Tätigkeitsbericht 2001
Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Pfeil

4.9. Informationsfreiheit

6. Aus der Dienststelle

Pfeil

5. Telekommunikation und Medien

 

Die Terroranschläge des 11. September 2001 haben im Bereich der Telekommunikation zu einer Vielzahl von gesetzgeberischen Initiativen auf nationaler und internationaler Ebene geführt, mit denen die Überwachungsbefugnisse der Strafverfolgungsbehörden und der Geheimdienste erweitert werden sollen.

So enthält das Terrorismusbekämpfungsgesetz eine Verpflichtung der Anbieter von Telekommunikationsdienstleistungen, Auskünfte über Verbindungsdaten zukünftig auch an das Bundesamt für Verfassungsschutz und die anderen Nachrichtendienste des Bundes zu erteilen (§ 8 Abs. 8 BVerfschG, § 10 Abs. 3 MAD-G, § 8 Abs. 3a BND-G).

Einzelne Bundesländer haben im Bundesrat darüber hinaus die Forderung erhoben, die Anbieter von Telekommunikationsdienstleistungen dazu zu verpflichten, Verbindungsdaten über Telekommunikationsvorgänge - unabhängig davon, ob dies für die Abrechnung mit dem Nutzer erforderlich ist, für einen Zeitraum von mindestens sechs Monaten für Zwecke der Strafverfolgung zu speichern.

Solche Mindestspeicherungsfristen existieren bereits jetzt in Großbritannien und Frankreich. Auch auf der Ebene der Europäischen Union gibt es Bestrebungen, den nach wie vor nicht verabschiedeten Vorschlag für eine Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, der die Telekommunikations-Datenschutzrichtlinie 97/66/EG ersetzen soll123, um eine entsprechende Öffnungsklausel zu ergänzen, die den Mitgliedstaaten die Schaffung solcher Speicherungsverpflichtungen ermöglicht.

Sollten sich diese Vorschläge durchsetzen, wäre damit ein Paradigmenwechsel verbunden: Bisher erlauben die einschlägigen Rechtsvorschriften lediglich den Zugriff auf solche Verbindungsdaten, die bei Anbietern von Telekommunikationsdienstleistungen ohnehin für die Abrechnung von Dienstleistungen mit ihren Kunden gespeichert sind. Zukünftig würden hingegen die Telekommunikationsnetze und - soweit die dort angebotenen Dienste in die Überwachungsmaßnahmen mit einbezogen werden - auch das Internet implizit zu einem Fahndungsnetz umgestaltet werden, bei dem sich der Umfang der Speicherung von Verbindungsdaten ausschließlich an den Bedürfnissen der Strafverfolgungsbehörden und der Geheimdienste orientiert. Solchen Bestrebungen waren die Datenschutzbeauftragten in der Vergangenheit entschieden entgegengetreten124.

Diese Entwicklung ist umso bedauerlicher, als es bisher in der Bundesrepublik kaum empirische Untersuchungen darüber gibt, inwieweit diese erheblichen Eingriffe in das Fernmeldegeheimnis aller Nutzer von Telekommunikationsdiensten durch entsprechende Fahndungserfolge bei der Bekämpfung von Straftaten zu rechtfertigen sind. Das bereits im letzten Jahr durch das Bundesministerium der Justiz in Auftrag gegebene Gutachten zu "Rechtswirklichkeit und Effizienz der Überwachung der Telekommunikation nach den §§ 100a, 100b StPO" war zum Ende des Berichtzeitraums noch nicht abgeschlossen. Ergebnisse dieses Gutachtens sollen nach Angaben des Max-Planck-Instituts für ausländisches und internationales Strafrecht in Freiburg im Breisgau Mitte des Jahres 2002 vorliegen.

5.1 Telekommunikationsnetze und -dienste

Übereinkommen über Datennetzkriminalität des Europarates

Über den Entwurf für ein Übereinkommen über Datennetzkriminalität des Europarates hatten wir bereits in unserem Jahresbericht 2000 berichtet. Auch im zurückliegenden Berichtszeitraum hatten sich die Datenschutzbeauftragten wiederum mit dem Übereinkommen zu beschäftigen. Im Rahmen des Übereinkommens, das am 23. November 2001 in Budapest von 26 Mitgliedern des Europarates und 4 weiteren Ländern unterzeichnet worden ist, ist die Einführung verschiedener neuer Straftatbestände geplant, die bisher in den Strafgesetzen vieler Mitgliedstaaten des Europarates nicht enthalten sind. Gleichzeitig werden Verfahren zur Verfolgung dieser Straftaten festgelegt, darunter ebenfalls Maßnahmen zur Verpflichtung von Telekommunikationsanbietern, personenbezogene Daten über Kommunikationsvorgänge in Telekommunikationsnetzen (sowohl Inhalts- als auch Verkehrsdaten) zu speichern und diese Daten nationalen und ausländischen Behörden zur Verfügung zu stellen, die entsprechende Ermittlungen in dem betreffenden Strafverfahren durchführen. Das Übereinkommen wird in Kraft treten, sobald seine Ratifikation durch fünf Staaten - darunter wenigstens drei Mitgliedsländer des Europarates - erfolgt ist.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hatte in einer Entschließung im März 2001125 unter anderem die Bundesregierung aufgefordert, sich bei der Schaffung von nationalen und internationalen Regelungen zur Bekämpfung von Datennetzkriminalität dafür einzusetzen, dass Maßnahmen zur Identifikation von Internet-Nutzern, zur Registrierung des Nutzungsverhaltens und Übermittlung der dabei gewonnen Daten für Zwecke der Strafverfolgung erst dann erfolgen dürfen, wenn ein konkreter Verdacht besteht. Datenschutz und Fernmeldegeheimnis müssen gewährleistet und Grundrechtseingriffe auf das unabdingbare Maß begrenzt, der Zugriff und die Nutzung personenbezogener Daten einer strikten und eindeutigen Zweckbindung unterworfen werden. Schließlich sollen Daten von Internet-Nutzern nur in Länder übermittelt werden dürfen, in denen ein angemessenes Niveau des Datenschutzes, des Fernmeldegeheimnisses und der Informationsfreiheit gewährleistet ist und wo verfahrensmäßige Garantien bei entsprechenden Eingriffen bestehen.

Auch die Art. 29-Datenschutzgruppe hat im März 2001 eine umfangreiche Stellungnahme zum Entwurf des Übereinkommens zur Datennetzkriminalität angenommen126.

Auch wenn die jetzt verabschiedete Fassung gegenüber den vorher veröffentlichten Vorentwürfen einige marginale datenschutzrechtliche Verbesserungen aufweist, berücksichtigt die Konvention nach wie vor einseitig die Interessen der Strafverfolgungsbehörden. Zu kritisieren ist insbesondere, dass bei den Maßnahmen zur Gewährleistung der Netzsicherheit nach wie vor repressiven Maßnahmen gegenüber den Nutzern der Vorzug gegeben wird, anstatt den Betreibern der entsprechenden Infrastruktur-Einrichtungen aufzugeben, für einen besseren Schutz ihrer Anlagen und Übertragungsnetze zu sorgen.

Auch die Kommission der Europäischen Gemeinschaften beschäftigt sich mit dem Problem der Computerkriminalität127. Anders als in der Europaratskonvention ist in dem Papier der Kommission ein Interesse erkennbar, für einen angemessenen Ausgleich zwischen den Bedürfnissen der Strafverfolgungsbehörden einerseits und dem Recht auf informationelle Selbstbestimmung der Nutzer von elektronischen Medien andererseits zu sorgen: So betont die Kommission, dass zur Schaffung einer sicheren Informationsgesellschaft in erster Linie die Sicherheit der Informationsinfrastruktur verbessert werden muss, wobei gleichzeitig anonyme und pseudonyme Nutzungsmöglichkeiten für die angebotenen Dienste erhalten bleiben müssen. Gleichzeitig wird angeregt, über Fragen der Bekämpfung der Datennetzkriminalität einen offenen Diskussionsprozess unter Einbeziehung von Diensteanbietern, Bürgerrechtsorganisationen, Verbraucherverbänden und Datenschutzbeauftragten zu führen128.

Telekommunikations-Überwachungsverordnung

Die langjährigen Bemühungen nunmehr zweier Bundesregierungen, eine Nachfolgevorschrift für die Fernmeldeüberwachungsverordnung zu erstellen, haben im zurückliegenden Jahr ihren Abschluss gefunden: Am 29. Januar 2002 ist die Telekommunikations-Überwachungsverordnung (TKÜV) in Kraft getreten129. Die verschiedenen öffentlich bekannt gewordenen Entwurfsfassungen130 waren bis zum Schluss Gegenstand einer ebenso engagiert wie kontrovers geführten Debatte zwischen dem Bundeswirtschaftsministerium, den Datenschutzbeauftragten, den Anbietern von Telekommunikations- und Internetdienstleistungen und anderen gesellschaftlichen Gruppen. Heiß umstritten war insbesondere bis zuletzt, welche Anbieter von Telekommunikations- und Internetdienstleistungen vom Anwendungsbereich der Verordnung umfasst bzw. ausgenommen werden sollen.

Die Verordnung enthält selbst keine materiellen Befugnisse für die Sicherheitsbehörden für die Telekommunikationsüberwachung; diese Befugnisse sind vielmehr abschließend in der Strafprozessordnung (§§ 100 a, 100 b), dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Art. 10-Gesetz - G10 - ) und dem Außenwirtschaftsgesetz (§§ 39-43) geregelt. Dort ist abschließend festgelegt, bei welchen Straftaten eine Überwachung der Telekommunikation überhaupt angeordnet werden kann. Die Rechtsvorschriften verpflichten Anbieter, die geschäftsmäßig Telekommunikationsdienstleistungen erbringen oder daran mitwirken.

Die TKÜV legt dagegen fest, welche Arten von technischen und organisatorischen Vorkehrungen bestimmte Betreiber von Telekommunikationsnetzen und Anbieter von Telekommunikations- und Internetdienstleistungen treffen müssen, um die technische Umsetzung von Überwachungsmaßnahmen zu ermöglichen.

Die der TKÜV zugrunde liegende Verordnungsermächtigung aus § 88 des Telekommunikationsgesetzes (TKG) fasst den Kreis der Verpflichteten sehr weit: Nach § 88 Abs. 4 TKG ist jeder Betreiber einer Telekommunikationsanlage, der anderen den Netzzugang zu seiner Telekommunikationsanlage geschäftsmäßig überlässt, verpflichtet, den gesetzlich zur Überwachung der Telekommunikation berechtigten Stellen auf Anforderung einen Netzzugang für die Übertragung der im Rahmen einer Überwachungsmaßnahme anfallenden Informationen bereitzustellen.

Die TKÜV selbst schränkt den Kreis der Anbieter, die zur ständigen Vorhaltung technischer Einrichtungen zur Umsetzung der gesetzlich vorgesehenen Maßnahmen zur Überwachung der Telekommunikation und zu vorbereitenden organisatorischen Vorkehrungen für die Umsetzung solcher Maßnahmen verpflichtet sind, auf Betreiber von Telekommunikationsanlagen ein, die Telekommunikationsdienstleistungen für die Öffentlichkeit anbieten. Damit werden die Betreiber von "nicht-öffentlichen" Telekommunikationsanlagen - insbesondere von Telefonnebenstellenanlagen, unternehmensinternen Telekommunikationsanlagen und "corporate networks" - von der Verpflichtung zur Vorhaltung technischer Einrichtungen und zu organisatorischen Vorkehrungen freigestellt. Dies gilt auch für Betreiber von Verbindungsnetzen, zu denen der Teilnehmer keinen direkten Zugang hat, Internet-Access-Provider und Betreiber von Telekommunikationsanlagen, die aus Übertragungswegen gebildet werden, die nicht dem unmittelbaren teilnehmerbezogenen Zugang zum Internet dienen. Einbezogen in den Kreis der Verpflichteten sind dagegen Übertragungswege im Internet, mit denen einem Teilnehmer unter Umgehung der Vermittlungsfunktion eines Zugangsnetzes der unmittelbare Zugang zum Internet eröffnet wird. Die Begründung führt hierzu insbesondere Anbieter von DSL-Anschlüssen auf131. Ausgenommen sind auch Betreiber von Telekommunikationsanlagen, die der Verteilung von Rundfunk oder anderen für die Öffentlichkeit bestimmten Informationen oder dem Abruf von allgemein zugänglichen Informationen dienen (dies betrifft z. B. Telekommunikationsanlagen von Content-Providern), sowie von Telekommunikationsanlagen, die der Übermittlung von Messwerten oder nicht individualisierten Daten, wie z. B. Verkehrsmessanlagen oder von Notrufen oder "Informationen für die Sicherheit und Leichtigkeit des See- oder Luftverkehrs", dienen (§ 2 Abs. 2 Nr. 4 TKÜV); ferner kleine Telekommunikationsanlagen, an die nicht mehr als 1.000 Teilnehmer angeschlossen sind.

Erleichterungen in Bezug auf Zeiträume, innerhalb derer die Daten den Behörden zur Verfügung gestellt werden müssen, sowie hinsichtlich der Ausgestaltung des technischen Verfahrens sind darüber hinaus auf Antrag für Betreiber kleiner Telekommunikationsanlagen, an die nicht mehr als 10.000 Teilnehmer angeschlossen sind, möglich (vgl. § 21 TKÜV).

Im Vorfeld der Verabschiedung der TKÜV war insbesondere umstritten, inwieweit Anbieter von Internetdienstleistungen in den Anwendungsbereich der TKÜV mit einbezogen werden sollen. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat sich in einer Entschließung unter anderem entschieden dagegen gewandt, mit der TKÜV eine technische Infrastruktur zu schaffen, die jederzeit eine umfassende Überwachung des Internet-Verkehrs möglich macht132. Es ist daher zu begrüßen, dass zumindest Internet-Access-Provider (allerdings mit Ausnahme der DSL-Anschlüsse) und Inhalteanbieter ausdrücklich vom Geltungsbereich der Verordnung ausgenommen worden sind. Dagegen sind Anbieter von E-Mail-Diensten für ihre Mail-Server in den Anwendungsbereich der Verordnung einbezogen. Dies betrifft allerdings nur Einrichtungen, die den Endteilnehmern einen direkten Zugriff ermöglichen (also die SMTP- und POP3-Server eines Anbieters, bei dem ein bestimmter Nutzer eine E-Mail-Adresse registriert hat), nicht aber Server, die nur als Vermittlungsknoten bei der Zustellung solcher Nachrichten dienen.

Angesichts der vielfältigen im Internet bestehenden Umgehungsmöglichkeiten (als Beispiel sei hier nur die Registrierung einer E-Mail-Adresse bei einem ausländischen Anbieter genannt) sind jedoch Zweifel angebracht, ob die Verpflichtung dieser Anbieter durch die TKÜV auch im Hinblick auf die damit für die Anbieter solcher Dienste entstehenden, erheblichen Kosten dem Grundsatz der Verhältnismäßigkeit genügt.

Anzuerkennen ist der Versuch des Verordnungsgebers, die in der Verordnungsermächtigung des § 88 TKG wesentlich zu weit gefasste Ermächtigung in der Verordnung selbst - wenngleich durch ein sehr komplexes System verschiedener Rückausnahmen und einzelner Erleichterungen - auf ein einigermaßen vernünftiges Maß zu begrenzen. Gleichwohl sollte die vom Bundeswirtschaftsministerium angekündigte Novellierung des TKG in der nächsten Legislaturperiode dazu genutzt werden, die überschießende Verordnungsermächtigung bereits im Gesetz selbst entsprechend einzuschränken. Aber auch die jetzt in der TKÜV festgelegten Verpflichtungen sollten in absehbarer Zeit im Lichte der Ergebnisse der Untersuchung über die Effektivität von Telekommunikations-Überwachungsmaßnahmen133 im Rahmen einer Evaluation auf den Prüfstand gestellt werden.

Zugriff der Strafverfolgungsbehörden auf Verbindungsdaten

Mit einem Gesetz zur Änderung der Strafprozessordnung134 wurden die Bestimmungen des § 12 Fernmeldeanlagengesetz (FAG), der bisher den Zugriff der Strafverfolgungsbehörden auf bei Anbietern von Telekommunikationsdienstleistungen gespeicherte Verbindungsdaten regelt, ersetzt. § 12 FAG trat zum 31. Dezember 2001 außer Kraft, so dass die Schaffung einer neuen Rechtsvorschrift erforderlich war, wenn die bisher im Fernmeldeanlagengesetz enthaltenen Befugnisse für die Strafverfolgungsbehörden nicht ersatzlos entfallen sollten.

Die Datenschutzbeauftragten hatten in der Vergangenheit mehrfach die bisher in § 12 FAG enthaltenen Eingriffsbefugnisse für die Strafverfolgungsbehörden als zu weitgehend kritisiert und die Ersetzung der Vorschrift durch eine verfassungskonforme Bestimmung im Rahmen der Strafprozessordnung gefordert135. Das neue Gesetz enthält datenschutzrechtlich positive Ansätze: So wird die Anordnungsbefugnis zukünftig auf Straftaten von erheblicher Bedeutung, insbesondere auf die in § 100 a Satz 1 StPO genannten Straftaten beschränkt.

Gleichzeitig ist jedoch eine Anordnungsbefugnis für beliebige weitere Straftaten vorgesehen, die mittels einer Endeinrichtung begangen werden (§ 100 g Abs. 1 Satz 1 StPO). Abweichend von der bisherigen Rechtslage kann die Auskunft jetzt in beiden Fällen auch über zukünftige Telekommunikationsverbindungen angeordnet werden.

Wenn die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsorts des Beschuldigten auf andere Weise aussichtslos oder wesentlich erschwert wäre, darf zusätzlich auch die Erteilung einer Auskunft darüber angeordnet werden, ob von einem Telekommunikationsanschluss Telekommunikationsverbindungen zu den Beschuldigten hergestellt worden sind (§ 100 g Abs. 2 StPO).

Eine Verpflichtung zur Speicherung von Verbindungsdaten nur für Zwecke der Strafverfolgung, wie sie § 100 a StPO ermöglicht, ist mit der Regelung ausdrücklich nicht verbunden. Auch Auskünfte über Aktivmeldungen von Mobiltelefonen im "stand by"-Betrieb werden durch die Vorschrift (noch) nicht ermöglicht.

In der Gesetzesbegründung wird darauf abgestellt, dass sowohl die IMEI (International Mobile Equipment Identification)-Nummer von Mobiltelefonen als auch die im Internet verwendeten IP-Adressen durch den Begriff "Kennung" in § 100 g Abs. 3 StPO erfasst werden sollen. Dies ist jedoch nicht der Fall, da die IMEI-Nummer von den Betreibern weder zu Nutzungs- noch zu Abrechnungszwecken benötigt wird und ihre Speicherung als Verbindungsdatum daher gemäß § 89 Abs. 2 TKG unzulässig wäre. Wenn die IMEI-Nummer tatsächlich unter den Begriff der "Kennung" in § 100 g Abs. 3 Nr. 1 des Entwurfs fallen soll, wäre dies eine Verarbeitung allein für Zwecke der Strafverfolgung, die jedoch ausdrücklich nicht beabsichtigt ist. Bei IP-Adressen, die von Internet-Nutzern verwendet werden, handelt es sich überdies im Regelfall nicht um Bestandsdaten der Telekommunikation. Vielmehr sind feste "statische" IP-Adressen, die von Telediensteanbietern vergeben und gespeichert werden, als Bestandsdaten des jeweiligen Teledienstes anzusehen. Bei den vielfach üblichen "dynamisch" zugewiesenen IP-Adressen handelt es sich weder um Bestandsdaten der Telekommunikation noch um solche der Teledienste, sondern um Verbindungs- beziehungsweise Nutzungsdaten des Teledienstes. Soweit IP-Adressen durch Telekommunikationsdienste (z. B. im ISDN) übertragen werden, handelt es sich dabei um Inhalte der Telekommunikation, die nur unter den Voraussetzungen der §§ 100 a, 100 b StPO überwacht werden dürfen.

Aufenthaltsinformationen in mobilen Kommunikationsdiensten (Location based services)

Aufenthaltsinformationen werden in den Mobilfunknetzen bereits seit deren Bestehen verarbeitet. In der Vergangenheit wurden diese Informationen nur zum Aufbau einer Verbindung zu dem mobilen Endgerät generiert und genutzt; daher verfügten nur die Anbieter von Telekommunikationsnetzen über solche Aufenthaltsinformationen, die in den meisten Ländern umfassend zur Wahrung des Fernmeldegeheimnisses verpflichtet sind.

Während sich bisher die Genauigkeit der Ortung nach der Größe der betreffenden Funkzelle in dem zellularen Netzwerk richtete, haben die Betreiber von Netzwerken jetzt damit begonnen, die technische Infrastruktur ihrer Netzwerke so zu verändern, dass in naher Zukunft wesentlich genauere Informationen über den Aufenthaltsort eines jeden mobilen Endgerätes verfügbar sein werden. Die Entwicklung des mobilen elektronischen Geschäftsverkehrs wird gleichzeitig zur Einführung einer Vielzahl von neuen Diensten führen, die auf der Kenntnis des präzisen Aufenthaltsortes der Nutzer basieren. Damit werden Aufenthaltsinformationen auch für solche Anbieter verfügbar, die nicht an die gesetzlichen Beschränkungen des Fernmeldegeheimnisses unmittelbar gebunden sind.

Die verbesserte Genauigkeit von Aufenthaltsinformationen und ihre Verfügbarkeit nicht nur für die Betreiber mobiler Telekommunikationsnetze kann zu neuen Risiken für die Privatsphäre von Nutzern mobiler Endgeräte führen.

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation hat auf ihrer 29. Sitzung am 15./16. Februar 2001 einen gemeinsamen Standpunkt zu Datenschutz und Aufenthaltsinformationen in mobilen Kommunikationsdiensten gefasst, in dem Forderungen hinsichtlich der datenschutzgerechten Gestaltung solcher Dienstleistungen erhoben werden136. Darin hat die Arbeitsgruppe u. a. gefordert, den Entwurf und die Auswahl technischer Einrichtungen solcher Dienste an dem Ziel zu orientieren, entweder überhaupt keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Grundsätzlich sollten präzise Aufenthaltsinformationen nicht als ein Standard-Leistungsmerkmal eines Dienstes generiert werden, sondern nur "nach Bedarf", soweit es für einen bestimmten Dienst erforderlich ist, der an den Aufenthaltsort des Nutzers geknüpft ist. Der Nutzer muss gleichzeitig die volle Kontrolle darüber behalten, ob präzise Aufenthaltsinformationen im Netz entstehen. Nutzer sollten die Möglichkeit haben, die präzise Aufenthaltsbestimmung jederzeit abschalten zu können.

Aufzeichnung von Verbindungsdaten in der Berliner Verwaltung

Bereits in unserem letzten Jahresbericht hatten wir darauf hingewiesen, dass bei der Verarbeitung personenbezogener Daten auf Telekommunikationsanlagen im Land Berlin die Regelungen des § 5 Informationsverarbeitungsgesetz (IVG) einzuhalten sind137. Insbesondere müssen Dienst- und Privatgespräche getrennt werden; darüber hinaus dürfen Dienstgespräche im Regelfall nicht apparate- bzw. mitarbeiterbezogen gespeichert, sondern müssen Gruppen von in der Regel nicht weniger als zehn Beschäftigten zugeordnet werden.

Die technische Umsetzung dieser Regelung bereitet in der Berliner Verwaltung offensichtlich nach wie vor Schwierigkeiten.

So hatte die Freie Universität Berlin uns bereits im Januar 2000 darüber informiert, dass dort die Neuinstallation von mehreren vernetzten digitalen ISDN-Nebenstellenanlagen geplant war. Dort war ursprünglich die mitarbeiterbezogene Speicherung auch von Verbindungsdaten über Dienstgespräche geplant. Unterdessen konnte in intensiven Gesprächen zwischen unserer Dienststelle, der behördlichen Datenschutzbeauftragten der FU und den anderen dort mit der Umsetzung des Vorhabens befassten Stellen sowie Vertretern des Herstellers der Anlage eine Lösung gefunden werden, die die Bestimmung des § 5 IVG unter Nutzung der vom Hersteller standardmäßig zur Verfügung gestellten Softwarekomponenten in befriedigender Weise umsetzt.

5.2 Tele- und Mediendienste

Novellierung des Teledienstedatenschutzgesetzes

Bereits bei In-Kraft-Treten des Informations- und Kommunikationsdienstegesetzes im August 1997 war der Bundesregierung durch Beschluss des Bundestages die Evaluierung der damals neuen Regelung innerhalb von zwei Jahren nach In-Kraft-Treten des Gesetzes auferlegt worden138. In unserem letzten Jahresbericht hatten wir über die Initiative der Bundesregierung berichtet, die Ergebnisse der Evaluierung des IuKDG in einer Novellierung des Gesetzes umzusetzen139. Mit dem Elektronischer Geschäftsverkehr-Gesetz (EGG), das am 21. Dezember 2001 in Kraft getreten ist140, erfolgte dies zusammen mit der Umsetzung der Europäischen E-Commerce Richtlinie141.

Zu den wesentlichen Änderungen zählt, dass die bereits vorher bestehende Berechtigung der Anbieter von Telediensten, Nutzungsprofile bei Verwendung von Pseudonymen zu erstellen, unter den Vorbehalt eines Widerspruchs des Nutzers gestellt wurde (§ 6 Abs. 3 TDDSG).

Neu eingefügt wurde auch eine Vorschrift, die den Anbietern von Telediensten ermöglicht, personenbezogene Daten ihrer Nutzer über die ansonsten gesetzlich festgelegten Fristen hinaus zu verarbeiten, wenn dem Diensteanbieter tatsächliche Anhaltspunkte vorliegen, dass seine Dienste von diesen Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten (§ 6 Abs. 8 TDDSG). Betroffene Nutzer sind in diesen Fällen allerdings über derartige Maßnahmen zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

Erfreulich ist, dass das TDDSG jetzt um Bußgeldvorschriften ergänzt worden ist, die in der Vorgängerfassung des Gesetzes "vergessen" worden waren. § 9 TDDSG enthält nunmehr einen Katalog von Bußgeldtatbeständen, nach denen Verstöße von Telediensteanbietern gegen die Bestimmungen des TDDSG bei der Verarbeitung personenbezogener Daten mit einer Geldbuße bis zu 50.000 Euro geahndet werden können.

Auch das Teledienstegesetz (TDG) ist um eine Bußgeldvorschrift ergänzt worden, die sich auf Verstöße gegen die Impressumspflicht bezieht (vgl. §§ 6, 12 des TDG). Gleichzeitig sind die Informationspflichten der Anbieter von Telediensten in § 6 TDG erweitert worden.

Gestrichen wurde die Bestimmung des § 5 Abs. 2 TDDSG, nach der für die Verarbeitung von Bestandsdaten der Nutzer für Zwecke der Werbung, der Markt- und Meinungsforschung oder zur bedarfsgerechten Gestaltung von Telediensten eine ausdrückliche Einwilligung der Nutzer erforderlich war. Trotzdem ist die Einwilligung in diesen Fällen weiterhin erforderlich: Ein Rückgriff auf die Bestimmung des § 28 BDSG, das für werbliche Nutzung eine Widerspruchslösung vorsieht, ist nicht möglich, weil die in § 5 TDDSG festgelegten Erlaubnistatbestände dort abschließend geregelt sind.

Vom Geltungsbereich des TDDSG ausgenommen ist zukünftig die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Dienst- und Arbeitsverhältnis, soweit die Nutzung der Teledienste zu ausschließlich beruflichen oder dienstlichen Zwecken erfolgt (§ 1 Abs. 1 Nr. 1 TDDSG); die Aufsichtsbehörden hatten bereits in der Vergangenheit eine Geltung des TDDSG für diesen Bereich verneint. Dies ist jetzt auch im Gesetzestext selbst ausdrücklich klargestellt. Für den genannten Bereich sind die Regelungen des BDSG anzuwenden.

Ebenfalls ausgenommen ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten innerhalb von oder zwischen Unternehmen oder öffentlichen Stellen, soweit die Nutzung der Teledienste zur ausschließlichen Steuerung von Arbeits- oder Geschäftsprozessen erfolgt ("b2b"; § 1 Abs. 1 Nr. 2 TDDSG). Damit soll dem Umstand Rechnung getragen werden, dass das TDDSG eigentlich den privaten Nutzer schützen soll. Unklar ist allerdings bisher, wie dieser Bereich von privaten Nutzungsverhältnissen abgegrenzt werden kann.

Wie üblich wurde im Bundesrat im Gesetzgebungsverfahren der Versuch unternommen, Verpflichtungen der Anbieter von Telediensten zur Speicherung und Übermittlung von Bestands- und Nutzungsdaten für Zwecke der Strafverfolgung einzuführen. So sollten Bestands- und Nutzungsdaten bei Telediensten nicht nur an Strafverfolgungsbehörden, sondern auch an Verwaltungsbehörden zur Verfolgung von Ordnungswidrigkeiten und an Nachrichtendienste übermittelt werden. Anbieter von Telediensten sollten darüber hinaus zur Speicherung von Nutzungsdaten auf Vorrat für eine mögliche spätere Strafverfolgung verpflichtet werden. Gegen diese Bestrebungen hat sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung zum Datenschutz beim elektronischen Geschäftsverkehr entschieden ausgesprochen142.

Internet-Dienstvereinbarung der Berliner Verwaltung

Die Senatsverwaltung für Inneres plant, mit dem Hauptpersonalrat für die Behörden, Gerichte und nicht-rechtsfähigen Anstalten des Landes Berlin eine "Dienstvereinbarung über die Nutzung des Internet und anderer elektronischer Informations- und Kommunikationsdienste in der Berliner Verwaltung" zu schließen. Die Dienstvereinbarung soll insbesondere die Befugnisse der genannten öffentlichen Stellen des Landes Berlin zur Speicherung personenbezogener Nutzungsdaten für solche Dienste regeln.

Die Speicherung von personenbezogenen Daten über das Nutzungsverhalten einzelner Nutzer soll dabei nur in Ausnahmefällen zugelassen werden: In der Regel sollen zur Abrechnung und Kontrolle der kostenverursachenden dienstlichen Nutzung nur der Zeitpunkt des Abrufs und die Größe des übertragenen Objekts für Gruppen von 15 Mitarbeitern gespeichert werden.

Zur Kontrolle missbräuchlicher Nutzung ist vorgesehen, dass - soweit ein hinreichender Verdacht auf Verletzung entsprechender dienst- oder arbeitsvertraglicher Pflichten durch Nutzung des Internet vorliegt - über längstens drei Monate hinweg nach Ankündigung Nutzungsdaten einschließlich der abgerufenen Zielseiten in Gruppen von mindestens sieben Mitarbeitern gespeichert werden dürfen (§ 5 Abs. 1).

Lediglich beim dringenden Verdacht eines Dienstvergehens oder der Verletzung arbeitsvertraglicher Pflichten kann die zuständige Dienstelle mit Zustimmung der obersten Dienstbehörde zur Aufklärung des Sachverhalts für die Dauer von längstens drei Monaten Nutzungsdaten auch über Einzelpersonen speichern, um von ihnen Erklärung des dienstlichen Bezugs dieser Zugriffe zu verlangen. Über diese Maßnahmen sind die betroffenen Beschäftigten im Nachhinein zu informieren.

Die Bestimmungen des Entwurfs sind im Wesentlichen den Regelungen des § 5 IVG nachgebildet.

Die Senatsverwaltung für Inneres hat uns bei der Erstellung der Dienstvereinbarung beteiligt. Dabei war eine Vielzahl unterschiedlicher Bedürfnisse zu berücksichtigen, die eine Speicherung von Nutzungsdaten und der Internet-Nutzung erfordern. Dazu gehören unter anderem auch Aspekte der Datensicherheit, die die Speicherung von Nutzungsdaten zur Erkennung und Verfolgung von Eindringversuchen in das Berliner Landesnetz von außen erforderlich machen. Die vielen verschiedenen Bedürfnisse haben ein relativ komplexes Regelwerk entstehen lassen, das allerdings aus Sicht des Datenschutzes die personenbezogene Speicherung von Nutzungsdaten nur in wenigen Fällen zulässt und dem Gebot der Datenvermeidung nach § 5 a BlnDSG entspricht.

In der Praxis werden bisher Nutzungsdaten auf Proxy-Rechnern in der Berliner Verwaltung in größerem Umfang gespeichert, als die Regelungen in der Dienstvereinbarung dies zulassen. Zum ordnungsgemäßen Betrieb der Firewalls und Proxy-Rechner dürfen personenbezogene Daten wie Rechneradresse oder Nutzerkennung nur so weit und so lange in Verbindung mit Kommunikationsinhaltsdaten wie z. B. den aufgerufenen Seiten im Internet unter Wahrung der gesetzlichen Zweckbindung gemäß § 11 Abs. 5 BlnDSG gespeichert werden, wie dies für die Sicherstellung der Betriebsfähigkeit zwingend erforderlich ist. Dies ist zumindest hinsichtlich der vom LIT betriebenen Firewall nur für sehr wenige Nutzer der Fall. Die dortigen Sicherheitserfordernisse können überwiegend mit - nicht personenbezogenen - Protokolldaten auf Proxy-Ebene sichergestellt werden.

UseNet News-Server

Einem Bürger war von einem Berliner Betreiber eines Servers, der der Nutzung des "UseNet News"-Dienstes im Internet dient, die Benutzerkennung gesperrt worden, die dort benötigt wird, um Beiträge in einzelnen Newsgroups veröffentlichen zu können. Als Grund gab der Betreiber an, der Nutzer hätte gegen die Verpflichtung aus den dortigen Nutzungsbedingungen verstoßen, nach der jeder Beitrag in der Betreffzeile mit dem vollen Vor- und Nachnamen des Nutzers gekennzeichnet werden muss. Der Betroffene wandte sich an uns mit der Bitte um datenschutzrechtliche Beratung.

Der UseNet News-Dienst (auch "Netnews" oder "News") gehört zu den ältesten Diensten des Internet. Über die angeschlossenen Server können die Nutzer auf eine Vielzahl verschiedener, thematisch gegliederter "Newsgroups" zugreifen und dort die Beiträge anderer Nutzer lesen beziehungsweise selbst Beiträge in die Gruppen einstellen. Hierzu hat die Netzgemeinde im Laufe der Jahre im Wege der Selbstregulierung ein Regelwerk verfasst ("Netiquette"), das den "guten Ton" bei der Nutzung des Dienstes festlegt. Zu den dort getroffenen Festlegungen zählt unter anderem, dass angeregt wird, dass Nutzer, die Beiträge in einzelnen Gruppen veröffentlichen, diese mit ihrem vollen Vor- und Nachnamen kennzeichnen. In einigen Newsgroups, in denen es um sehr sensible Themen geht (beispielsweise sexuelle Gewohnheiten), wird hingegen die Nutzung von Pseudonymen beispielsweise Artikeln, die über so genannte Anonymous Re-mailer in die Gruppen eingestellt werden, geduldet.

Bei dem Angebot, Beiträge unter Nutzung von technischen Einrichtungen eines Anbieters in die Newsgroups einzustellen, handelt es sich um einen Teledienst. Damit sind die Bestimmungen des TDDSG anzuwenden. Dieses sieht vor, dass Anbieter ihren Nutzern die Möglichkeit zur anonymen bzw. pseudonymen Nutzung ihrer Dienste einräumen müssen (§ 4 Abs. 1), soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeiten zu informieren.

Dem Betreiber eines solchen Dienstes steht es natürlich frei, seinen Nutzern die Einhaltung der in der "Netiquette" niedergelegten Festlegungen zu empfehlen. Er darf die Einhaltung dieser Regeln jedoch dann nicht erzwingen, wenn dies gegen geltendes Recht verstößt. Vorliegend hatte der Betreiber es versäumt, die Nutzer in angemessener Form darüber zu informieren, dass verfasste Nachrichten auch mit einem Pseudonym gekennzeichnet werden können.

5.3 Datenschutz und Medien

Im zurückliegenden Berichtszeitraum ist der Zweite Staatsvertrag zur Änderung des Staatsvertrags über die Zusammenarbeit zwischen Berlin und Brandenburg im Bereich des Rundfunks in Kraft getreten143. Der Staatsvertrag gilt für private Rundfunkveranstalter in den Ländern Berlin und Brandenburg; durch die in Kraft getretenen Änderungen werden unter anderem die geltenden Datenschutzbestimmungen an die Regelungen des Vierten Rundfunkänderungsstaatsvertrages144 in das Berliner und Brandenburger Landesrecht auch für die privaten Rundfunkveranstalter übernommen.

Letztmals: Negative Auskunftspflicht

Nach wie vor hatten wir uns mit dem Umfang der Auskunftspflicht von Rundfunkteilnehmern zu befassen. Mehrere Berliner Rundfunkteilnehmer hatten sich darüber beschwert, dass die im Auftrag des Senders Freies Berlin tätige GEZ bei ihnen wiederholt Auskunft darüber begehrt hatte, ob neben Hörfunk- nunmehr auch Fernsehgeräte zum Empfang bereitgehalten würden.

Der SFB behauptete eine Auskunftspflicht nach § 4 Abs. 5 Rundfunkgebührenstaatsvertrag auch dann, wenn von dem Betroffenen weiterhin keine Fernsehgeräte zum Empfang bereitgehalten werden, und bestand darauf, dass Rundfunkteilnehmer, die nur ein Hörfunkgerät angemeldet haben, der Rundfunkanstalt beziehungsweise der GEZ in jährlichen Abständen mitteilen, dass sie weiterhin nicht über ein Fernsehgerät verfügen. Unsere Überprüfung hatte demgegenüber ergeben, dass die Vorschrift des Rundfunkgebührenstaatsvertrages nicht zu einer derartigen "Negativ-Auskunft" verpflichtet145. Der SFB hat es jedoch unterlassen, unsere Anregung umzusetzen, die Formulare derart zu gestalten, dass künftig eine Auskunftspflicht nur noch in den Fällen angeführt wird, in denen ein Fernsehgerät zum Empfang bereitgehalten wird146. Auf nochmalige Nachfrage hat uns der SFB mitgeteilt, dass man dort an der Auffassung festhalte, dass eine Auskunftspflicht auch in den Fällen besteht, in denen weiterhin kein Fernsehgerät zum Empfang bereitgehalten wird. Wir haben daraufhin unter Ausschöpfung der uns zur Verfügung stehenden Mittel das vom SFB praktizierte Verfahren formell datenschutzrechtlich nach § 26 Abs. 1 BlnDSG beim Intendanten des SFB beanstandet.

Auch diese Maßnahmen konnte jedoch den SFB nicht dazu bewegen, von seiner bisherigen Praxis abzurücken. Der Intendant des SFB hat vielmehr - in Übereinstimmung mit den anderen Landesrundfunkanstalten - die Auffassung des SFB bekräftigt, dass auch solche Personen zur Auskunft verpflichtet sind, die weiterhin kein Fernsehgerät zum Empfang bereithalten. Wir halten dagegen an unserer Rechtsauffassung fest.

Immerhin hat der SFB das dort praktizierte Verfahren insoweit verändert, dass Rundfunkteilnehmer, die gegenüber dem SFB beziehungsweise der GEZ einmal bestätigen, dass sie weiterhin kein Fernsehgerät zum Empfang bereithalten, und gleichzeitig ausdrücklich darum bitten, von weiteren Anfragen gleicher Art ausgenommen zu werden, bei der GEZ für zukünftige gleichartige Versandmaßnahmen - ohne Anerkenntnis einer Rechtspflicht - gesperrt werden. Damit besteht für die "Nur-Hörfunkteilnehmer" zukünftig immerhin die Möglichkeit zu erreichen, dass sie derartige Anschreiben nicht "alle Jahre wieder" mehrfach in ihrem Briefkasten vorfinden.

Neue Medienordnung

Große Ereignisse werfen ihre Schatten voraus: Bund und Länder haben sich grundsätzlich darauf geeinigt, die Gesetzgebungskompetenz im Bereich der Medien neu zu ordnen. Dabei soll der Jugendschutz in die Gesetzgebungskompetenz der Länder überführt werden; im Gegenzug soll der Bund die Gesetzgebungskompetenz für die Mediendienste erhalten, die bisher in einem Staatsvertrag der Länder geregelt sind147.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in einer Entschließung148 darauf hingewiesen, dass zu den bei der Neuordnung der Gesetzgebungskompetenzen von Bund und Ländern zu beachtenden Rahmenbedingungen auch die Grundrechte auf Schutz der Privatsphäre und der personenbezogenen Daten sowie der Meinungsfreiheit und der Vertraulichkeit der Kommunikation zählen. Diese Rechte müssen in einer neuen Medienordnung durchgängig gewährleistet bleiben. Die Konferenz hat aus diesem Grund gefordert, das Fernmeldegeheimnis nach Artikel 10 des Grundgesetzes zu einem allgemeinen Kommunikations- und Mediennutzungsgeheimnis weiterzuentwickeln und einfach gesetzlich abzusichern.

Änderungen in Bezug auf die Rechte der Nutzer von Mediendiensten und die Pflichten der Anbieter sind durch die geplante Verlagerung der Gesetzgebungskompetenz kaum zu erwarten, da die Datenschutzregelungen des Mediendienste-Staatsvertrags bereits jetzt weitestgehend den Vorschriften für die Anbieter von Telediensten149 entsprechen, die bereits jetzt durch Bundesgesetz geregelt sind. Eine Vereinheitlichung der Gesetzesmaterie dürfte die Tätigkeit der Anbieter von Diensten im Internet insofern erleichtern, als die Einordnung bestimmter Internet-Dienstleistungen als Tele- beziehungsweise als Mediendienste in der Vergangenheit in Einzelfällen zu Schwierigkeiten geführt hat.

Unverändert sollte auch die Zuweisung der datenschutzrechtlichen Kontrollkompetenz an die Aufsichtsbehörden der Länder bleiben, die bisher sowohl für Tele- als auch für Mediendienste besteht, um ein Auseinanderfallen der Datenschutzkontrolle im Offline- und Online-Bereich zu verhindern.

Zusammenführung der Landesrundfunkanstalten SFB und ORB

Die Berliner Senatskanzlei und die Staatskanzlei Brandenburg planen den Abschluss eines Staatsvertrages, mit dem der Sender Freies Berlin (SFB) und der Ostdeutsche Rundfunk Brandenburg (ORB) zu einer gemeinsamen Landesrundfunkanstalt für Berlin und Brandenburg zusammengeführt werden sollen. Wir haben gemeinsam mit dem LDA Brandenburg hierzu einen Vorschlag für die Datenschutzbestimmungen, die bei der neugebildeten Rundfunkanstalt Anwendung finden sollen, übersandt. Da bereits jetzt das geltende Recht für den SFB in Berlin und den ORB in Brandenburg sich nur Nuancen unterscheidet, haben wir im Wesentlichen empfohlen, die bisher bestehenden Regelungen in den Staatsvertrag zu übernehmen.

Insbesondere sollte es bei der bisherigen Aufteilung der datenschutzrechtlichen Kontrollkompetenz auch bei der neuen Rundfunkanstalt bleiben: Bereits jetzt wird sowohl in Berlin als auch in Brandenburg im "journalistisch-redaktionellen" Bereich, soweit die Rundfunkanstalt personenbezogene Daten ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet, die Kontrolle der Einhaltung des geltenden Datenschutzrechts durch eine(n) Datenschutzbeauftragte(n) der jeweiligen Rundfunkanstalt wahrgenommen. Diese Beschränkung der staatlichen Aufsicht im publizistischen Kernbereich der Tätigkeit der Rundfunkanstalten ist aus verfassungsrechtlichen Gründen (Art. 5 GG) geboten.

Die Kontrolle der Verarbeitung personenbezogener Daten von Mitarbeitern und Rundfunkteilnehmern im "wirtschaftlich-administrativen" Bereich wird dagegen auch schon bisher vom jeweiligen Landesbeauftragten für den Datenschutz wahrgenommen. Dabei muss es auch zukünftig bleiben, da eine umfassende Kontrollbefugnis der Datenschutzbeauftragten der Rundfunkanstalten auch für die Verarbeitung von Mitarbeiter- und Rundfunkteilnehmerdaten den Bestimmungen der Europäischen Datenschutzrichtlinie (Art. 9) widersprechen würde.  

Zum Seitenanfang
Nächste Seite
Zur Übersicht der Jahresberichte Zur Übersicht der Jahresberichte
 Letzte Änderung:
 am 20.03.2002
E-Mail an den Berliner Beauftragten für Datenschutz und Akteneinsicht