Teleselskaber logger og udleverer lokationsdata på tvivlsomt grundlag

Forsvarsadvokater oplever, at data om deres klienters internetbrug bliver udleveret af teleselskaberne til politiet. Det er umiddelbart i strid med lovgivningen, vurderer professor.

Når danskerne bevæger sig rundt med deres mobiltelefon, bliver data fra masterne om deres færden både logget og herefter udleveret af teleselskaberne. Det fortæller en række forsvarsadvokater, som Information har talt med. Problemet er, at der er tale om lokationsinformationer baseret på datatrafik og ikke sms og taletrafik.

Det er ifølge professor i teleret ved Aalborg Universitet Søren Sandfeld Jakobsen ikke lovligt i henhold til udbudsbekendtgørelsen.

»Min umiddelbare vurdering er, at den praksis, hvor masteoplysninger fra al datatrafik logges, er i strid med udbudsbekendtgørelsen og det underliggende EU-direktiv, det såkaldte e-datadirektiv,« siger han til Information.

Direktør i teleselskabernes brancheorganisation Teleindustrien Jakob Willer forklarer, at logningen sker, fordi det teknisk er nødvendigt.

»Efter logningsreglerne har selskaberne en forpligtelse til at foretage registrering af masteoplysninger ved beskeder. Beskeder transporteres i mobilnettene som datatrafik, og derfor er det nødvendigt, at der i et vist omfang også sker en registrering af masteoplysninger ved datatrafik,« skriver Willer i en e-mail til Information.

Erhvervsstyrelsen er myndighed på teleområdet. Her vil specialkonsulent Jacob Voetmann ikke tage endelig stilling til lovligheden. I en mail til Information skriver han:

»Spørgsmålet er her, om mobiltelefoni i denne sammenhæng inkluderer mobil internetkommunikation, eller om det kun vedrører mobil taletelefoni? Dækker bestemmelsen over mobil internetkommunikation vil registrering af lokaliseringsdata i forbindelse med denne brug ikke være i strid med udbudsbekendtgørelsens § 23, stk. 1. Gælder bestemmelsen kun for taletelefoni, forholder det sig omvendt.«

Rigspolitiets Telecenter, der er en del af Nationalt Cyber Crime Center, oplyser til Information, at politiet i 1.795 sager sidste år indhentede masteoplysninger på internettrafik fra teleselskaberne under efterforskning af straffesager.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 René Nielsen

Så er vi her igen – myndighederne vil gerne have at borgerne skal overholde landets love, men har et mere liberalt synspunkt i forhold til egen overholdelse af landets love.

Jeg er måske lidt gammeldags, men jeg mener at der bør gælde en absolut ”nul-tolerance” ift. om myndighederne overholder landets love. Den slags kaldes eksemplets magt - for myndighederne er jo nærmest til at bede om en ændring, hvis noget ikke var optimalt.

At teleskaberne siger at det er teknisk påkrævet, er muligvis rigtigt, men irrelevant for de skal også overholde landets lovgivning.

Hvis politi og anklagemyndighed bruger mastedata i strid med udbudsbekendtgørelsen – minder mere om stater som Ruland og Kina, hvor loven er ”vejledende” for staten og bindende for borgerne.

  • 12
  • 0
#2 René Nielsen

Jakob Willer som er direktør i teleselskabernes brancheorganisation Teleindustrien lyder iøvrigt ikke som den ”skarpeste kniv i skuffen“.

Når han siger at man”ikke teknisk kan udskille den del af datatrafikken, der alene vedrører beskeder” så ryster jeg på hovedet over mandens uvidenhed!

Fra logningsbekendtgørelsen ved vi at han skal logge SMS og MMS’er sammen med samtaledata. Man laver da bare en rapport som samkører masteoplysninger med de data han skal logge.

Helt enkelt, hvis ikke der er en samtalestart eller -slut på tidspunktet for masteoplysningen, sendt eller modtaget en SMS eller en MMS, så skal den enkelte record (om masteoplysning) slettes før udlevering til politiet.

Det er da ikke raketfysik at lave en sådan rapport

  • 7
  • 0
#3 Mogens Ritsholm

I forhold til det jeg sagde til Information hermed lidt uddybning.

Reglerne kræver logning af mastekode mv.i forbindelse med aktiv sending og modtagelse af SMS og MMS.

SMS og MMS er definerede teletjenester med underliggende bærertjenester.

Man kan også sende meddelelser, billeder med mange andre tjenester, herunder et ual af APPS. Men det er ikke teletjenester men applikationer, og det skal derfor ikke logges overhovedet - hverken direkte eller indirekte. For logningsreglerne er kun rettet mod udbydere af teletenester. Derfor er det også noget misvisende, når Jacob Willer alene nævner loning ved beskeder. For som sagt gælder logningskravet kun, når der er tale om en besked ia tjenesterne SMS og MMS. Og kun, hvis det gøres via de hertil definerede bærertjenester.

Der kan være to andre grunde til at logge master for internettrafik.

Den ene årsag er det tidligere logningsdirektiv, som kan tolkes således, at man også for data skal logge første og sidste mast. Men hvad er første og sidste mast i en internetadgang? Det er ihvertfald ikke alle master, og billedet stammer nok fra den tid, hvor nternetadgang skulle aktiveres særskilt fra mobilen.

Danske regler giver ikke svar på kravets virkning i dagens mobilnet, og direktivet er som bekendt ophævet.

I forbindelse med sessionslogning hævdede justitsministeriet i afrapporteringen for et par år siden, at der også skulle logges masteoplysninger sådan som TDC på daværende tidspunkt gjorde. Det er der efter min mening slet ikke belæg for.

Men spørgsmålet er ikke længere aktuelt, da sessionslogning jo er ophævet.

Tilbage står en del mystik om grundlaget for den logning af maser ved interettrafik, som nogle udbydere åbenbart praktiserer.

Der er i øvrigt en interessant krølle på historien.

Normalt betaler en dømt for omkostningerne ved de teleoplysninger, der udleveres i forbindelse med politiets efterforskning.

Hvis der er tale om ulovlig logning skærper det selvfølgelig sagen ud fra et retssikkerhedssynspunkt.

  • 7
  • 0
#6 Mogens Ritsholm

Min tidligere forklaring på første og sidste celle ved data fra en mobil var lidt for simpel.

Direktivet krævede kun første celle registreret. Der var en lang diskussion under direktivets forhandling, hvor flere lande - herunder Danmark - krævede første og sidste celle registreret for telefoni. Mange lande hævdede, at deres mobilnet ikke kunne dette. Derfor står der kun første celle i direktivet. Til gengæld gælder kravet også data (vistnok ved et uheld).

Logningsbekendtgørelsen kræver første og sidste celle. Men det gælder efter ordlyden ikke for data.

Imidlertid siger vejledningen, at kravene til lokaliseringsdata følger direktivets scenarie - altså med den danske tilføjelse af sidste celle. Og dermed bringes data alligevel ind i kravene. For direktivet omhandler efter ordlyden også data.

Således kan man nå frem til, at logningsekendtgørelsen kræver første og sidste celle logget for data.

Der er bare ingen forklaring på hvad det i givet fald betyder, og virkningen af direktivets bortfald er uafklaret.

Så efter min opfattelse er kravet om lokalisering af data bortfaldet, som den direkte ordlyd i logningsbekendtgørelsen også siger.

For hvis kravet stadig eksisterede måtte det eksplicit forklares hvad der forstås ved første og sidste celle.

Man kan ikke forpligte til nonsens og efterlade det til fri fortolkning.

  • 3
  • 0
#7 Mogens Ritsholm

Når bekendtgørelsens ordlyd ikke direkte kræver lokaliseringsdata for internetadgang, skyldes dette, at begrebet mobiltelefoni ikke omfatter data.

Det er indiskutabelt ud fra ligefrem forståelse og forarbejderne. Erhvervsstyrelsens mulige tolkning, der kan underbygge logningen for data, fordi det måske indgår i begrebet "mobiltelefoni", kan altså med sikkerhed afvises.

Men på en mere indviklet måde kan der måske alligevel sættes en smule substans bag kravet, jf. tidligere kommentar, hvor samspillet med direktiv og vejledning inddrages. Som sagt må dette imidlertid gså afvises i den nuværende situation efter min opfattelse.

Problemet i hele sagen er, at hverken JMIN, Erhvervsstyrelsen eller teleselskaberne er i stand til at tolke reglerne, fordi det kræver både juridisk, telefaglig og teknologisk indsigt ud over de involveredes evner.

  • 3
  • 0
#8 Jesper Lund

Det er indiskutabelt ud fra ligefrem forståelse og forarbejderne. Erhvervsstyrelsens mulige tolkning, der kan underbygge logningen for data, fordi det måske indgår i begrebet "mobiltelefoni", kan altså med sikkerhed afvises.

Det fremgår også klart af dette svar fra Justitsministeriet (i 2013) http://www.ft.dk/samling/20121/almdel/reu/spm/894/svar/1066459/1270487.pdf

Dette gælder også lokationsdata i forbindelse med internetkommunikation, som ikke er omfattet af forpligtelsen i bekendtgørelsen.

Sætningen "gælder også" referer til, at HVIS teleselskaberne har gemt mastedata for internettrafik (som der ikke er pligt til), kan disse mastedata udleveres ved en editionskendelse, ligesom mastedata der er logget på grund af en forpligtelse i logningsbekendtgørelsen.

Politiet har meget let adgang til disse oplysninger, fordi kravene til indgreb i meddelelseshemmelighed ikke skal være opfyldt, når der alene er tale om mastedata (lokationsdata). Alene editionsreglerne gælder, dvs. der skal basalt set bare være tale om et forhold der er undergivet offentlig påtale.

Mistanke om cykeltyveri giver adgang til mastedata. Når Nederlandenes logningslov blev underkendt ved en domstol i marts 2015, var det bl.a. fordi helt banale forbrydelser som cykeltyveri gav adgang til logningsdata. Det hjalp ikke at advokaten, der repræsenterede den nederlandske stat, forsikrede retten om at politi og anklagemyndighed aldrig ville bruge logningsdata i en sag om cykeltyveri. Muligheden var nok for dommeren.

  • 3
  • 0
#9 Mogens Ritsholm

Korrekt, Jesper.

I min forståelse kan logningspligtige data ikke udleveres efter en editionskendelse. Derved ville de særlige krav til strafferamme mv. for udlevering af logningsdata jo også blive forbigået. Det er noget særligt dansk - og en god ting - at retsplejelovens betingelser for udlevering af logningsdata er skåret ud i pap.

Hvis teleseskaberne udleverer personlige oplysninger om master efter en editionskendelse - og accepterer dette - tilstår de dermed samtidigt, at oplysningere ikke falder ind under logningspligten.

Og så er de selvdeklareret i strid med udbudsbekendtgørelsen.

  • 2
  • 0
#10 Jesper Lund

Hvis teleseskaberne udleverer personlige oplysninger om master efter en editionskendelse - og accepterer dette - tilstår de dermed samtidigt, at oplysningere ikke falder ind under logningspligten.

At udlevering kan ske alene efter edition er desværre fastslået i en højesteretsdom U.2009.2610H.

Endda afsagt på et tidspunkt hvor vi havde et logningsdirektiv, som afgrænsede indsamling af logningsdata til "afsløring og retsforfølgning af alvorlige forbrydelser", hvilket må være et snævrere begreb end forhold undergivet offentlig påtale.

Christian Panton henledte min opmærksomhed på dette 2006 brev fra TI til JM, hvor edition ift lokaliseringsdata omtales på sidste side (pkt 3) https://web.panton.org/aktindsigt/logningsbekendtg%C3%B8relsen/jm-1/dive...

Det er fra en af Christians mange aktindsigter.

  • 3
  • 0
#11 Mogens Ritsholm

Det er dårligt utrykt i brevet. Men det, der menes, er udlevering af lokaliseringsoplysninger som en del af det, der kaldes udvidet teleoplysning.

Dermed menes oplysninger om alle, der har været aktive på en mast i et bestemt tidsrum. Det hviler på en særlig tilføjelse til retsplejeloven i 2001. Og teknisk er det et dump, der ikke baseres på logningsdata for enkeltkunder. Det er et et andet system.

Og man siger altså i brevet, at politiet stadig har denne mulighed for et sådant dump med en editionskendelse, og derfor behøver man ikke have mellemliggende master med i logningsdata for individuelle kunder. Det er et argument imod logning af alle master under en samtale.

I 2006 tænkte ingen på udlevering af lokationsdata for en bestemt udpeget kunde. Det giver jo heller ikke megen mening at frasortere andre oplysninger fra logning knyttet til telefoni eller SMS. før udlevering.

Det var ikke et produkt i kataloget til politiet

Jeg har ikke slået højesteretsdommen efter. Men så vidt jeg husker drejede den sig også om udvidet teleoplysning, hvor hjemlen blev betvivlet.

Ideen om loggede lokaliseringsdata uden øvrige samtaleoplysninger er først opstået senere.- bortset fra den tidligere nævnte tvivlsomme tolkning af bekendtgørelse/vejledning, som justitsministeriet ikke selv var klar over dengang.

Så jeg mener stadig, at evt. logning af master for en individuel kunde skal udleveres efter loningsreglerne og ikke kan udleveres efter edition.

Det er personlige data - også efter teledirektivet om personlige data.

Det særlige ved udvidet masteoplysning er, at ingen jo som udgangspunkt er specifikt mistænkt. Men man ønsker et overblik over dem, der var i området. Det er noget helt andet end at søge oplysninger for en bestemt mistænkt, og det er derfor ok, at det sker med editionskendelse.

  • 3
  • 0
#12 Christian Panton

Fra resumeet af U.2009.2610H: Til brug for politiets efterforskning anmodede anklagemyndigheden den 2. september 2008 Retten i Sønderborg om i medfør af retsplejelovens § 806, stk. 2, jf. § 804, stk. 1, at pålægge Teleselskabet Sonofon »at udlevere oplysninger om hvilke telemaster mobiltelefon med telefonnummer - - -, tilhørende T, cpr. nr. - - - er registreret på i tidsrummet mellem den 1. august 2008 kl. 15.00 til den 4. august 2008.«

Det hele er en diskussion om RPL § 791a stk. 5 finder anvendelse. De snakker aldrig om § 780, da lokationsoplysninger ikke er nævnt i den paragraf.

Samme dom refereres i "Redegørelse om erfaringerne med lovgivning indført i forbindelse med anti-terrorpakke I fra 2002 og anti-terrorpakke II fra 2006":

Rigsadvokaten har i sin udtalelse med hensyn til erfaringerne med rets-plejelovens § 791 a, stk. 5 og 6, omtalt en højesteretskendelse af 22. juni 2009 om anvendelsesområdet for teleobservation, hvor Højesteret slog fast, at retsplejelovens § 791 a, stk. 5, ikke finder anvendelse i en situation, hvor der er tale om udlevering af allerede lagrede masteoplysninger. I sådanne tilfælde er det de mere lempelige betingelser i retsplejelovens regler om edition, der finder anvendelse.

  • 4
  • 0
#13 Jesper Lund

Jeg har ikke slået højesteretsdommen efter. Men så vidt jeg husker drejede den sig også om udvidet teleoplysning, hvor hjemlen blev betvivlet.

Nej, U.2009.2610H drejer sig om udlevering af lokaliseringsoplysninger vedrørende en konkret mistænkt person. Politiet ville kortlægge hans færden i et tidsrum, hvor han var under mistanke for at have begået vold.

Byretten i Sønderborg giver medhold i udlevering med henvisning til RPL § 791 a, stk. 5 om teleobservation. Landsretten stadfæster dette. Anklagemyndigheden, der altså har fået de ønskede data, får en tredjeinstansbevilling til at kære sagen til Højesteret.

Højesteret siger at der ikke er tale om teleobservation, og at lokaliseringsdata kan udleveres efter editionsreglerne alene. Som begrundelse anføres det, at lokaliseringsdata ikke er teleoplysninger, hvorfor kravene til indgreb i meddelelseshemmeligheden ikke behøver at være opfyldt, og at lovændringen vedr. teleobservation i 2006 ikke havde til hensigt at ændre på adgangen til historiske lokaliseringsdata. Her er det underforstået at historiske lokaliseringsdata også før lovændringen vedr. teleobservation kunne udleveres alene via edition.

Der henvises til U.2003.137H, som reelt handler om teleobservation før der var en RPL paragraf om dette. Her siger Højesteret at disse løbende fremadrettede lokaliseringsoplysninger ikke kan udleveres efter edition alene. I 2009 kendelsen bliver argumentationen så vendt om: da sagen ikke handler om fremadrettede lokaliseringsoplysninger, er det ikke teleobservation, og så er edition tilstrækkelig.

Der er også henvisninger til U.1993.1H og U.1993.1H, som begge siger at kravene til indgreb i meddelelseshemmelighed skal være opfyldt, når der er tale om teleoplysninger.

Jeg kan ikke i henvisningerne finde nogen dom (udover U.2009.2610H, der lægger til grund at det er retspraksis), som direkte siger at historiske lokaliseringsoplysninger kan udleveres alene efter edition. Det virker nærmest som om at det er en antagelse, som Justitsministeriet har gjort sig.

Men det hele hænger ret kraftigt på at lokaliseringsdata ikke er teleoplysninger, da det er en direkte præmis i U.2009.2610H.

  • 4
  • 0
#14 Mogens Ritsholm

Du har ret. Tak for den overbevisende dokumentation.

Jeg er meget overrasket over, at man åbenbart er skredet over til at acceptere editionskendelse for historiske masteoplysninger.

For mig at se er oplysninger om færden ganske indgribende - især når man nu åbenbart logger meget tæt i forbindelse med brug af internet..

  • 3
  • 0
#15 Mogens Ritsholm

Jeg er stadig rystet.

Og umiddelbart lukker det for mig lidt op for, at Skat og andre myndigheder med særhjemmel gså kan rekvirere oplysningerne,. For beskyttelsen af teleoplysninger er vel bedre. Skat har således hidtil ikke vovet at bede om teleoplysninger, der ikke samtidigt skulle findes efter regnskabsreglerne.

  • 3
  • 0
#16 Bent Jensen

Mere kryptering, flere telefoner, flere SIM kort. Sluk telefon SIM kort og brug, SIP og WIFI. VPN, TOR, og hvad man ellers kan bruge for at beskytte privatlivet.

Men i bund og grund skal vi nok være glade for at de spørger teleselskaberne og ikke google og facebook.

Samt en grundt til at slukke sin telefon helt / tage batteriet ud, og slet ikke tage den og andet elektronik med når man vil lave noget ulovligt, noget umoralsk eller bare gerne vil have øjeblikket for sig selv selv. Så bliver man heller ikke forstyret af konen, når man ligger i sengen med kontordamen.

  • 1
  • 1
Log ind eller Opret konto for at kommentere