Die vom Europäischen Gerichtshof (EuGH) aufgehobene Richtlinie zur Vorratsdatenspeicherung wurde 2006 mit dem Argument der Terrorbekämpfung verabschiedet. Sie verpflichtete Unternehmen, Telekommunikationsdaten für mindestens sechs Monate zu speichern und bei Anfrage an die ermittelnden Behörden weiterzugeben. In Österreich sind die Bestimmungen im April 2012 in Kraft getreten.
Vorbehalte auch auf Regierungsebene
Die Richtlinie selbst sowie ihre Übernahme ins heimische Recht wurden von vielen Seiten massiv kritisiert, auch auf Regierungsebene gab es Vorbehalte. Im Dezember 2012 hat der Verfassungsgerichtshof (VfGH) den Europäischen Gerichtshof (EuGH) eingeschaltet - weil er Zweifel an der Vereinbarkeit der EU-Richtlinie mit dem im der EU-Grundrechtecharta verankerten Recht auf Datenschutz hat. Auch der irische High Court wandte sich an das Gericht.
Am 8. April 2014 erklärte der EuGH die Richtlinie aufgrund der Verletzung der Grundrechte auf Privatsphäre und Datenschutz für ungültig - und zwar rückwirkend zum Zeitpunkt des Inkrafttretens der Richtlinie. Die in Österreich betroffenen Gesetze sind allerdings noch immer gültig, dürften aber ebenso aufgehoben werden. Geregelt wurde die Vorratsdatenspeicherung im Telekommunikationsgesetz (TKG), in der Strafprozessordnung (STPO) und im Sicherheitspolizeigesetz.
Betroffen sind sämtliche Kommunikationsvorgänge via Telefon und Handy, E-Mail und Internet. Sechs Monate müssen die Kommunikationsbetreiber die diversen Daten speichern. Darunter fallen neben den Stammdaten (Name und Adresse des Benutzers) unter anderem: Handy- und Telefonnummern, IP-Adressen - also jene Nummer, mit der sich ein Computer ins Internet einklinkt - und E-Mail-Adressen, aber auch die Geräte-Identifikationsnummern von Mobiltelefonen oder die Standortdaten, also wo sich ein Handy zu einem bestimmten Zeitpunkt befindet.
Auf all diese Daten können die Ermittlungsbehörden grundsätzlich zugreifen. Für das Ausheben von Stammdaten genügt ein begründetes Ersuchen seitens der Staatsanwaltschaft bzw. der Kriminalpolizei. Für den Zugriff auf sogenannte Zugangsdaten - also eine Telefonnummer oder eine IP-Adresse - reicht ebenfalls eine schriftliche und begründete Anordnung der Staatsanwaltschaft aus, wobei bei allen solchen Anordnungen das Vier-Augen-Prinzip gilt, also ein zweiter Staatsanwalt das Informationsbegehr absegnen muss.
Kontrolle durch Rechtsschutzbeauftragten
Für Verkehrsdaten - sie geben Aufschluss über die Kommunikationsvorgänge selbst, also zum Beispiel wer mit wem wie geredet bzw. gemailt hat - muss die Anordnung der Staatsanwaltschaft von einem Richter genehmigt werden. Weitere Voraussetzungen sind der Verdacht eines vorsätzlich begangenen Delikts, das mit einer Strafe von mehr als einem Jahr geahndet wird. Zusätzlich wird zur Kontrolle der Rechtsschutzbeauftragte eingeschaltet.
In punkto Rechtsschutz sollen Betroffene grundsätzlich informiert werden, wenn auf ihre Daten zugegriffen wird - zumindest nachträglich (falls Gefahr in Verzug), zuständig dafür sind die Sicherheitsbehörden. Allerdings unterliegt diese Informationspflicht Einschränkungen, so dürfen etwa Ermittlungserfolge nicht gefährdet werden. Jedenfalls ist der Rechtsschutzbeauftragte einzuschalten. Die unzulässige Veröffentlichung von Informationen aus Vorratsdaten wird mit einer Freiheitsstrafe bis zu einem Jahr geahndet.
Deutschland hat die Vorratsdatenspeicherung nicht umgesetzt, weil das deutsche Verfassungsgericht das erste Gesetz zur Umsetzung der EU-Regelung 2010 stoppte. Die EU-Kommission beantragte gegen Deutschland im Juli 2012 in dieser Causa ein Bußgeld von 315.036,54 Euro pro Tag. Auch Österreich und andere EU-Staaten waren bei der Umsetzung lange säumig. Bereits 2010 hat der EuGH Österreich wegen Nichtumsetzung der Vorratsdatenspeicherung verurteilt. In Kraft getreten sind die Bestimmungen in Österreich erst im April 2012. Im Mai 2013 hat der EU-Gerichtshof Schweden zu einem Pauschalbetrag von drei Millionen Euro wegen verspäteter Umsetzung der Richtlinie verdonnert.