25. Tätigkeitsbericht (2003)

8

Recht und Technik der neuen Medien

8.1

Selbstregulierung durch den deutschen Presserat

Die Pressefreiheit ist ein hohes Gut. Daher gelten für Presseorgane nicht die allgemeinen Datenschutzvorschriften. Im Wege der Selbstregulierung soll jetzt dafür gesorgt werden, dass die Rechte der Betroffenen gleichwohl nicht auf der Strecke bleiben.

Mit dem 2001 in Kraft getretenen neu gefassten Bundesdatenschutzgesetz (BDSG) hat der Bundesgesetzgeber eine Rahmenregelung geschaffen, die den Ländern vorgibt, wie sie das Presserecht im Bereich des Datenschutzes zu gestalten haben. Das BDSG enthält für die Presse und ihre Hilfsunternehmen lediglich wenige Vorschriften. Dies sind insbesondere die Verpflichtung zur Wahrung des Datengeheimnisses sowie die Vorgaben zu den technischen und organisatorischen Maßnahmen. Außerdem wird auf ein Instrument verwiesen, das durch die Europäische Datenschutzrichtlinie aus dem Jahr 1995 neu eingeführt wurde: Die Möglichkeit, dass die beteiligten Verbände selbst für ihre Mitgliedsunternehmen bestimmte Vorgaben für den Datenschutz aufstellen. Einige Länder haben bereits ihre Pressegesetze entsprechend angepasst; in Schleswig-Holstein steht dies noch aus.

Auf dieser Grundlage hat der Deutsche Presserat nun seine Tätigkeit auf die Selbstkontrolle bei der Einhaltung des Redaktionsdatenschutzes ausgeweitet. Der Deutsche Presserat ist ein privat gegründetes Gremium, das seit 1959 dafür sorgen soll, dass Missstände im Pressewesen abgestellt werden. Damit soll eine staatliche Regulierung in dem sensiblen und durch das Grundrecht der Pressefreiheit besonders geschützten Bereich abgewendet werden. Zu den Trägern des Presserates gehören Verbände der Zeitungs- und Zeitschriftenverleger, Journalistenverbände sowie die Gewerkschaft. Um einheitliche Standards vor allem für die Art und Weise der Berichterstattung zu definieren, werden Empfehlungen und Richtlinien für die publizistische Arbeit herausgegeben (der so genannte Pressekodex). Danach sollen z. B. keine Veröffentlichungen erfolgen, die das sittliche oder religiöse Empfinden einer Personengruppe nach Form und Inhalt verletzen, und es soll auf eine unangemessen sensationelle Darstellung von Gewalt und Brutalität verzichtet werden. Die Verlage periodischer Druckwerke sind aufgefordert, sich zu den Vorgaben des Presserates zu bekennen und eventuell ausgesprochene Sanktionen zu befolgen.

Im Herbst des Jahres 2001 nahm der Deutsche Presserat den Redaktionsdatenschutz in seine Statuten auf. Dazu wurde ein besonderer Beschwerdeausschuss gegründet, der aus sechs Personen besteht. Nach der Beschwerdeordnung des Presserates ist jeder berechtigt, sich bei diesem über Veröffentlichungen oder Vorgänge zu beschweren. Dies kommt insbesondere dann in Betracht, wenn jemand der Auffassung ist, dass die Verarbeitung von personenbezogenen Daten zu journalistisch-redaktionellen Zwecken im Rahmen der Recherche oder Veröffentlichung das Recht auf Datenschutz verletzt. Daneben kann der Presserat von sich aus ein Verfahren einleiten. Der Beschwerdeausschuss kann, falls eine Beschwerde begründet ist, einen Hinweis, eine Missbilligung oder eine Rüge aussprechen. Kommt es zu einer Rüge, so muss diese nach den Statuten des Presserates von dem betroffenen Presseorgan veröffentlicht werden.

Der Presserat hatte bereits im Jahr 2002 Gelegenheit, wegen eines Verstoßes gegen Datenschutzprinzipien eine Rüge auszusprechen. Ein Reporter der BILD-Zeitung hatte sich ein Foto eines Unfallopfers erschlichen, das später unter voller Namensnennung veröffentlicht wurde. Dabei hatte er vorgegeben, ein ehemaliger Mitschüler des Opfers gewesen zu sein.

Betroffene, die sich über die Missachtung der oben dargestellten Grundsätze beschweren wollen, können sich an folgende Adresse wenden:

Deutscher Presserat
Gerhard-von-Are-Str. 8, 53111 Bonn
Postfach 7160, 53071 Bonn
Tel: 0228/9 85 72-0
Fax: 0228/9 85 72-99
Homepage: www.presserat.de Externer Link
E-Mail: info@presserat.de

Es ist abzuwarten, ob diese Mechanismen der Selbstregulierung ausreichend sind, um auch im Bereich der Presse den Bürgerinnen und Bürgern einen ausreichenden Datenschutz zu garantieren.

Was ist zu tun?
Der Presserat sollte bei der Kontrolle des Redaktionsdatenschutzes die selbst gesetzten Ziele und Vorgaben konsequent umsetzen, um nicht die an sich begrüßenswerte Selbstregulierung zu diskreditieren. Das Land Schleswig-Holstein wird eine Regelung zum Datenschutz bei Presseorganen in das Landespressegesetz einfügen müssen.

8.2

Neues vom E-Government


E-Government bleibt ein aktuelles Thema. Beispiele aus der Praxis zeigen, dass Vorhaben ohne Berücksichtigung von Datenschutz auf Dauer keine Chance auf Akzeptanz haben.

Auch im Jahr 2002 war das Thema E-Government in Verwaltung, Politik und Wissenschaft sehr populär. Allerdings sind die im Rahmen dieses Schlagworts verfolgten Initiativen zum Teil recht unterschiedlich. Während einige ihre Bemühungen vollständig auf das Internet ausrichten und den Idealzustand darin sehen, dass sämtliche Verwaltungsleistungen ausschließlich online abgewickelt werden, sind andere zunächst am Ausbau und an der Vereinheitlichung der im Hintergrund bei der Verwaltung laufenden Datenverarbeitung interessiert. Mit beiden Aspekten konnten wir auch im Be-richtsjahr Erfahrungen sammeln.

Virtuelles Rathaus

Beim Datenschutzaudit der Gemeinde Büchen (vgl. Tz. 10.1) war u. a. die Komponente ”Virtuelles Rathaus” zu auditieren. Dabei zeigte sich, dass es nicht einfach ist, eine größere Zahl von Verwaltungsdienstleistungen online abzuwickeln. Wenn Informationen aus dem Bereich der Verwaltung nach außen fließen können, muss sichergestellt sein, dass kein Unbefugter Informationen über Betroffene erhält. Zu diesem Zweck muss eine Authentisierung der anfragenden Person vorgenommen werden. Als Mittel dafür werden regelmäßig elektronische Signaturen genannt. Bereits im 24. TB (Tz. 8.1) hatten wir darauf hingewiesen, dass die Benutzung qualifizierter Signaturen im Sinne des Signaturgesetzes aufgrund der sich daran anknüpfenden Rechtsfolgen (Gleichstellung zur Schriftform) mit einer nicht unbedeutenden Gefährdung verbunden ist, die von den meisten Nutzern nicht vollständig beherrscht werden kann.

Unterhalb der Schwelle der qualifizierten Signaturen gibt es so genannte fortgeschrittene Signaturen. Diese können ein geeignetes Instrument darstellen, um eine Authentisierung zu realisieren. Allerdings haben sich in der Praxis Probleme gezeigt, wenn diese auf Programmkomponenten aufsetzen, die ihrerseits nicht sicher sind. So unterstützt z. B. der weit verbreitete Microsoft Internet Explorer ab Version 5.5 das Einbinden von Softwarezertifikaten im Browser. Die Möglichkeiten, die Sicherheitseinstellungen vorzugeben, sind jedoch unzureichend.

In einigen Fällen stellte sich heraus, dass ein Zertifikat, das durch die Kommune, die ein E-Government-Portal betreibt, selbst herausgegeben wird, nicht praxisgerecht ist. So sollte z. B. in Büchen den Nutzern die Möglichkeit eröffnet werden, über das Internet Personenstandsurkunden, wie etwa die Geburtsurkunde, zu bestellen. Dieses Angebot darf nicht dazu führen, dass es Dritten ermöglicht wird, solche Urkunden ohne Berechtigung abzurufen. Wird mit einem Softwarezertifikat gearbeitet, so muss der Antragsteller zunächst zum Rathaus der Kommune, bei der die Urkunden vorliegen, um sich ein Zertifikat ausstellen zu lassen, mit dem er dann von seinem Wohnort aus über das Internet die Papiere online bestellen kann. Dieses Szenario ist offensichtlich nicht besonders wirklichkeitsnah.

Die Probleme mit der Authentisierung fallen weg, wenn nicht versucht wird, um jeden Preis die Verwaltung vollständig über das Internet abzuwickeln. Informationen über die Verwaltungsleistungen wie Verfügbarkeit und Kosten, die über das Internet abgerufen werden können, sind oft schon eine erhebliche Verbesserung für die Bürger. Diese Angebote werfen in der Regel keine besonderen datenschutzrechtlichen Probleme auf. Dies gilt auch für Formulare, die zum Download oder Ausdruck angeboten werden.

Verwaltung 2000 und Kreisnetz Nordfriesland

Ein Ansatz, der den Bürgerbedürfnissen eher entgegenkommen dürfte, wird unter dem Stichwort ”Verwaltung 2000” von unterschiedlichen kommunalen Körperschaften verfolgt, deren Koordination beim Kreis Segeberg liegt. Deren Idee ist es, den Bürgerinnen und Bürgern die wichtigsten Verwaltungsleistungen an einer Stelle anzubieten. Zwar müssen diese dafür noch das Rathaus bzw. das Bürgerbüro aufsuchen. Dort werden sie jedoch umfassend bedient, sodass sie in einer bestimmten Lebenslage keine weiteren Amtsgänge mehr erledigen müssen. Zu diesem Zweck soll beispielsweise die Ummeldung von Kraftfahrzeugen nach einem Umzug auch bei dem Bürgerbüro der Gemeinde möglich sein. Damit wird der oft lästige Besuch in der nächsten Kreisstadt entbehrlich. Außerdem soll es möglich sein, die Ummeldung nicht nur bei der Zuzugsgemeinde, sondern auch bei einer sonstigen dem Verbund angeschlossenen Gemeinde zu tätigen. So könnte z. B. künftig eine Person, die im an eine größere Stadt angrenzenden Kreisgebiet von einer Gemeinde im Kreis in eine andere umzieht, die Ummeldung in der kreisfreien Stadt tätigen. Anstatt ganze oder halbe Tage auf den Ämtern zu verbringen, könnte dies oft in der Mittagspause vom Arbeitsplatz aus erledigt werden. Verwaltung 2000 wird derzeit im Rahmen eines Auditverfahrens datenschutzrechtlich überprüft.

Ein ähnliches Konzept verfolgt der Kreis Nordfriesland, der unter dem Projektnamen ”Von Inseln zu Netzen” ebenfalls zunächst für den internen Verwaltungsbereich (Back-Office) ein einheitliches Datennetz zusammenstellt. Nordfriesland ist auch im Hinblick auf die an die Bürger gerichtete Homepage vorbildlich. Der Kreis wurde in der Vergangenheit ausgezeichnet für seinen bürgerfreundlichen, informativen und umfassenden Internet-Auftritt.

Änderung des Verwaltungsverfahrensgesetzes

Im 24. Tätigkeitsbericht (vgl. Tz. 8.1) haben wir auf eine Initiative hingewiesen, durch die auch im Verwaltungsverfahrensrecht eine weitgehende Gleichstellung der elektronischen Signaturen zur Schriftform erreicht werden sollte. In diesem Zusammenhang hatten wir gemeinsam mit anderen Datenschutzbeauftragten auf verschiedene Risiken hingewiesen, die aus der Formulierung des Gesetzentwurfes folgen. Dazu gehört, dass die Bürger nicht gegen ihren Willen und ohne Kenntnis des Risikos in das Verfahren der qualifizierten elektronischen Signatur gedrängt und möglichst nur nach Einwilligung auf elektronischem Wege kontaktiert werden dürfen.

Leider hat der Bundesgesetzgeber diese Anregungen nicht umgesetzt. Die Änderungen des Verwaltungsverfahrensgesetzes, das allerdings nur auf Bundesebene gilt, traten im Februar 2003 in Kraft. In Schleswig-Holstein wird das Verwaltungsverfahren durch das Landesverwaltungsgesetz geregelt. Es ist davon auszugehen, dass dies in Kürze in ähnlicher Weise angepasst wird.

Informationsbroschüre ”Datenschutzgerechtes E-Government”

Die Datenschutzbeauftragten des Bundes und der Länder haben sich im Berichtszeitraum der Fragestellungen der Schnittstellen von Datenschutz und E-Government in konzentrierter Form angenommen. Unter der Federführung des Niedersächsischen Datenschutzbeauftragten wurde in einer gemeinsamen Arbeitsgruppe eine umfassende Handreichung erstellt. Diese wurde im Dezember 2002 veröffentlicht und kann im Internet unter

www.lfd.niedersachsen.de Externer Link

abgerufen oder in Schriftform bei uns bestellt werden. Es werden auf 120 Seiten die einschlägigen Fragen beantwortet und vor allem viele Beispiele für mustergültige Lösungen im Sinne einer Übersicht über ”best practice” vorgestellt. Wir haben dazu u. a. mit einem Beispiel aus der Stadt Norderstedt beigetragen.


siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein
Was ist zu tun?
Die öffentlichen Stellen in Schleswig-Holstein, die E-Government einführen wollen, müssen die datenschutzrechtlichen Vorgaben beachten. Dazu können sie sich an der vorliegenden Broschüre der Datenschutzbeauftragten orientieren.

8.3

Der ständige Ärger mit 0190- und 0180-Nummern

Unverlangte Werbezusendungen per Fax, SMS oder E-Mail nehmen immer mehr überhand. Sie kosten nicht nur Nerven, sondern teilweise auch bares Geld. Der Gesetzgeber sollte in diesem Bereich endlich wirksame Möglichkeiten zur Abwehr schaffen.

Im Berichtszeitraum gab es sehr viele Eingaben, die sich auf unverlangt zugesandte Werbung bezogen (vgl. auch Tz. 6.1). Neben vielen unverlangten Werbe-E-Mails ärgerten sich die Betroffenen vor allem über Werbefaxe und Werbe-SMS, die Ressourcen wie Papier und Zeit übermäßig beanspruchen. Gerade in den Medien Fax und SMS wird häufig nicht für den Kauf eines Produktes, sondern für die Inanspruchnahme einer bestimmten Telekommunikationsdienstleistung geworben. So wird man aufgefordert, eine bestimmte Nummer anzurufen oder einen Faxabruf über eine Nummer zu tätigen. Dabei handelt es sich häufig um Nummern, die mit dem Nummernblock 0190 oder 0180 beginnen.

0190-Dialer

Mittlerweile ist vielen Verbrauchern bekannt, dass insbesondere die Anwahl der 0190-Nummern zu enormen Kosten führen kann. Dies machen sich Betrüger zunutze, die sich auf besonders perfide Weise Zugang zu den Rechnersystemen der Betroffenen verschaffen. Sie versprechen den Zugang zu bestimmten Websites im Internet zu besonders günstigen Bedingungen. Voraussetzung sei allerdings, dass ein bestimmtes Programm installiert wird. Nimmt der Nutzer die Installation vor, so wird die Einwahl ins Internet künftig nicht mehr über den regulär voreingestellten Internet-Provider vollzogen, sondern über eine teure 0190-Verbindung. Dabei werden teilweise regelrechte ”Mondpreise” verlangt. So sollte für eine einzige Einwahl (die dann allerdings beliebig lange dauern konnte) ein dreistelliger €-Betrag fällig werden.

Wurden diese so genannten 0190-Dialer in der Vergangenheit vor allem in Verbindung mit pornografischen Webseiten beobachtet, so sind die Betrüger mittlerweile raffinierter und verschicken z. B. entsprechende Programme getarnt als Microsoft-Windows-Update. Gutgläubige Nutzer installieren diese und entnehmen oft erst der nächsten Telefonrechnung, welche horrenden Kosten angefallen sind.

Mittlerweile gibt es eine Reihe von technischen Schutzmaßnahmen, um die unerwünschten Dialer abzuwehren. Gelangt trotzdem ein solches schädliches Programm auf den eigenen Rechner, sollte es nicht sofort gelöscht werden. Es empfiehlt sich vielmehr, um die überhöhten Gebührenansprüche abzuwehren, möglichst die Beweise zu sichern, aus denen sich ergibt, dass ein solches Programm ohne bewusstes Zutun des Nutzers auf den Rechner gelangt ist. Kann dies bewiesen werden, so dürfte in der Regel die Gebührenforderung nicht durchsetzbar sein.

Mehrwertdienste

Eines der Probleme bei der Abwehr der überhöhten Ansprüche besteht darin, dass die Rechnungen nicht unmittelbar von den Stellen, die von diesen so genannten Mehrwertdiensten profitieren, gestellt werden. Vielmehr ermöglicht die Rechtslage es den Anbietern dieser Dienste, die Telekommunikationsnetzbetreiber als Inkassostellen zu verwenden. Dies bedeutet, dass z. B. auf der Rechnung der Telekom die entsprechenden Verbindungen auftauchen und von dieser abgerechnet werden. Dabei wird für die Telekommunikationsnetzbetreiber die Rufschädigung, die für sie entsteht, dadurch versüßt, dass sie an den überhöhten Gebühren mitverdienen. Im Berichtszeitraum sollte eine Rechtsänderung erfolgen, wonach der Kunde Einspruch beim Netzbetreiber (wie z. B. der Telekom) gegen die überhöhten Gebührenanteile aus den 0190-Nummern einlegen könnte. Daraufhin hätte der eigentlich rechnungsstellende Betreiber des Mehrwertdienstes unmittelbar bei dem Kunden abzurechnen gehabt. Diese aus Verbrauchersicht erfreuliche Änderung ist leider am Widerstand der Lobby der Mehrwertdiensteanbieter gescheitert. Damit gerät eine ganze Branche ins Zwielicht, weil es schwarzen Schafen gelingt, die Kunden hinters Licht zu führen.

Werbung für die Inanspruchnahme der Mehrwertdienste

Ein anderer Bereich, der von Betrügern ausgenutzt wird, ist die unverlangte Werbung für die Nutzung der Mehrwertdienste, die über die 0190- und 0180-Rufnummern zu erreichen sind. In diesen Fällen wird zwar nicht wie bei dem Problem der 0190-Dialer hinter dem Rücken und ohne Wissen des Betroffenen eine kostenpflichtige Verbindung hergestellt. Allerdings ist auch die Versendung von Werbung für die Nutzung solcher Dienste nur dann erlaubt, wenn der Betroffene zuvor eingewilligt hat. Angesichts der klaren Rechtslage könnte man annehmen, es sei ein Leichtes, gegen die häufig auch aus Deutschland operierenden Versender der Werbefaxe oder SMS, die für die Inanspruchnahme der Mehrwertdienste werben, vorzugehen. Tatsächlich tun sich allerdings einige praktische Probleme auf. Häufig verschleiern die Absender dieser Werbung durch technische Tricks ihre Rufnummer. Es gibt allerdings einen Weg, die absendende Rufnummer festzustellen, auch wenn diese vom Sender unterdrückt wird. Dazu muss eine so genannte Fangschaltung beim Netzbetreiber beantragt werden. Dies ist unter bestimmten, in § 10 Abs. 1 und 2 der Telekommunikations-Datenschutzverordnung genannten Voraussetzungen zulässig. Diese Maßnahme ist auf künftige Anrufe gerichtet und hat dann Sinn, wenn mit der wiederholten Zusendung unverlangter Sendungen zu rechnen ist. Zwar wäre es den Netzbetreibern technisch auch möglich, aus ihren vorhandenen Datenbeständen die Absender bestimmter Kommunikationen im Nachhinein herauszufiltern, ohne dass eine spezielle Fangschaltung installiert wird. Dies verursacht aber erhebliche Kosten und wird daher nicht für private Zwecke, sondern lediglich für die Zwecke der Strafverfolgungs- und Sicherheitsbehörden vorgenommen.

Kann die absendende Rufnummer nicht ermittelt werden, liegt es nahe, den Anbieter des Mehrwertdienstes, für dessen Inanspruchnahme geworben wird, als Quelle der Zusendung zu vermuten. Schon der gesunde Menschenverstand spricht dafür, dass die massenhafte Werbung für die Inanspruchnahme bestimmter Mehrwertdienste nicht ohne Zutun der Anbieter in die Welt gesetzt worden ist. Also müsste der Inhaber der beworbenen Mehrwertdienstenummer eigentlich als so genannter Störer im Sinne des Wettbewerbsrechts angesehen werden können. Noch fehlen allerdings Gerichtsurteile, die dies bestätigen.

Schwierigkeiten bei der Auskunft über zugeteilte Mehrwertdienstenummern

Wird entweder die absendende Rufnummer festgestellt oder unterstellt, dass der beworbene Mehrwertdiensteanbieter selbst Störer ist, muss ermittelt werden, wer hinter der beworbenen Rufnummer steht. Dies ist nicht ohne weiteres möglich. Handelt es sich um 0190-Rufnummern, so gilt Folgendes: Diese Rufnummern werden blockweise von der zuständigen Regulierungsbehörde für Telekommunikation und Post (RegTP) an Telekommunikationsnetzbetreiber weitergegeben. Diese überlassen aus den Blöcken einzelne Rufnummern an Dritte, die diese wiederum weiterverkaufen können. Zwar lässt sich bei der RegTP klären, welchem Telekommunikationsnetzbetreiber eine bestimmte 0190-Nummer zugewiesen wurde. Dieser hat jedoch nur unter sehr eingeschränkten Voraussetzungen darüber Auskunft zu erteilen, an wen er sie weitergegeben hat.

Fehlte bis vor kurzem noch überhaupt ein Anspruch, so hat der Gesetzgeber mittlerweile reagiert und immerhin bestimmten Stellen die Möglichkeit eingeräumt, Auskunft bei den Telekommunikationsnetzbetreibern über die Stellen zu erhalten, denen die fraglichen Nummern weiterverkauft wurden. Anspruchsberechtigt sind nach dem Unterlassungsklagegesetz qualifizierte Verbraucherschutzverbände, die in eine entsprechende Liste aufgenommen wurden, sowie Industrie- und Handelskammern und Handwerkskammern. Dies bedeutet umgekehrt, dass der einzelne Nutzer, der sich gegen die unverlangte Zusendung von Werbesendungen wehren will, zurzeit keinen Anspruch hat. Allerdings prüft die Bundesregierung, ob der Kreis der Anspruchsberechtigten auf die Betroffenen erweitert werden muss. Die genannten Organisationen könnten also dann, wenn sie sich der Missbrauchsfälle annehmen, die Störer erfahren und wettbewerbsrechtlich gegen sie vorgehen. Den Betroffenen bleibt derzeit lediglich, sich mit konkreten Beschwerden an die Telekommunikationsunternehmen zu wenden, denen die 0190-Nummer von der RegTP zugewiesen wurden.

Der Netzbetreiber könnte, ohne dazu verpflichtet zu sein, den Betroffenen mitteilen, welcher Mehrwertdiensteanbieter hinter einer bestimmten Nummer steht. Allerdings werden, jedenfalls dann, wenn diese Dienstbetreiber keine juristischen Personen (z. B. GmbH, AG), sondern natürliche Personen sind, ausgerechnet datenschutzrechtliche Gründe dafür angeführt, dass eine solche Auskunft nicht erteilt wird. Der Gesetzgeber ist hier aufgefordert, möglichst schnell einen entsprechenden Auskunftsanspruch auch für Nutzer so auszugestalten, dass sich die Störer nicht länger hinter dem Datenschutz verstecken können.

Wenig effektive Sanktionsmöglichkeiten

Die Telekommunikationsunternehmen haben nach einer weiteren Rechtsänderung aus dem Berichtszeitraum die Pflicht, gegenüber den Stellen, denen sie die Nummern weiterverkaufen, darauf hinzuweisen, dass keine unverlangte Werbung zugesandt werden darf. Bei Verstößen haben sie geeignete Maßnahmen gegenüber den nachgeordneten Mehrwertdienstebetreibern zu erwägen. Dazu kann auch eine Sperrung der Nummern gehören. Diese ist allerdings erst bei wiederholter und schwerer Zuwiderhandlung vorgesehen. Der einzelne Betroffene wird also davon ausgehen müssen, dass seine konkrete Beschwerde gegenüber dem Telekommunikationsunternehmen lediglich dazu führt, dass vielleicht die Gesamtheit der Nachfragen dieses irgendwann zum Handeln veranlasst. Werden die Telekommunikationsunternehmen nicht tätig, kann die RegTP ihrerseits Maßnahmen gegen diese verhängen. Allerdings sind derartige Fälle bisher noch nicht bekannt geworden.

Etwas anders verhält sich die Sache bei 0180-Nummern, die auch häufig über unverlangte Faxe beworben werden. Deren Vergabe regelt die RegTP selbst. In diesen Fällen sollen sich die Nutzer nach einer Auskunft der Regulierungsbehörde an diese wenden und den Sachverhalt möglichst unter Beifügung von Beweismitteln darlegen. Sie ist zu erreichen unter der Adresse:

Regulierungsbehörde für Telekommunikation und Post
Referat 118
Postfach 8001
55003 Mainz

Was ist zu tun?
Das Land sollte darauf hinwirken, dass durch entsprechende Rechtsänderungen endlich die Rechte der Betroffenen ernster genommen werden als die Einwände der Betreiber von Mehrwertdiensten.

8.4

Statt Datenvermeidung neue Vorratsspeicherung

Das Verwaltungsgericht (VG) Köln hat in einem Urteil die Verpflichtung zur Speicherung von Kundendaten beim Kauf von Prepaid-Handys mit guten Gründen für unzulässig erklärt. Daraufhin wurde im zuständigen Bundesministerium sofort ein Entwurf zur Änderung des Telekommunikationsgesetzes (TKG) vorbereitet, um eine Rechtsgrundlage für diese Vorratsspeicherung zu schaffen. Das Oberverwaltungsgericht (OVG) Münster hat überraschenderweise die Entscheidung des VG Köln aufgehoben.

Im 23. Tätigkeitsbericht (Tz. 8.1) hatten wir darüber berichtet, wie nach derzeit gängiger Praxis die Telekommunikationsprovider beim Verkauf von Handys mit Prepaid-Karten gesetzeswidrig zu Außenstellen der Sicherheitsbehörden gemacht werden. Ausschließlich für Zwecke eventueller künftiger Strafverfolgung müssen die Unternehmen bestimmte Daten ihrer Kunden in eine Datenbank aufnehmen. Um die Identifizierung der Kunden zu überprüfen, muss sogar der Ausweis vorgelegt werden. Die Unternehmen selbst haben an dieser Datenverarbeitung kein Interesse. Sie würden es vorziehen, ihre vorausbezahlten Produkte in Warenhäusern, Tankstellen usw. anonym und ohne Formalitäten vertreiben zu können.

Auf eine Klage verschiedener Mobilfunkunternehmen hin hat das VG Köln im Herbst des Jahres 2000 die entsprechende Anordnung der Regulierungsbehörde für unzulässig erklärt. Dabei wurde vor allem darauf abgestellt, dass die einschlägige Vorschrift im Telekommunikationsgesetz sich nur auf solche Daten bezieht, die die Unternehmen ohnehin für eigene Zwecke verarbeiten. Die Entscheidung wurde allgemein für gut begründet und kaum angreifbar gehalten. Gleichwohl wurde die bisherige Praxis der Datenerhebung auch beim Verkauf von Prepaid-Handys zunächst fortgesetzt, da Berufung eingelegt worden war und die Entscheidung des Verwaltungsgerichtes keine aufschiebende Wirkung hatte.

Da die Strafverfolgungsbehörden und sonstige Sicherheitsbehörden einen erheblichen Bedarf bei der Nutzung der in diesen Verzeichnissen gespeicherten Bestandsdaten sahen, wurde vonseiten des Bundesministeriums für Wirtschaft und Technologie umgehend eine Änderung des TKG auf den Weg gebracht. Diese sollte sicherstellen, dass die Vorschrift so gefasst wird, dass sie eine ausreichende Rechtsgrundlage für die Erhebung und Speicherung der Bestandsdaten auch bei Prepaid-Karten darstellt, die anschließend im Interesse der Sicherheitsbehörden erfolgen.

Der im Frühjahr 2002 vorgelegte Gesetzentwurf enthielt nicht nur entsprechende Änderungen im TKG, sondern sollte bei dieser Gelegenheit auch die Abfrage vonseiten der Sicherheitsbehörden in den Datenbanken der Handelsverkäufer erleichtern (vgl. zu den Risiken, die diese Datenbanken mit sich bringen, 19. TB, Tz. 7.3.1). So sollte gesetzlich geregelt werden, dass nicht nur mit vollständigen Teilnehmerdaten, sondern auch mit so genannten Jokerzeichen für einen oder mehrere unbekannte Buchstaben oder Ziffern regelrecht gerastert werden kann. Außerdem sollte es möglich sein, nach Daten zu suchen, die lediglich phonetisch aufgenommen wurden und deren Schreibweise daher nicht vollständig geklärt ist. Es liegt auf der Hand, dass diese Art der Abfrage den Sicherheitsbehörden auch eine Vielzahl personenbezogener Daten unbeteiligter Dritter zugänglich machen würde, ohne dass diese Daten für die Aufgabenerfüllung erforderlich wären. Als Reaktion auf den vorliegenden Gesetzentwurf kritisierte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, dass ein weiterer Grundrechtseingriff im Bereich der Telekommunikationsdaten vorgenommen werde. Während Straftätern, die gezielt mehrere Karten verwendeten oder die Karten untereinander tauschten, mit diesem Vorhaben nicht Einhalt geboten werden könne, würde über Unbescholtene unnötigerweise eine Vielzahl von Daten auf Vorrat erhoben, anstatt die datenschutzrechtlichen Vorteile der Prepaid-Verfahren zu nutzen, die in der Datenvermeidung durch Anonymität des Bezahlens bestehen.

Im Mai 2002 überraschte das OVG Münster mit der Aufhebung des Urteils des VG Köln. Dabei übernahm das OVG vollständig die Argumentation der Regulierungsbehörde und ließ sich damit offenbar von den Begehrlichkeiten der Sicherheitsbehörden leiten. In dem Urteil finden sich Formulierungen wie z. B.: ”Das Führen von Kundendateien (...) setzt zwingend die Erhebungen dieser Kundendaten (...) voraus. Die Erhebung (...) der Daten ist daher eine Selbstverständlichkeit, die keiner wörtlichen Erwähnung in § 90 Abs. 1 und 2 TKG bedürfte.”

Diese und vergleichbare Formulierungen lassen Zweifel aufkommen, ob das Gericht das Volkszählungsurteil des Bundesverfassungsgerichtes bei seiner Entscheidung berücksichtigt hat. Dort heißt es, Beschränkungen des Grundrechts auf informationelle Selbstbestimmung bedürften ”einer (verfassungsmäßigen) gesetzlichen Grundlage, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben und die damit dem rechtsstaatlichen Gebot der Normenklarheit entspricht. (...) Ein Zwang zur Abgabe personenbezogener Daten setzt voraus, dass der Gesetzgeber den Verwendungszweck bereichsspezifisch und präzise bestimmt und dass die Angaben für diesen Zweck geeignet und erforderlich sind. Damit wäre die Sammlung nicht anonymisierter Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken nicht zu vereinbaren.”

Das OVG Münster hat trotz der offensichtlichen Abweichung von den Vorgaben des Bundesverfassungsgerichts eine Revision zur nächsthöheren Instanz, dem Bundesverwaltungsgericht, nicht zugelassen, da es sich nicht um eine Angelegenheit von grundsätzlicher Bedeutung handele. Allerdings hat dem Vernehmen nach einer der betroffenen Telekommunikationsprovider bereits das in dieser Situation einschlägige Rechtsmittel, die Nichtzulassungsbeschwerde, eingelegt. Im Übrigen aber bleibt es zunächst bei der wenig befriedigenden Rechtslage. Die Bundesregierung hat nach dem Bekanntwerden der Entscheidung die weiteren Arbeiten an der kurzfristigen Novellierung des TKG eingestellt. Es ist aber damit zu rechnen, dass die Pläne zur Verpflichtung der Provider zur Vorratsspeicherung im Interesse der Sicherheitsbehörden weiterverfolgt werden.

Was ist zu tun?
Statt über ständig neue Überwachungsmöglichkeiten nachzudenken, sollte die Politik das von ihr selbst im Bundesdatenschutzgesetz verankerte Prinzip der Datenvermeidung endlich ernst nehmen.

8.5

Rote Karte für Internet-Schnüffler


Auf deutscher und europäischer Ebene werden die Bemühungen forciert, eine Verpflichtung zur vollständigen Speicherung von Nutzungsdaten im Internet einzuführen. Mit unserer Kampagne ”Rote Karte für Internet-Schnüffler” wenden wir uns entschieden gegen diese Bestrebungen.

Bereits im letzten Tätigkeitsbericht (vgl. 24. TB, Tz. 8.2) haben wir uns ausführlich mit unterschiedlichen Vorhaben zur Einführung einer Pflicht zur Speicherung der Nutzungsdaten in der klassischen Telekommunikation und im Internet auseinander gesetzt. Nach der bisherigen Rechtslage wird im Bereich der klassischen Telekommunikation und des Internets die Speicherung von Verbindungs- bzw. Nutzungsdaten lediglich dann zugelassen, wenn diese zur Abrechnung erforderlich sind. Die Sicherheitsbehörden drängen nun darauf, diese Rechtslage um 180 Grad zu wenden und eine Verpflichtung für die Provider zur Speicherung dieser Daten einzuführen. In manchen Fällen könnten sämtliche Informationen über alle Nutzungsvorgänge für einen Zeitraum von bis zu zwei Jahren gespeichert werden.

Auf nationaler Ebene wurde über den Bundesrat eine entsprechende Initiative in der Folge des 11. September 2001 von den Ländern Bayern und Thüringen angestoßen. Der vorgelegte Gesetzentwurf fand dort zwar zunächst keine Mehrheit. Nach der Wahl in Sachsen-Anhalt änderten sich jedoch die Mehrheitsverhältnisse im Bundesrat zugunsten der unionsregierten Länder. Daraufhin ergriffen die Länder Thüringen und Bayern erneut die Initiative und brachten den schon einmal vorgelegten Text als Ergänzung eines im Übrigen nicht mit dem Thema unmittelbar zusammenhängenden Gesetzentwurfs des Landes Niedersachsen ein. In dieser Fassung wurde der Vorschlag zur Einführung einer Speicherpflicht vom Bundesrat mit der neuen Mehrheit im Mai 2002 verabschiedet. Die Bundesregierung legte den Entwurf mit ihrer Stellungnahme versehen dem Bundestag vor. Dort konnte er aber wegen der Neuwahl des Bundestages nicht weiter behandelt werden und fiel der Diskontinuität anheim.

Bei den Abstimmungen im Bundesrat ist positiv hervorzuheben, dass sich das Land Schleswig-Holstein als einziges mehrfach explizit gegen die Einführung einer Speicherpflicht ausgesprochen und die Bundesregierung aufgefordert hat, einer solchen Initiative auf europäischer Ebene nicht zuzustimmen.

Auch wenn die erste Initiative nicht unmittelbar zum Erfolg führte, ist dennoch Wachsamkeit geboten. Die Stellungnahme der Bundesregierung ist leider keineswegs eindeutig ableh-nend. Zwar wird darauf hingewiesen, die Bundesregierung sei bestrebt, ”einen angemessenen Interessenausgleich herbeizuführen, der das wichtige öffentliche Interesse an einer effektiven Strafverfolgung (...) mit den Grundrechten der Betroffenen in ein ausgewogenes Verhältnis bringt”. Kann diese Äußerung, die im Hinblick auf die Änderung des Telekommunikationsrechts abgegeben wurde, noch so verstanden werden, dass die Einführung der Speicherpflicht dort als unverhältnismäßig anzusehen wäre, fällt die Stellungnahme im Hinblick auf die Speicherpflicht im Internet weniger klar aus. Dazu wird lediglich vorgebracht, der Entwurf des Bundesrates lasse die ”erforderliche Abwägung” vermissen. Dies muss wohl so verstanden werden, dass bei Vornahme der entsprechenden Abwägung die Bundesregierung eine Speicherpflicht nicht für ausgeschlossen hält.

Die Initiative des Bundesrates kann nicht losgelöst vom europäischen Kontext betrachtet werden. Dort sind zwei Entwicklungslinien zu erkennen. Die bisherige Richtlinie zum Datenschutz in der Telekommunikation wurde durch eine Nachfolgeregelung abgelöst, die den Datenschutz in der gesamten elektronischen Kommunikation zum Gegenstand hat (vgl. dazu Tz. 12.1). Nach kontroversen Diskussionen wurde in die Richtlinie schließlich eine Öffnungsklausel aufgenommen, wonach die grundsätzlich bestehende Verpflichtung, Daten im Wesentlichen nur zu Abrechnungszwecken zu speichern und ansonsten umgehend zu löschen, unter bestimmten Voraussetzungen aufgegeben werden kann. Wörtlich heißt es dort: ”Zu diesem Zweck (gemeint ist u. a. Herstellung der öffentlichen Sicherheit, Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten und des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen) können die Mitgliedstaaten u. a. durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden.” Damit ist zwar keine eigenständige Verpflichtung zur Datenspeicherung geschaffen. Die Vorschrift bewirkt jedoch klar, dass die Datenschutzrichtlinie kein europarechtliches Hindernis mehr bildet, wenn eine solche Regelung in nationales Recht gegossen werden soll.

Noch problematischer als diese im Sommer 2002 erfolgte Änderung des europäischen Rahmenrechts sind mehr oder weniger verborgene Initiativen verschiedener Akteure in der EU, eine europaweite Speicherpflicht verbindlich einzuführen. So wurde im August 2002 zunächst ein vertraulicher Entwurf eines so genannten Rahmenbeschlusses bekannt, den Belgien, das die Ratspräsidentschaft der EU im zweiten Halbjahr 2001 innehatte, eingebracht hat. Danach sollte eine Pflicht zur Vorratsspeicherung aller Verbindungs- bzw. Nutzungsdaten für mindestens 12 und höchstens 24 Monate europaweit eingeführt werden. Zwar versuchte die im zweiten Halbjahr 2002 amtierende dänische Ratspräsidentschaft, die aufkeimenden Besorgnisse zu zerstreuen, allerdings konnte dies nicht überzeugend gelingen. Ausweislich der Unterlagen der dänischen Ratspräsidentschaft, die im Internet abrufbar sind, gehörte es zu den vorrangigen politischen Vorgaben Dänemarks, für eine solche europaweite Speicherpflicht zu sorgen.

Als konkrete Maßnahme hat eine Arbeitsgruppe des Rates mit dem Namen ”Multidisciplinary Group on Organised Crime (MDG)” eine Befragung der Mitgliedstaaten der Europäischen Union durchgeführt. Dabei wurde ermittelt, ob bereits entsprechende nationale Regelungen bestehen, ob deren Einführung geplant ist oder unmittelbar bevorsteht. Weiterhin wurde abgefragt, ob die Mitgliedstaaten Vorteile in einer europaweiten einheitlichen Regelung sehen würden.

Während die Fragen dieses Fragebogens noch öffentlich abrufbar waren, sollte dies nicht für die Antworten gelten. Diese wurden allerdings durch verschiedene Bürgerrechtsorganisationen an die Öffentlichkeit gebracht. Danach zeigt sich, dass in den meisten Ländern der EU entweder bereits eine Speicherpflicht für Verbindungs- und Nutzungsdaten existiert oder deren Einführung unmittelbar bevorsteht. Lediglich in Österreich, Griechenland, Portugal, Schweden und Deutschland fehlt bisher noch eine solche Überwachungsregelung. Die allermeisten Länder äußern sich positiv zu der Idee einer Überwachung der Internet-Nutzer. Zurückhaltender sind lediglich Schweden und Deutschland. Dabei bringt die deutsche Bundesregierung im Wesentlichen dieselben Aspekte vor, die sie auch gegenüber der Bundesratsinitiative zur Vorratsspeicherung erwähnte.

Angesichts dieser Lage sind wir der Auffassung, dass den vielfältigen Tendenzen zur Aufhebung des Grundrechts auf informationelle Selbstbestimmung für Internet-Nutzer, die eine neue Qualität der Überwachung bedeuten würden, mit einer eigenen Kampagne entgegengetreten werden muss. Diese wurde als Reaktion auf die Bundesratsinitiative im Juni 2002 gestartet und ist unter der Adresse

www.datenschutzzentrum.de/material/themen/rotekarte/

oder über diese Grafik auf anderen Webseiten abrufbar.

Ziel der Seite ist es, die Bürgerinnen und Bürger mit den Organisationen, die die Vorhaben ablehnen, zusammenzuführen und sie mit allen wichtigen Informationen zu versorgen. Damit wurde ein Forum geschaffen, das dem Informationsaustausch dient und auch dem Einzelnen die Möglichkeit eröffnet, seine Meinung und Diskussionsbeiträge einzubringen. Darüber hinaus werden weitere Aktionsmöglichkeiten aufgezeigt und den Bürgern die Kontaktadressen der Ministerien und Bundestagsabgeordneten an die Hand gegeben, die in diesen Politikfeldern agieren. Wir haben in der Zwischenzeit viele E-Mails mit Äußerungen bekommen und einige auf der Seite veröffentlicht. Sie verweist mittlerweile auch auf eine Vielzahl von Stellungnahmen anderer Organisationen, Unternehmen und sonstiger Interessengruppen, die die Vorratsspeicherung ablehnen. Wir werden prüfen, wie wir diese Initiative künftig noch effektiver fortführen können.

Was ist zu tun?
Sämtliche interessierten und betroffenen Kreise sollten ihre Aktivitäten gegen die Einführung einer Speicherpflicht verstärken. Das Land Schleswig-Holstein sollte weiterhin eine klare Position gegen die Speicherpflicht beziehen.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel