Deutscher Bundestag – 16. Wahlperiode
– 35 –
Schwachstellen bleibt angesichts der dislozierten Datenverarbeitung aber eine Daueraufgabe.
Erste positive Schritte sind festzustellen; es bleibt aber
viel zu tun. Die Sensibilität für Fragen des Datenschutzes
ist nicht nur bei der DTAG, sondern in der ganzen Branche gewachsen. Datenschutz ist weder Selbstzweck noch
ausschließlich eine Frage der Technik. Gegen intelligente
Innentäter wird es auch künftig keinen absoluten Schutz
geben. Durch konsequente, aufeinander abgestimmte
technische, organisatorische und auch rechtliche Maßnahmen lassen sich aber Tatgelegenheiten auch für intelligente Innentäter reduzieren.
Die aktuellen Vorgänge werfen Fragen jenseits der Verantwortlichkeit des einzelnen Unternehmens auf. Auch
wenn es keine Kausalität zwischen den Vorgängen bei der
DTAG und der erst nach diesen eingeführten Vorratsdatenspeicherung (s. Nr. 3.2.1) gibt, liegt doch die Frage
nahe, ob sich mit der Vorratsdatenspeicherung das Missbrauchsrisiko nicht weiter erhöht. Die Forderung nach
Datenminimierung zwecks Missbrauchsrisikominimierung bleibt deshalb unverändert aktuell.
Der „Fall Telekom“ gibt über den Einzelfall hinaus Anlass, eine präzisere Regelung der Befugnisse von Telekommunikationsunternehmen bei der Eingrenzung von
Störungen und bei der Missbrauchserkennung zur Diskussion zu stellen. Die gegenwärtigen Regelungen in
§ 100 Absatz 1 und 3 TKG sind sehr knapp und zumindest „interpretationsfähig“. Eine ausdrückliche und präzise beschränkte Regelung der Nutzung von Verkehrsdaten für diese Zwecke fehlt derzeit.
3.2.3
Datenschutzgerechte Ausgestaltung
der Auftragsdatenverarbeitung
in Call-Centern
Eine Umfrage unter verschiedenen Telekommunikationsdiensteanbietern (TK-Anbietern) zeigt, dass bei der Auftragsdatenverarbeitung durch Call-Center der Datenschutz vielfach eine zu geringe Rolle spielt.
Ob Änderung des Handy-Vertrags oder technische Probleme mit dem Internet-Zugang – Call-Center sind heutzutage für Kunden wie TK-Anbieter aus dem täglichen
Leben nicht mehr wegzudenken. Um so schlimmer ist es,
dass der Missbrauch von personenbezogenen Daten, wie
Name, Adresse, Telefonnummer oder gar Bankverbindung, in Call-Centern immer wieder ein aktuelles Thema
ist. Aus diesem Grund habe ich verschiedene TK-Anbieter gebeten, ihre Rahmenverträge mit den von ihnen beauftragten Call-Centern vorzulegen. Das Ergebnis dieser
Umfrage zeigt, dass die Anbieter sich vielfach um einen
höheren Datenschutzstandard bemühen, gleichwohl ein
beträchtlicher Optimierungsbedarf besteht. Eine datenschutzgerechtere Ausgestaltung der Auftragsdatenverarbeitung (vgl. Nr. 2.5) durch Call-Center kann durch Einhaltung der nachfolgend genannten Punkte erreicht
werden (vgl. Kasten zu Nr. 3.2.3). Die Kunden der TKAnbieter dürfen nicht durch fehlende oder halbherzige
Datenschutzstandards dem Missbrauch ihrer Daten ausgesetzt werden. Ich werde die TK-Anbieter daher über
meine Forderungen in Kenntnis setzen und die Umsetzung dieser konkreten Maßnahmen überprüfen.
Drucksache 16/12600
K a s t e n zu Nr. 3.2.3
Datenschutzgerechte Ausgestaltung der Auftragsdatenverarbeitung in Call-Centern
– In den Rahmenverträgen zwischen TK-Anbietern und
Call-Centern sollte explizit auf die Auftragsdatenverarbeitung und ihre rechtlichen Voraussetzungen
verwiesen werden (§ 11 BDSG). Eine Erhebung,
Verarbeitung und Nutzung personenbezogener Daten
durch das Call-Center ist hier nur im Rahmen ausdrücklicher Weisungen des TK-Anbieters zulässig.
Dies schließt ein, dass alle typischerweise im CallCenter zu erwartenden Sachverhalte mit konkreten
Handlungsanweisungen vorgegeben werden. Ein bloßer Verweis auf die bestehenden gesetzlichen Bestimmungen (§ 9 Satz 1 BDSG) ist nicht ausreichend.
– Eine datenschutzgerechte Auftragsdatenverarbeitung
beginnt beim sicheren Transport der Datensätze zum
Call-Center, erstreckt sich unter anderem auf die
Festlegung der Zugriffsrechte sowie auf die Protokollierung der Zugriffe und endet schlie��lich mit der
sofortigen, datenschutzgerechten Löschung der Datensätze nach Beendigung des Auftrags. Für den gesamten Ablauf der Auftragsdatenverarbeitung bedarf
es unbedingt eines Datenschutzkonzeptes, welches
vom Datenschutzbeauftragten des Call-Centers entwickelt und fortgeschrieben werden muss. Es ist dem
TK-Anbieter bei Vertragsschluss vorzulegen.
– Da Call-Center häufig nicht nur für einen TK-Anbieter arbeiten, sind im Falle der gleichzeitigen Auftragsdatenverarbeitung entsprechende Vorkehrungen zur
organisatorischen und technischen Trennung und Verarbeitung der unterschiedlichen Datensätze zu treffen
und im Datenschutzkonzept präzise vorzugeben.
– Eine Beauftragung von Subunternehmen durch die
Call-Center zur Auftragserledigung lehne ich ab.
Auf jeden Fall müsste diese aber nach § 11 Absatz 2
Satz 2 BDSG vorab in der schriftlichen Vereinbarung mit dem Auftraggeber festgelegt werden.
– Die Mitarbeiterinnen und Mitarbeiter des Call-Centers müssen zudem über ein datenschutzkonformes
Verhalten aufgeklärt werden. Schließlich sind sie bei
ihrer täglichen Arbeit zur Wahrung des Fernmeldegeheimnisses (§ 88 TKG) und des Datengeheimnisses (§ 5 BDSG) verpflichtet.
– Über die Einhaltung dieser Bestimmungen muss ein
sachkundiger Datenschutzbeauftragter des Call-Centers
wachen. Zudem muss dem Datenschutzbeauftragten
des TK-Anbieters ein zeitlich und räumlich uneingeschränktes Kontrollrecht eingeräumt werden. Ferner ist
vertraglich sicherzustellen, dass der BfDI die Datenverarbeitung, für die der TK-Anbieter verantwortlich ist,
bei Call-Center uneingeschränkt kontrollieren kann.
– Sollten Verstöße gegen das Datenschutzrecht festgestellt werden, so sind die Datenschutzbeauftragten
des Call-Centers sowie des TK-Anbieters unverzüglich darüber zu informieren. Verstöße sollten mit
Vertragsstrafen sanktioniert werden.
BfDI 22. Tätigkeitsbericht 2007-2008