Title (deu)
Datensicherheit bei der Umsetzung der Vorratsdatenspeicherung in Österreich
Parallel title (eng)
Data security in the implementation of data retention in Austria
Author
Christof Tschohl
Advisor
Hannes Tretter
Assessor
Hannes Tretter
Manfred Stelzer
Abstract (deu)
Die vorliegende Arbeit ist eine rechtswissenschaftliche Untersuchung der Datensicherheit im Rahmen der österreichischen Umsetzung der Vorratsdatenspeicherung gemäß der Richtlinie 2006/24/EG, welche die flächendeckende vorrätige Speicherung von Telekommunikationsverbindungs- und Zugangsdaten durch alle Anbieter öffentlicher elektronischer Kommunikationsnetze und -Dienste innerhalb der EU vorschreibt. Die Bereitstellung solcher Dienste beinhaltet regelmäßig die Verarbeitung von personenbezogenen Daten der Nutzer. Die österreichische Umsetzung der Richtlinie erfolgte durch eine Novelle zum Telekommunikationsgesetz (TKG 2003) und wurde am 18. Mai 2011 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 27/2011), wobei die Speicherverpflichtung für die Anbieter erst mit 1.4.2012 in Kraft treten wird. Das Gesetz enthält jedoch zur Datensicherheit nur relativ grobe Vorgaben, die detaillierte Ausgestaltung bleibt einer Verordnung in Ausführung der §§ 94 Abs. 4 und 102c TKG vorbehalten. Um dem Datenschutzgesetz und dem Telekommunikationsgeheimnis sowie den Vorgaben der Europäischen Menschenrechtskonvention, insbesondere dessen Artikel 8 zum Schutz des Privatlebens und der Korrespondenz zu entsprechen, müssen diese Daten geheim gehalten werden, wozu insbesondere auch Maßnahmen auf der technischen Ebene notwendig sind, die auf der rechtlichen Ebene erfasst und beschrieben werden müssen. Die Verpflichtung zur effektiven Wahrung der Grundrechte aller Nutzer erfordert dabei auch, ein System einer revisionssicheren Protokollierung zu etablieren und so eine ausreichende Nachvollziehbarkeit für den Rechtsschutz zu gewährleisten.
Die Zielsetzung dieser Dissertation ist, im ersten Teil (Kapitel II) ausgehend von den Grundrechten und dem Europarecht bis hin zur innerstaatlichen Umsetzung den normativen Unterbau zu evaluieren, der für die Beschreibung eines Sorgfaltsmaßstabs auf rechtlicher und technischer Ebene bei der Verarbeitung und Übermittlung von Verkehrsdaten relevant ist, unter besonderer Beachtung eines hohen Niveaus an Datensicherheit und Grundrechtsschutz. Die Arbeit behandelt sowohl das Thema der Datensicherheit bei den Anbietern unternehmensintern, als auch im Zusammenhang mit der Übermittlung von personenbezogenen Daten im Falle einer Auskunft an Sicherheits- und Strafverfolgungsbehörden. Da in der Praxis der Schwerpunkt der Datensicherheitsprobleme eindeutig bei der sicheren Übermittlung der Daten liegt, steht im Zentrum des zweiten Teils ein Konzept einer zentralen Datendrehscheibe (Kapitel III). Die sogenannte „Durchlaufstelle“ (DLS) wird in der Arbeit als Referenzmodell entwickelt und dargestellt. Personenbezogene Inhalte werden nach diesem Konzept verschlüsselt zwischen Absender und Empfänger ausgetauscht und sind der DLS nicht zugänglich. Die Beteiligten sind über gesicherte Transportverbindungen mit fortgeschrittenen Signaturen angebunden, identifiziert und authentifiziert. Das System wirkt durch die zentrale Protokollierung aller Auskunftsvorgänge auch auf die Datensicherheit beim Anbieter und die Rechtsschutzmöglichkeiten zurück.
Im Dritten Teil werden im Speziellen insgesamt 13 wesentliche Problemkreise und deren Fragestellungen diskutiert, die für die Praxis mit den Anforderungen an eine sichere Datenübermittlung einhergehen. Die Behandlung jedes Problemkreises schließt mit einem konkreten Vorschlag, wie den jeweiligen Fragen im Rahmen einer Umsetzungsverordnung zur Datensicherheit begegnet werden könnte, um den Vorgaben aus der normativen Analyse des ersten Teils zu entsprechen. Technische Anforderungen werden dabei normativ formuliert, um die wesentlichen Funktionen technischer Hilfsmittel rechtlich hinreichend zu determinieren.
Abstract (eng)
This paper is a jurisprudential dissertation on data security within the framework of the Austrian transposition of data retention in accordance with Directive 2006/24/EC, which requires the coverage of stock retention of telecommunications connectivity and access by all providers of public electronic communications networks and services within the EU. The provision of such services regularly includes the processing of personal data of users. The Austrian implementation of the directive through an amendment to Telecommunication Law (TKG 2003) was promulgated in the Federal Law Gazette on 18 May 2011 (BGBl. I Nr. 27/2011), the obligation on the side of the providers to store data will enter into force until 1 April 2012. The Act contains relatively crude specifications regarding data security standards. Data security standards will be included in a detailed manner by a regulation to § § 94 para 4 and 102c TKG. To comply with the Data Protection Act and the secrecy of telecommunications as well as the European Convention on Human Rights, particularly Article 8 concerning the private life and correspondence, this data must be kept secret. In this regard, there are in particular measures necessary at the technical level. The demand for effective protection of fundamental rights of all users requires establishing a system of tamper-proof logging and thus ensuring adequate accountability for the legal protection.
The objective of this dissertation in its first part (chapter II) is to evaluate technical solutions based on the legal requirements from Fundamental Rights and European Law to the national implementation with relevance for the description of the standard of care for the transmission of traffic data on legal and technical level. A special focus is put on the high standard of data protection and the protection of Fundamental Rights. The work deals with both the issues of data security for the provider internally, as well as the transfer of personal data and information in context of requests for disclosure by security and law enforcement authorities. In practice the emphasis focuses on problems of data security linked to the transmission of data. Therefore the second part (chatpter III) of the dissertation will mainly deal with the concept of a data-hub. The so called „Durchlaufstelle“ (DLS), a special mailbox-system, is developed and explained as reference model in this work. According to this concept personal data will be encrypted and exchanged through the DLS between sender and receiver but can’t be seen from the point of the DLS. Those involved will be connected, identified and authenticated through a secured communication channel using an advanced electronic signature. The system will also perform the central record of all requests and will hereby play an important role in data security on the side of the supplier and in the possibility of appeals.
In the third part the most relevant practical problems that arise are divided into 13 fields of topics and discussed in detail. This discussion will emphasize the requirements on a secure data transmission. Every covered topic is followed by a definite proposal, which points out how the certain question could be solved in an implementing regulation on data security in order to match the normative analysis from the first part. Technical requirements will be verbalized in a normative way in order to determine technical equipments legally.
Keywords (eng)
FundamentalrightsHumanrightsDataprotectionDatasecurityDataretentionInformationsecurity
Keywords (deu)
GrundrechteMenschenrechteDatenschutzDatensicherheitVorratsdatenspeicherungTelekommunikationsrechtInformationssicherheit
Subject (deu)
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1280649
rdau:P60550 (deu)
270 S.
Number of pages
34
Association (deu)
Title (deu)
Datensicherheit bei der Umsetzung der Vorratsdatenspeicherung in Österreich
Parallel title (eng)
Data security in the implementation of data retention in Austria
Author
Christof Tschohl
Abstract (deu)
Die vorliegende Arbeit ist eine rechtswissenschaftliche Untersuchung der Datensicherheit im Rahmen der österreichischen Umsetzung der Vorratsdatenspeicherung gemäß der Richtlinie 2006/24/EG, welche die flächendeckende vorrätige Speicherung von Telekommunikationsverbindungs- und Zugangsdaten durch alle Anbieter öffentlicher elektronischer Kommunikationsnetze und -Dienste innerhalb der EU vorschreibt. Die Bereitstellung solcher Dienste beinhaltet regelmäßig die Verarbeitung von personenbezogenen Daten der Nutzer. Die österreichische Umsetzung der Richtlinie erfolgte durch eine Novelle zum Telekommunikationsgesetz (TKG 2003) und wurde am 18. Mai 2011 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 27/2011), wobei die Speicherverpflichtung für die Anbieter erst mit 1.4.2012 in Kraft treten wird. Das Gesetz enthält jedoch zur Datensicherheit nur relativ grobe Vorgaben, die detaillierte Ausgestaltung bleibt einer Verordnung in Ausführung der §§ 94 Abs. 4 und 102c TKG vorbehalten. Um dem Datenschutzgesetz und dem Telekommunikationsgeheimnis sowie den Vorgaben der Europäischen Menschenrechtskonvention, insbesondere dessen Artikel 8 zum Schutz des Privatlebens und der Korrespondenz zu entsprechen, müssen diese Daten geheim gehalten werden, wozu insbesondere auch Maßnahmen auf der technischen Ebene notwendig sind, die auf der rechtlichen Ebene erfasst und beschrieben werden müssen. Die Verpflichtung zur effektiven Wahrung der Grundrechte aller Nutzer erfordert dabei auch, ein System einer revisionssicheren Protokollierung zu etablieren und so eine ausreichende Nachvollziehbarkeit für den Rechtsschutz zu gewährleisten.
Die Zielsetzung dieser Dissertation ist, im ersten Teil (Kapitel II) ausgehend von den Grundrechten und dem Europarecht bis hin zur innerstaatlichen Umsetzung den normativen Unterbau zu evaluieren, der für die Beschreibung eines Sorgfaltsmaßstabs auf rechtlicher und technischer Ebene bei der Verarbeitung und Übermittlung von Verkehrsdaten relevant ist, unter besonderer Beachtung eines hohen Niveaus an Datensicherheit und Grundrechtsschutz. Die Arbeit behandelt sowohl das Thema der Datensicherheit bei den Anbietern unternehmensintern, als auch im Zusammenhang mit der Übermittlung von personenbezogenen Daten im Falle einer Auskunft an Sicherheits- und Strafverfolgungsbehörden. Da in der Praxis der Schwerpunkt der Datensicherheitsprobleme eindeutig bei der sicheren Übermittlung der Daten liegt, steht im Zentrum des zweiten Teils ein Konzept einer zentralen Datendrehscheibe (Kapitel III). Die sogenannte „Durchlaufstelle“ (DLS) wird in der Arbeit als Referenzmodell entwickelt und dargestellt. Personenbezogene Inhalte werden nach diesem Konzept verschlüsselt zwischen Absender und Empfänger ausgetauscht und sind der DLS nicht zugänglich. Die Beteiligten sind über gesicherte Transportverbindungen mit fortgeschrittenen Signaturen angebunden, identifiziert und authentifiziert. Das System wirkt durch die zentrale Protokollierung aller Auskunftsvorgänge auch auf die Datensicherheit beim Anbieter und die Rechtsschutzmöglichkeiten zurück.
Im Dritten Teil werden im Speziellen insgesamt 13 wesentliche Problemkreise und deren Fragestellungen diskutiert, die für die Praxis mit den Anforderungen an eine sichere Datenübermittlung einhergehen. Die Behandlung jedes Problemkreises schließt mit einem konkreten Vorschlag, wie den jeweiligen Fragen im Rahmen einer Umsetzungsverordnung zur Datensicherheit begegnet werden könnte, um den Vorgaben aus der normativen Analyse des ersten Teils zu entsprechen. Technische Anforderungen werden dabei normativ formuliert, um die wesentlichen Funktionen technischer Hilfsmittel rechtlich hinreichend zu determinieren.
Abstract (eng)
This paper is a jurisprudential dissertation on data security within the framework of the Austrian transposition of data retention in accordance with Directive 2006/24/EC, which requires the coverage of stock retention of telecommunications connectivity and access by all providers of public electronic communications networks and services within the EU. The provision of such services regularly includes the processing of personal data of users. The Austrian implementation of the directive through an amendment to Telecommunication Law (TKG 2003) was promulgated in the Federal Law Gazette on 18 May 2011 (BGBl. I Nr. 27/2011), the obligation on the side of the providers to store data will enter into force until 1 April 2012. The Act contains relatively crude specifications regarding data security standards. Data security standards will be included in a detailed manner by a regulation to § § 94 para 4 and 102c TKG. To comply with the Data Protection Act and the secrecy of telecommunications as well as the European Convention on Human Rights, particularly Article 8 concerning the private life and correspondence, this data must be kept secret. In this regard, there are in particular measures necessary at the technical level. The demand for effective protection of fundamental rights of all users requires establishing a system of tamper-proof logging and thus ensuring adequate accountability for the legal protection.
The objective of this dissertation in its first part (chapter II) is to evaluate technical solutions based on the legal requirements from Fundamental Rights and European Law to the national implementation with relevance for the description of the standard of care for the transmission of traffic data on legal and technical level. A special focus is put on the high standard of data protection and the protection of Fundamental Rights. The work deals with both the issues of data security for the provider internally, as well as the transfer of personal data and information in context of requests for disclosure by security and law enforcement authorities. In practice the emphasis focuses on problems of data security linked to the transmission of data. Therefore the second part (chatpter III) of the dissertation will mainly deal with the concept of a data-hub. The so called „Durchlaufstelle“ (DLS), a special mailbox-system, is developed and explained as reference model in this work. According to this concept personal data will be encrypted and exchanged through the DLS between sender and receiver but can’t be seen from the point of the DLS. Those involved will be connected, identified and authenticated through a secured communication channel using an advanced electronic signature. The system will also perform the central record of all requests and will hereby play an important role in data security on the side of the supplier and in the possibility of appeals.
In the third part the most relevant practical problems that arise are divided into 13 fields of topics and discussed in detail. This discussion will emphasize the requirements on a secure data transmission. Every covered topic is followed by a definite proposal, which points out how the certain question could be solved in an implementing regulation on data security in order to match the normative analysis from the first part. Technical requirements will be verbalized in a normative way in order to determine technical equipments legally.
Keywords (eng)
FundamentalrightsHumanrightsDataprotectionDatasecurityDataretentionInformationsecurity
Keywords (deu)
GrundrechteMenschenrechteDatenschutzDatensicherheitVorratsdatenspeicherungTelekommunikationsrechtInformationssicherheit
Subject (deu)
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1280650
Number of pages
34
Association (deu)
License
Citable links
Other links
Managed by
Details
Metadata
Export formats
Universitätsring 1, 1010 Wien | T
T +43-1-4277-0