Länder und Gemeinden Auskünfte über von diesen genehmigte Anlagen und Einrichtungen zu verlangen, bei denen wegen der Verwendung von Maschinen oder Geräten, der Lagerung, Verwendung oder Produktion von Stoffen, der Betriebsweise, der Ausstattung oder aus anderen Gründen besonders zu befürchten ist, dass im Falle einer Abweichung der Anlage oder Einrichtung von dem der Rechtsordnung entsprechenden Zustand eine Gefahr für das Leben, die Gesundheit mehrerer Menschen oder in großem Ausmaß eine Gefahr für Eigentum oder Umwelt entsteht. Die ersuchte Behörde ist verpflichtet, die Auskunft zu erteilen.

Gemäß § 99 Abs. 5 TKG ist eine Verarbeitung von Verkehrsdaten zu Auskunftszwecken zulässig zur Auskunft über

  1. Daten einer Nachrichtenübermittlung gemäß § 134 Z 2 StPO;
  2. Zugangsdaten, auch wenn diese als Vorratsdaten gemäß § 102a Abs. 2 Z 1, Abs. 3 Z 6 li. a und b oder § 102a Abs. 4 Z 1, 2, 3 und 5 TKG 2003 längstens sechs Monate vor der Anfrage gespeichert wurden, an Gerichte und Staatsanwaltschaften nach Maßgabe des § 76a Abs. 2 StPO.
  3. Verkehrsdaten und Stammdaten, wenn hiefür die Verarbeitung von Verkehrsdaten erforderlich ist, sowie zur Auskunft über Standortdaten an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a und 3b SPG. Ist eine aktuelle Standortfeststellung nicht möglich, darf die Standortkennung (Cell-ID) zum letzten Kommunikationsvorgang der Endeinrichtung verarbeitet werden, auch wenn hiefür ein Zugriff auf gemäß § 102a Abs. 3 Z 6 lit. d TKG 2003 gespeicherte Vorratsdaten erforderlich ist;
  4. Zugangsdaten, auch wenn diese als Vorratsdaten gemäß § 102a Abs. 2 Z 1 oder § 102a Abs. 4 Z 1, 2, 3 und 5 längstens drei Monate vor der Anfrage gespeichert wurden, an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a Z 3 SPG.

Kann man sich bei der Datenschutzbehörde gegen die Vorratsdatenspeicherung beschweren?

Die Datenschutzbehörde kann die VDS selbst nicht unterbinden, da sie auf ordnungsgemäß zustande gekommenen gesetzlichen Bestimmungen beruht. Die Datenschutzbehörde verfügt auch nicht über das Recht zur Anfechtung von Gesetzen vor dem Verfassungsgerichtshof oder von EU-Richtlinien vor dem Europäischen Gerichtshof.

Die Datenschutzbehörde kann aber konkrete Verletzungen der gesetzlichen Bestimmungen, die eine Verletzung im Grundrecht auf Datenschutz (§ 1 DSG 2000) bedeuten würden, im Rahmen eines Beschwerdeverfahrens nach § 31 DSG 2000 verfolgen. Überdies kann eine Verletzung in Rechten durch einen Auftraggeber oder von Pflichten eines Auftraggebers in einem Verfahren nach § 30 DSG 2000 (Kontroll- und Ombudsmannverfahren) geltend gemacht werden.

Müssen für die Vorratsdatenspeicherung Meldungen an das Datenverarbeitungsregister gemacht werden?

Die Anbieter von öffentlichen Kommunikationsdiensten sind verpflichtet, die durch die Verpflichtung zur Vorratsdatenspeicherung entstehende Datenanwendung beim Datenverarbeitungsregister melden. Diese Verpflichtung ist verwaltungsstrafrechtlich abgesichert.