Drucksache 16/12600
– 34 –
unter Strafandrohung von maximal fünf Jahren Freiheitsstrafe gestellt. Die Staatsanwaltschaft Bonn ermittelt seit
Mitte letzten Jahres mit Unterstützung des Bundeskriminalamts in einem sehr umfangreichen Verfahren zu den
Vorgängen bei der DTAG, das bei Redaktionsschluss
noch nicht abgeschlossen war.
Die Feststellung individueller Verstöße gegen strafrechtliche Normen und die Entscheidung über die Anklageerhebung ist Aufgabe der Strafverfolgung. Demgegenüber ist
die Aufgabe des Datenschutzes eher präventiver und zukunftsgerichteter Art. Wegen der laufenden Ermittlungen
der Staatsanwaltschaft Bonn habe ich meine Prüfungstätigkeit bei der DTAG darauf konzentriert, die Abläufe
und die datenschutzrechtlichen Risiken bei der Verarbeitung von Verkehrsdaten zu analysieren, um auf eine Reduzierung der Risiken hinzuwirken.
Die Verarbeitung von Verkehrsdaten des Festnetzes erfolgt nicht zentralisiert, sondern dezentral an zahlreichen
Standorten der DTAG. Erste Aufgabe bei meinen Kontrollen in Bonn war es deshalb, einen groben Überblick
über die Strukturen und Abläufe bei der Verarbeitung von
Verkehrsdaten zu gewinnen. Dieser Überblick musste gemeinsam mit den beteiligten Stellen und den Mitarbeitern
des Konzerndatenschutzes erarbeitet werden. Aufgrund
der Vielzahl der Systeme und der verteilten Zuständigkeiten bei der DTAG war es teilweise sehr mühsam, die notwendigen Struktur- und Prozessinformationen zur Verarbeitung von Verkehrsdaten, zum Rechtemanagment und
zur Protokollierung zu erhalten. Auch beim Konzerndatenschutz bestand zu Anfang meiner Kontrolle noch kein
vollständiger Überblick.
Der Zugriff auf Verkehrsdaten ist für betriebliche Zwecke, nämlich insbesondere für die Abrechnung gegenüber
dem Kunden, aber auch gegenüber anderen Telekommunikationsunternehmen, ferner zur rechtzeitigen Erkennung von Störungen und Missbrauchsfällen erforderlich.
Ein missbräuchliches „Abzweigen“ oder Kopieren von
Verkehrsdaten kann also an mehreren Punkten ansetzen.
Im Interesse optimierter Prävention müssen deshalb alle
„risikogeneigten“ Datenverarbeitungen analysiert und bewertet werden.
Als wesentliches Ergebnis meiner Prüfungen hinsichtlich
der Verarbeitung von Verkehrsdaten im Festnetzbereich
lässt sich festhalten:
Die Daten werden mehrfach an verschiedenen Stellen gespeichert. Die Verkehrsdaten zu einem Gespräch können
je nach Konstellation mehrfach vollständig und zusätzlich
mit verkürzter Zielrufnummer erfasst werden. Dabei werden für die Missbrauchserkennung sogar Daten der Anrufversuche erhoben. Mit Blick auf das gesetzliche Gebot
der Datensparsamkeit (§ 3a BDSG) sollte hier eine deutliche Reduzierung erfolgen, auch um Missbrauchsmöglichkeiten und Tatgelegenheiten zu verringern.
Verkehrsdaten werden teils auch zu lange gespeichert.
Hier muss einerseits im Unternehmen die Speicherdauer
an verschiedenen Stellen überprüft und reduziert werden.
Andererseits sollte auch der Gesetzgeber sich dieser Thematik annehmen. Während die Speicherdauer und der
Umfang der Daten für Zwecke der Abrechnung mit dem
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
Kunden und bei der Vorratsdatenspeicherung minutiös
geregelt sind, fehlen entsprechend klare Regelungen für
andere Verwendungen von Verkehrsdaten.
Die DTAG hat auf meine Aufforderung damit begonnen,
die erteilten Zugriffsrechte zu überprüfen. Für eine Anwendung, mit der nur in besonderen Fällen auf Verkehrsdaten zugegriffen wird, waren allein fast 4 000 Nutzer registriert. Auch wenn zur Gewährleistung eines effizienten
Service die Erforderlichkeit von Zugriffsmöglichkeiten
für eine nicht geringe Zahl unternehmensinterner Nutzer
grundsätzlich plausibel erscheint, bedarf es zur Minderung von Missbrauchsrisiken gleichwohl einer Überprüfung und Aktualisierung mit dem Ziel einer Reduzierung
von Zugriffsmöglichkeiten. Die „Rechtehistorie“, also die
Dokumentation der Zuweisung von Zugriffsrechten einzelner Mitarbeiter auf bestimmte Anwendungen und Systeme, muss zudem sicher dokumentiert werden.
Die revisions-, also manipulationssichere Protokollierung
von Zugriffen auf sensible Daten gehört zu den essentiellen Forderungen des Datenschutzes. Aus der Protokollierung muss erkennbar sein, ob der Zugriff durch einen Administrator, sonstige Mitarbeiter der DTAG oder externe
Kräfte erfolgt ist. Die datenschutzrechtliche Kontrolle
sollte durch zentrale Zugriffsmöglichkeiten (selbstverständlich in einem streng kontrollierten Verfahren) erleichtert werden.
Ein Teil der Missbrauchserkennungssysteme wurde von
Mitarbeitern aus dem Bereich der Konzernsicherheit
bedient. Hier bestand technisch die Möglichkeit, Verkehrsdaten zu erheben. Konzernsicherheit und Missbrauchserkennung sind zur Risikominimierung deutlich
zu separieren. Aufträge an die Konzernsicherheit sind
zudem präzise und nachvollziehbar zu erteilen und zu dokumentieren. Der Konzerndatenschutz muss bei „datenschutzsensiblen“ Maßnahmen der Konzernsicherheit
frühzeitig und vor dem Zugriff auf Datenbestände beteiligt werden.
Das BDSG verpflichtet die Daten verarbeitenden Stellen
zur Information und Unterstützung des betrieblichen bzw.
behördlichen Datenschutzbeauftragten, damit dieser seine
gesetzliche Informations- und Kontrollaufgabe wirksam
erfüllen kann. Letztendlich bestand beim Konzerndatenschutz der DTAG jedoch kein vollständiger und ausreichend detaillierter Überblick über die Systeme zur Datenverarbeitung. Dieser Umstand war schließlich Grund
einer Beanstandung.
Die DTAG hat seit Juni 2008 einiges aufgeholt, um ähnliche Vorfälle für die Zukunft so weit als möglich auszuschließen. Aus der Vielzahl der Maßnahmen möchte ich
hier nur einzelne herausheben:
Die Aufwertung der zentralen Aufgabe „Datenschutz“
wird mit der Einrichtung des neuen Vorstandes für Recht
und Datenschutz und der bereits 2008 eingeleiteten Personalverstärkung deutlich. Ermittlungsaufträge für die
Konzernsicherheit sollen künftig kritisch geprüft und
nachvollziehbar dokumentiert werden, um die Abzweigung und den Missbrauch sensibler Daten auszuschließen. Die Analyse und Behebung datenschutzrechtlicher