er den Katalog der bisher nach § 111 TKG zu speichernden Daten und führt damit eine massenhafte Speicherung von sensiblen Daten zu Identitätsdokumenten ein, ohne dass zum Zeitpunkt der Speicherung überhaupt
absehbar ist, ob diese Daten jemals benötigt werden; per Definition handelt es sich also um eine weitere Vorratsspeicherung von Daten.
Besonders kritisch ist dabei, dass es sich hier um Daten handelt, die von den Anbietern selbst zur Erbringung
des Dienstes in keiner Weise benötigt werden. Die Regelung konstituiert somit eine Pflicht, Daten zu erheben
und zu speichern, die ausschließlich für sicherheitsbehördliche Zwecke verwendet werden. Sogar in der Gesetzesbegründung wird explizit ausgeführt, die gespeicherten Angaben zum Identitätsdokument sollen lediglich
dem Zweck dienen, Sicherheitsbehörden „einen Anknüpfungspunkt für weitere Ermittlungen zur Feststellung
des Anschlussinhabers zu ermöglichen“. Der bisher im TKG vorherrschende Grundsatz, dass Telekommunikationsanbietern nur die für ihre Diensterbringung erforderlichen Daten erheben dürfen, diese dann aber auch
Sicherheitsbehörden zur Verfügung stellen müssen, wird komplett auf den Kopf gestellt. Telekommunikationsanbieter werden quasi als „Hilfssheriffs“ vereinnahmt, für Sicherheitsbehörden Daten zu erheben, die vielleicht
etwas in offiziellen Melderegistern, nicht jedoch in der Kundendatendatei eines Privatunternehmens zu suchen
haben.
Eine Rechtfertigung dieser Art der Vorratsspeicherung von Daten lässt sich auch nicht mit den Vorgaben des
Bundesverfassungsgerichts begründen. In seinem Beschluss vom 24. Januar 2012 (1 BvR 1299/05) führte dieses
aus, durch § 111 TKG solle lediglich eine verlässliche Datenbasis geschaffen werden, die es bestimmten Behörden erlaube, Telekommunikationsnummern individuellen Anschlussinhabern zuzuordnen. Dies kann aber bereits durch die neue Verpflichtung zur Überprüfung der angegebenen Daten durch ein Identitätsdokument erreicht werden. So lange nicht durch praktische Erfahrungen belegbar ist, dass die neu einzuführende Verifikationspflicht nicht zu dem gewünschten Effekt einer Verbesserung der Datenqualität führt, geht die zusätzlich
eingeführte Speicherpflicht von Ausweisdaten über die Vorgaben des Bundesverfassungsgerichts hinaus und ist
damit weder erforderlich noch verhältnismäßig.
Neben diesen rechtlichen Schwierigkeiten stellt der neugestaltete § 111 TKG die Telekommunikationsanbieter
aber vor allem auch in der Praxis vor erhebliche Probleme. Die neuen Auflagen sind jedenfalls dann durchaus
herausfordernd, wenn - anders als in einer Ladenfiliale des Anbieters - ein Vertriebsweg (wie z. B. Vertriebspartner, Internet, etc.) vorsieht, dass ein Kunde selbstständig seine Daten angibt und ihm dabei kein Mitarbeiter
des Unternehmens gegenüber steht, der mal eben auf den Ausweis sehen kann. Um Lösungen für dieses praktische Problem zu finden, wurde der Bundesnetzagentur in § 111 Absatz 1 Satz 4 TKG die Aufgabe zugewiesen,
Verfahren vorzugeben, die sie für eine Identitätsüberprüfung im Sinne der Norm als geeignet betrachtet.
Interessant ist beispielsweise, dass im Rahmen der Verifikation keine gerooteten oder gejailbreakten Mobiltelefone verwendet werden dürfen. Eine Erläuterung dieses Verbots oder eine nur ansatzweise Erklärung, inwieweit
die Firmware eines Mobiltelefons die Bildübertragung bei einem Videochat beeinflussen und damit die Verifikation des in diesem Rahmen vorgezeigten Ausweisdokuments beeinträchtigen kann, findet sich in der Verfügung leider nicht.
Eine weitere Verpflichtung, die für alle der oben genannten alternativen Verifikationsmethoden auferlegt wird,
ist die Anfertigung einer Kopie, eines Scans oder Screenshots des Ausweisdokuments und dessen Übermittlung
an den Anbieter. Zwar sind hier ausweislich der Verfügung datenschutzrechtliche Vorgaben zu beachten. Wie
dies in der Praxis allerdings genau umgesetzt werden soll, wird sich erst noch zeigen. So müssen beispielsweise
nicht relevante Informationen auf den Ausweisdokumenten (wie z. B. Größe oder Augenfarbe) bereits bei der
Erstellung der Kopie maskiert werden. Da zur Verifikation verschiedenste Ausweisdokumente verwendet werden dürfen, stelle ich es mir durchaus anspruchsvoll vor, immer die entsprechende Schablone für die Maskierung bereitzuhalten. Zudem muss sichergestellt werden, die Daten nur über einen sicher verschlüsselten Kanal
zu übertragen. Ich werde daher genau kontrollieren, wie die datenschutzrechtlichen Vorgaben in der Praxis umgesetzt werden.
– 168 –
BfDI 26. Tätigkeitsbericht 2015-2016