Hintergrund
Die Bundesnetzagentur (BNetzA) hat 2018 bei den in Deutschland tätigen Telekommunikationsanbietern abgefragt, welche Speicherpraxis bezüglich Verkehrsdaten in den Unternehmen gelebt wird. Über einen Antrag nach dem Informationsfreiheitsgesetz (IFG) an die Behörde sind die Ergebnisse Ende 2019 publik geworden.
In der Print- und Online-Presse wurde die sich aus der Abfrage ergebende Speicherpraxis der Telekommunikationsunternehmen teilweise deutlich kritisiert. So berichteten der SPIEGEL in der Ausgabe Nr. 50/2019, S. 36f. über die Ergebnisse der Erhebung. Auf www.netzpolitik.org wurde ebenfalls über die Umfrageergebnisse berichtet und eine kritische Bewertung abgegeben.
Insbesondere stand im Fokus der Kritik, dass die überwiegende Anzahl der Telekommunikationsunternehmen (TK-Unternehmen) in Deutschland die Verkehrsdaten bis zu sechs Monate speichert. Dies wurde in der aufgezählten Berichterstattung als zu lang und daher unverhältnismäßig bewertet. TK-Unternehmen speicherten „die Telefon- und Internetdaten ihrer Kunden viel länger als sie müssen“, (vgl. SPIEGEL, Ausgabe Nr. 50/2019, S. 36). Zudem drohe eine Vorratsdatenspeicherung „durch die Hintertür“.
Grund genug, diese Speicherpraxis einmal genauer zu betrachten und vor dem Hintergrund der gesetzlichen Vorgaben einzuordnen.
Gesetzliche Vorgaben zum Umgang mit Verkehrsdaten
Bevor ein Blick auf die gesetzlichen Vorgaben zur Verarbeitung beziehungsweise Speicherung von Verkehrsdaten geworfen werden soll, soll zunächst umrissen werden, um welche Datenkategorie es sich hierbei konkret handelt.
Verkehrsdaten werden national im Telekommunikationsgesetz (TKG) in § 3 Nr. 30 als „Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“ und auf Unionsebene in Art. 2 Satz 2 lit. b) der dem TKG zugrundeliegenden ePrivacy-RL (Richtlinie 2002/58/EG) definiert als „Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden“.
Sie geben Aufschluss über einen konkreten Kommunikationsvorgang, hinsichtlich der Teilnehmenden, der genauen Zeit aber nicht direkt über den Inhalt der Telekommunikation selbst (vgl. hierzu § 96 Abs. 1 TKG).
In Bezug auf die Teilnehmer der Kommunikation kann eine Zuordnung über die jeweilige Rufnummer, SIM-Kartennummer, MAC-Adressen, IMEI, IMSI und auch Standortdaten wie die Funkzellen-ID im Mobilfunkbereich erfolgen. Zusammen mit weiteren Informationen, wie zum Beispiel einem genauen Zeitstempel, ergeben sich so Informationen zu einem konkreten Telekommunikationsvorgang. Ausweislich § 96 Abs. 1 Satz 1 Nr. 4 TKG gehören zu den Verkehrsdaten auch die „übermittelten Datenmengen“, also das durch Up- und Downloads in Anspruch genommene Datenvolumen.
Verkehrsdaten betreffen als „nähere Umstände der Kommunikation“ den besonders geschützten Bereich des Fernmeldegeheimnisses (Art. 10 GG, einfachgesetzlich gewährleistet durch § 88 TKG) und dürfen nur in engen Grenzen gespeichert und verarbeitet werden.
Diese Daten sind gem. § 96 Abs. 1 Satz 3 TKG grundsätzlich nach Beendigung der Verbindung zu löschen. Ausnahmen von diesem Grundsatz sind restriktiv auszulegen, jedoch im TKG explizit benannt:
So dürfen Verkehrsdaten nach § 97 Abs. 1 TKG explizit zu Abrechnungszwecken mit den Teilnehmern verwendet werden (Satz 1). Kooperieren Telekommunikationsnetzbetreiber untereinander, dürfen zu den genannten Abrechnungszwecken Verkehrsdaten auch unter den beteiligten Telekommunikationsanbietern ausgetauscht werden (Satz 2), auch dürfen Clearing-Häuser zur Abrechnung mit den Kunden eingesetzt werden (Satz 3).
Weitere zulässige Verarbeitungen, wie zum Beispiel aufgrund einer Einwilligung des Teilnehmers sollen hier einmal außen vor bleiben.
Gesetzliche Löschfristen
§ 97 Abs. 3 TKG beinhaltet schließlich Vorgaben über den Zeitraum, innerhalb dessen die Verarbeitung von Verkehrsdaten (wohlgemerkt für Abrechnungszwecke) erfolgen darf. Nach Beendigung der Verbindung hat der TK-Betreiber unverzüglich (ohne schuldhaftes Zögern) die entgeltrelevanten Verkehrsdaten zu ermitteln (zur Vorbereitung des sog. Ratings), Satz 1. Diese abrechnungsrelevanten Daten dürfen nach Satz 2 „bis zu sechs Monate nach Versendung der Rechnung gespeichert werden“, nicht abrechnungsrelevante Verkehrsdaten müssen unverzüglich gelöscht werden (Satz 3).
Daneben ist es TK-Unternehmen – unabhängig von einer gegebenenfalls bestehenden Abrechnungsrelevanz – erlaubt, Verkehrsdaten zu Zwecken der Störungsabwehr (hierzu zählen auch der Versand von Schadsoftware, SPAM-E-Mails und die Vermeidung von DDoS-Attacken) zu speichern (vgl. § 100 Abs. 1 TKG). Eine Speicherung von Verkehrsdaten zu diesem Zweck wird – auch ohne, dass die Störung schon eingetreten ist – nach der mittlerweile gefestigten Rechtsprechung des Bundesgerichtshofes (vgl. Urteile des BGH aus den Jahren 2011 und 2014, Az. III ZR 146/10 sowie Az. III ZR 391/13) für einen Zeitraum von sieben Tagen für zulässig erachtet.
Wird der Betreiber mit Einwendungen des Teilnehmers konfrontiert, dürfen diese Verkehrsdaten bis zur (gegebenenfalls gerichtlichen) abschließenden Klärung gespeichert werden (§ 97 Abs. 3 Satz 4 TKG). § 45i Abs.1 Satz 1 TKG bestimmt vor diesem Hintergrund, dass der Teilnehmer „mindestens“ acht Wochen Zeit haben muss, Einwendungen gegen die Abrechnung in Anspruch genommener TK-Dienste zu erheben. Einwendungsfristen für Abrechnungen zwischen zwei TK-Unternehmen (sogenanntens Interconnect) betragen sogar in der Regel sechs Monate.
Die Obergrenze für eine Speicherung beträgt somit sechs Monate. Zu beachten ist jedoch, dass die zuständigen Behörden das Ausschöpfen der gesetzlichen Obergrenze von sechs Monaten kritisch sehen. Der gemeinsame Leitfaden der BNetzA und der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) sieht für abrechnungsrelevante Verkehrsdaten „in der Regel“ nur eine Speicherfrist von drei Monaten vor. Jedoch kann eine längere Speicherung zulässig sein. Soweit „nachvollziehbare Gründe vorliegen, können die Daten länger gespeichert werden“, so der Leitfaden.
Ergebnisse der Umfrage im Überblick
Sämtliche Rückmeldungen der sechs Unternehmen (NetCologne, TeleColumbus, Deutsche Telekom, Vodafone, Unitymedia, Telefónica) ergaben, dass die Unternehmen die abrechnungsrelevanten Verkehrsdaten maximal zwischen drei und sechs Monaten speichern.
Bewertung
Zunächst ist festzuhalten, dass keines der befragten Unternehmen (genauer: der Unternehmen, die sich auf die Anfrage der BNetzA geäußert haben) gegen die gesetzlichen Vorgaben verstößt. Teilweise werden die gesetzlich vorgesehenen sechs Monate von den Unternehmen ausgeschöpft. Dies ist jedoch auch mit entsprechender Argumentation nach Auffassung der BNetzA und des BfDI möglich. Hier ist an verschiedene Aspekte zu denken: Das Telekommunikationsgeschäft ist ein Massengeschäft. Unzählige Telekommunikationsvorgänge müssen auf Abrechnungsrelevanz ausgewertet werden (Rating der Verkehrsdaten) sowie der Billing-Prozess selbst, im Rahmen dessen sich die Unternehmen – zulässigerweise – oft externer Dienstleister bedienen und der Umstand, gegenüber dem Kunden darlegungs- und beweispflichtig sein zu müssen, um gegebenenfalls Einwendung der Teilnehmer erfolgreich entgegentreten zu können, sind hier zu berücksichtigen.
Fazit & Ausblick
Die Speicherpraxis der in Deutschland tätigen TK-Unternehmen hinsichtlich Verkehrsdaten ist mit der Vorratsdatenspeicherung, die ursprünglich darauf angelegt war, ohne konkreten Anlass, Telekommunikationsdaten vollständig für sechs Monate – später zehn Wochen – zu speichern, nicht vergleichbar. Das TKG und die Vorgaben im Unionsrecht (ePrivacy-RL, s. o.) sehen, wie beschrieben, streng zweckgebundene (u. a. zur Abrechnung) Ausnahmen von der grundsätzlichen Pflicht zur Löschung von Verkehrsdaten nach Abschluss des Telekommunikationsvorgangs vor. Diese nutzen die Unternehmen in zulässiger Weise. Aufgrund betrieblicher Anforderungen im Massengeschäft Telekommunikation erscheinen diese Fristen grundsätzlich vertretbar und angemessen – nach den konkreten Gründen für eine Speicherung von länger als drei Monaten wurden im Übrigen durch die Behörden nicht gefragt.
Die im Gesetzgebungsverfahren aktuell feststeckende ePrivacy-VO, welche die ePrivacy-RL ablösen soll, wird unmittelbar in allen Mitgliedstaaten und damit auch in Deutschland geltende Regeln zum Umgang mit Verkehrsdaten vorsehen.
Der ursprüngliche Entwurf der EU-Kommission (COM(2017) 10 final, ePrivacy-VO-E) führt den neuen Terminus „elektronische Kommunikationsdaten“ ein. Darunter werden sowohl Kommunikationsinhalte als auch Kommunikationsmetadaten gefasst (vgl. Art. 4 Abs. 3 lit. a) bis c) ePrivacy-VO-E). Unter den elektronischen Kommunikationsmetadaten dürften die bisherigen Verkehrsdaten zu verstehen sein. Die Kommunikationsmetadaten dürfen nach Art. 6 Abs. 1 ePrivacy-VO-E – wie bisher – zur Durchführung der Kommunikation selbst und aufgrund von Sicherheitsaspekten und zur Erkennung von Störungen, zur Gewährleistung bestimmter Dienstequalitätsanforderungen des „Europäischen Kodex für die elektronische Kommunikation“ (ABl EU L 321/36 vom 17.12.2018), zur Rechnungsstellung und mit Einwilligung des Teilnehmers verarbeitet werden.
Bezüglich der Speicherung sieht Art. 7 ePrivacy-VO-E ganz ähnliche Regelung zum status quo heute vor. Elektronische Kommunikationsmetadaten dürfen grundsätzlich nach Beendigung des Telekommunikationsvorgangs nur gespeichert werden – soweit sie nicht schon anonymisiert wurden – solange Einwendungen gegen den Zahlungsanspruch der Unternehmen geltend gemacht werden können beziehungsweise der (noch nicht erfüllte) Anspruch auf Zahlung nicht verjährt ist. Diese Regelung ist neben zahlreichen anderen Zankapfel zwischen den Beteiligten im Gesetzgebungsverfahren der ePrivacy-VO. Noch ist nicht abzusehen, ob und wann diese endgültig verabschiedet wird.
Zur weiteren Vertiefung zum Umgang mit Bestands- bzw. Verkehrsdaten durch Telekommunikationsunternehmen:
- Schramm/Shvets, Verkehrsdaten zwischen ePrivacy-RL und ePrivacy-VO, MMR 2019, 568
- Schramm/Shvets, Umgang mit TK-Kundendaten nach Inkrafttreten der DS-GVO, MMR 2019, 228
- Leitfaden des BfDI und der BNetzA für eine datenschutzgerechte Speicherung von Verkehrsdaten, Stand 19.12.12
Zum Autor:
Marc Schramm ist zugelassener Rechtsanwalt und arbeitet bei der migosens GmbH als Senior Consultant im Bereich Datenschutz. Sein Tätigkeitsschwerpunkt liegt im Bereich Telekommunikationsdatenschutzes. Hierzu gehören Fragestellungen, wie der Umgang mit Bestands- und Verkehrsdaten, der datenschutzkonforme Betrieb von Apps und Webseiten.
Vor seiner Tätigkeit bei der migosens GmbH war Marc Schramm u. a. als Rechtsanwalt in der Telekommunikationsbranche tätig.