mit unverhältnismäßig großem Aufwand durchgeführt werden könnte. Die Rückgängigmachung der Anonymisierung muss dabei für jedermann unmöglich oder unverhältnismäßig sein. Eine Anonymisierung liegt daher nicht vor, wenn die Person zwar namentlich unbekannt, aber eine Individualisierung möglich ist (Rück schlüsse aus dem Datenpool auf eine konkrete Person). Solange Daten in einem Data Warehouse noch einem
Kunden zugeordnet werden können, kann es sich allenfalls um eine Pseudonymisierung handeln. Pseudonyme
Daten unterliegen in vollem Umfang den Regelungen des Datenschutzes, da sie als personenbeziehbare Daten
im Sinne von § 3 Abs. 1 BDSG gelten.
Zwar ist eine statistische Auswertung personenbezogener Daten, insb. aus verschiedenen Datenbanken, technisch nur durch ein kurzzeitiges Zwischenspeichern möglich. Eine Zwischenspeicherung personenbezogener
Daten zum Zweck der Anonymisierung darf aber erst unmittelbar vor der Anonymisierung erfolgen, die ihrerseits unverzüglich durchzuführen ist; keinesfalls dürfen personenbezogene Daten „auf Vorrat“ über längere
Zeit in einem Zwischenspeicher liegen und ggf. sukzessiv ergänzt werden, um diese bei Bedarf später zu an onymisieren und statistisch auszuwerten. Es ist zudem durch technische und organisatorische Maßnahmen si cherzustellen, dass die Daten im Stadium der Zwischenspeicherung nicht ausgewertet werden können. Selbstverständlich müssen diese zwischengespeicherten personenbezogenen Daten nach erfolgter Anonymisierung
unverzüglich gelöscht werden.
8.8.5 Tiefe Blicke
Manche Netzbetreiber wagen einen genaueren Blick auf die Internetpakete. Dafür gibt es viele Gründe.
Für die klassische leitungsbasierte Telefonie gibt es recht klare Regelungen im TKG, die zwischen Verkehrsdaten und Kommunikationsinhalten unterscheiden. Die Kommunikation über das Internetprotokoll gewinnt jedoch
zunehmend an Bedeutung und dürfte die leitungsbasierte Kommunikation in vielen Bereichen bald verdrängen,
so dass eine praxisgerechte Anwendung des TKG in diesem Bereich ohne Kompromisse oft nicht möglich ist.
Über diese Problematik bei der Deep Packet Inspection hatte ich bereits in meinem 23. Tätigkeitsbericht
(Nr. 6.5) berichtet.
Bei dieser Thematik bewegt man sich in einem Zwiespalt: Einerseits sind die hier aufgezeigten Verfahren wichtig für die effektive Erbringung der Dienste, andererseits handelt es sich um eine Infrastruktur, die eine tiefge hende Überwachung der Internetnutzung ermöglicht oder diese sogar aufzeichnet. Die Diskussionen zur Verhältnismäßigkeit derartiger Verfahren sind daher noch lange nicht beendet.
Bei zwei Mobilfunkanbietern habe ich im Berichtszeitraum Beratungs- und Kontrollbesuche durchgeführt, um
die Auswertung der mobilen Internetnutzung zu untersuchen. Dabei wurde mir erläutert, aufgrund der komplexen Infrastruktur für den mobilen Internetzugang sei eine Fehlersuche nur durch einen Blick auf die Datenpakete an verschiedenen Stellen der Infrastruktur möglich. In der Umsetzung dieser „tiefen Einblicke“ habe ich aller dings erhebliche Unterschiede festgestellt:
Bei einem Anbieter werden alle Pakete verkürzt für einige Tage gespeichert. Die spannenden Fragen lauten, ob
diese Kürzung ausreicht, um die Kommunikationsinhalte außen vor zu lassen, und - etwas grundlegender - wo
die Verkehrsdaten enden und die Kommunikationsinhalte beginnen. So ist etwa der TCP-Header für die reine
Übertragung von IP-Paketen nicht erforderlich, zur Analyse von Störungen jedoch sehr nützlich, da er Informationen zur Steuerung der Datenübertragung enthält. Auch http-Fehlermeldungen haben für diese Zwecke eine
hohe Aussagekraft.
Bei dem anderen Anbieter musste ich feststellen, dass für viele Internetprotokolle auf eine Kürzung der Pakete
verzichtet wurde, also die gesamte Kommunikation gespeichert wird. Wie ich dem Anbieter mitgeteilt habe,
– 154 –
BfDI 25. Tätigkeitsbericht 2013-2014