Messengerbetreiber sollen bald in Fällen nach dem neuen § 169 Telekommunikationsgesetzes (TKG) neben dem Nutzernamen für Behördenanfragen auch die Kennung speichern, unter der sie den Account führen. Doch der Entwurf hat es in sich.

Das neue Telekommunikationsgesetz (TKG) zielt nun auch auf Chat-Apps. In der Großen Koalition soll es auch Streit gegeben haben. Nun ja, wie dieser ausgesehen haben soll, kann man sich denken.

Sehen wir uns den Paragraphen 169 TKG an (den Rest des Gesetzes finden Sie hier):

Wer nummerngebundene interpersonelle Telekommunikationsdienste oder Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen, erbringt und dabei Rufnummern vergibt, hat für die Auskunftsverfahren nach den §§ 170 und 171 vor der Freischaltung folgende Daten zu erheben und unverzüglich zu speichern, auch soweit diese Daten für betriebliche Zwecke nicht erforderlich sind:

Es folgen dann die zu erhobenen Daten und sechs weitere Absätze.

§ 169 Abs. 1 des Gesetzentwurfs verpflichtet nun – wie sein Vorgänger § 111TKG – Dienste, die ihren Kunden Nummern zuweisen, die personenbezogenen Daten ihrer Kunden zu erfassen und zu speichern, wie etwa Name und Adresse sowie Geburtsdatum des Teilnehmers, zusammen mit seiner Telefonnummer, anderen Zugangskennungen (Anschlusskennungen), die der Anbieter zugewiesen hat, Identifikationsnummern von mobilen Geräten, wenn diese vom gleichen Dienstanbieter bereitgestellt werden, und Vertragsdatum. Identität und Adresse müssen durch Personalausweise, Aufenthaltsgenehmigungen usw. verifiziert werden. Alle Kosten für die Erhebung und Speicherung sind vom Anbieter zu tragen.

Messengerbetreiber sollen aber bald in Fällen nach dem neuen § 169 TKG neben dem Nutzernamen für Behördenanfragen unter anderem auch die Kennung speichern, unter der sie den Account führen. Dabei könnte es sich um die Rufnummern der Nutzerinnen und Nutzer handeln oder um eine Kennnummer, die Dienste wie zum Beispiel Threema vergeben.

Die Unternehmen dürfen dann Daten von „verdächtigen Kunden“ nur dann an Strafverfolgungsbehörden weitergeben, wenn »zureichende tatsächliche Anhaltspunkte für eine Straftat oder Ordnungswidrigkeit« vorliegen, heißt es im Gesetzentwurf.

Auch an den Verfassungsschutz, den Bundesnachrichtendienst oder das Zollkriminalamt müssen Daten von Verdächtigen, soweit vorhanden, in bestimmten Fällen weitergereicht werden.

Messengerdienste sollen Bestandsdaten auch bei Ordnungswidrigkeiten an den Verfassungsschutz herausgeben?

Der Gesetzesentwurf zum neuen TKG hat es schon mit dieser Kombi in sich. Ich verstehe nicht, was der Verfassungsschutz hier schon wieder für eine Rolle spielen soll. Aber das lasse ich an dieser Stelle, sonst werde ich auch noch ein Verdachtsfall.

Bereits der Umfang der zu erhebenden und speichernden Daten ist unverhältnismäßig. Eine etwa sogar noch erfolgende Ausweitung, worauf der Einleitungskommentar schließen lässt, wäre endgültig nicht mehr vertretbar.

Die Vorschriften zur Bestandsdatenspeicherung und zur Beauskunftung sind vom Bundesverfassungsgericht in den vergangenen Jahren mehrfach kritisiert, teilweise auch für verfassungswidrig erklärt worden. Mal sehen, was das Gericht dieses Mal dazu sagen wird.

Der gegenwärtige Wortlaut von § 169 Abs. 3 TKG-E bietet weiteren Anlass für Bedenken, falls Anbieter von Telekommunikationsdiensten auch andere internetbasierte Dienste (Telemediendienste) anbieten, die nicht als Telekommunikationsdienste gelten, bei denen sie aber Daten wie Namen und Adressen erfassen. Wenn diese Daten nicht zur Bereitstellung und Nutzung des Telekommunikationsdienstes erfasst werden, dann sollten sie auch nicht nach § 169 Abs. 3 TKG-E gespeichert werden müssen. Diese wichtige und zwingend erforderliche Einschränkung wird jedoch aus dem derzeitigen Wortlaut nicht klar. Im Gegenteil, das Wort “… und dabei Daten …” scheint zu implizieren, dass die Daten nicht notwendigerweise für den Telekommunikationsdienst erhoben werden müssen.

Da nummernunabhängige Dienste keine Rufnummern (also Daten nach Abs. 1 S. 1 Nr. 1) verwenden, sollen diese Anbieter gem § 169 Abs. 3 TKG-E verpflichtet sein, eine “entspre- chende Kennung des Dienstes” unverzüglich zu speichern. Eine Definition des Begriffs “entsprechende Kennung des Dienstes” fehlt.

Aus dem Entwurf heißt es hierzu:

Zu § 169 (Daten für Auskunftsersuchen der Sicherheitsbehörden)

Die Norm regelt die Pflicht zur Erhebung und Speichern von Bestandsdaten. Die Vorgaben dienen dazu, eine verlässliche Datengrundlage für Auskunftsverfahren der Sicherheitsbe- hörden gegenüber den Anbietern von Telekommunikationsdiensten zu schaffen, die es den Sicherheitsbehörden erlaubt, als Anknüpfungspunkt für weitere Ermittlungen Nummern in- dividuellen Anschlussinhabern zuzuordnen. Die bisherigen Vorgaben des § 111 gelten auch künftig im Wesentlichen unverändert fort. Im Rahmen der vorliegenden Novelle wer- den lediglich kleinere Anpassungen und Klarstellungen vorgenommen, die den wesentli- chen Regelungsgehalt der Vorschrift jedoch nicht verändern.

Zu Absatz 1

Zur Erhebung und Speicherung von Bestandsdaten werden künftig Anbieter nummernge- bundener interpersoneller Telekommunikationsdienste sowie Anbieter von Diensten, die ganz oder überwiegend in der Übertragung von Signalen bestehen, die Rufnummern ver- geben, verpflichtet. Die Einbeziehung von Diensten, die ganz oder überwiegend in der Übertragung von Signalen bestehen, erfolgt vor dem Hintergrund, dass auch diese Ruf- nummern vergeben können, die – wie bislang auch – in die Beauskunftung einbezogen werden sollen (z. B. Dienste, die für Maschine-Maschine-Kommunikation genutzt werden).

Die Verpflichteten haben die vergebenen Rufnummern – und soweit sie weitere Anschlusskennungen vergeben auch diese – neben den persönlichen Angaben des Anschlussinhabers und den übrigen aufgeführten Daten vor der Freischaltung zu erheben und unverzüg- lich zu speichern. Dabei sind künftig neben dem Datum des Vertragsbeginns bzw. -endes auch – soweit abweichend – das Datum der Vergabe und der Beendigung der Zuordnung der Rufnummer zu speichern. Durch diese zusätzlichen Angaben wird der Informationsge- halt der Daten gesteigert. Die abfragenden Sicherheitsbehörden werden so in die Lage ver- setzt, den konkreten Zeitraum der Nummernnutzung durch den Anschlussinhaber mit dem Tatzeitpunkt abzugleichen.

Zu Absatz 2

Absatz 2 entspricht im Wesentlichen dem bisherigen § 111 Absatz 1 Satz 3 ff. Aus Gründen der Übersichtlichkeit wurde der bisherigen Absatz 1 in zwei Absätze aufgeteilt. Darüber hinaus wird in der Norm ausdrücklich klargestellt, dass die Richtigkeit der erhobenen Daten des Anschlussinhabers, also Name, Anschrift sowie Geburtsdatum, zu überprüfen ist. An- ders als bei im Voraus bezahlten Mobilfunkdiensten muss dies nicht vor Freischaltung er- folgen. Dennoch verfehlten die Vorgaben zur Erhebung von Daten für Zwecke der Aus- kunftserteilung an Sicherheitsbehörden ihren Sinn und Zweck, wenn nicht auch korrekte Daten erhoben würden. Ohne eine Überprüfung der Daten kann keine verlässliche Daten- grundlage geschaffen werden. Satz 2, der die Verifikationspflicht der erhobenen Daten bei im Voraus bezahlten Mobilfunkdiensten enthält, stellt gegenüber Satz 1 eine speziellere Regelung dar. Satz 2 geht Satz 1 daher vor.

Die Vorschrift sieht, wie bisher auch, vor, dass die Bundesnetzagentur die an ein “anderes geeignetes Verfahren” zur Überprüfung der Richtigkeit der erhobenen Daten zu stellenden Anforderungen festlegt. Die Prüfung der Konformität eines Verfahrens mit den Vorgaben der Bundesnetzagentur wird jedoch zukünftig durch akkreditierte Konformitätsbewertungs- stellen im Sinne des Artikel 2 Nummer 13 der Verordnung (EG) Nr. 765/2008 durchgeführt werden. Diese werden seitens der Deutschen Akkreditierungsstelle (DAkkS) nach einem mit der Bundesnetzagentur abgestimmten Prüfungsschema akkreditiert und können im An- schluss hieran entsprechende Feststellungen treffen. Die Feststellungen müssen seitens der Verpflichteten nach Absatz 1 vor Nutzung der Verfahren der Bundesnetzagentur vorge- legt werden und haben eine Gültigkeitsdauer von 24 Monaten. Vor Ablauf dieser Frist muss das jeweilige Verfahren auf die beschriebene Weise rezertifiziert werden.

Dieses Zertifizierungsverfahren dürfte die Verlässlichkeit der eingesetzten Verfahren zur Überprüfung der Kundendaten erheblich steigern, da hier im Vorfeld eine konzeptionelle Prüfung durch eine anerkannte und ihrerseits akkreditierte Stelle erfolgt. Bisher gab es nur ein System der “Selbstüberprüfung” in diesem Bereich, da die rechtlichen Vorgaben zwar vorlagen, eine verbindliche Aussage zur Übereinstimmung der Verfahren mit diesen jedoch nicht abgegeben worden ist. Stattdessen häuften sich in den letzten Jahren die Anfragen der Anbieter von Identifizierungsdiensten an die Bundesnetzagentur mit dem Ansinnen, “Zertifizierungen” bzw. verbindliche Freigaben für bestimmte Verfahren bzw. Varianten der- selben zu erhalten. Um hier zukünftig einen transparenteren und einheitlicheren Maßstab zu schaffen, sollen in Zukunft diese vorgelagerten konzeptionellen Prüfungen durch Kon- formitätsbewertungsstellen vorgenommen werden. Die obligatorische Rezertifizierung vor Ablauf von 24 Monaten erlaubt eine dauerhafte Verlässlichkeit und Rechtssicherheit der jeweiligen Feststellung.

Sollten dennoch Mängel des Identifizierungsprozesses offenkundig werden, etwa durch Be- schwerden zu fehlerhaften Datensätzen seitens der nach den §§ 170 und 171 berechtigten Stellen, so hat die Bundesnetzagentur immer noch die gleichen Möglichkeiten, im Wege der verwaltungsrechtlichen Aufsichtsverfahren einzuschreiten bzw. die konkreten Verstöße auch nach den Bußgeldvorschriften zu ahnden.

Das dargestellte Zertifizierungsverfahren ist bereits im Bereich des Vertrauensdienstege- setzes (VDG) erprobt und hat sich bewährt. Es besteht hier ein gelebter, enger Austausch zwischen der Bundesnetzagentur und den Konformitätsbewertungsstellen, so dass hier ins- gesamt einheitliche rechtliche Maßstäbe angewendet werden können. Durch die Teilnahme an diesem Austausch auch im Bereich der TKG-Identifizierungsverfahren können Synergieeffekte zukünftig sinnvoll genutzt werden. Zudem ist die Bedarfslage im Bereich anderer zertifizierter Identifizierungsverfahren für den Anwendungsbereich des GWG und des VDG vergleichbar. So dass hier sowohl materiell-rechtliche als auch Synergien für die Wirtschaft durch Nutzung ein und derselben Konformitätsbewertungsstelle für eine rechts- sichere Einschätzung der eingesetzten Identifizierungsverfahren genutzt werden können. Für die Anbieter von Identifizierungsdienstleistungen dürfte eine erfolgte Zertifizierung au- ßerdem ein Werbeinstrument sein.

Zu Absatz 3

Der bisherige § 111 Absatz 2, der Erbringer öffentlich zugänglicher Dienste der elektroni- scher Post adressiert, wird im Rahmen der Novelle auf sämtliche Anbieter nummernunab- hängiger interpersoneller Telekommunikationsdienste erweitert. Neben E-Mail-Diensten werden dadurch künftig insbesondere auch Messengerdienste erfasst. Für diese besteht eine Speicherpflicht von Bestandsdaten nur, soweit sie erhoben werden. Eine Erhebungs- pflicht ist nicht vorgesehen.

Zu Absatz 4

Absatz 4 entspricht im Wesentlichen dem bisherigen § 111 Absatz 3. Die Nacherhebungs- pflicht wurde vor dem Hintergrund, dass die Daten nach Absatz 1 vollständig zu erheben und zu speichern sind, gestrichen.

Zu Absatz 5

Die Vorgaben in Absatz 5 entsprechen im Wesentlichen dem bisherigen § 111 Absatz 4. Sie betreffen den Fall, dass sich ein verpflichteter Anbieter eines Telekommunikations- dienstes zur Erhebung oder Überprüfung der Daten eines Dritten bedient. Auch in diesem Fall bleibt der Telekommunikationsdiensteanbieter für die Erfüllung der Erhebungs- und Speicherpflichten verantwortlich. Ergänzend wird hier das Verbot für den Dritten aufgenom- men, unrichtige Daten zu verwenden oder zu verarbeiten. Dieses Verbot ist dem Umstand geschuldet, dass der Bundesnetzagentur vermehrt Fälle bekannt geworden sind, in denen in den Vertrieb eingebundene Dritte gestohlene bzw. duplizierte Identitäten tatsächlich exis- tierender Personen für die Registrierung und Freischaltung weiterer Prepaid-SIM-Karten verwendet haben, um diese anschließend unter Hinweis auf die bereits erfolgte Freischal- tung zu verkaufen. Die eigentlich korrekten Daten tatsächlich existierender Personen wer- den bei dieser unrechtmäßigen Verwendung zu „unrichtigen Daten“ im Sinne der Norm. Das Verbot der Verwendung und Verarbeitung unrichtiger Daten wird durch einen entspre- chenden Bußgeldtatbestand in § 225 flankiert. Auf diese Weise wird der Bundesnetzagen- tur ein effektives Einschreiten in den geschilderten Fallkonstellationen ermöglicht.

Zu Absatz 6
Die Regelung entspricht dem bisherigen § 111 Absatz 5. 

Zu Absatz 7
Die Regelung entspricht dem bisherigen § 111 Absatz 6.