Weitere Beanstandungen
Auch die Vodafone GmbH hat sich mit der Umsetzung des bei im Jahre 2011 durchgeführten Beratungs- und
Kontrollbesuchen festgestellten Handlungsbedarfs unangemessen viel Zeit gelassen. So wurden Fristen wiederholt nicht eingehalten und Stellungnahmen zum Teil erst nach mehrfacher Aufforderung abgegeben, die dann
wiederum zu wichtigen Punkten gar keine oder keine zufriedenstellenden Antworten enthielten. Dies veranlasste mich zu einer Beanstandung der Vodafone GmbH gegenüber der BNetzA. Neben dem Data Warehouse (vgl.
Nr. 8.8.4) habe ich die unverhältnismäßige Speicherung zur Datensicherung und die Speicherung von SMS-Inhalten für wenige Tage im Rahmen der Datenerfassung zur Erkennung von Störungen beanstandet (vgl. auch in
meinem 24. TB Nr. 6.8.2). Wie mir die BNetzA mitgeteilt hat, hat sie sich hierzu an alle vier Mobilfunkanbieter
gewendet und festgestellt, dass eine „maskierte“ Speicherung der SMS-Inhalte zusammen mit den Signalisierungsdaten branchenüblich sei. Ihren Vorschlag, die Inhalte als gesperrte Daten anzusehen, halte ich für problematisch, zumal bereits für die Datenerhebung keine Rechtsgrundlage besteht. Das Thema muss weiter erörtert
werden. Wenn selbst Beanstandungen nicht dazu führen, die festgestellten Mängel engagiert anzugehen, ist die
gesetzliche Ausweitung meiner Sanktionsmöglichkeiten (vgl. 24. TB Nr. 6.9) unabdingbar.
Eine weitere Beanstandung habe ich gegenüber Telefónica Germany GmbH & Co. OHG aussprechen müssen,
weil ich auch hier kein ausreichendes Bemühen feststellen konnte, aufgetretene Mängel zu beseitigen. Gegenstand der Beanstandungen waren zum einen Mängel bei der Verarbeitung von Verkehrsdaten (Data Warehouse
und Dauer der Speicherung von nicht abrechnungsrelevanten Verkehrsdaten) und bei der bereits angesprochenen Speicherung von SMS-Inhalten. Zum anderen richtete sich die Beanstandung auch gegen die Datenverarbeitung im Bereich Bestandsdaten. Bei einer bereits im Juni 2012 durchgeführten Kontrolle hatte ich festgestellt, dass die Einwilligung zur Gesprächsaufzeichnung im Callcenter per Opt-Out ausgestaltet war: Nach einem Anruf beim Callcenter konnte der Anrufer nur einen Widerspruch zur Aufzeichnung äußern. Diese Verfah rensweise ist datenschutzrechtlich nicht zulässig (vgl. auch Nr. 8.8.7). Nachdem meine Aufforderung, Abhilfe
zu schaffen, erfolglos blieb, habe ich das Verfahren bei der BNetzA beanstandet.
Weiter musste ich beanstanden, dass die Einwilligung zur Nutzung von Verkehrs- und Bestandsdaten für Werbezwecke bei Vertragsabschluss als Widerspruchslösung konzipiert war, weil die Ankreuzfelder im Vertragsformular bereits vorbelegt waren. Wünscht der Kunde keine Nutzung seiner Daten, müssen die Felder gestrichen
werden.
Im Rahmen einer Petenteneingabe wurde ich darauf aufmerksam, dass dem Kunden bei einer Ablehnung des
Vertrags die wesentlichen Gründe dafür trotz Nachfrage nicht mitgeteilt wurden. Da diese Vertragsablehnung
auf einer internen Scorewert-Bildung basierte, ist die Telefónica Germany nach § 6a Absatz 2 BDSG verpflichtet, dem Antragsteller die wesentlichen Gründe für die Ablehnung mitzuteilen. Da die Telefónica dieser Infor mationspflicht nicht nachgekommen ist, habe ich auch dieses Verfahren formal beanstanden müssen.
Auf Wanderschaft
Noch bevor die Abhör- und Überwachungsaktivitäten ausländischer Geheimdienste in den Fokus der medialen
Öffentlichkeit gerieten (vgl. oben Nr. 2.2), war mir bei Kontrollen der Mobilfunk-Netzbetreiber aufgefallen,
dass ein amerikanischer Dienstleister mit der Abrechnung von Roaming-Telefonaten beauftragt worden war.
Als der digitale Mobilfunk noch in den Kinderschuhen steckte, gab es nur wenige Netzbetreiber in einer überschaubaren Anzahl von Ländern. Durch den großen Erfolg des Mobilfunks auf allen Kontinenten wurde die
Zahl der Netzbetreiber schnell unübersichtlich. Dadurch konnten sich Firmen etablieren, die den Austausch der
Daten für viele Netzbetreiber übernehmen und die Vorgänge für diese vereinfachen. Solche Dienstleister erhal ten eine große Menge an Verkehrsdaten aus verschiedenen Ländern.
Da die Mobilfunk-Netzbetreiber bei meinen Kontrollbesuchen meine Fragen nicht vollständig beantworten
konnten, habe ich unmittelbar bei dem Dienstleister - ursprünglich ein deutsches Unternehmen, das aber keine
BfDI 25. Tätigkeitsbericht 2013-2014
– 151 –