Speicherfristen

All posts tagged Speicherfristen

Ende 2011 schlug der AK Vorrat Alarm: Aus einer Verschlusssache der Münchener Generalstaatsanwaltschaft ergab sich, dass deutsche Telekommunikationsanbieter die für verfassungswidrig erklärte Vorratsdatenspeicherung in weitem Umfang einfach fortsetzen. Der AK Vorrat erstattete Anzeige bei der Bundesnetzagentur, denn die illegale Speicherung von Verkehrsdaten stellt eine Ordnungswidrigkeit dar. Die Bundesnetzagentur lehnte die Einleitung eines Bußgeldverfahrens ab, weil „nicht genügend Anhaltspunkte“ für das Vorliegen einer Ordnungswidrigkeit bestünden. Sie erarbeitete aber zusammen mit dem Bundesdatenschutzbeauftragten einen Leitfaden „für eine datenschutzgerechte Speicherung von Verkehrsdaten“.

Foto: Digitale Gesellschaft, Lizenz: CC BY-SA 2.0

Obwohl dieser Leitfaden unter Ausschluss von Daten- und Verbraucherschutzorganisationen alleine mit den Anbietern ausgekungelt ausgearbeitet wurde und dementsprechend eine viel zu umfangreiche Datensammlung für zulässig erklärt, weigern sich die Anbieter, selbst den laschen Leitfaden umzusetzen. Ich habe deswegen bei der Bundesnetzagentur erneut Anzeige erstattet.

Leider sieht es so aus, dass die Bundeswirtschaftsminister Rösler (FDP) unterstellte Behörde erneut darauf verzichtet, geltendes Recht gegen die Telekommunikationswirtschaft durchzusetzen. Aus der Antwort der Bundesnetzagentur:

Im Rahmen Ihres IFG Antrages hatten Sie Einsicht in den Aktenvermerk vom 10.10.2011 zur Entscheidung für die Durchführung eines Verwaltungsverfahrens nach § 115 TKG nach Eingang Ihrer Anzeige vom 22.09.2011.

Die Entscheidung basierte im Wesentlichen darauf, dass der gesetzliche Rahmen des TKG eine Speicherung von abrechnungsrelevanten Daten bis zu sechs Monate nach Versand der Rechnung zulässt und bei der Sachlage nicht beurteilt werden konnte, ob mit der beanstandeten Speicherpraxis ein Bußgeldtatbestand verwirklicht ist.

Dies ändert sich nicht durch die Veröffentlichung des Leitfadens des BfDI und der Bundesnetzagentur für eine datenschutzgerechte Speicherung von Verkehrsdaten. Der Leitfaden hat Empfehlungscharakter und soll den Telekommunikationsunternehmen als Hilfe zur Gesetzesauslegung bei der Anwendung der datenschutzrechtlichen Regelungen des siebten Teils des TKG dienen. Gleichzeitig soll den Diensteanbietern ein transparenter Maßstab zur Verfügung gestellt werden, den die beiden Aufsichtsbehörden bei Überprüfung der Einhaltung der datenschutzrechtlichen Verpflichtungen bei den Telekommunikationsunternehmen anwenden. Vor diesem Hintergrund gibt der Leitfaden ausschließlich die Auffasssungen der Aufsichtsbehörden BfDI und Bundesnetzagentur für eine datenschutzgerechte Speicherung von Verkehrsdaten bei Anwendung der Bestimmungen des siebten Teils des TKG wieder. Die Rechtslage wird hiervon nicht berührt und bleibt unverändert.

Der Leitfaden führt nicht zu einer Änderungen der Beurteilungskriterien, die der Entscheidung für die Durchführung eines Verwaltungsverfahrens zugrunde lagen.

Mit freundlichen Grüßen

Anbieter wie BT (Germany), E-Plus, M-net, Telefónica, Telekom Deutschland und Vodafone D2 sammeln dementsprechend offenbar weiterhin illegal Daten über eingehende Verbindungen, über kostenfreie und pauschal abgegoltene ausgehende Verbindungen, über bloß versuchte Verbindungen, über die IMEI-Kennungen unserer Geräte und sogar über unseren geografischen Standort.

Wenn Sie darüber empört sind, sollten Sie Herrn Rösler und Ihrem TK-Anbieter schreiben. Wenn Sie sich die Speicherung nicht bieten lassen wollen, sollten Sie dagegen klagen. Und wenn Sie noch mehr tun wollen, machen Sie beim AK Vorrat mit!

Ergänzung vom 27.06.2013, 18 Uhr:

Die Bundesnetzagentur hat schnell reagiert, und zwar mit einer Pressemitteilung. Danach trifft es zwar leider zu, dass keinerlei Bußgelder verhängt worden sind. Jedoch seien an einige Unternehmen „Anordnungen zur Änderung der Speicherpraxis“ ergangen. Die Behörde hat festgestellt, dass die Speicherung von Verkehrsdaten bei pauschal abgerechneten Verbindungen (Flatrate) teilweise rechtswidrig sei. Auch die Speicherung der genutzten Funkzelle (Cell-ID) im Mobilfunk und der Kennung des genutzten Endgerätes (IMEI) sei teilweise rechtswidrig.

Nichts genaues weiß man nicht – ich werde nachfragen, um in Erfahrung zu bringen, welche Anordnungen wem gegenüber genau ergangen sind.

Ergänzung vom 15.04.2014:

Die Bundesnetzagentur hat am 02.07.2013 geantwortet:

vielen Dank für Ihre Mail vom 27.06.2013.

Wie Sie der Pressemitteilung der Bundesnetzagentur vom 27.06.2013 (s. Anlage) entnehmen können, sind im Rahmen des Verwaltungsverfahrens nach § 115 TKG inzwischen Anordnungen an mehrere Unternehmen ergangen, bei denen die Speicherung von Verkehrsdaten in einigen Punkten über den gesetzlich zulässigen Rahmen hinausgeht. Inhaltlich handelt es sich um die Speicherung von Verkehrsdaten in Zusammenhang mit pauschal abgerechneten Verbindungen (Flatrate), die Speicherung der genutzten Funkzelle (Cell-ID) sowie der Kennung des genutzten Endgerates (IMEI) und schließlich um die Speicherung von Verkehrsdaten zur Missbrauchserkennnung nach § 100 Abs. 3 TKG.

Der von Ihnen in diesem Zusammenhang angeführte Leitfaden hat ausschließlich Empfehlungscharakter und dient der Klarstellung, welche betrieblichen Speicherfristen für Verkehrsdaten von den Aufsichtsbehörden im Regelfall als angemessen angesehen werden(s. Pressemitteilung der Bundesnetzagentur vom 27.09.2012 in der Anlage). Dementsprechend konnte der Leitfaden im genannten Verwaltungsverfahren, bei dem die Prüfung ausschließlich auf Grundlage der gesetzlichen Regelungen erfolgte, nicht als Maßstab für die Zulässigkeit angelegt werden. Die näheren Einzelheiten zum Empfehlungscharakter des Leitfadens und die damit verbundenen Konsequenzen hatte ich Ihnen bereits in meiner Mail vom 12.11.2012 (s.u.)erläutert.

Dieser Beitrag gibt die persönliche Meinung des Autors Patrick Breyer wieder und ist kein offizielles Statement des Arbeitskreises Vorratsdatenspeicherung.

Die Deutsche Telekom hat diese Woche veröffentlicht, wie lange sie welche Verbindungs- und Standortdaten ihrer Kunden speichert. Da man aufgrund solcher Daten leicht in einen falschen Verdacht mit weitreichenden Folgen geraten kann (zur falschen Zeit am falschen Ort gewesen), ist es fatal, dass die Telekom (ebenso wie andere TK-Unternehmen) mit dem Segen des Bundesdatenschutzbeauftragten in großem Umfang nicht erforderliche Kommunikationsdaten hamstert:

  • Die Anrufe und SMS-Verbindungen von Flatrate-Kunden werden fünf Tage lang gespeichert, obwohl dies nicht zur Abrechnung erforderlich ist.
  • Verbindungen mit anderen Netzen werden sechs Monate lang gespeichert, obwohl zur Abrechnung die Rufnummern der beteiligten Anschlüsse nicht gespeichert werden müssten.
  • An welchem Standort man wann sein Handy genutzt hat, wird mindestens sieben Tage lang gespeichert, obwohl dies nicht zur Abrechnung erforderlich ist. So wird die Erstellung genauer Bewegungsprofile möglich. Gespeichert wird auch die Kennung des genutzten Geräts (IMEI).
  • Welcher Internetnutzer wann mit welcher IP-Adresse im Netz unterwegs war, speichert die Telekom sieben Tage lang auf Vorrat. Dies zieht immer wieder polizeiliche Ermittlungen und auch millionenfache Abmahnungen wegen Urheberrechtsverletzungen nach sich – oftmals zu Unrecht.
  • Wer wann wem eine E-Mail geschickt hat, speichert die Telekom ebenfalls sieben Tage lang auf Vorrat.

Wer sich gegen die weitreichende Datensammelei wehren will, kann klagen oder Anonymisierungstechniken einsetzen. Die erste Klage – gegen Vodafone – ist bereits eingereicht.

Die Speicherfristen der übrigen TK-Anbieter finden sich hier; unsere Anzeige an die Bundesnetzagentur erläutert, warum die Datenspeicherung nicht erforderlich ist. Leider weigert sich die Bundesnetzagentur einzuschreiten.

Dieser Beitrag gibt die persönliche Meinung des Autors Patrick Breyer wieder und ist kein offizielles Statement des Arbeitskreises Vorratsdatenspeicherung.

Die Telekommunikationsanbieter wollen sich offensichtlich nach eigenen Aussagen nicht an die Vorgaben des Bundesdatenschutzbeauftragten zur Speicherung von Verbindungsdaten halten. In Bezug auf volumenabhängige Abrechnungsmodelle kann dies bedeuten, dass womöglich doch die IP-Adresse gespeichert und bei diesen Tarifen eine private Vorratsdatenspeicherung stattfinden wird. Zwar wird die Speicherung von IP-Adressen im „Leitfaden zur Verkehrsdatenspeicherung“ von Bundesdatenschutzbeauftragten und Bundesnetzagentur untersagt (wobei trotzdem deutlich mehr Datenspeicherung als bei einfachen Flatrates als „Best Practise“ erlaubt wird), doch die Stellungnahmen der Telekommunikationsanbieter sprechen eine deutliche Sprache. Diese sehen den Leitfaden lediglich als „Empfehlung“ – an die sie sich nicht zwingend halten müssen, wenn es nicht zum Geschäftskonzept passt.
Vorgeschichte des Leitfadens
2012 tauchte im Netz ein Leitfaden zur Datenabfrage der Staatsanwaltschaft auf, in dem detailliert beschrieben wurde, welche Daten durch Behörden bei welchen Anbietern abgefragt werden dürfen. Pikantes Detail: Bei der Auflistung wurde deutlich, dass die Anbieter bei weitem mehr Daten über ihre Kunden erfassen und sie weitaus länger speichern als bisher bekannt. Insbesondere nicht abrechnungsrelevante Daten wie etwa die Funkzelle wurden weitaus länger gespeichert als zulässig. Mit Hilfe der Daten lässt sich durch diese private Vorratsdatenspeicherung ein umfangreiches Bewegungs- und Persönlichkeitsprofil der Nutzer erstellen. Und der Staat greift bei diesen Vorratsdaten eifrig zu. Der Berliner Rechtsanwalt Meinhard Starostik reichte daraufhin Klage gegen Vodafone ein, weil eine rechtlich nicht zulässige Speicherung der Bewegungsdaten seiner Mandantin erfolgt. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit und die Bundesnetzagentur haben reagiert und einen Leitfaden zur datenschutzgerechten Speicherung von Verkehrsdaten bei den Telekommunikationsanbietern erarbeitet. Der Leitfaden wird von Daten- und Verbraucherschützern als unzureichend und dem Gesetz nicht entsprechend kritisiert.
Positionen der Telekommunikationsanbieter
Durch eine Anfrage nach dem Informationsfreiheitsgesetz sind nun Dokumente der Telekommunikationsanbieter Telefonica, VATM und Deutsche Telekom freigegeben worden, in denen die Unternehmensvertreter vorab ankündigen, die Vorgaben selbst des wegen seiner Weite umstrittenen Leitfadens nicht erfüllen zu wollen.
Die Deutsche Telekom AG weiß genau was sie will – und was nicht: „Wir möchten allerdings festhalten, dass es der Deutschen Telekom nicht vollumfänglich möglich ist, die jeweiligen Empfehlungen zur Speicherdauer, abweichend von der gesetzlichen Speicherfrist aus dem Leitfaden umzusetzen, da es sachliche Gründe für eine längere Speicherfrist als im Leitfaden empfohlen gibt. Dies betrifft beispielsweise die Abrechnung mit anderen Carriern auf der Grundlage des §97 Abs.4 TKG, wie bereits ausführlich mit ihrem Haus diskutiert.“
Telefonica will sich die Rosinen aus dem Leitfaden picken und muss erst mal schauen, was davon sie umsetzen möchte: „Wir werden die enthaltenen Empfehlungen prüfen und umsetzen, soweit dieses möglich ist, technische Restriktionen nicht entgegenstehen und auch ein Speicherzweck nicht mehr gegeben ist.
Bei der Umsetzung der Empfehlung hinsichtlich der Interconnectiondaten wird eine Anpassung aus den bereits dargelegten Gründen, wie unternehmensinternen Prozessabläufen und IC-Verträgen nicht möglich sein.“
VATM ist gar nicht gut auf den Leitfaden zu sprechen und fordert für einige Daten eine Speichererlaubnis für rund sechs Monate: „Eine Verkürzung der Speicherdauer verhindert die Aufklärung von Systemfehlern. Um Systemfehler zu erkennen und beseitigen zu können bedarf es eines Zeitraums von 6 Monaten. Können die Ursachen von Systemfehlern nicht erkannt und somit beseitigt werden, so führt dies zu Ungenauigkeiten in der Abrechnung. Somit würde der Anbieter Gefahr laufen, das notwendige Zertifikat gem. § 45 g TKG nicht zu erhalten und die BNetzA wäre gem. § 126 TKG befugt, dem Telekommunikationsanbieter den Dienst zu untersagen.“
Telekommunikationsanbieter wollen bestehende Systeme oft nicht ändern
Aus den Antworten der Telekommunikationsanbieter geht hervor, dass diese nicht bereit sind, ihre derzeitigen Systeme auf eine datensparsame Datenverarbeitung umzustellen. Der Leitfaden für die Speicherung von Verbindungsdaten ist in eingen Punkten weniger datenschutzfreundlich ausgefallen, als etwa Datenschutzverbände wie der Arbeitskreis Vorratsdatenspeicherung gefordert hatten. Insbesondere bei der Frage, welche Daten bei Verbindungen zwischen unterschiedlichen Diensten erfasst werden (Interconection), haben sich die Telekommunikationsanbieter wohl weitgehend durchgesetzt. Bedenklich ist vor allem, dass einige Anbieter in ihren Antworten darauf abstellen, der Leitfaden hätte lediglich den Charakter einer Empfehlung, die in den Punkten, in denen es nicht zum Geschäftskonzept und zu derzeitigen unternehmensinternen Abläufen passt, nicht umgesetzt werden sollen.
Ein Leitfaden scheint daher keine wirksame Lösung zu sein, um die Telekommunikationsanbieter zu datensparsamen Geschäftsmodellen zu verpflichten, auch wenn er ein erster Schritt in die richtige Richtung ist. Auf Selbstregulierung ist hier kein Verlass: Der Bundesdatenschutzbeauftragte und die Bundesnetzagentur müssen jetzt mit Zwangsmitteln und Bußgeldern das Telekommunikations-Datenschutzrecht durchsetzen.

Dieser Text gibt die persönliche Meinung der Autorin Katharina Nocun wieder und stellt keine Mitteilung des Arbeitskreises Vorratsdatenspeicherung dar.

Anlässlich der Veröffentlichung eines Buches über den Mordfall Mirco spekulieren einige Medien, dass Handydaten zur Aufklärung des Falles genutzt wurden, werde die Debatte um die anlasslose Vorratsspeicherung aller Daten neu entfachen.

Aus gleich zwei Gründen hat die verfassungswidrige Vorratsspeicherung aller unserer Kommunikationsdaten mit dem Fall Mirco nichts zu tun:

  1. Die „Vorratsdatenspeicherung“ erfasst den Standort des Handys zu Beginn jeder ein- oder ausgehenden Verbindung. Der Mordfall Mirco wurde aber nicht mit diesen Daten aufgeklärt (der Mörder hatte wohl nicht telefoniert). Genutzt wurden vielmehr die Rohdaten der Telekom, aus denen sich ergibt, wann sich welches Handy in welcher Funkzelle befunden hat. Diese Daten wurden gerade nicht auf Vorrat gespeichert.
  2. Überhaupt ist der Mord an Mirco nach Aufhebung des Gesetzes zur Vorratsdatenspeicherung geschehen und ohne das Gesetz aufgeklärt worden. Der Fall belegt also umgekehrt, dass es der Vorratsdatenspeicherung nicht bedarf.

Aller Wahrscheinlichkeit nach wäre der Mord auch dann aufgeklärt worden, wenn der Täter kein eingeschaltetes Handy dabei gehabt hätte oder wenn sonst keine Handydaten vorgelegen hätten. Die Aufklärungsquote bei Mordfällen liegt bei über 95%. Dies war bereits im Jahr 1900 der Fall. Im Fall Mirco verfügten die Ermittler über DNA des Tatfahrzeugs, des Täters und seines Wohnumfeldes. Sie kannten den Fahrzeugtyp und wussten, dass der Täter im Umfeld wohnte.

Die Handydaten haben den Ermittlungen umgekehrt sogar geschadet: Den 50 km² großen Bereich, den die Polizei vergeblich nach Mirco abgesucht hatte, orientierte die Polizei an der Funkzelle, in der Mircos Handy zuletzt angemeldet war. Dadurch verfehlte sie den Ort, an dem sich der Körper befand, um etliche Kilometer (siehe Pressekonferenz).

Der Mordfall Mirco bereitet Sorgen in umgekehrter Richtung: Er zeigt, dass zumindest die Telekom ohne jede Notwendigkeit protokolliert, wann sich welches Handy in welcher Funkzelle einbucht. So werden lückenlose Bewegungsprofile von jedem von uns erstellt – wie von Malte Spitz demonstriert. Wie lange diese Daten aufbewahrt werden, ist mir nicht bekannt. Ich habe eine Anfrage an die Telekom gerichtet.

Wenn man zur falschen Zeit am falschen Ort war, gerät man wegen seines Handys leicht in das Raster der Ermittler. Im Fall Mirco hatten sie mehrfach Unschuldige festgenommen – bis sie den wahren Täter gefasst hatten. Auch anlässlich einer Anti-Nazi-Demonstration in Dresden sind die Handydaten sämtlicher Teilnehmer ausgewertet worden. Wer auf diese Weise identifiziert wird, kann überwacht, befragt und festgenommen werden. Zum Schutz vor falschem Verdacht rate ich zur Verwendung von Prepaidkarten, die nicht auf den eigenen Namen registriert sind.

Dieser Beitrag gibt die persönliche Meinung des Autors Patrick Breyer wieder und ist kein offizielles Statement des Arbeitskreises Vorratsdatenspeicherung.

Vor zwei Wochen haben Bundesnetzagentur und Bundesdatenschutzbeauftragter einen Leitfaden zu der Frage veröffentlicht, wie lange die Telekommunikationsanbieter welche Daten über unsere Telefon-, Handy-, Internet- und E-Mail-Nutzung speichern dürfen. Hintergrund war eine Anzeige des Arbeitskreises Vorratsdatenspeicherung bei der Bundesnetzagentur wegen der größtenteils illegalen Speicherpraxis der Anbieter. Diese Datensammlei zieht vielfältige staatliche Einsichtnahmen einschließlich massenhafter Funkzellenabfragen und Fälle falschen Verdachts der Ermittlungsbehörden, aber auch Abmahnwellen gegen Internetnutzer nach sich.

Trotz Aufforderung haben Bundesnetzagentur und Bundesdatenschutzbeauftragter an der Ausarbeitung ihres „Leitfadens“ nur die Telekommunikationsindustrie, nicht aber die Verbraucherzentrale und den AK Vorrat beteiligt. Dementsprechend falsch und zugunsten der Anbieter verzerrt gibt der veröffentlichte Leitfaden die Rechtslage wieder.

Um die Rechtslage korrekt darzustellen, habe ich den Leitfaden kurzerhand korrigiert (pdf, odt).

Der wichtigste Korrekturbedarf bestand in den folgenden Punkten:

1. Unzulässigkeit siebentägiger Vorratsspeicherung aller Verbindungs- und Standortdaten

Der Bundesdatenschutzbeauftragte hält eine siebentägige Vorratsspeicherung jeglicher Verkehrsdaten für zulässig, um Störungen zu erkennen und Daten wiederherstellen zu können (Backup). Dies betrifft beispielsweise den Standort von Handynutzern und die Frage, wer wem eine E-Mail geschickt hat.

Tatsächlich erlaubt das geltende Datenschutzrecht eine solche Vorratsdatenspeicherung nicht. Der Bundesdatenschutzbeauftragte beruft sich zu Unrecht auf eine Entscheidung des Bundesgerichtshofs, die nur Internetverbindungen betrifft und die Zulässigkeit deren siebentägiger Vorratsspeicherung offen lässt.

2. Unzulässigkeit einmonatiger Protokollierung kostenfreier Verbindungen

Der Bundesdatenschutzbeauftragte hält es für zulässig, dass einzelne Anbieter die Daten kostenfreier und pauschal abgegoltener Verbindungen nur einmal im Monat ausfiltern und löschen. Tatsächlich fordert das geltende Datenschutzrecht von jedem Anbieter die möglichst datensparsame Einrichtung seiner Systeme, so dass die Daten kostenfreier und pauschal abgegoltener Verbindungen spätestens mit Verbindungsende zu löschen sind (z.B. durch „Online-Billing“).

3. Recht auf Löschung mit Entgeltermittlung

Der Bundesdatenschutzbeauftragte hält es für zulässig, die Daten kostenpflichtiger Verbindungen drei Monate lang zu Nachweiszwecken zu speichern, selbst wenn der Kunde eine Löschung der Daten verlangt. Tatsächlich ist eine Datenspeicherung zu Nachweiszwecken im Fall eines Löschungswunsches nicht erforderlich, weil der Anbieter in diesem Fall nicht nachweispflichtig ist.

4. Unzulässigkeit dreimonatiger Speicherung zur Abrechnung mit anderen Anbietern

Für Verbindungen, die nicht ausschließlich über das Netz des eigenen Anbieters vermittelt werden, muss der Anbieter oftmals einem anderen Anbieter ein Zusammenschaltungs- oder Terminierungsentgelt zahlen. Aus diesem Grund müssen solche Verbindungen, auch wenn sie für den Kunden kostenfrei sind (z.B. Flatrates), protokolliert werden.

Der Bundesdatenschutzbeauftragte verkennt jedoch, dass zur Abrechnung zwischen zwei Anbietern nicht gespeichert werden muss, wer mit wem telefoniert hat; eine Speicherung der beteiligten Anbieter und der Verbindungszeit genügt. Außerdem hat es der Bundesdatenschutzbeauftragte versäumt, klarzustellen, dass zur Abrechnung mit anderen Anbietern nur speichern darf, wer auch tatsächlich abrechnet (und nicht etwa auch der zahlungspflichtige Anbieter).

Nähere Informationen zur Rechtslage finden sich hier:

Fazit

In Anbetracht der Haltung der Datenschutz-Aufsichtsbehörden wird vor Gericht klagen müssen, wer gegen die illegale Datenspeicherung seines Anbieters vorgehen will (siehe Aufruf des AK Vorrat). Die erste Klage – gegen Vodafone – ist bereits eingereicht. Denkbar wäre auch eine Klage gegen den Bundesdatenschutzbeauftragten oder die Bundesnetzagentur wegen Untätigkeit (siehe Entscheidung des VG Darmstadt).

Ergänzung vom 28.04.2013:

Folgende Dokumente zeichnen die Entstehungsgeschichte des umstrittenen Leitfadens nach, der exklusiv zwischen Bundesdatenschutzbeauftragtem, Bundesnetzagentur und TK-Industrie erarbeitet wurde:

Der korrigierte Leitfaden und dieser Beitrag geben die persönliche Meinung des Autors Patrick Breyer wieder und sind kein offizielles Statement des Arbeitskreises Vorratsdatenspeicherung.