Website-Anbietern möglich sein, die IP-Adressen ihrer Nutzer zur Störungsbeseitigung und Missbrauchsprävention zu verwenden, um die Funktionsfähigkeit ihrer Dienste zu gewährleisten. Das geltende Telemediengesetz
sieht jedoch nur die Nutzung der IP-Adresse für die Inanspruchnahme des Dienstes und die Abrechnung kostenpflichtiger Angebote vor.
Der Gesetzgeber muss nun das Telemediengesetz anpassen und sich dabei eng an die Vorgaben des EuGH halten. Dies gilt für die vom Gericht definierten Zwecke und vor allem für die Speicherungsfrist, die analog zur
bestehenden Vorschrift im TKG nicht mehr als sieben Tage betragen sollte.
Ein entsprechender Gesetzentwurf liegt mir bisher nicht vor.
17.2.4.6 Die Meldepflicht nach § 109a TKG
Wie bereits in meinem letzten Tätigkeitsbericht vorhergesagt, ist die Anzahl der von Telekommunikationsanbietern gemeldeten Datenschutzverstöße in den letzten beiden Jahren noch einmal angestiegen; insgesamt erreichten mich im Jahr 2015 258 Meldungen und im Jahr 2016 bereits 814 Meldungen.
Meine Analyse der gemeldeten Vorfälle zeigt, dass ein Großteil der Datenschutzvorfälle auf manuellen Arbeitsfehlern oder strukturellen Defiziten bei den betroffenen Prozessabläufen basiert. Mit Ausnahme eines systembedingten Problems bei einem Unternehmen, das zu gut einem Drittel der Meldungen geführt hat, lassen sich jedoch keine Muster oder anderweitige Besonderheiten erklären, die den Anstieg objektiv erklären könnten. Dieser ist daher meines Erachtens weniger auf eine Zunahme der tatsächlichen Datenschutzvorfälle zurückzuführen, sondern zeigt vor allem, dass die Unternehmen, die sich hier Anfangs recht zögerlich verhielten, ihrer gesetzlichen Meldepflicht mittlerweile weitgehend nachkommen. Ich begrüße diese Entwicklung, da sie einerseits
belegt, dass das Bewusstsein der TK-Anbieter für die Belange der Nutzer mittlerweile ausgeprägter ist und andererseits auch zu einer größeren Transparenz bei allen Beteiligten führt.
Die Unternehmen nutzen zur Meldung ein von mir zusammen mit der Bundesnetzagentur entwickeltes Meldeformular, in dem Angaben zum Datenschutzvorfall selbst, darüber hinaus aber auch zu den daraufhin eingeleiteten Maßnahmen gemacht werden müssen. Letzteres umfasst vor allem die Information, ob und – wenn ja – wie
die vom Vorfall betroffenen Personen benachrichtigt worden sind. Das Gesetz gibt den Unternehmen diesbezüglich vor, wie sie die Betroffenen über die von der Datenschutzverletzung für sie ausgehenden Risiken aufklären, Vorschläge für potentielle Abhilfemaßnahmen unterbreiten und schnellstmöglich die ursächlichen Fehler
beheben müssen. Anhand der im Meldeformular abgefragten Angaben ist es mir möglich, zu überprüfen, ob die
Unternehmen dieser Verpflichtung im gebotenen Umfang nachkommen. Sollte ein Unternehmen beispielsweise
auf eine Benachrichtigung verzichten wollen, obwohl diese aus meiner Sicht im gemeldeten Fall erforderlich
wäre, kann ich das Unternehmen auffordern diese nachzuholen. Auch wenn ein derartiges Einschreiten nur in
äußerst seltenen Fällen notwendig wird, ist es dennoch erforderlich, jeden gemeldeten Vorfall individuell zu
betrachten und zu bewerten.
Das ebenfalls im letzten Bericht angesprochene gemeinsame Projekt der BfDI mit der Europäischen Agentur für
Netz- und Informationssicherheit ein Verfahren zur Bewertung der Schwere von Datenschutzvorfällen zu erstellen, konnte erfreulicherweise abgeschlossen werden. In diesem Rahmen wurde über das Verfahren hinaus eine
Datenbanklösung entwickelt, über die in Zukunft die Meldungen einfacher abgewickelt werden können. Um
eine Optimierung des Meldeverfahrens für alle beteiligten Parteien zu erreichen, soll das System nun schnellstmöglich implementiert werden
Weniger erfreulich ist, dass die von mir angeregte Gesetzesänderung zur Beseitigung eines offensichtlichen
Wertungswiderspruchs im Wortlaut des § 109a TKG nach wie vor nicht erfolgt ist. Obwohl die Norm im Rahmen der Änderung des IT-Sicherheitsgesetzes (vgl. Nr. 10.2.11.1) an anderer Stelle geändert wurde, sind meine
entsprechenden Hinweise unberücksichtigt geblieben. In der Frage, ob beispielsweise Vertriebspartner, die an
– 172 –
BfDI 26. Tätigkeitsbericht 2015-2016