datenschutzrelevanter Themen und die aktuellen technischen Entwicklungen im Telekommunikationsbereich,
der in einer rein theoretischen Behandlung der Datenschutzfragen in diesem Umfang oft nicht möglich wäre.
Ebenso fördern die Besuche den persönlichen Kontakt mit den betrieblichen Datenschutzbeauftragten der Unternehmen, die als Schnittstelle zwischen operativem Bereich der Unternehmen und mir meine ersten und wichtigsten Ansprechpartner sind. Schließlich sind meine Kontrollen nicht selten Ausgangspunkt für datenschutzrechtliche Diskussionen und Beratungen zu Fragen oder Projekten, die eigentlich nicht im Zusammenhang mit
dem konkreten Prüfgegenstand stehen.
Was lange währt ...
In meinem 25. Tätigkeitsbericht (Nr. 8.3) hatte ich von drei Beanstandungen gegen drei bzw. aufgrund einer
Fusion jetzt nur noch zwei große Mobilfunkanbieter berichtet. Ursache war vor allem die zu lange Speicherung
von Verkehrsdaten netzinterner Verbindungen bei so genannten Flatrate-Tarifen. Ebenso wurden u. a. Funkzelleninformationen (Standortdaten) nicht schnell genug gelöscht und - aufgrund eines branchenweiten technischen
Defizits - die Inhalte von SMS gespeichert. Hier konnte ich bei verschiedenen Nachkontrollen „Vollzug“ feststellen.
Telefónica hatte mir mitgeteilt, dass die Umstellungen zur Herstellung einer gesetzeskonformen Speicherung
von Verkehrsdaten bis Ende Dezember 2016 weitgehend abgeschlossen wurden. Auch bei der Speicherung der
SMS-Inhalte wurde eine Lösung in Aussicht gestellt.
Ebenso waren bei E-Plus erhebliche Bemühungen erkennbar, die offenen Punkte abzuarbeiten. Einiges wurde
dadurch erledigt, dass im Rahmen der Zusammenführung der Unternehmen die Telefónica-Systeme verwendet
werden.
Auch bei Vodafone konnte bei der Speicherung von Verkehrsdaten ein erheblicher Fortschritt erzielt werden.
Seit Mitte 2016 werden die Funkzellendaten, IMEI (Seriennummer des Handys) und die Daten von Flatrate-Verbindungen nach Rechnungsstellung gelöscht. Auch wenn die Umsetzung einzelner Punkte der Beanstandung noch nicht abgeschlossen ist (insbesondere beim Data-Warehouse - DWH), konnte eine deutliche Verbesserung verzeichnet werden.
Dies belegt den positiven Effekt meiner Beanstandungen, auch wenn nicht von einer zeitnahen Reaktion gesprochen werden kann.
Man sieht sich immer zweimal
Bei zwei Unternehmen wurden Kontrollen zu Themen durchgeführt, die in vergleichbarer Form bereits einige
Jahre zuvor schon einmal Gegenstand eines Besuchs gewesen sind.
Bei dem einen Unternehmen betraf die erste Kontrolle den Festnetzbereich. Damals waren Anruflisten eines der
Themen, die ausführlich diskutiert wurden und zu Änderungen in der Software führten. Bereits in meinem
20. Tätigkeitsbericht (Nr. 13.4) hatte ich auf diese Problematik aufmerksam gemacht, insbesondere darauf, dass
Anruflisten nur im Auftrag des Kunden geführt werden dürfen und z. B. die Speicherdauer wählbar sein soll.
Das Unternehmen bietet auch Mobilfunkleistungen an, die nun Gegenstand meiner Kontrolle waren. Dabei fiel
auf, dass die Anruflisten bei Mobilfunkkunden immer aktiv waren. Das Unternehmen hatte hier eine neue Software eingesetzt und dabei die Wahlmöglichkeiten für Anruflisten nicht implementiert. Diese datenschutzrechtliche Problematik war wohl bereits wenige Jahre nach der ersten Kontrolle im Festnetzbereich aus dem Fokus
geraten. Inzwischen wurden die erforderlichen Änderungen umgesetzt bzw. zugesagt.
Bei dem anderen Unternehmen - hier bezog sich die Prüfung auf die Verarbeitung von Bestands- und Verkehrsdaten - wurde seitens des Unternehmens erklärt, im DWH würden die Daten anonymisiert, so dass keine Präsentation geplant sei. Wie ein Blick in die sieben Jahre alte Akte zeigte, war schon bei einem früherem Besuch ein
Vorsystem des DWH angesprochen worden. Auch damals erklärte man, es erfolge eine Anonymisierung. Mit
meiner zwischenzeitlich gewonnenen Erkenntnis, welches datenschutzrechtlich problematische Verständnis
mancher Anbieter von der Anonymisierung - insbesondere in Abgrenzung zur Pseudonymisierung - hat, habe
ich diese Aussage hinterfragt. Wie eine daraufhin spontan ermöglichte Präsentation zeigte, fand sehr wohl eine
personenbezogene Verarbeitung von Bestands- und Verkehrsdaten im DWH statt. Die Kontrolle ist noch nicht
abgeschlossen.
BfDI 26. Tätigkeitsbericht 2015-2016
– 175 –