dass die Teilnehme an dem Validierungsverfahren optio‑
nal ist und die Informationen transparent sind.
Das Vor-Ort-Verfahren im Mobilfunkshop hätte darüber
hinaus einen sehr guten Eindruck hinterlassen, wäre das
erforderliche Foto vom Ausweis nicht mit dem privaten
Handy des Kundenberaters aufgenommen worden. Die
hier verwendete spezielle App des Anbieters speichert
die Ausweiskopie allerdings nicht lokal auf dem Handy.
15.3.3 Sanftes Drängen
Im Rahmen der Störungserkennung findet seit Jahren
eine unzulässige Speicherung von SMS-Inhalten statt.
Trotz meiner Beanstandung gegenüber der BNetzA hat
nur ein Netzbetreiber erklärt, dass er diese rechtswidrige Praxis beendet hat.
Bereits in meinem 24. TB (Nr. 6.8.2) hatte ich darüber
berichtet, dass Signalisierungsdaten, die als Verkehrsda‑
ten zu werten sind, für wenige Tage zur Eingrenzung,
Erkennung und Beseitigung von Störungen aufgezeich‑
net werden. Dies ist zulässig – allerdings nur dann, wenn
keine Inhalte mitgespeichert werden. Zum Problem
werden hier Kurzmitteilungen (SMS), weil bei denen
auch die Inhalte mit im Signalisierungskanal übertragen
werden. Bei zwei Mobilfunkanbietern hatte ich diese
Speicherung im Nachgang von Kontrollen gegenüber
der BNetzA beanstandet (vgl. 25. TB Nr. 8.8.3). Bei einem
weiteren habe ich im Rahmen einer späteren Kontrolle
festgestellt, dass auch dieser betroffen ist. Einer der An‑
bieter hat inzwischen die Speicherung eingestellt, was
ich im 26. TB (Nr. 17.3.1) bereits angekündigt hatte.
Die BNetzA hat sich aufgrund der Beanstandungen
mit der Thematik beschäftigt. Zunächst wurde meine
Forderung, die Speicherung der SMS-Inhalte zu unterlas‑
sen, als technisch unmöglich bezeichnet. Nachdem ein
Netzbetreiber das „Unmögliche“ möglich gemacht hat,
hatte ich die BNetzA darauf aufmerksam gemacht, die
anderen Netzbetreiber aufzufordern, ebenfalls auf diese
unzulässige Speicherung zu verzichten. Die BNetzA hatte
mir daraufhin zugesagt, mich über den Fortgang des
Verfahrens zu informieren. Erst auf Rückfrage wurde
ich später darüber informiert, dass die übrigen Netz‑
betreiber Stellung genommen hätten und kein weite‑
rer Handlungsbedarf bestünde. Ich habe der BNetzA
gegenüber erläutert, dass ich den mir vorliegenden
Schreiben der Netzbetreiber nicht entnehmen könnte,
dass die unzulässige Speicherung von Kommunikations‑
inhalten beendet worden sei und um Information zu den
weiteren Schritten gebeten. In der Antwort der Bundes‑
regierung auf eine kleine Anfrage (BT-Drs. 18/13394)
wird zwar ausgeführt, dass die BNetzA bei den Diens‑
teanbietern nach wie vor auf die Implementierung einer
Lösungsmöglichkeit drängt; dieses Drängen erscheint
mir jedoch recht sanft zu sein. Ich werde über den Fort‑
gang berichten.
15.3.4 Und es gibt sie doch! Eine Kontrolle zur Vorratsdatenspeicherung
Nachdem die Bundesnetzagentur (BNetzA) mitgeteilt
hat, dass sie die Vorratsdatenspeicherung nicht durchsetzt, haben alle Telekommunikationsdiensteanbieter
auf die Aktivierung ihrer bereits weitgehend fertiggestellten Systeme verzichtet… Alle Anbieter? Nein! Zwei
Anbieter sind diesem Trend nicht gefolgt und haben
einen Dienstleister mit der Vorratsdatenspeicherung
beauftragt.
Nachdem die BNetzA die Vorratsdatenspeicherung
praktisch ausgesetzt hat (vgl. Nr. 9.2.7), habe ich eine
Umfrage bei Telekommunikationsdiensteanbietern
durchgeführt. Ein Anbieter teilte mir mit, dass er seinen
Auftrag bei einem Dienstleister aufrechterhalten hat.
Anschließend habe ich erfahren, dass bei diesem Dienst‑
leister noch ein weiterer Anbieter dort Verkehrsdaten
auf Vorrat speichern lässt. Dort habe ich einen Bera‑
tungs- und Kontrollbesuch zur Vorratsdatenspeicherung
durchgeführt.
Während viele große Telekommunikationsanbieter die
Vorratsdatenspeicherung in Eigenregie durchführen
wollten, haben andere, insbesondere kleinere Anbieter
einen Dienstleister mit der Vorratsdatenspeicherung
beauftragt. Der von mir kontrollierte Dienstleister bietet
auch die Schaltung von Telekommunikationsüberwa‑
chungsmaßnahmen (TKÜ-Maßnahmen) an.
Bei dem Besuch musste ich feststellen, dass zwar umfang‑
reiche Sicherheitsmaßnahmen implementiert waren, so
dass bis auf kleinere Ausnahmen ein Niveau erreicht war,
das für die Schaltung von TKÜ-Maßnahmen angemessen
war. Jedoch gelten für die Vorratsdatenspeicherung höhere
und z. T. spezifische Anforderungen aus dem Anforde‑
rungskatalog nach § 113f Absatz 1 und 3 TKG. Die Server‑
schränke etwa verfügten nicht über spezielle Schlösser,
so dass auch Personal, das „nur“ Server zur Schaltung von
TKÜ-Maßnahmen betreut, direkten Zugang zu den Servern
hatte, auf denen die Vorratsdatenspeicherung erfolgte.
Auch eine regelmäßige Überwachung der Log-Files fand
nicht statt. Auf diese Weise wurde etwa ein Problem bei der
Löschung der verwendeten Schlüssel übersehen. Auch bei
formalen Punkten gab es Defizite, insbesondere fehlte die
in § 113d TKG geforderte Ermächtigung der Mitarbeiter.
Problematisch war auch die Nutzung von Hash-Werten, um
in den verschlüsselten Daten effektiv suchen zu können.
Hier hängt es von der Länge der Hash-Werte und der Art
der Daten ab, inwieweit anhand dieser Informationen noch
– wenn auch vage – Rückschlüsse aus den Indizes gezogen
werden können. Hier mussten Anpassungen vorgenom‑
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
115