Die von der Bundesnetzagentur und mir erstellten Leitlinien zur Melde- bzw. Benachrichtigungspflicht nach
§ 109a TKG wurden im Berichtszeitraum überarbeitet (vgl. 24. TB Nr. 3.5.3). Dies wurde notwendig, weil die
am 25. August 2013 in Kraft getretene Verordnung (EU) Nr. 611/2013 technische Durchführungsmaßnahmen in
Bezug auf Umstände, Form und Verfahren der Meldungen an die Aufsichtsbehörden und Benachrichtigungen
der Betroffenen vorgegeben hat. Da die Vorgaben der Europäischen Kommission mit dem in unseren Leitlinien
festgelegten Verfahren weitestgehend übereinstimmten, beschränkten sich die Änderungen nur auf einige wenige Punkte. Dies dürfte auch das Ergebnis meiner regelmäßigen Mitarbeit in einer Arbeitsgruppe der Kommissi on zu diesem Thema sein, in deren Rahmen ich bereits zu einem frühen Zeitpunkt das von der Bundesnetzagentur und mir verfolgte Meldekonzept vorstellen konnte.
Die Europäische Kommission bestätigte mir meine im letzten Tätigkeitsbericht dargelegte Rechtsauffassung
(vgl. 24 TB Nr. 3.5.3), dass auch dann eine Datenschutzverletzung vorliegt, wenn die betroffenen Daten durch
hinreichende technische Vorkehrungen vor unberechtigtem Zugriff geschützt sind.
Weiterhin unklar bleibt eine Gesetzesformulierung des § 109a TKG. So ist die Meldepflicht aufgrund des eindeutigen Wortlauts gegenwärtig auf die Erbringer von Telekommunikationsdienstleistungen im Sinne des § 3
Nummer 6a) TKG beschränkt. Mitwirkende gemäß § 3 Nummer 6b) TKG sind hingegen nicht zu einer Meldung verpflichtet. Damit wäre ein Diebstahl aller Kundendaten, die ihren Vertrag bei einem Vertriebspartner eines Telekommunikationsunternehmens abgeschlossen haben, nicht meldepflichtig, während der Diebstahl derselben Daten bei dem Telekommunikationsunternehmen selbst unter die Vorschrift des § 109a TKG fallen würde. Ich habe das für das Telekommunikationsgesetz zuständige BMWi mehrfach aufgefordert, diesen offensichtlich unbeabsichtigten Wertungswiderspruch durch eine gesetzliche Klarstellung zu beseitigen - bislang leider ohne Erfolg.
8.8.2 Der Bundesgerichtshof und die IP-Adressen
Im Jahr 2014 hat sich der Bundesgerichtshof (BGH) gleich zweimal mit Fragen des datenschutzkonformen Umgangs mit IP-Adressen befasst: Die Frage der Speicherdauer dynamischer IP-Adressen hat der BGH selbst
entschieden, die Frage zur Personenbeziehbarkeit von IP-Adressen legte er erwartungsgemäß dem Europäischen Gerichtshof zur Vorabentscheidung vor.
Dürfen Internetzugangsprovider die IP-Adressen ihrer Kunden auch dann über das Ende der jeweiligen Verbindung hinaus speichern, wenn der Vertrag eine pauschale Abgeltung durch eine Flatrate vorsieht? Diese Frage
hat seit über zehn Jahren Gerichte verschiedener Instanzen beschäftigt, nun wurde sie endlich durch den BGH
mit „Ja“ beantwortet (Urteil vom 03.07.2014, Az. III ZR 391/13).
Ein Nutzer hatte im Klagewege verlangt, dass sein Internetzugangsanbieter die ihm zugeordnete dynamische IPAdresse unmittelbar nach Beendigung der Internetverbindung löschen müsse. Der beklagte Telekommunikationsanbieter argumentierte, die IP-Adressen unter anderem zum Erkennen und Beseitigen von Störungen in seiner Infrastruktur zumindest für einen gewissen Zeitraum zu benötigen; eine länger währende Speicherung sei
daher nach § 100 Absatz 1 TKG für Zwecke der Störungsbeseitigung gerechtfertigt.
Dieser Argumentation schloss sich der BGH zwar an, stellte aber zugleich fest, eine Speicherung für die vorbenannten Zwecke sei zeitlich zu beschränken. IP-Adressen dürften nur bis zu sieben Tagen nach dem jeweiligen
Verbindungsende für Zwecke der Störungsbeseitigung gespeichert werden.
Diese Entscheidung hat mich gefreut, insbesondere weil der BGH mit der 7-Tage-Frist ausdrücklich meiner
langjährigen Rechtsauffassung folgt, die sich auch in dem gemeinsam mit der Bundesnetzagentur erstellten
Leitfaden zur Verkehrsdatenspeicherung findet (vgl. 24. TB Nr. 6.7).
BfDI 25. Tätigkeitsbericht 2013-2014
– 149 –