Aus meiner Sicht rechtswidrig ist die Vorgabe, nach der die verifizierende Person beim Verdacht einer Täuschung durch den Antragsteller die angegebenen Daten weiter erheben und dann, gesondert gekennzeichnet, an
den Diensteanbieter übermitteln soll. Wie dieser dann damit verfahren soll, ist nicht geregelt, sondern lediglich
ein Verbot der Speicherung in der Kundendatei nach § 112 TKG. Eine Freischaltung der Prepaid-Karte soll
selbstverständlich ebenfalls nicht erfolgen.
Die Bundesnetzagentur (BNetzA) will mit dieser Vorgabe Betrügern die Möglichkeit nehmen, festzustellen, an
welcher Stelle des Verifikationsprozesses die versuchte Täuschung gescheitert ist. Auch wenn dies aus prozesstechnischen Gesichtspunkten sicherlich nachvollziehbar ist, rechtfertigt es trotzdem keine rechtsgrundlose Erhebung personenbezogener Daten. Denn sobald eine Täuschung vermutet und daraufhin die Entscheidung getroffen wird, dem Kunden ein Telekommunikationsangebot zu verweigern, fällt auch der Rechtsgrund für die Datenerhebung nach § 95 Absatz 1 TKG weg.
Es bleibt abzuwarten, ob die BNetzA diese Vorgabe korrigiert und Telekommunikationsanbieter oder für diese
handelnde Verifikationspartner tatsächlich entsprechende Datenerhebungen vornehmen. Ich werde dies datenschutzrechtlich begleiten.
17.2.4.3 Telefonbuch de Luxe
Innerhalb der rekordverdächtigen Zeit von „nur“ knapp 14 Jahren scheint es gelungen zu sein, sich endlich auf
eine Verordnung über die Umsetzung der so genannten Jokersuche bei der automatisierten Bestandsdatenauskunft nach § 112 TKG zu einigen. Das Ergebnis lässt aber - aus datenschutzrechtlicher Sicht - Wünsche offen.
Das von der BNetzA seit dem Jahr 1999 betriebene automatisierte Auskunftsverfahren ermöglicht es verschiedenen Behörden, Auskunft über den Inhaber einer Rufnummer oder die von einer Person genutzten Rufnummern abzufragen. Eine direkte Anfrage bei allen Telekommunikationsanbietern wäre zu umständlich.
Ist die exakte Schreibweise des Namens oder die genaue Adresse einer Person nicht bekannt, können die Daten
jedoch nicht abgefragt werden. Deshalb legte § 112 TKG im Jahre 2004 fest, eine Rechtsverordnung solle Ersuchen mit unvollständigen Abfragedaten und die Suche mittels einer „Ähnlichenfunktion“ regeln. Auch weitere
Daten, z. B. das Geburtsdatum, könnten abgefragt werden (vgl. 20. TB Nr. 13.5). Nach mehreren Anläufen und
weiteren Änderungen im TKG liegt nun ein Entwurf der Kundendatenauskunftsverordnung (KDAV) vor, der
voraussichtlich 2017 in Kraft treten wird.
Im Entwurf der KDAV ist vorgesehen, dass bestimmte Angaben, z. B. Vorname oder Hausnummer fehlen dürfen oder dass durch Platzhalter bzw. eine phonetische Suche ungenaue Angaben gemacht werden können. So
kann etwa mit M[ae][iy]er sowohl Maier als auch Meyer gefunden werden. Auch eine rein anschriftenbasierte
Suche soll möglich sein.
Diese Möglichkeiten führen jedoch zu mehrfachen Treffern, bei denen auch Daten von weiteren Personen übertragen werden. Um hier keine unverhältnismäßigen Datenübermittlungen zu riskieren, wird die Anzahl der angezeigten Ergebnisse auf maximal 40 begrenzt. Liegt die Anzahl der ausgeworfenen Ergebnisse bei einem Anbieter über dieser Schwelle, werden keine Datensätze, sondern lediglich die Anzahl der Treffer übermittelt.
Bei dieser Schwelle hatte ich im Vorfeld für einen etwas niedrigeren Wert plädiert. Besonders problematisch ist
jedoch, dass die Begrenzung auf 40 Treffer für jeden Anbieter einzeln gilt, die Abfrage aber parallel bei allen an
das automatisierte Auskunftsverfahren angeschlossenen Unternehmen durchgeführt wird und die BNetzA sämtliche von den Anbietern erhaltenen Daten an die ersuchende Behörde übermittelt. So könnte es passieren, dass
ein großer Anbieter nur mitteilt, er habe 200 Treffer, einige kleinere Anbieter jedoch jeweils bis zu
40 Teilnehmerdaten weitergegeben. Im Ergebnis kann so eine Behörde auf eine Anfrage die Bestandsdaten von
weit über hundert Anschlussinhabern erhalten.
BfDI 26. Tätigkeitsbericht 2015-2016
– 169 –