Professor: Teleselskaberne kan stoppe ulovlig logning af danskerne - hvis de vil

Læs venligst præmis 152-156 i C-511/18. Så vil det være temmelig klart, at en lagringspligt for IP-tildelinger er omfattet af dommen (og EU-rettens beskyttelse af privatliv i elektronisk kommunikation).</p>
<p>Din slet skjulte henvisning til Trump er nærmest ironisk. Det er dig som er Trump i dette tilfælde.

Du indfortolker omtale i den helt nye dom af 6.oktober 2020 i vurderingen af tidligere domme, herunder den tidligere diskussion af dommen fra 2014, hvor jeg gav replik.

Og jeg forstår, at du på denne baggrund opmuntrer teleselskaber til at undlade at gemme IP-tildlinger, fordi de ikke kun udleverer disse til politiet ved alvorlig forbrydelse.

Tillykke hvis det lykkes dig at vildlede andre.

Men ansvaret er dit.

Og nej. Jeg er ikke en karakterafviger som Trump. Og jeg har heller ikke autistiske afvigelser, der typisk indebærer tunnelsyn og manglende evne til at overskue helheder.

Det eneste reelle problem, jeg ser i at mangle bagudrettet logning af identiteter, er børneporno. Både fordi børnepillere er gode til at skjule sig bag anonymiseringstjenester, hvor IP-adressen bliver det eneste spor, og fordi børneporno er en politisk tabersag, der kan få nok så mange gode argumenter til at falde for døve øren.

Det var netop overvejelser af denne type (proportionalitet og streng nødvendighed), som EU-Domstolen brugte som begrundelse for, at en midlertidig lagring af IP-adresse tildelinger (næppe et år) til bekæmpelse af grov kriminalitet (konkret nævnt: børneporno) er tilladt efter EU-retten. Det spillede også en rolle for EU-Domstolens vurdering, at oplysninger om IP-tildelinger ikke på samme måde som opkaldslister og masteoplysninger i sig selv tegner en meget præcis profil af en persons adfærd og omgangskreds (sociale graf).

Worst case ville være, at vi droppede al logning, hvorefter undertegnede et halvt år senere bliver opsøgt af Operation X, der vil høre, hvorfor vi hjælper pædofile med at groome deres ofre på nettet.</p>
<p>Jeg kan lige forestille mig situationen: Et par grædende forældre i et TV-studie, en forarget politiefterforsker, der udtaler, at "Kviknet kunne have forhindret overgrebet ved at følge lovgivningen, så vi kunne have fundet gerningsmanden" (dvs. følge den muligvis ugyldige/ulovlige logningsbekendtgørelse) og en journalist, der slet ikke interesserer sig for de fine franske principper i sagen men blot vil have noget god underholdning i kassen.</p>
<p>I praksis handler de fleste myndighedsforespørgsler om ting, der er sket for næsten 1 år siden. Det fortæller mig, at efterforskning af IT-relateret kriminalitet ikke ligefrem ligger øverst på prioriteringslisten hos myndighederne.

Hvis Justitsministeren gerne vil undgå denne situation, skal han hurtigst mulige lave de danske logningsregler om, så de holder sig inden for EU-rettens rammer.

Lige nu har vi logningsregler som går for vidt, inklusive § 5, stk. 1 om logning af IP-adresser fordi adgang til disse loggede oplysninger ikke er begrænset til sager om grov kriminalitet (og formentlig også fordi 12 måneder er for lang en periode).

Konsekvensen er at tæppet under den danske logning kan blive trukket væk fra den ene dag til den anden.

Det kan være teleselskaber som stopper den ulovlige logning og sletter de ulovligt indsamlede data, fordi det er det rigtige at gøre, eller fordi de ikke vil risikere bøder efter GDPR.

Det kan være retssagen som Foreningen mod Ulovlig Logning har anlagt mod Justitsministeriet.

Det kan også være en afgørelse fra Datatilsynet, hvis nogen klager over et teleselskabs logning. Hvis logningsreglerne var lovlige, ville GDPR artikel 6, stk. 1, litra c udgøre det fornødne behandlingsgrundlag for lagringen af de loggede oplysninger hos teleselskabet. Men efter EU-Domstolens retspraksis er Datatilsynet forpligtet til at se bort fra national lovgivning, som er i strid med EU-retten. Og så har teleselskabet faktisk ikke noget behandlingsgrundlag efter GDPR, dvs. teleselskabet gør noget ulovligt ved at følge logningsbekendtgørelsen.

Denne ophævelse af logningsbekendtgørelsen vil ske uden noget varsel, fordi EU-Domstolen i den seneste dom (C-511/18) meget eksplicit har sagt, at det ikke er muligt at opretholde en ulovlig logning midlertidigt indtil der indføres nye regler.

Endelig er der en overset detalje i EU-Domstolens seneste dom: oplysninger der er fremkommet fra ulovlig logning skal af de nationale domstole vurderes som ulovlige beviser efter den nationale ret om ulovlige beviser. Det er muligt at det ikke bliver det store problem i praksis i Danmark, fordi retsplejeloven og danske domstole er ret "large" når politi og anklagemyndighed kommer med ulovligt indsamlede beviser. Men måske er der også grænser her (time will show), og systematisk brug af ulovligt indsamlede beviser kan rejse nye spørgsmål i forhold til adgangen til en retfærdig rettergang (EMRK artikel 6).

Summa summarum: kriminelle risikerer at gå fri på grund af Justitsministerens uansvarlighed i forhold til logning.

Det burde være en kæmpehistorie i medierne (hint til diverse medier -- ingen nævnt, ingen glemt -- der gerne vil skrive om at politiet skal have effektive værktøjer til at opklare kriminalitet blah blah blah).

Hvorfor tror I at der står "oplysninger om teletrafik" og ikke "trafik- og lokaliseringsdata"?</p>
<p>Det er netop fordi logningsbekendtgørelsen ikke kun kræver logning af trafik- og lokaliseringsoplysninger, men f,eks også Telefonnumre og IP-tildelinger i mindst 1 år.</p>
<p>Og disse typer oplysninger er som sagt ikke omfatte af EU-domstolens afgørelser.</p>
<p>Det kan da ikke være så svært at forstå.</p>
<p>Men på den anden side er logisk blindhed ikke ukendt. Selv hos en amerikansk præsident kan det forekomme.

Læs venligst præmis 152-156 i C-511/18. Så vil det være temmelig klart, at en lagringspligt for IP-tildelinger er omfattet af dommen (og EU-rettens beskyttelse af privatliv i elektronisk kommunikation).

Din slet skjulte henvisning til Trump er nærmest ironisk. Det er dig som er Trump i dette tilfælde.

EU har forbudt netbutikkerne at opkræve gebyret direkte hos kunden

Ah, så det er derfor, det visse steder hedder "faktureringsgebyr". Det kan være man skulle forske lidt mere hos forbrugerombudsmanden.

Under alle omstændigheder tak for svar, Yoel.

Og egentlig er jeg enig i din vurdering af kortgebyret.

Selv må jeg konstatere en voldsom mangedobling af mine udgifter til gebyrer efter at Anders Fogh fjernede dokumentationskravet.Netop fordi det fjernede den fælles interesse i at holde disse udgifter i ave.

(1) ”Det påhviler udbydere af telenet eller teletjenester at foretage registrering og opbevaring i 1 år af oplysninger om teletrafik til brug for efterforskning og retsforfølgning af strafbare forhold. Justitsministeren fastsætter efter forhandling med erhvervsministeren nærmere regler om denne registrering og opbevaring.”

Det er netop fordi logningsbekendtgørelsen ikke kun kræver logning af trafik- og lokaliseringsoplysninger, men f,eks også Telefonnumre og IP-tildelinger i mindst 1 år.

Og disse typer oplysninger er som sagt ikke omfatte af EU-domstolens afgørelser.

Det kan da ikke være så svært at forstå.

Men på den anden side er logisk blindhed ikke ukendt. Selv hos en amerikansk præsident kan det forekomme.

Ret mig endeligt, hvis jeg tager fejl.

Jamen det vil jeg hermed gøre - selv om emnet egentlig er off topic :)

Pengene er allerede hævet, når man opdager det nye gebyr på 30%, som blev advaret med "opdatering af vilkår", stående med småt, nederst side 79. Formodentlig vil en del kunder først opdage det meget senere.

Vi udsteder som udgangspunkt fakturaen 8 dage før vi hæver pengene. Dermed har man tid til at gøre indsigelser, hvis man mener, der er fejl.

Det giver helt anderledes muligheder for bogholderens tidlige pension i Argentina, når der bare kan hæves løs.

Det er præcis det samme med Betalingsservice - det er kreditor, der bestemmer beløbets størrelse fra gang til gang.

Kunderne kan så stille op i køen af simple kreditorer, når boet efterfølgende gøres op.

Som forbruger nyder du stor beskyttelse, når du betaler med kort - fx er forbrugeren beskyttet mod tab ved netbutikkens konkurs, når der anvendes MasterCard. Jeg ved ikke, om der er en lignende beskyttelse på betalinger med Betalingsservice.

Derudover kommer den lange række af virksomheder, der bruger betalingsgebyr, som en indtægt, der skjules omhyggeligt, når der skal sammenlignes priser.

Gebyret for kortbetaling varierer fra korttype til korttype og fastsættes gennem en kommerciel forhandling mellem indløser og netbutik.

EU har forbudt netbutikkerne at opkræve gebyret direkte hos kunden - hvilket i min optik er rigtig usundt, da man derved fjerner kundens incitament til at vælge den billigste korttype.

Men i sidste ende er der jo kun kunden til at betale, så alle omkostninger ved betaling vil før eller siden blive indregnet i prisen for alle kunder.

I øvrigt kræver markedsføringsloven, at de markedsførte priser indeholder minimumsprisen - så eventuelle obligatoriske gebyrer o.l. skal også indregnes her.

Til gengæld kører vi med automatisk kortbetaling, og mange af vores kunder har valgt at få tilknyttet et betalingskort til deres budgetkonto.

Jeg er sikker på at I synes at det er optimalt, men så vidt jeg kan se er der et par svagheder ved den løsning, som udmærker sig ved at ligge på kundens side. Ret mig endeligt, hvis jeg tager fejl.

Pengene er allerede hævet, når man opdager det nye gebyr på 30%, som blev advaret med "opdatering af vilkår", stående med småt, nederst side 79. Formodentlig vil en del kunder først opdage det meget senere.

Det giver helt anderledes muligheder for bogholderens tidlige pension i Argentina, når der bare kan hæves løs. Kunderne kan så stille op i køen af simple kreditorer, når boet efterfølgende gøres op.

Det undrer mig at man ser betaling, som dyrt og besværligt (nej, det gør det så egentlig ikke, men). Det er en simpel konstatering at man generelt er gået fra årlig/halvårlig/kvartals-betaling over til månedlig betaling.

Dette er naturligvis ikke gratis, og det er mit klare indtryk, at det handler om virksomhedernes håb om at at folk ikke tænker for meget over den årlige omkostning, og ikke kundernes ønske om fordeling af udgifterne.

Derudover kommer den lange række af virksomheder, der bruger betalingsgebyr, som en indtægt, der skjules omhyggeligt, når der skal sammenlignes priser.

Og som du ved, er logning af IP helt nødvendig for at kunne opspore den stigende mængde fraud mv.

Det er jeg ikke helt enig i. Svindel med betalingskort er den type sager, vi oftest ser, og her kender politiet i alle tilfælde gerningsmanden i forvejen og vil sådan set bare gerne have bekræftet, at de er på rette spor. Oftest er der tale om banal kriminalitet, hvor folk bestiller varer på nettet med andres betalingskort, og her er der både et økonomisk og et fysisk spor, politiet kan forfølge.

Det eneste reelle problem, jeg ser i at mangle bagudrettet logning af identiteter, er børneporno. Både fordi børnepillere er gode til at skjule sig bag anonymiseringstjenester, hvor IP-adressen bliver det eneste spor, og fordi børneporno er en politisk tabersag, der kan få nok så mange gode argumenter til at falde for døve øren.

Worst case ville være, at vi droppede al logning, hvorefter undertegnede et halvt år senere bliver opsøgt af Operation X, der vil høre, hvorfor vi hjælper pædofile med at groome deres ofre på nettet.

Jeg kan lige forestille mig situationen: Et par grædende forældre i et TV-studie, en forarget politiefterforsker, der udtaler, at "Kviknet kunne have forhindret overgrebet ved at følge lovgivningen, så vi kunne have fundet gerningsmanden" (dvs. følge den muligvis ugyldige/ulovlige logningsbekendtgørelse) og en journalist, der slet ikke interesserer sig for de fine franske principper i sagen men blot vil have noget god underholdning i kassen.

I praksis handler de fleste myndighedsforespørgsler om ting, der er sket for næsten 1 år siden. Det fortæller mig, at efterforskning af IT-relateret kriminalitet ikke ligefrem ligger øverst på prioriteringslisten hos myndighederne.

Personligt har jeg pt. ikke noget at skjule så vidt jeg ved, men ingen kan jo spå om fremtiden, så det har jeg måske alligevel.

Bare rolig, vi har alle sammen ting, vi gerne vil skjule. Og det skal være vores ret.

Jeg ville flytte til Kviknet i samme øjeblik jeg så at de valgte at gå først imod den ulovlige logning, selvom jeg godt er klar over at det for Kviknet ikke gør nogen forskel.

Alle kunder tæller, men det er rigtigt, at logningsspørgsmålet ikke handler om at tiltrække kunder eller ej. Det handler om at gøre det rigtige uden at blive fanget i en juridisk sisyfos-kamp, og det er derfor, vi har igangsat analysen, så vi kan få vendt alle sider af sagen.

Det på trods af at jeg ellers aldrig bliver kunde hos nogen der vil have budgetbetalinger fra ens lønkonto (total uskik...)

Det er vist en misforståelse. Vi ønsker ikke at støtte Nets' monopol med 4,32 kr. pr. betaling og har derfor fravalgt Betalingsservice, som i øvrigt også er et forældet og besværligt system.

Til gengæld kører vi med automatisk kortbetaling, og mange af vores kunder har valgt at få tilknyttet et betalingskort til deres budgetkonto. Hvilken konto, kortet er tilknyttet, har ingen betydning for os.

Personligt har jeg pt. ikke noget at skjule så vidt jeg ved, men ingen kan jo spå om fremtiden, så det har jeg måske alligevel. Jeg ville flytte til Kviknet i samme øjeblik jeg så at de valgte at gå først imod den ulovlige logning, selvom jeg godt er klar over at det for Kviknet ikke gør nogen forskel. Det på trods af at jeg ellers aldrig bliver kunde hos nogen der vil have budgetbetalinger fra ens lønkonto (total uskik men ok vi lever jo i en tid med Kviklån...).

E-data direktivets art. 15, der kan anses som en undtagelsesbestemmelse, foreskriver at medlemsstaterne i særlige tilfælde kan indskrænke de rettigheder, som er nødvendige, passende og forholdsmæssige i et demokratisk samfund, når dette sker af hensyn til den nationale sikkerhed eller til brug i straffesager.</p>
<p>Disse undtagelser skal dog være i overensstemmelse med fællesskabsrettens generelle principper.</p>
<p>Iflg. EU-domstolens fortolkning af denne samt charterets art. 7, 8 og 11 må den danske logningsbekendtgørelses krav om ubegrænset og ikke-diskriminerende registrering af data anses som i strid med EU-retten(5). Hermed er logningsbekendtgørelsen ugyldig.</p>
<p>Derfor er, som minimum, e-datadirektivet af 2002 blevet fejlagtigt implementeret da den retstilstand som kunne forventes ved en korrekt implementering ikke er blevet opnået.

Sådan! Det er hvad jeg beskrev som den korrekte begrundelse for logningsbekendtgørelsens ugyldighed i mit indlæg 20:45 (link).

Jeg kan kun komme i tanke om en måde at bruge en lang liste med navne og adresser: Hvis de allerede har en mistænkt og vil have bekræftigelse på at personen optræder i listen.

Men det kan gøres meget nemmere end at gå i retten og få en kendelse: Myndighederne kan spørge udbyderen, om de har den pågældende person som kunde, jf. telelovens § 13.

Juristen tager fejl.

Her er juristens svar:

Den danske logningsbekendtgørelse af 2006 samt senere ændringslov af 2014 har sit udspring i retsplejelovens § 786, stk. 4(1) og 7. Logningsbekendtgørelsen af 2006 gennemfører dog også dele af logningsdirektivet af 2006 (2).

Logningsdirektivet bliver kendt ugyldigt ved EU-domstolens afgørelse af 2014(3). Den danske logningsbekendtgørelse kunne godt selvstændigt eksistere med hjemmel i RPL § 786, stk. 4 og 7, men da logningsdirektivet af 2006 bliver kendt ugyldigt falder man tilbage i andre relevante direktiver, i dette tilfælde e-data direktivet af 2002 som blev revideret i 2009(4).

E-data direktivets art. 15, der kan anses som en undtagelsesbestemmelse, foreskriver at medlemsstaterne i særlige tilfælde kan indskrænke de rettigheder, som er nødvendige, passende og forholdsmæssige i et demokratisk samfund, når dette sker af hensyn til den nationale sikkerhed eller til brug i straffesager.

Disse undtagelser skal dog være i overensstemmelse med fællesskabsrettens generelle principper.

Iflg. EU-domstolens fortolkning af denne samt charterets art. 7, 8 og 11 må den danske logningsbekendtgørelses krav om ubegrænset og ikke-diskriminerende registrering af data anses som i strid med EU-retten(5). Hermed er logningsbekendtgørelsen ugyldig.

Derfor er, som minimum, e-datadirektivet af 2002 blevet fejlagtigt implementeret da den retstilstand som kunne forventes ved en korrekt implementering ikke er blevet opnået.

Derfor må virksomheder og fysiske personer kunne finde direktivet umiddelbart anvendeligt som refereret af EU-domstolens afgørelse Van Duyn (41-74).

(1) ”Det påhviler udbydere af telenet eller teletjenester at foretage registrering og opbevaring i 1 år af oplysninger om teletrafik til brug for efterforskning og retsforfølgning af strafbare forhold. Justitsministeren fastsætter efter forhandling med erhvervsministeren nærmere regler om denne registrering og opbevaring.”

(2) https://www.retsinformation.dk/eli/lta/2006/988#FN501 – Se fodnote 1

(3) Digital rights Ireland and Seitlinger af 8. april 2014. C-293/12 – Sagen blev forenet med sag C-594/12

(4) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02002L0058-20091219 – konsolideret udgave

(5) JUDGMENT OF THE COURT (Grand Chamber) C-623/17 [81]

Man kan så sige at de data er værdiløse. Jeg kan kun komme i tanke om en måde at bruge en lang liste med navne og adresser: Hvis de allerede har en mistænkt og vil have bekræftigelse på at personen optræder i listen.

Det kan meget vel være den måde som politiet bruger høstakken med 100+ (eller 1000+) abonnentnavne på. En anden mulighed er at de hælder alle modtagne abonnent-oplysninger ind i krystalkuglen POL-INTEL, og ser hvad Palantirs algoritmer finder frem til.

Vi hører konstant fra Justitsministeren at logning er af "afgørende betydning" for politiet (selv om politiet behandlede de modtagne data dybt uansvarligt gennem 10 år, jf. den store teledataskandale), men hvis en politimand på et grynet overvågningsbillede forveksler en p-skive med et fipskæg [sic] og derfor mener at kunne genkende en person, så tæller den slags "bevismateriale" langt mere end masteoplysninger som viser at personen var et helt anden sted (se dette tweet).

For man er nødt til at bestå første årsprøve for at fortsætte på studiet, og dér har man lært om retskildehierakiet.

Hej Rasmus,

Jeg har søgt lidt på begrebet "retskildehierarki" og fandt bogen Ret og metode af Mads Bryde Andersen fra 2002 (frit tilgængelig som pdf). På side 69, umiddelbart før en gennemgang af "Lex superior, lex specialis og lex posterior" henvises der til kapitel 6 for en gennemgang af "juridisk retskildelære".

Jeg har formentligt overset/misforstået noget ved skimning, men kapitel 6 synes at være en abstrakt/teoretisk beskrivelse og indeholder ikke umiddelbart en figur eller anden simpel illustration på et konkret hierarki.

Jeg forestiller mig gældende retshierarki illustreret som en simpel (omvendt) træstruktur med de forskellige retskilder(?) vist som knuder. Fx Grundloven øverst, herunder EU-lov, osv. Giver det mening, og i så fald - findes en sådan illustration? Andre bud på læsestof for nysgerrige borgere?

vh Thomas

Juristen er foreløbig kommet frem til, at eftersom logningsbekendtgørelsen er den danske implementering af logningsdirektivet (som er blevet kendt ugyldigt i sin helhed), er logningsbekendtgørelsen i praksis ugyldig.

Der er den korrekt konklusion med den forkerte begrundelse :)

At logningsbekendtgørelsen gennemfører logningsdirektivet fremgik af en fodnote, som blev fjernet ved en ændring af bekendtgørelsen i 2014 (samtidig med ophævelse af sessionslogningen).

Den korrekte begrundelse er: eftersom EU-retten er til hinder for national lovgivning, som fastsætter en generel og udifferentieret lagringspligt for alle trafik- og lokaliseringsdata til bekæmpelse af alvorlig kriminalitet, er logningsbekendtgørelsen i sin helhed ugyldig fordi den netop gør det som EU-retten eksplicit er til hinder for (generel og udifferentiteret lagringspligt for alle data om alle abonnenter).

I forhold til logningsbekendtgørelsens § 5, stk. 1 (oprindeligt § 5, stk. 2) om logningspligt af tildelte IP-adresser er tingene dog lidt mere spegede.

Ifølge C-511/18 præmis 152-156 er EU-retten ikke til hinder for en generel lagringspligt vedrørende tildelte dynamiske IP-adresser for en begrænset periode (næppe et år), hvis formålet er bekæmpelse af grov kriminalitet (eller national sikkerhed). Adgangen til de lagrede data skal imidlertid være forenelig med formålet for den pligtmæssige lagring, dvs. der kan ikke ske adgang i sager om almindelig (ikke-grov) kriminalitet, jf. dommens præmis 166.

Selv om en generel logningspligt vedr. tildelte IP-adresser er mulig efter EU-retten, er den nuværende bestemmelse i logningsbekendtgørelsen § 5, stk. 1 i strid med EU-retten, alene af den grund at formålet med den pligtmæssige lagring ikke er begrænset til alvorligt kriminalitet, jf. RPL § 786, stk. 4 og logningsbekendtgørelsens § 1 (som gælder for "strafbare forhold", der inkluderer almindelig kriminalitet).

I praksis får politiet selv i sager om banal kriminalitet udleveret oplysninger om samtlige brugere af en CG-NAT'et offentlig IP-adresse, hvis politiet beder om det. Ingen tør sige nej til politiet i Danmark...

Man kan så sige at de data er værdiløse. Jeg kan kun komme i tanke om en måde at bruge en lang liste med navne og adresser: Hvis de allerede har en mistænkt og vil have bekræftigelse på at personen optræder i listen.

Nærmere betegnet Retsplejelovens § 786 stk. 4:</p>
<p><a href="https://danskelove.dk/retsplejeloven/786">https://danskelove.dk/retsple…;
<p>Interessant. Jeg vender den lige med juristen.

EU-Domstolens domme har præcist samme betydning for logning på EU-niveau (logningsdirektivet) som på nationalt niveau (RPL § 786, stk. 4 og logningsbekendtgørelsen).

En særlig variant er teleobservation, der er aflytning "uden lyd", hvor politiet ikke modtager indholdet. Det kræver sjovt nok kun en editionskendelse, fordi fysisk observation via skygning mv. også kun kræver editionskendelse.

I forhold til teleobservation er præmis 187-189 i C-511/18 yderst interessant.

Justitsministeriet synes ikke teleobservation er et særligt alvorligt indgreb, fordi en politimand uden videre kan foretage skygning. Retsplejelovens løselige bestemmelse om teleobservation afspejler dette.

EU-Domstolen har en helt anden opfattelse af real-time elektronisk overvågning, med afsæt i en nylig dom fra Den Europæiske Menneskerettighedsdomsol (Ben Faiza v. France).

Som jeg læser præmis 187-189 i C-511/18 kan kun terrorsager efter EU-retten berettige et så alvorligt indgreb som teleobservation udgør.

Oplysning om delte IP-adresser kræver, at man finder det umagen værd at undersøge samtlige kunder, som har anvendt den delte IP-adresse - det kan nemt være flere hundrede kunder. Jeg kan kun forestille mig, en domstol vil finde det proportionelt i meget grove sager, herunder terrorsager.

Blot til orientering. Disse fine betragtninger om proportionalitet ved at udlevere oplysninger om måske flere hundrede (eller sågar tusinde) abonnenter afspejler ikke hvordan systemet fungerer i praksis hos de danske domstole.

I praksis får politiet selv i sager om banal kriminalitet udleveret oplysninger om samtlige brugere af en CG-NAT'et offentlig IP-adresse, hvis politiet beder om det. Ingen tør sige nej til politiet i Danmark...

Udleveringssagerne kører som editionssager (RPL § 804), hvor der ikke foretages nogen reel vurdering hos domstolene (og slet ikke de vurderinger som EU-retten kræver, også for udlevering af abonnentidentiteter vedr. IP-adresser).

Endvidere har de store teleselskaber på forhånd afvist [sic] at komme med indsigelser over for domstolene i editionssager (afståelseserklæringer). Vi taler vel at mærke om de store teleselskaber som er kendt for at have frivillig logning af CG-NAT sessioner, men fordi politiet ikke mener at være i stand til at oplyse et portnummer til ISP'en, beder politiet bare om alle abonnentidentiteter. Politiet elsker big data..

Dokumentation for masse-udlevering af oplysninger om samtlige brugere: se side 19 i dette TI notat.

Mobiludbyderne har imidlertid det seneste år oplevet, at Politiet i stigende omfang anmoder retten om efter reglerne om edition at pålægge mobiludbyderne at udlevere oplysning om, hvem der er registreret som brugere af mobile dynamiske IP-adresser på et bestemt tidspunkt angivet med sekunds nøjagtighed – men uden at Politiet har oplysning om portnummer. I disse sager har mobiludbyderne hidtil udleveret oplysning om de mere end 1000 brugeridentiteter (mobiltelefonnumre), som har benyttet den mobile dynamiske IP-adresse på det oplyste tidspunkt.</p>
<p>I disse sager er der ofte ikke tale om efterforskning af grov kriminalitet. Eksempelvis er en mobiludbyder blevet pålagt at udlevere oplysninger om flere hundrede brugere af en mobil dynamisk IP-adresse i en sag om misbrug af betalingskort til køb på internettet for beløb under 3000 kr. (databedrageri), og i en anden sag om uberettiget adgang til en idrætsklubs medlemskartotek (hacking). I nogle af sagerne er det tale om navngivne mistænkte, og i andre af sagerne er der tale om ukendte gerningsmænd.

Og ja.. jeg blev temmelig chokeret, da det i starten af 2020 (i forbindelse med en af de mange databrudssager om yderst lemfældig omgang med følsomme oplysninger hos politiet og big-tele) gik op for mig at politiet havde disse muligheder for masse-adgang til personoplysninger, som efter EU-retten nyder beskyttelse på allerhøjeste niveau.

Og igen. Kviknets logning af IP-identiteter er slet ikke omfattet af EU-domstolens domme.

Det er forkert. Præmis 152-156 i C-511/18 omhandler netop den type logning som er beskrevet i logningsbekendtgørelsens § 5, stk. 1 (og som Kviknet antageligt udfører).

Bemærk at overskriften på den del af dommen er

Legislative measures providing for the preventive retention of IP addresses and data relating to civil identity for the purposes of combating crime and safeguarding public security

Jeg er godt klar over, at der findes en svensk regeringsrapport, som mener noget andet. Tilbage i 2001 mente Justitsministeriet i Danmark, at logning slet ikke var et indgreb i grundlæggende rettigheder. Alle har ret til deres egen mening, men det er altså EU-Domstolen som er øverste instans for fortolkning af EU-retten.

Jesper Lund

IT-Politisk Forening

Men fysisk observation bruges selvsagt ikke med mindre sagen er alvorlig.

Ja, der ligger en dejlig praktisk begrænsning i overvågningen, når det kræver resourcer af de overvågende.

Det er den begrænsning, der mangler, når vi taler elektronisk overvågning. Både mht. indsamling af data, og senere når data er tilgængelige.

Ikke kun real-time, for Politiet vil også kunne pålægge dig at logge udvalgte personer med en retskendelse.

En særlig variant er teleobservation, der er aflytning "uden lyd", hvor politiet ikke modtager indholdet. Det kræver sjovt nok kun en editionskendelse, fordi fysisk observation via skygning mv. også kun kræver editionskendelse.

Men fysisk observation bruges selvsagt ikke med mindre sagen er alvorlig.

Så det er egentlig en systemfejl, at teleobservation kun kræver edition, mens udlevering af loggede teleoplysninger kræver retskendelse efter reglerne om indgreb i meddelelseshemmeligheden.

Såpdan er det, når principper krydser hinanden

Interessant. Jeg vender den lige med juristen.</p>
<p>0 0

Så du finder stort set intet om direktivet i forarbejderne til logningsbekendtgørelsen, bortset fra en vurdering af, om de danske regler opfyldte direktivet.

Og igen. Kviknets logning af IP-identiteter er slet ikke omfattet af EU-domstolens domme.

Så du slipper næppe godt fra at undlade denne logning i strid med danske regler.

Du har ihvertfald en meget svag sag.

Du kan kun hævde, at logningsbekendtgørelsen ikke er lovlig, fordi den ikke er opdateret i lyset af dommene (som den svenske).

Men det er langt ude at undlade logning af IP med den begrundelse.

Og som du ved, er logning af IP helt nødvendig for at kunne opspore den stigende mængde fraud mv.

Den danske logningsbekendtgørelse har hjemmel i ændringer til retsplejeloven fra 2002, og det har sådan set intet med direktivet at gøre. Selvfølgelig blev der skelet til direktivet, men hjemmelsgrundlaget er den danske lov.

Nærmere betegnet Retsplejelovens § 786 stk. 4:

https://danskelove.dk/retsplejeloven/786

Interessant. Jeg vender den lige med juristen.

Juristen er foreløbig kommet frem til, at eftersom logningsbekendtgørelsen er den danske implementering af logningsdirektivet (som er blevet kendt ugyldigt i sin helhed), er logningsbekendtgørelsen i praksis ugyldig.

Den danske logningsbekendtgørelse har hjemmel i ændringer til retsplejeloven fra 2002, og det har sådan set intet med direktivet at gøre. Selvfølgelig blev der skelet til direktivet, men hjemmelsgrundlaget er den danske lov.

Tilbagetrækningen af direktivet har derfor ikke umiddelbart virkning for danske logningsregler, der hviler på deres eget nationale grundlag.

Og dommen fra 2014 bortdømte fælles minimumsregler, men ikke nationalt bestemte ordninger.

Det vil i så fald åbne for den interessante tilstand, at IT-kriminalitet kun kan opklares real-time og aldrig bagud i tid.</p>
<p>Er det en god idé?

Det er jo det det hele handler om. Så længe man ikke har gjort noget, skal man behandles som uskyldig, og ikke overvåges.

Hvis man skal kunne gå tilbage, er der netop tale om at alle overvåges og behandles som kriminelle.

Husk nu i den den juridiske analyse, at det kun er trafikdata og lokaliseringsdata, som er dækket af EU-domstolens domme.

Det er selve logningsdirektivet, som er erklæret ugyldigt - det skete med EU-dommen i 2014 og fik derfor bagudvirkende kraft til 2006, hvor direktivet oprindeligt trådte i kraft.

Se fx selv på EUR-Lex:

https://eur-lex.europa.eu/legal-content/DA/ALL/?uri=CELEX%3A32006L0024

"No longer in force, Date of end of validity: 03/05/2006".

Juristen er foreløbig kommet frem til, at eftersom logningsbekendtgørelsen er den danske implementering af logningsdirektivet (som er blevet kendt ugyldigt i sin helhed), er logningsbekendtgørelsen i praksis ugyldig.

Det vil i så fald åbne for den interessante tilstand, at IT-kriminalitet kun kan opklares real-time og aldrig bagud i tid.

Ikke kun real-time, for Politiet vil også kunne pålægge dig at logge udvalgte personer med en retskendelse.

Så hvis Politiet har mistanke til, at Peter er en skurk, så kan de bede retten om en retskendelse til at overvåge Peter, og dermed bede dig om at logge informationer om Peter.

Hvis Peter er en skurk, så kan de om 3 måneder kikke i loggen og få underbygget dette.

Hvorfor er det et indgreb i meddelelseshemmeligheden at gemme den IP-adresse du er tildelt - fast eller dynamisk?

Er det så også et indgreb i meddelelseshemmeligheden, at jeg kan finde en persons telefonnummer i 1960 i kraks vejviser?

Som sag vedrører EU-dommene kun logning af trafikdata og lokaliseringsdata - og ikke tildeling af identiteter som tlf.numre og IP-adresser etc.

Som sædvanlig siger Søren Sandfeldt meget, der viser mangel på indsigt i logningssagen.

EUs domme omhandler kun trafik- og lokaliseringsdata.

Sverige har i 2019 genindført telelogning, og for IP-adresser har de endog udbygget kravene til logning af CGNAT.

Så påstanden om, at Sverige er ophørt med at logge efter Tele2-dommen er lodret forkert. De standsede i en periode, men genindførte logningskrav på nye betingelser efter en analyse af dommen.

Når den juridiske analyse er færdig, kommer vi til at tage stilling til, hvad vi gør. Uanset hvad vil det ikke gøre den store forskel for os, dels fordi vi ikke er et mobilselskab, dels fordi vi har valgt den mest lempelige (privatlivsvenlige) tolkning af logningsbekendtgørelsen i forvejen.

Som ISP er det ikke nogen af de oplysninger, som i gemmer. Man kan derfor på ingen måde kalde det ulovlig logning. For det i logger er slet ikke omfattet af EU-dommene.

Her er en oversigt over logning i EU fra 2019. Kun 3 lande har ikke regler om telelogning, mens 25 har virksomme regler, der mig bekendt overholdes.

Lad dig ikke drive rundt i manegen af pøbelen. De er mere blinde for fornuft end Trump-tilhængere på landet i Texas.

https://www.statewatch.org/media/documents/news/2019/may/eu-council-data-retention-ms-situation-wk-3103-19.pdf

Oplysning om delte IP-adresser kræver, at man finder det umagen værd at undersøge samtlige kunder, som har anvendt den delte IP-adresse - det kan nemt være flere hundrede kunder. Jeg kan kun forestille mig, en domstol vil finde det proportionelt i meget grove sager, herunder terrorsager.

Er forudsætningen for den antagelse ikke, at Politiet rent faktisk oplyser til dommeren at det er det de vil gøre? Og efterfølgende at dommeren forstår det?

Man skal huske på, at der er ingen som taler de overvågedes sag. Og der er heller ingen efterfølgende retssag der kan tabes, mod dem, som er bliver uskyldig overvåget.

Ift. overskriften “Europa logger løs” er det værd at bemærke at det eneste land med grænse til Danmark som logger er Polen. Tyskland stoppede tidligt, i Sverige stoppede telebranchen, i Norge stoppede man efter de tidligere domme og i UK tog et parlamentsmedlem sagen.

Ift. at Teleindustrien lyver om at være forpligtede er det vigtigt at huske at det er løgn. Det er usandt. Det er ikke i nærheden af sandheden. Men hvorfor er jeg så sikker? Fordi teleselskabernes egne jurister siger det. Og justitsministeriet. Pape skrev det i sit ulovlige brev til Teleindustrien.

Ingen jurister vil stå på mål for Teleindustriens løgn. For man er nødt til at bestå første årsprøve for at fortsætte på studiet, og dér har man lært om retskildehierakiet. Når noget med grundlovskraft siger at overvågning er ulovlig, kan en minister ikke udstede en bekendtgørelse som siger det modsatte. Det bekræftede Justitsministeriet under bl.a. Pape, og ingen andre end Teleindustrien påstår at logningsbekendtgørelsen er gældende. Ingen. Nul. Det er en fantasi.

Ift. løgnen om at logning er “vigtigt”, så er det relevant at huske at teledata ikke har betydet at kriminaliteten er faldet, at politiet ikke er handicappet i alle lande omkring os og at teledata er formålsløst ved planlagte forbrydelser.

Ulovlig overvågning retfærdiggøres gennem løgn. Det er ikke en acceptabel måde at drive en demokratisk retsstat.

Hvilket betyder i praksis?</p>
<p>Hvad logger I og hvor længe?

Husk, at logning udelukkende handler om at undlade at slette data, som på et tidspunkt var nødvendigt for vores drift, men som ikke er det længere.

I praksis er der to typer af registreringer, som går ud over "nødvendigt for vores drift" og derfor gemmes efter logningsbekendtgørelsen:

• Når en kunde ophører med at anvende en dedikeret fast IP-adresse, gemmes oplysningen om dette i 1 år
• Når en kunde ophører med at anvende carrier grade NAT (dvs. en delt IP-adresse), gemmes oplysning om, hvilken delt IP-adresse kunden har anvendt, i 1 år

Oplysninger om dedikerede faste IP-adresser kan direkte bruges i en efterforskning.

Oplysning om delte IP-adresser kræver, at man finder det umagen værd at undersøge samtlige kunder, som har anvendt den delte IP-adresse - det kan nemt være flere hundrede kunder. Jeg kan kun forestille mig, en domstol vil finde det proportionelt i meget grove sager, herunder terrorsager.

dels fordi vi har valgt den mest lempelige (privatlivsvenlige) tolkning af logningsbekendtgørelsen i forvejen.

Hvad logger I og hvor længe?

Var det ikke en mulighed Kviknet & Yoel kunne benytte sig af? :)

Vi har gennem den sidste uges tid haft en jurist til at foretage en dybere analyse af, hvordan vores retsstilling som ISP egentlig er.

Analysen er ikke helt færdig, men der er meget, der tyder på, vi direkte kan ignorere logningsbekendtgørelsen, da den underliggende EU-lovgivning blev dømt ugyldig i 2014.

Det vil i så fald åbne for den interessante tilstand, at IT-kriminalitet kun kan opklares real-time og aldrig bagud i tid.

Er det en god idé?

Hvis alle udbydere gør det, vil myndighederne ultimativt set være tvunget til at kræve en direkte opkobling til hver enkelt ISP's net på admin-niveau. Herefter kan de med få minutters varsel hente et gummistempel fra den lokale domstol og sætte en efterforskning i gang - men denne gang direkte i udbyderens netværk.

Når den juridiske analyse er færdig, kommer vi til at tage stilling til, hvad vi gør. Uanset hvad vil det ikke gøre den store forskel for os, dels fordi vi ikke er et mobilselskab, dels fordi vi har valgt den mest lempelige (privatlivsvenlige) tolkning af logningsbekendtgørelsen i forvejen.

Er dette ikke ligesom to modsatrettede formål:

»Staten er bange for at miste det her forebyggende værktøj mod organiseret kriminalitet og terror,«

kontra

»Politiet skal have de nødvendige værktøjer for at kunne efterforske og retsforfølge alvorlig kriminalitet, og her er loggede oplysninger af afgørende betydning.«

Under alle omstændigheder mangles der evidens for om hvorvidt det ene eller det andet overhovedet har anden betydning end at terrorisere civilbefolkningen.

Mig bekendt er det en lukrativ forretning at operatørerne leverer de ønskede oplysninger. De gør det ikke gratis og kun på anmodning fra politiet. Det kunne være interessant at høre helt nøjagtigt hvor meget der tjenes på den forretning. De danske operatører kunne, ligesom fx svenskerne, sagtens stoppe fra den ene dag til den anden. Hvis politiet fandt det ulovligt kunne de jo anlægge en sag.

Jeg talte med 3's databeskyttelses afdeling som står for logning hos dem og det korte af det lange var, at de tør ikke gøre noget ved det og at teleindustrien (TI - brancheforeningen) har bedt dem om at blive ved. Ser dog også ud til at TI er begyndt at se at der er problemerhttps://www.teleindu.dk/logningsreglerne-bor-aendres/

Var det ikke en mulighed Kviknet & Yoel kunne benytte sig af? :)