Kommunikationsdienste anbietet - einen Informationsbesuch durchgeführt. Dabei erfuhr ich, dass die Dienstleistung als Roaming Data Clearing House in Auftragsdatenverarbeitung für alle deutschen Mobilfunk-Netzbetreiber durchgeführt wird und alle Daten für die europäischen Netzbetreiber in Deutschland verarbeitet werden.
Daraufhin habe ich mit einem der Mobilfunk-Netzbetreiber die vertragliche Gestaltung dieses Datenaustauschs
erörtert. Es stellte sich heraus, dass dessen Luxemburger Konzerntochter zentral den Vertrag abgeschlossen hat.
In den mir zur Verfügung gestellten Teilen des Vertragswerkes - ein vollständiges Exemplar habe ich noch nicht
erhalten - war auch eine Regelung zur Übermittlung von Verkehrsdaten für Abfragen von Sicherheitsbehörden
enthalten. Bis zum Ende des Berichtszeitraums konnte ich den Vorgang noch nicht abschließen.
Am Kabel
Ein Kabelnetzbetreiber hat - wie ich im Rahmen von Beratungs- und Kontrollbesuchen feststellen musste - die
Bestandsdaten der Kunden nach deren Kündigung nicht wie in § 95 Absatz 3 TKG vorgeschrieben gelöscht,
sondern lediglich gesperrt. Hier werde ich beobachten, ob die von mir angemahnten Verbesserungen umgesetzt
werden, und ggf. weitere Schritte prüfen. Auch Verkehrsdaten wurden verschiedentlich deutlich zu lange gespeichert.
Bei einem anderen Kabelnetzbetreiber, bei dem ich ebenfalls einen Beratungs- und Kontrollbesuch durchgeführt
habe, erfolgt die Speicherung von Verkehrsdaten nur an einigen Stellen der Verarbeitungskette zu lange. Hier
konnten bereits erste Fortschritte erzielt werden, auch wenn einige Punkte noch der weiteren Diskussion bedürfen.
Sonstiges
Bereits in meinem 23. Tätigkeitsbericht (Nr. 6.3) hatte ich darüber berichtet, dass ein führender Anbieter Verkehrsdaten zur Abrechnung mit anderen Anbietern für die Dauer von sechs Monaten speichert, ich allerdings
nur drei Monate für zulässig halte. Die Notwendigkeit der längeren Speicherdauer wurde insbesondere mit den
langen Einwendungsfristen im so genannten Interconnection-Vertrag begründet. Diese Interconnection-Verträge
sind Gegenstand eines laufenden Beschlusskammerverfahrens bei der BNetzA, in das ich auch die angesproche ne Problematik eingebracht habe.
Nachdem im Jahr 2012 die ersten Telekommunikationsanbieter die Zertifizierung eines De-Mail-Angebotes abgeschlossen und den Dienst der Öffentlichkeit zugänglich gemacht hatten (vgl. Anlage 6 zum 24. TB), habe ich
mir in der ersten Jahreshälfte 2013 den Wirkbetrieb bei einem großen De-Mail-Anbieter angesehen. Leider
musste ich feststellen, dass zu diesem frühen Zeitpunkt - gerade im Privatkundenbereich - die Anzahl der
De-Mail-Nutzer noch zu klein war, um die datenschutzrechtlich besonders relevante Verarbeitung von Verkehrsdaten zu Abrechnungszwecken im Praxisbetrieb verlässlich zu beurteilen. Ungeachtet dessen ergab sich
ein überwiegend positives Bild. Hervorzuheben war der unter Einbindung der betrieblichen
Datenschutzabteilung bei der Produktentwicklung und -umsetzung des De-Mail-Dienstes von Anfang an konsequent verfolgte Privacy-By-Design-Ansatz. Negativ fiel lediglich auf, dass schriftliche Anträge nach der
Digitalisierung erst nach mehreren Wochen vernichtet wurden. Dieser zu lange Zeitraum wurde aber
zwischenzeitlich erheblich verkürzt.
8.8.4 Große Sammlungen
Big Data und Data Warehouse mit sensiblen Telekommunikationsdaten sind nur unter sehr engen Voraussetzungen zulässig.
– 152 –
BfDI 25. Tätigkeitsbericht 2013-2014