Deutscher Bundestag – 17. Wahlperiode
85 –
–
–– 85
müssen. Eine fehlerhafte Berechnung der Entgelte würde
zu erheblichen Verlusten bei den Unternehmen führen.
Deshalb werden die Rohdaten für eine begrenzte Zeit
zwischengespeichert. Da bei einer sorgfältigen Kontrolle
Probleme bei der Datenverarbeitung innerhalb weniger
Tage auffallen sollten, halte ich auch hier eine Speicherfrist von maximal sieben Tagen für angemessen. Eine längere Speicherdauer kann ich nicht mehr als „unverzügliche Ermittlung“ ansehen.
Wie lange abrechnen?
Auch die Speicherdauer von abrechnungsrelevanten Daten wurde geprüft. In § 97 Absatz 3 TKG wird die
Höchstfrist mit sechs Monaten nach Rechnungsversand
angegeben. Diese ist aber oft nicht erforderlich, insbesondere wenn ein Anbieter die Reklamationsfrist für den
Kunden in den AGB entsprechend § 45i Absatz 1 TKG
auf acht Wochen nach Rechnungserhalt begrenzt. Insofern halte ich drei Monate (acht Wochen zuzüglich Brieflaufzeit und Bearbeitungszeit) im Regelfall für ausreichend – begründete Ausnahmen sind möglich, wobei auch
Abweichungen nach unten erfolgen können und müssen,
sofern die Daten nicht mehr für Abrechnungszwecke benötigt werden. Auch bei der Abrechnung zwischen Netzbetreibern halte ich die bei vielen Anbietern übliche
sechsmonatige – und teilweise noch längere – Speicherung nicht für angemessen. Nach meinem Eindruck sprechen meist keine überzeugenden sachlichen Gründe für
diese Speicherpraxis. Lediglich in besonders zu begründenden Sonderfällen, etwa bei bestimmten Mehrwertdiensten, könnte eine sechs Monate umfassende Speicherung erforderlich sein.
Was braucht man zum Abrechnen?
Ein weiterer Punkt betrifft den Inhalt der Datensätze. Gerade im Mobilfunkbereich sind viele Informationen in einem Abrechnungsdatensatz enthalten, wie zum Beispiel
die verwendete Funkzelle oder die Seriennummer eines
Handys. Die Speicherung der Funkzelle ermöglicht die
Erstellung eines Bewegungsbilds des Nutzers, ist aber nur
bei einem sehr kleinen Teil der Kunden für die Abrechnung erforderlich. Die Netzbetreiber verweisen auf die
Kosten, die es verursachen würde, die oben erwähnten
komplexen Systeme zu ändern. Hier gilt aber das Primat
des Rechts: Daten, die für die zulässigen Zwecke nicht
oder nicht mehr erforderlich sind, müssen gelöscht werden.
6.8
Erfahrungen bei Kontrollen im
Telekommunikationsbereich
Die Durchführung von Kontroll- und Beratungsbesuchen
ist eine meiner Kernaufgaben. Ohne entsprechende Prüfungen liefen datenschutzrechtliche Vorgaben Gefahr, in
der Praxis nicht mit der gebotenen Sorgfalt umgesetzt zu
werden.
Im Berichtszeitraum habe ich die Anzahl der Kontrollen
bei Telekommunikationsanbietern und Behörden deutlich
erhöht. Der Schwerpunkt lag bei Mobilfunknetzbetreibern, bei denen sowohl die Verarbeitung von Bestandsals auch von Verkehrsdaten geprüft wurde.
6.8.1
Drucksache 17/13000
Allgemeines: Jeder Beratungs- und
Kontrollbesuch ist anders
Beratungs- und Kontrollbesuche geben immer wieder interessante Einblicke in die Unternehmen und Behörden,
insbesondere weil es trotz gleicher Thematik viele Besonderheiten und unterschiedliche Probleme gibt.
Die Mitarbeiter sämtlicher geprüfter Unternehmen und
Behörden sind in der Mehrheit sehr kooperativ und bemüht, mir ausreichende Informationen über die Betriebsabläufe zu geben. Wegen der in der Regel guten Vorbereitung und Organisation der Termine konnten Beratungsund Kontrollbesuche meistens im geplanten Umfang
durchgeführt werden. Es gibt allerdings auch Einzelfälle,
in denen selbst bei rechtzeitig angekündigtem Besuch seitens der geprüften Stelle keine erkennbaren Vorbereitungen getroffen wurden. In einem Fall hatte der einzige anfangs anwesende betriebliche Experte (der zudem nur für
einen einzigen Aspekt des Dienstes zuständig war) lediglich einen halben Tag Zeit. Tiefergehende Fragen konnten
nur zu einem begrenzten Teil beantwortet werden, da nur
für eine weitere Problematik ein Experte zur Verfügung
stand. Konsequenz: Diesem Unternehmen werde ich
2013 einen weiteren Besuch abstatten. Auch im Hinblick
auf die Nachbereitung der Besuche – insbesondere das
zeitnahe Nachliefern von Informationen und Unterlagen –
gibt es bei einigen Unternehmen noch „Luft nach oben“.
Nach meinen Erfahrungen führen insbesondere ausführliche Kontrollen und die damit für die Unternehmen
verbundene Notwendigkeit, sich intern mit ihren Verfahrensabläufen auseinanderzusetzen, zu deutlichen Verbesserungen. Die mit Prüfungen bewirkte Förderung des
Verständnisses und Zusammenspiels von Fachabteilungen und betrieblichen Datenschutzbeauftragten ist eine
der wichtigsten Voraussetzungen für Fortschritte beim
Datenschutz. Gerade bei großen Telekommunikationsanbietern ist die frühzeitige Einbindung des betrieblichen
Datenschutzbeauftragten besonders wichtig, um den Gedanken von „Privacy by Design“ umzusetzen, zumal
nachträgliche Änderungen an Systemen oftmals viel Zeit
benötigen.
Anders gelagert ist die Problematik bei vielen kleinen Telekommunikationsunternehmen. Einerseits können Missstände hier meist zeitnah korrigiert werden. Andererseits
ist das Problembewusstsein oft nur sehr mangelhaft ausgeprägt. Als Beispiel hierzu möchte ich ein Unternehmen
nennen, das neben seiner Haupttätigkeit zusätzlich als
„Mini-Serviceprovider“ tätig ist und zeitweise einige
tausend Mobilfunkverträge abgeschlossen hatte. Ich
wurde durch eine Eingabe auf dieses Unternehmen aufmerksam und sah mich schließlich veranlasst, dort einen
Prüfbesuch durchzuführen. Dabei fand ich, begründet
durch Unkenntnis der Unternehmensvertreter über die
Rechtslage, erhebliche datenschutzrechtliche Mängel vor.
So lagen einem Vertrag zur Auftragsdatenverarbeitung
ausschließlich mündliche Absprachen zugrunde, aber
„immerhin“ wurde eine Papiertüte mit über hundert Daten-CD in einem Safe sicher aufbewahrt. Auf diesen CDs
waren u. a. sämtliche Verkehrsdaten der Teilnehmer über
einen Zeitraum von fast zehn Jahren gespeichert. Zwi-
BfDI 24. Tätigkeitsbericht 2011-2012