immer wieder zu Auslegungs- und Verfahrensfragen. Zur
Klärung der offenen Punkte habe ich einen Workshop für
die Telekommunikationsdiensteanbieter ausgerichtet, bei
dem die Anwendung der beiden Meldepflichten erörtert
und anhand praktischer Beispiele vertieft wurde.
Darüber hinaus habe ich in diesem Bereich bei der
Wahrnehmung meiner Datenschutzaufsicht unter‑
schiedliche Erfahrungen machen müssen. Nicht nur,
dass es zu einer mengenmäßigen Verlagerung bei der
Bearbeitung der gemeldeten Datenschutzverletzungen
im Telekommunikationsbereich kam, weil sich die Zahl
der Meldungen nach § 109a TKG drastisch reduzierte,
während sich die Meldungen nach Artikel 33 DSGVO
stark erhöhten (vgl. Die Arbeit des BfDI in Zahlen).
Damit war zu rechnen. Das teilweise veränderte Melde‑
verhalten mancher Telekommunikationsdiensteanbieter
erstaunte da schon deutlich mehr. So meldet ein großer
Telekommunikationsdienstleister, der in Vergangenheit
angeblich fast gar keine Datenschutzverletzungen zu
melden hatte, seit Mai sehr regelmäßig. Ob dies wohl
daran liegt, dass ich nach der DSGVO bei Verstößen
gegen die Meldepflicht im Gegensatz zum TKG Bußgel‑
der verhängen kann und hierfür ein gegenüber dem TKG
wesentlich höherer Bußgeldrahmen besteht?
15.2.5 Digitale Geschäftsmodelle unter Nutzung von
Mobilfunkdaten
Digitale Geschäftsmodelle, die auf der Nutzung von Mobilfunkdaten basieren, müssen unter der DSGVO neu
bewertet werden.
Die Analyse digitaler Daten lässt zahlreiche Rückschlüs‑
se auf das Verhalten der betroffenen Personen zu.
Besonders aussagekräftig sind Verkehrsdaten – ins‑
besondere Standortdaten – von mobilen Endgeräten.
Die daraus gewonnenen Informationen können auf
vielfältige Weise wirtschaftlich genutzt und verwertet
werden. Denkbar ist z. B. die Nutzung von Standortdaten
zur Analyse von Verkehrsströmen oder zu statistischen
Zwecken (vgl. 22. TB Nr. 7.8).
Vielen Chancen stehen auch viele Risiken gegenüber
Die Auswertung derart sensibler Daten birgt freilich
Risiken. Dies gilt in besonderem Maße im Big Data-Kon‑
text, wenn verschiedene Daten in großer Menge mitein‑
ander verknüpft und ausgewertet werden können. Durch
den Einsatz valider Anonymisierungstechniken können
die damit verbundenen Risiken zwar verringert werden.
Anonyme und anonymisierte Daten unterfallen außer‑
dem nicht dem Anwendungsbereich des Europäischen
Datenschutzrechts. Wie die Artikel‑29‑Gruppe in ihrer
Stellungnahme vom 10. April 2014 jedoch festgestellt
hat, ist es allerdings sehr schwer, aus einem umfassen‑
108
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
den Bestand personenbezogener Daten einen tatsächlich
anonymen Datenbestand zu generieren (WP 216, S. 3).
Anonym ist nicht gleich anonym!
Dabei kommt es entscheidend darauf an, wie hoch das
Risiko der Re-Identifizierung ist (vgl. 25. TB Nr. 8.8.4; 26.
TB Nr. 17.2.4.4), wobei gemäß Erwägungsgrund 26 Satz 5
der DSGVO sowohl die zum Zeitpunkt der Verarbeitung
verfügbaren Technologien als auch technologische
Entwicklungen zu berücksichtigen sind. Angesichts des
rasanten technischen Fortschritts muss die Wirksam‑
keit vorhandener Anonymisierungstechniken dauerhaft
überprüft werden. Sowohl für die Verantwortlichen als
auch für die Aufsichtsbehörden ist damit die Herausfor‑
derung verbunden, den notwendigen Überblick über
aktuelle technische Entwicklungen zu behalten.
Digitale Geschäftsmodelle müssen den Anforderungen
des geltenden Rechts standhalten
Die rechtlichen Anforderungen an eine hinreichende
Anonymisierung müssen unter der DSGVO neu beurteilt
werden. Dasselbe gilt für die Frage, ob der Einsatz von
Anonymisierungstechniken als solcher eine Verarbei‑
tung personenbezogener Daten darstellt und deshalb
einer Rechtsgrundlage bedarf. Den Geltungsbeginn
der DSGVO bzw. die damit verbundene Änderung der
Rechtslage habe ich zum Anlass genommen, um die
digitalen Geschäftsmodelle, die auf der Nutzung von
Mobilfunkdaten basieren, auf den Prüfstand zu stellen.
Außerdem habe ich eine Diskussion im Kreis der deut‑
schen Aufsichtsbehörden angestoßen, um auch insoweit
eine einheitliche Anwendung geltender Rechtsbestim‑
mungen sicherzustellen.
15.2.6 Nutzung von Messenger-Diensten
Die Telekommunikation muss längst nicht mehr nur
mobil, sondern auch immer schneller von statten
gehen. Hierfür werden dann gerne Messenger-Dienste
genutzt. Dabei wird der Datenschutz von Anbietern wie
von Nutzern der Apps oftmals vergessen.
Messenger-Dienste erfreuen sich immer größerer
Beliebtheit und sind aus unserem Alltag nicht mehr
wegzudenken. Insbesondere Unternehmen möchten
zur Kommunikation mit ihren Kunden immer häufiger
darauf zurückgreifen (vgl. hierzu o. Nr. 7.1.5).
Wie schon im 26. TB (Nr. 17.3.1) angedeutet, handelt es
sich bei Messenger-Diensten meiner Rechtsauffassung
nach um Telekommunikationsdienste in der Ausprägung
sog. OTT (Over-the-top)-Dienste, bei denen die Kommu‑
nikation zwischen den Beteiligten über das offene In‑
ternet ohne eigene Infrastruktur erfolgt. Solche Dienste
unterfallen als Äquivalent zur „klassischen“ Telekommu‑
nikation im Diensteanbieter-Nutzer-Verhältnis dem Te‑