Diese Beispiele belegen die Notwendigkeit, Prüfungen mit einigem zeitlichen Abstand zu wiederholen,. Insofern werde ich auch in Zukunft immer wieder Unternehmen erneut kontrollieren, wenn seit der letzten Prüfung
bereits einige Jahre vergangen sind.
Immer wieder Data-Warehouse
Bei meinen Beratungs- und Kontrollbesuchen habe ich zweierlei festgestellt: man sollte weder überrascht sein,
wie umfangreich manche Datensammlungen sind, noch sollte man erwarten, dass dem Unternehmen die Sensibilität der gesammelten Daten wirklich bewusst ist. Die Ausführungen in meinem 25. Tätigkeitsbericht
(Nr. 8.8.4) zu dieser Thematik sind daher nach wie vor aktuell.
Ein besonders schlechtes Beispiel für eine Anonymisierung bot eine Datenbank eines TelekommunikationsAnbieters mit verhashten Verbindungsdaten. Kritisiert habe ich die Nutzung eines einfachen Hashverfahren, das
auch langfristig nicht geändert wurde. Zwar war grundsätzlich gewährleistet, dass man nicht von den Hashwerten auf die Rufnummern zurückrechnen konnte. Sollte aber eine Zuordnung durch einen Angriff mit anderen
Mitteln erst einmal erfolgt sein, würden auch alle älteren Verkehrsdaten offen gelegt. Ein solcher Angriff wäre
durch einen Vergleich mit einem Einzelverbindungsnachweis oder bei bekanntem Hashverfahren durch Brute
Force, also durch Ausprobieren, denkbar. In Folge meiner Kritik wurde das Verfahren so geändert, dass das
Hashverfahren durch einen monatlich wechselnden „Salt“ variiert wird, der am Monatsende gelöscht wird. Somit ist ein Brute-Force-Angriff nicht mehr möglich. Ein Vergleich mit einem Einzelverbindungsnachweis könnte zwar unter günstigen Voraussetzungen zu einem Kunden führen, jedoch nur für den Monat, über den man
ohnehin mittels des Einzelverbindungsnachweises Informationen hat. Mit dieser Änderung konnte das Verfahren akzeptiert werden.
Das kenne ich doch irgendwoher ...
Ein Klassiker bei Kontrollen ist immer wieder die zu lange Speicherung von nicht abrechnungsrelevanten Verkehrsdaten, z. B. bei netzinternen Gesprächen mit Flatrate-Tarifen oder bei Gesprächen, die gar nicht erst zustande kommen. Diese werden oft, obwohl sie nach § 97 Absatz 3 Satz 3 TKG nach Ermittlung der Abrechnungsirrelevanz unverzüglich zu löschen sind, zusammen mit den abrechnungsrelevanten Verkehrsdaten gespeichert. Dabei betrug die Speicherdauer bis zu 180 Tage. Diese Nicht-Differenzierung „by design“ kann für
die Unternehmen zu einem hohen - auch finanziellen - Mehraufwand führen, wenn sie nachträglich ihre Software ändern müssen. Oft sind die IT-Systeme historisch gewachsen und aufgrund der Komplexität dann schwer
zu warten.
Ebenso problematisch ist es, sich bei der Speicherdauer an der gesetzlichen Höchstfrist zu orientieren, statt an
der vom Gesetz geforderten Erforderlichkeit. So verweise ich bei Kontrollen regelmäßig auf den von mir in
Zusammenarbeit mit der BNetzA erstellten „Leitfaden zur Speicherung von Verkehrsdaten“ (vgl. 24. TB
Nr. 6.7). In diesem plädiere ich beispielsweise für eine Speicherung der für Abrechnungszwecke verwendeten
Verkehrsdaten für drei statt sechs Monate, denn in diesem Zeitraum sind Einwände gegen Rechnungen entsprechend den üblichen AGBs bereits erfolgt.
Bei einem Anbieter habe ich die Speicherung der Vormieterdaten eines Festnetzanschlusses von 28 Monaten
festgestellt. Eine Begründung dafür konnte nicht geliefert werden. Vormieterdaten sind nur für den kurzen Zeitraum einer Vor-Ortinstallation notwendig. Nach erfolgtem Anschluss sind diese Daten nicht mehr erforderlich
und eine Speicherung somit nicht zulässig.
Bei Vertragsabschlüssen ist die Struktur der Beratungsgespräche durch das Formular vorgegeben. Mit den datenschutzkonformen Formularen wird der Kunde aber zumindest über alle Optionen informiert. Sind die Formulare jedoch mangelhaft, kann dies nur schwer durch die Mitarbeiter ausgeglichen werden. Bisher habe ich stets
Verbesserungsbedarf festgestellt, sei es die fehlende Mitbenutzererklärung bei der Beantragung eines Einzel-
– 176 –
BfDI 26. Tätigkeitsbericht 2015-2016