Ich empfehle dem Gesetzgeber, mir stärkere Sanktionsmöglichkeiten gegenüber Telekommunikations- und
Postdienstunternehmen einzuräumen und die Zuständigkeit für Bußgeldverfahren bei Verstößen gegen das Bundesdatenschutzgesetz zu übertragen.
Kasten zu Nr. 8.8
In der Telekommunikation unterscheidet man folgende Arten von Daten:
Bestandsdaten sind Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung
oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Hierzu gehören etwa Name, Adresse, Kontonummer. Es besteht eine Pflicht, für Abfragen von Sicherheitsbehörden bestimmte Bestandsdaten zu erheben, auch wenn diese betrieblich nicht erforderlich sind (vgl. § 111 TKG). Ein
unachtsamer Umgang mit diesen Daten oder eine missbräuchliche Nutzung z. B. von Kontendaten kann
schwerwiegende Folgen für den Teilnehmer haben.
Standortdaten sind Daten, die in einem Telekommunikationsnetz oder von einem Telekommunikationsdienst
erhoben oder verwendet werden, und die den Standort des Endgeräts eines Endnutzers eines öffentlich zu gänglichen Telekommunikationsdienstes angeben.
Verkehrsdaten sind Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet
oder genutzt werden und unterliegen dem Fernmeldegeheimnis (Art. 10 GG, § 88 TKG). Dies sind neben den
Daten, die man vom Einzelverbindungsnachweis kennt, auch Standortdaten bei Handygesprächen oder
IP-Adressen beim Abruf von E-Mails. Die Aussagekraft dieser Daten ist sehr hoch, da soziale Netze oder Bewegungsprofile erkennbar werden.
Der Inhalt der Telekommunikation, also etwa das Telefongespräch, der Text einer SMS oder E-Mail oder
übertragene Daten, unterliegen ebenso dem Fernmeldegeheimnis und genießen den höchsten rechtlichen
Schutz.
8.8.1 Meldepflicht mit einigen Tücken - der neue § 109a TKG
Wie rasant steigende Fallzahlen belegen, ist die im Jahr 2012 eingeführte Meldepflicht über Datenschutzvorfälle bei den Telekommunikationsunternehmen „angekommen“. Der Anwendungsbereich der Meldepflicht bleibt
aber in einer wichtigen Frage unklar. Die in Kooperation mit der Bundesnetzagentur erstellten Leitlinien zur
Melde- bzw. Benachrichtigungspflicht habe ich überarbeitet.
Nach anfänglich niedrigen Fallzahlen haben sich die bei der Bundesnetzagentur und mir eingehenden Meldun gen über Datenschutzvorfälle bei Telekommunikationsunternehmen nach § 109a Telekommunikationsgesetz (TKG) auf aktuell 113 Fälle im Jahr 2014 jährlich jeweils mehr als verdoppelt. Steigen die Fallzahlen weiterhin kontinuierlich, ist zu befürchten, dass eine zeitnahe Bearbeitung aller Fälle mit den zur Verfügung stehenden Mitarbeitern nicht mehr zu gewährleisten ist.
Schon aus diesem Grund ist es wichtig, ein Verfahren zu entwickeln, mit dem die Schwere von Datenschutzver stößen bestimmt werden kann. Mit dessen Hilfe kann dann bei einer großen Anzahl von Meldungen schnell entschieden werden, welche Fälle vorrangig zu bearbeiten sind. Leider wurde ein insoweit hoffnungsvolles Projekt
der Artikel-29-Gruppe bis auf weiteres ausgesetzt, da sich die Gruppe nicht auf ein gemeinsames Verfahren verständigen konnte. Ich habe daher zusammen mit den griechischen Kollegen und der Europäischen Agentur für
Netz- und Informationssicherheit (ENISA) ein entsprechendes Verfahren außerhalb der Artikel-29-Gruppe weiterentwickelt.
– 148 –
BfDI 25. Tätigkeitsbericht 2013-2014