– 141 –
„Happy Digits“ angemeldet. Von Seiten des Unternehmens wurde dieser Verdacht überprüft und bestätigt.
Diese Mitarbeiter haben durch ihr Verhalten eklatant gegen datenschutzrechtliche Vorschriften verstoßen und das
Recht der betroffenen Kunden auf informationelle Selbstbestimmung verletzt. Ein solches Fehlverhalten – so unangenehm es für den Betroffenen auch ist – lässt sich leider nicht immer vollkommen vermeiden.
Mittlerweile hat die Firma in allen bekannt gewordenen
Fällen die Daten gelöscht. Da das Unternehmen glaubhaft
versicherte, dass es nicht zu weiteren unberechtigten Datenübermittlungen gekommen ist, war in diesen Fällen
aus Sicht des Datenschutzes nichts weiter zu veranlassen.
Unabhängig davon habe ich aber im Rahmen meiner Datenschutzaufsicht mit dem Diensteanbieter bereits generell erörtert, durch welche Maßnahmen die Fehlerquote
zukünftig möglichst gering gehalten werden kann. Die
Bemühungen um eine weitere Optimierung des Verfahrens werden fortgesetzt.
13.2.5 Neues Leistungsmerkmal „Kickout“
Ein neues Merkmal soll den Telefonnutzern ermöglichen,
sich gegen belästigende Anrufe zu schützen.
Bisher gab es nur für Callcenter die technische Möglichkeit, belästigende oder störende Anrufe – sog. Junk Calls –
abzuweisen (vgl. 19. TB Nr. 11.10.1; 18. TB Nr. 10.14).
Ein Telekommunikationsunternehmen hat im Berichtszeitraum die Idee eines neuen Leistungsmerkmals entwickelt, mit dessen Hilfe es auch jedem Einzelnen ermöglicht werden soll zu bestimmen, ob störende Anrufe
bei ihm ankommen oder erst gar nicht zu ihm durchgestellt werden. Der Kunde kann durch eine bestimmte Tastenkombination an seinem Telefon eine Rufnummer in
die Liste der zu sperrenden Rufnummern eintragen. Die
Sperrung kann während einer Verbindung, nach einer
Verbindung oder nach einem störenden Anklingeln erfolgen. Sie ist unabhängig von der Frage, ob die Rufnummer
angezeigt wird oder nicht. Die Liste kann maximal
zehn Rufnummern enthalten, danach wird sie überschrieben. Der Kunde kann die gesamte Liste auch selbst löschen, er kann sie aber nicht einsehen. Es ist deshalb unmöglich, die Rufnummern von Personen zu erfahren, die
keine Rufnummernanzeige haben. Die Liste der vom
Kunden gesperrten Rufnummern wird in der Vermittlungsstelle gespeichert. Eine Einsichtnahme ist nur durch
die für die Systemtechnik zuständigen Techniker möglich.
„Kickout“ stellt eine Alternative zur sog. Fangschaltung
dar. Es ist als datenschutzrechtlich milderes Mittel anzusehen, weil dem Kunden, der nicht belästigt werden will,
keine personenbezogenen Daten bekannt gegeben werden. Bedenklich ist aus Sicht des Datenschutzes, dass
keine automatische Löschungsfrist für die einmal gesperrten Telefonnummern festgelegt wird. Deshalb kann
eine Nummer über einen sehr langen Zeitraum in der
Liste der abzuweisenden Rufnummern verbleiben, wenn
diese nicht überschrieben wird. Ich habe mich gegenüber
dem Unternehmen dafür eingesetzt, regelmäßige allgemeine Löschungsfristen einzuführen, sobald dies technisch möglich ist.
13.2.6 Zugriffsmöglichkeiten auf Kundendaten
im T-Punkt
Lesender Zugriff auf Bestands- und Verbindungsdaten für
Mitarbeiter im T-Punkt nur bei sorgfältiger Identifikations- bzw. Legitimationsprüfung.
Ein Telekomkunde, der zwecks Beratung über einen Produktwechsel eine Vertriebsstelle der Deutschen Telekom
AG (T-Punkt) aufgesucht hatte, zeigte sich in einer Eingabe an mich darüber verwundert, dass der Mitarbeiter
nur auf Grund der Telefonnummer seine letzte Telefonrechnung einsehen konnte. Der Kunde machte insbesondere Bedenken wegen der Missbrauchsmöglichkeiten geltend, die sich vor allem auf den ebenfalls einsehbaren
Einzelverbindungsnachweis bezogen. Die Eingabe gab
mir Veranlassung, die internen Zugriffsmöglichkeiten auf
Kundendaten im T-Punkt datenschutzrechtlich zu überprüfen.
Die Deutsche Telekom AG bestätigte mir, dass die Mitarbeiter in den T-Punkten zur Kundenbetreuung einen generellen Zugriff auf Rechnungsdaten der Kunden benötigen, darunter auch auf die mit der Rechnung versandten
EVN. Obwohl der Kunde auch die Möglichkeit habe, für
die Klärung von Fragen zu einem bestehenden Vertragsverhältnis oder wegen einer Rechnungsreklamation eine
kostenlose Telefon-Hotline zu nutzen, würden Kunden
mit solchen Anliegen oft auch die T-Punkte aufsuchen.
Der Zugriff der Mitarbeiter auf Rechnungsdaten sei allerdings beschränkt und schließt den Ausdruck der Telefonrechnung sowie des EVN aus. Anlässlich der aktuellen
Überprüfung sei zwar festgestellt worden, dass es in einigen T-Punkten wegen eines technischen Fehlers vorübergehend doch möglich gewesen sei, die Daten auszudrucken. Dieser Fehler sei jedoch inzwischen behoben
worden. Darüber hinaus hat die Deutsche Telekom AG
auf Grund meiner Nachfrage eine betriebliche Regelung
für alle T-Punkte eingeführt, die gewährleisten soll, dass
Kunden- und Rechnungsdaten nur dem Anschlussinhaber
selbst mitgeteilt werden. Sie sieht vor, dass der Mitarbeiter im T-Punkt zur einwandfreien Identifizierung bzw. Legitimierung die Kundennummer, das Buchungskonto, die
Rechnungsnummer, Vorwahl und Rufnummer sowie
Name, Anschrift und Geburtsdatum des Kunden abfragen
muss. Bereits zuvor bestand eine Arbeitsanweisung, dass
Dritte eine Einverständniserklärung des Kunden und ihren Personalausweis vorlegen müssen. Außerdem werden
die einzelnen Zugriffe auf Kundenbestands- und Rechnungsdaten protokolliert, so dass neben anlassbezogenen
Überprüfungen bei einem Missbrauchsverdacht ebenso
regelmäßige stichprobenartige Kontrollen möglich und
nach dem Datenschutzkonzept der Deutschen
Telekom AG auch vorgesehen sind. Diese Maßnahmen,
die wie bisher zusätzlich mit begleitenden regelmäßigen
Schulungen der Mitarbeiter für den Umgang mit sensiblen personenbezogenen Daten verbunden werden, halte
ich für angemessen und ausreichend.
BfD
20. Tätigkeitsbericht
2003–2004