Drucksache 14/5555
n
n
– 94 –
Das Angebot darf nicht nur einem geschlossenen Kreis
einzelner Nachfrager zugänglich sein, sondern muss
grundsätzlich für die Öffentlichkeit angeboten werden.
Die Verpflichtung zur Anwendung datenschutzrechtlicher Vorschriften muss Bestandteil des Vertrages zwischen der Informatik-Firma und dem jeweiligen Telekommunikationsunternehmen sein.
Wegen der Umsetzung der vorstehenden Forderungen bin
ich mit den beteiligten Firmen in Kontakt.
10.9.4 Elektronische Telefonverzeichnisse
Nach wie vor gibt es Telefonkunden, die nicht möchten,
dass ihre Telefonnummer nebst Anschrift in einem der
zahlreichen CD-ROM-Telefonverzeichnisse eingetragen
ist, die mit einem PC gelesen und ausgewertet werden
können. Die Problematik hatte ich bereits in zurückliegenden Tätigkeitsberichten (vgl. 16. TB Nr. 10.4.5 und
17. TB Nr. 10.3.3) aufgegriffen. Auch im Berichtszeitraum wurden wieder Fälle an mich herangetragen, in denen Kunden in ein solches elektronisches Telefonverzeichnis eingetragen wurden, obwohl sie dies nicht
gewünscht hatten. Die eigentliche Fehlerquelle hierfür lag
in der Nichtberücksichtigung des Kundenwunsches durch
das TK-Unternehmen infolge eines Arbeitsfehlers bei der
Auftragsbearbeitung (s. o. Nr. 10.9.2). Da der Kunde über
die vorgesehene Eintragung unterrichtet wird und er die
Möglichkeit hat, ihr unverzüglich zu widersprechen oder
sie zu korrigieren, könnten die negativen Auswirkungen
eines Arbeitsfehlers an sich reduziert und unzulässige
Veröffentlichungen noch verhindert werden. Dies würde
allerdings voraussetzen, dass die Daten erst nach Ablauf
einer – gesetzlich nicht vorgesehenen – „Widerspruchsfrist“ zur Veröffentlichung freigegeben und an CD-ROMHersteller weitergegeben werden. Leider wird derzeit in
der Praxis nicht so verfahren. Der angelegte Kundendatensatz wird sofort freigegeben und zu vertraglich festgelegten Stichtagen an Dritte für die Aufnahme eines
Auskunftsdienstes oder zwecks Herausgabe eines Telefonverzeichnisses übermittelt. Da die Stichtage für die
Weitergabe der Daten zeitlich eng an den Produktionsprozess für die CD-ROM gekoppelt sind, können
nachträgliche Korrekturen kaum noch berücksichtigt werden. Hierzu besteht noch Erörterungsbedarf mit den TKUnternehmen.
Ein besonders weitreichender Fall im Zusammenhang mit
der Bereitstellung von Teilnehmerdaten nach § 12 Abs. 1
TKG zum Zwecke der Aufnahme eines Auskunftsdienstes
oder der Herausgabe eines Verzeichnisses der Rufnummern war folgender:
Ein großes TK-Unternehmen, das Millionen von Bestandsdaten erhebt und speichert, hat an Herausgeber
elektronischer Verzeichnisse stets den Gesamtdatenbestand seiner Kunden weitergegeben und im Bestand die
Daten der Kunden lediglich markiert, die einer Aufnahme
in elektronische Verzeichnisse widersprochen haben. Das
TK-Unternehmen konnte nach eigenen Angaben wegen
mangelnder Kapazität der Rechenzentren und Umstellung
der in diesem Bereich eingesetzten Datenverarbeitungs-
Deutscher Bundestag – 14. Wahlperiode
programme den Datenbestand nicht selbst selektieren.
Stattdessen wurden die CD-ROM-Hersteller als Auftragnehmer nach § 11 BDSG vertraglich verpflichtet, die Datensätze zu verarbeiten, die nicht gekennzeichnet sind,
und ihnen auferlegt, „die Bestimmungen der TDSV einzuhalten und die datenschutzrechtliche Kennzeichnung eines Datensatzes zu beachten“.
Diese Verfahrensweise konnte im Hinblick darauf, dass
eine Datenübermittlung nur zulässig ist, wenn schutzwürdige Interessen der Betroffenen nicht verletzt werden,
nicht hingenommen werden. Wer einer Veröffentlichung
seiner Daten in einem elektronischen Verzeichnis widerspricht, muss sich darauf verlassen können, dass seine Daten nicht an Unternehmen weitergegeben werden, die die
Herausgabe einer CD-ROM beabsichtigen. Das TK-Unternehmen hat zugesagt, die Möglichkeit für eine eigene
Sortierung der Bestandsdaten nach den entsprechenden
Kriterien zu schaffen. Da dies nur mit großem finanziellen, technischen und zeitlichen Aufwand möglich ist,
habe ich die übergangsweise Beibehaltung des Verfahrens
unter der Bedingung toleriert, dass es zeitlich angemessen
befristet ist und durch Vereinbarung zusätzlicher Regelungen mit den Vertragspartnern der Charakter der Auftragsdatenverarbeitung stärker betont wird. Um weitgehend sicherzustellen, dass die unselektiert übermittelten
Daten nicht missbräuchlich in elektronische Verzeichnisse aufgenommen werden, soll insbesondere die Verpflichtung zur Löschung der nicht zur Veröffentlichung
freigegebenen Daten hervorgehoben werden. Die Installation des neuen Verfahrens soll im ersten Halbjahr 2001
abgeschlossen sein.
10.10 Automatisierte Missbrauchserkennung
Eine missbräuchliche Nutzung von Telekommunikationsdiensten kann gerade beim Mobilfunk zu erheblichen
wirtschaftlichen Schäden bei Telekommunikationsunternehmen führen. Daher haben diese ein erhebliches Interesse daran, einen eventuellen Missbrauch automatisiert
zu erkennen, um diesem schnellstmöglich wirksam zu begegnen. Nach Maßgabe des § 9 Abs. 2 TDSV dürfen die
Kommunikationsunternehmen zum Zweck der Missbrauchserkennung die Bestands- und Verbindungsdaten
erheben, verarbeiten und nutzen.
Da im Rahmen von automatisierten Missbrauchserkennungssystemen auch die besonders schützenswerten,
dem Fernmeldegeheimnis unterliegenden Verbindungsdaten verarbeitet werden, habe ich ein derartiges System
bei einem Telekommunikationsunternehmen überprüft.
Grundsätzliche datenschutzrechtliche Probleme habe ich
nicht festgestellt, aber einige Mängel gefunden
Aufgrund meiner Initiative hat das Telekommunikationsunternehmen u. a. folgende Verbesserungen vorgenommen:
n
Das Missbrauchserkennungssystem wurde durch ein
Passwort geschützt, das automatisch generiert wurde.
Dies ist aus Gründen der Sicherheit nicht akzeptabel.