Kravet: Bahnhof måste lämna ut uppgifter – annars väntar miljonböter

Bahnhof, och dess vd Jon Karlung, syns ofta i den svenska debatten om personlig integritet på nätet. Nu kan internetoperatören tvingas att betala böter på fem miljoner kronor enligt ett vitesföreläggande från Post- och telestyrelsen (PTS).

Delar på samma ip-adress

Bakgrunden är att Bahnhof vid upprepade tillfällen har vägrat att lämna ut abonnemangsuppgifter om sina kunder till polisen – om portnummer har saknats i begäran.

Bahnhof och andra bredbandsoperatörer använder en adressöverföringsteknik kallad Network Address Translation (NAT). Tekniken innebär bland annat att flera abonnenter kan dela på en ip-adress. För att särskilja abonnenterna med samma ip-adress krävs portnumret i UDP-protokollet. 

Enligt datalagringsreglerna ska internetoperatörer dela med sig av uppgifter om abonnemang till polisen vid brottsmisstanke. Nu kräver PTS att Bahnhof ska göra så även när portnummer saknas i begäran. Operatören får två veckor på sig att ändra sina rutiner – och om de inte gör det väntar alltså böter på fem miljoner kronor.

"Inte emot brottsbekämpning"

Men Bahnhof vägrar att ändra på sig. Till Ny Teknik säger vd:n Jon Karlung att vitesföreläggandet ska överklagas, och att bolaget är berett att ta den juridiska striden hela vägen till EU-domstol. 
 – Vi är inte emot brottsbekämpning, och har bistått polisen med kunduppgifter i flera tidigare fall. Men det måste ske på ett rättssäkert sätt. Och det tycker vi inte att det gör om polisen ska kunna begära ut information kopplad till en ip-adress om man samtidigt saknar den viktiga pusselbit som portnumret faktiskt är.

Användningen av NAT-tekniken är ett sätt för bredbandsoperatörerna att hantera bristen på IPv4-adresser, som i princip är slut.

Operatörerna är skyldiga enligt lag att lagra abonnenternas portnummer. Men om den uppgiften saknas i polisens begäran blir resultatet, menar Jon Karlung, att man tvingas lämna ut information om hundratals kunder med en enda gemensam nämnare – att ip-adressen är den samma.

– Kunderna kan bo i helt olika städer, men ändå dela ip-adress med en person som är brottsmisstänkt. Det blir som ett lotteri. Än en gång, vi tycker inte att det är rättssäkert att behöva dela ut information om en stor mängd abonnenter i en enda klump. Vi tror inte heller att det är förenligt med gällande lagstiftning i Sverige och EU, säger han.

PTS: Strider mot lagen

Ett annat problem enligt Bahnhof är att polisens begäran till bredbandsoperatören varken anger vilken typ av brott som misstänks, eller andra uppgifter som begränsar antalet misstänkta. 

– Nu är det lite som en svart låda. Om polisen vill att vi ska dela ut uppgifter om 200 personer behöver vi få veta om det gäller misstankar om ett allvarligt brott, och att utlämningen av uppgifterna kan ske på ett rättssäkert sätt, säger Jon Karlung.

PTS skriver i sitt vitesförläggande att Bahnhof, trots att flera propåer under hösten 2021, inte har lämnat ut begärda uppgifter till polisen.

Detta agerande strider mot datalagringsreglerna, även om underlag i form av portnummer saknas i förfrågan, konstaterar myndigheten.

Bahnhof planerar att överklaga PTS:s beslut i slutet av denna vecka eller under nästa, enligt Jon Karlung.

Rättelse: I en tidigare version angavs fel namn på adressöverföringstekniken Network Address Translation.