Deutscher Bundestag – 17. Wahlperiode
87 ––
–– 87
zu hoch aufhängen möchte – zumal die betroffenen Daten
kurzfristig nach meiner „Entdeckung“ gelöscht wurden –,
ist es für mich nicht nachvollziehbar, weshalb dieser Fehler den Mitarbeitern bei ihrer täglichen Arbeit nicht aufgefallen war.
Viele Anbieter speichern auch Bestandsdaten zu umfangreich und zu lange. Bereits im letzten Tätigkeitsbericht
(vgl. 23. TB Nr. 6.3) berichtete ich von einem Telekommunikationsanbieter, der entgegen den Vorschriften des
TKG grundsätzlich keine Löschroutine für Bestandsdaten
vorgesehen hatte. Trotz großer Bemühungen und Investitionen, von denen ich mich bei weiteren Kontrollbesuchen überzeugt habe, konnte das Unternehmen bis zum
Redaktionsschluss aufgrund der komplexen Systemstruktur noch immer keine umfassende Löschung der Daten realisieren.
Darüber hinaus haben meine Kontrollen ergeben, dass bei
fast allen kontrollierten Telekommunikationsanbietern zu
viele, bisweilen auch falsche oder nicht mehr aktuelle Daten gespeichert werden. Neben nicht mehr aktuellen
Bank- und Adressdaten stellen Ausweisdaten, wie die
Personalausweisnummer, ausstellende Behörde oder Gültigkeitsdauer, hier das Hauptproblem dar. Nach § 95 TKG
dürfen aber nur Bestandsdaten auf Dauer gespeichert
werden, die für die Bereitstellung der Telekommunikationsdienstleistung benötigt werden. Obwohl Personalausweisnummern eindeutig nicht zu diesen Daten zählen,
werden sie immer häufiger bei Vertragsschluss erhoben
und dauerhaft gespeichert. § 95 Absatz 4 TKG gestattet
es den Anbietern zwar, sich bei Vertragsschluss den Ausweis des Kunden vorlegen zu lassen und zur Identitätsüberprüfung auch eine Kopie davon anzufertigen. Diese
muss allerdings umgehend nach erfolgreicher Prüfung
wieder vernichtet werden. Einige Anbieter verzichten sogar vollständig auf die Anfertigung von Ausweiskopien.
Ich halte die Erfassung und vorübergehende Speicherung
dieser Ausweisdaten lediglich aus zwei Gründen für akzeptabel. Zum Einen, wenn im Zusammenhang mit Vertragsschlüssen Hardware, wie beispielsweise Mobiltelefone oder Router, per Post an den Kunden versandt
werden und hierbei das Postidentverfahren genutzt wird.
Zum Anderen, um bei Online-Vertragsabschlüssen eine
„Echtheitsprüfung“ durchzuführen, bei der die Ausweisnummer einem automatisierten Plausibilitätstest unterzogen wird. In jedem Fall darf die Speicherung der Personalausweisnummer ausschließlich zweckgebunden erfolgen,
so dass jeweils eine Löschung unmittelbar nach Wegfall
des Zwecks erfolgen muss.
Obwohl die rechtlichen Vorgaben, wie über die datenschutzrechtlichen Wahl- und Gestaltungsmöglichkeiten
der Kunden zu informieren ist, seit langem unverändert
sind, musste ich immer wieder feststellen, dass Vertragsund Antragsformulare bei vielen Unternehmen fehlerhaft
sind. Häufig fehlen Hinweise auf die bei der Beantragung
eines Einzelverbindungsnachweises abzugebende Mitbenutzererklärung. Ebenso sind die Gestaltungsmöglichkeiten der Einträge in Telefonverzeichnisse oder der Auffindbarkeit bei Auskunftsdiensten mangelhaft. Besonders
Drucksache 17/13000
negativ fiel auf, dass in vielen Antragsformularen Felder,
in denen die Einwilligung zur Nutzung der Bestands- und
Verkehrsdaten explizit eingeholt werden muss, bereits
systemseitig vorbelegt waren. Gerade weil es sich hierbei
um Verstöße gegen Vorschriften handelt, die den Unternehmen zwingend bekannt sein müssten, kann der Eindruck
entstehen, die Vertragsgestaltung solle unter Umgehung
der Kundenwünsche im Sinne des Unternehmensinteresses beeinflusst werden.
6.9
Zuständigkeit für Bußgeldverfahren
immer noch ungeklärt!
Seit Jahren setze ich mich vergeblich dafür ein, im Telekommunikationsbereich die gesetzliche Zuständigkeit für
Bußgeldverfahren bei Verstößen gegen das Bundesdatenschutzgesetz zu erhalten.
Wie ich bereits in meinem letzten Tätigkeitsbericht ausgeführt hatte, kann ich Verstöße von Telekommunikationsunternehmen gegen das BDSG nicht mit einem Bußgeld belegen. Da auch die Bundesnetzagentur (BNetzA)
nur Sanktionen verhängen kann, wenn Verstöße gegen
spezialgesetzliche Regelungen wie z. B. das Telekommunikationsgesetz (TKG) vorliegen, liegt eine bedeutende
Regelungslücke vor (vgl. 23. TB Nr. 2.1 und 6.3).
Im Rahmen der Novellierungen des BDSG im Jahr 2009
wurden neue Bußgeldvorschriften eingeführt. Seither sind
auch Verstöße gegen die §§ 11 oder 34 BDSG bußgeldbewehrt, die im Bereich der Telekommunikationsbranche regelmäßig relevant werden. In meiner Aufsichtstätigkeit
nach § 115 Absatz 4 TKG ist es daher notwendig, bei Verstößen die Bußgeldvorschriften des § 43 BDSG anzuwenden. Die Übertragung dieser Aufgabe entspräche der
Systematik des § 38 Absatz 5 BDSG, der den Datenschutzaufsichtsbehörden der Länder für den nicht-öffentlichen Bereich ebenfalls die Zuständigkeit für die Verhängung von Buß- und Zwangsgeldern überträgt. Dies trägt
schließlich den zwingenden Vorgaben des europäischen
Rechts (Artikel 8 Absatz 3 EU-Grundrechtecharta, Artikel 28 EG-Datenschutzrichtlinie 95/46/EG) Rechnung,
wonach die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und die Verhängung von Sanktionen im datenschutzrechtlichen Bereich unabhängigen Behörden zu übertragen ist.
In Ermangelung einer konkreten Zuständigkeitsregelung
für diese Fälle im BDSG oder dem TKG hatte ich mich
daher bereits im Herbst 2009 an das BMWi gewandt und
darum gebeten, eine Klärung der Zuständigkeiten herbeizuführen. Dies sollte ursprünglich im Zuge der seinerzeit
anstehenden Novelle des TKG (vgl. Nr. 6.4) erfolgen.
Eine zunächst im Referentenentwurf aufgenommene Regelung wurde aber aus mir nicht bekannten Gründen
plötzlich wieder gestrichen und auch im späteren Verlauf
des Gesetzgebungsverfahrens nicht wieder aufgenommen, obwohl ich die zuständigen Ausschüsse des Deutschen Bundestages auf diese Problematik aufmerksam
gemacht habe. Es bleibt also bei dem unhaltbaren Zustand, dass Ordnungswidrigkeiten nach dem BDSG im
BfDI 24. Tätigkeitsbericht 2011-2012