++ Neues im DFN ++
Deutsches Forschungsnetz erprobt Technologie für Terabit-Anschlüsse
Anwender im Deutschen Forschungsnetz realisieren 100-GB/s-Verbindungen in die USA
Gemeinsame Pressemitteilung von ECI und DFN zum Terabit-Testbed
Größere Nutzungskapazität bei DFNVC

Speicherrechte nach dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG)

(von Felix Banholzer)

Das Telemediengesetz und das Telekommunikationsgesetz regeln jeweils verschiedene Teledienste. Daher müssen die Gesetze voneinander abgegrenzt werden, um die Rechte und Pflichten der Diensteanbieter in Bezug auf die Erhebung und Verwendung von Nutzerdaten herauszufiltern, welche im Rahmen der Nutzung der Dienste anfallen. Erschwert wird diese Abgrenzung durch Überschneidungen der Gesetze, insbesondere im Falle der Zugangsvermittlung zum Internet (Access-Providing). Darüber hinaus differenzieren die Gesetze zwischen verschiedenen Arten von Daten, nämlich zwischen Bestands- und Nutzungs- bzw. Verkehrsdaten. Hierbei ist ebenfalls eine genaue Unterscheidung erforderlich, da an den Umgang mit den Daten unterschiedlich hohe Anforderungen geknüpft werden. Besonderes Augenmerk muss ferner auf die Rechte zur Erhebung und Verwendung von IP-Adressen gelegt werden. Hierüber kann keine allgmeingültige Aussage getroffen werden, da sich der Umfang der Verwendungsrechte oftmals nur unter Betrachtung des konkreten Einzelfalls bestimmen lässt, was sowohl im Telemediengesetz als auch im Telekommunikationsgesetz Schwierigkeiten bereiten kann.

I. Anwendungsbereiche und Abgrenzung von TMG und TKG

Das Telemediengesetz (TMG) hat am 01.03.2007 das Teledienstegesetz (TDG) und den Mediendienstestaatsvertrag (MDStV) ersetzt, was zur Folge hat, dass die bis dahin vorzunehmende Unterscheidung zwischen Telediensten und Mediendiensten für die Zukunft entfällt. § 1 Abs. 1 TMG stellt nunmehr nur noch auf Telemedien ab, also auf alle elektronischen Informations- und Kommunikationsdienste, die keine Telekommunikationsdienste (§ 3 Nr. 24 TKG), telekommunikationsgestützte Dienste (§ 3 Nr. 25 TKG) oder Rundfunk (§ 2 RStV) darstellen. Zu diesen Diensten zählen dabei insbesondere solche der Individualkommunikation (z.B. Telebanking, E-Mail und Datendienste). Das TMG richtet sich an alle Diensteanbieter einschließlich der öffentlichen Stellen, unabhängig davon, ob für die Nutzung der Dienste ein Entgelt erhoben wird. Ein Diensteanbieter wird in § 2 Satz 1 Nr. 1 TMG definiert als eine „natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“. Umfasst sind hiervon im Wesentlichen Tätigkeiten von sog. Host- und Content-Providern, etwa die Bereitstellung von Webspeicherplatz für fremde Inhalte oder die Veröffentlichung eigener redaktioneller Beiträge und Inhalte.

Das Telekommunikationsgesetz (TKG) von 1996 (zuletzt geändert am 17.03.2009) ist der Nachfolger des früheren Fernmeldeanlagengesetzes (FAG) und regelt so genannte Telekommunikationsdienste. Dies sind nach der Legaldefinition von § 3 Nr. 24 TKG „in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“. Das TKG betrifft nach dieser Definition im Wesentlichen die Telekommunikationsinfrastruktur sowie die hierüber erbrachten Telekommunikationsdienstleistungen des Aussendens, Übermittelns und Empfangens von Signalen. Gemeint sind damit üblicherweise Dienstleistungen des sog. Access-Providers, etwa die Internetzugangsvermittlung, die Bereitstellung eines E-Mail-Accounts oder das Betreiben eines Telefonnetzes.

Besonders die Zuordnung der Tätigkeit von Access-Providern in die Anwendungsbereiche von TMG und TKG bereitet Schwierigkeiten. Grundsätzlich sind von der Definition der Telekommunikationsdienste gerade Angebote von Access-Providern umfasst, solange es um die reine Zugangsvermittlung im Bereich des Internets geht. Der technische Vorgang des Aussendens, Übermittelns und Empfangens ist damit als reine Transportleistung dem TKG unterworfen. Durch einen Umkehrschluss aus § 11 Abs. 3 TMG lässt sich jedoch erkennen, dass ein Access-Provider auch von den Regelungen des TMG betroffen ist, da für ihn einige Regelungen des TMG außer Acht zu bleiben haben. Die demzufolge erforderliche Abgrenzung zwischen TKG und TMG erfolgt anhand der jeweiligen Funktion der Dienste: Sind die Infrastruktur, das Leitungsnetz oder andere technische Belange betroffen, gilt das TKG. Stehen hingegen die übertragenen Inhalte im Vordergrund und nicht der reine Übertragungsvorgang, ist das TMG anwendbar. Das bedeutet, dass bei jeder einzelnen Dienstleistung eines Access-Providers genau geschaut werden muss, ob die Transportleistung im Vordergrund steht oder der transportierte Inhalt. TMG und TKG können unter Umständen auch parallel zur Anwendung kommen, zumal das TKG gemäß § 1 Abs. 3 TMG von der Anwendung des Telemediengesetzes unberührt bleibt. Dies ist etwa dann der Fall, wenn zusätzlich zum Netzzugang auch inhaltliche Dienstleistungen wie die Möglichkeit einer E-Mail-Übertragung angeboten werden.

II. Befugnisse zur Datenspeicherung nach TMG und TKG

1. Datenspeicherung im Telemediengesetz

§ 12 Abs. 1 TMG legt fest, dass ein Diensteanbieter personenbezogene Daten – also Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. § 3 Abs. 1 BDSG) – zur Bereitstellung von Telemedien nur erheben und verwenden darf, soweit es gesetzliche Vorschriften, die sich ausdrücklich auf Telemedien beziehen, erlauben oder der Nutzer eingewilligt hat. Sobald er dieses Recht ausübt, hat er den Nutzer nach § 13 Abs. 1 TMG zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung der personenbezogenen Daten in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei Verwendung eines automatisierten Verfahrens, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Das TMG differenziert zwischen zwei Arten von personenbezogenen Daten – Bestandsdaten und Nutzungsdaten – und stellt an die Erhebung und Verwendung der jeweiligen Daten unterschiedliche Anforderungen:

Bestandsdaten sind Daten, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind (§ 14 Abs. 1 TMG), beispielsweise Name, Benutzerkennung oder Anschrift des Nutzers. In dieser Definition sind gleichzeitig die Voraussetzungen für die Datenspeicherung enthalten, nämlich der Zweck der Erhebung und die Erforderlichkeitsschwelle. Zu beachten ist, dass grundsätzlich ein strenger Maßstab an die Erforderlichkeit und die Zweckbindung anzulegen ist. Die Voraussetzungen, unter denen der Diensteanbieter zur Weitergabe der erhobenen Bestandsdaten befugt ist, sind in § 14 Abs. 2 TMG geregelt. Demnach darf der Diensteanbieter auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestandsdaten erteilen, soweit dies für Zwecke der Strafverfolgung, zur Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung der gesetzlichen Aufgaben der Verfassungsschutzbehörden des Bundes und der Länder, des Bundesnachrichtendienstes oder des Militärischen Abschirmdienstes oder zur Durchsetzung der Rechte am geistigen Eigentum erforderlich ist.

Nutzungsdaten sind hingegen Daten, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (§ 15 Abs. 1 TMG). Als Beispiele werden Merkmale zur Identifikation des Nutzers, Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und Angaben über die vom Nutzer in Anspruch genommenen Telemedien aufgeführt. Nutzungsdaten dürfen zu Abrechnungszwecken über das Ende des Nutzungsvorgangs hinaus gespeichert werden und – wenn zu diesem Zweck erforderlich – mit Nutzungsdaten über die Inanspruchnahme anderer Telemedien zusammengeführt werden. Sie dürfen an andere Diensteanbieter übermittelt werden, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer notwendig ist. Die Abrechnung über die Inanspruchnahme von Telemedien darf aber Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, sofern der Nutzer nicht einen Einzelnachweis verlangt. Die hierfür benötigten Abrechnungsdaten müssen jedoch spätestens sechs Monate nach Versendung der Rechnung gelöscht werden, es sei denn, dass tatsächliche Anhaltspunkte vorliegen, dass der Nutzer das Entgelt nicht entrichten wird oder Einwendungen gegen die Rechnung gemacht werden. In diesem Fall dürfen die zur Rechtsverfolgung erforderlichen Daten weiterhin gespeichert werden, müssen aber unverzüglich gelöscht werden, sobald diese Voraussetzung nicht mehr vorliegt. Der Diensteanbieter darf mit den Nutzungsdaten zu Werbe- und Forschungszwecken oder zur bedarfsgerechten Gestaltung der Telemedien zwar auch Nutzungsprofile erstellen, er muss aber Pseudonyme verwenden und der Nutzer darf der Erstellung eines Profils nicht widersprochen haben. Eine Zusammenführung von den pseudonymisierten Daten mit weiteren Daten über den Betroffenen darf aber nicht erfolgen. Nur anonymisierte Nutzungsdaten dürfen zum Zwecke der Marktforschung anderer Diensteanbieter übermittelt werden, § 15 Abs. 5 S. 3 TMG.

Zur Störungsabwehr oder zur Missbrauchsbekämpfung dürfen die Nutzungsdaten nur gespeichert werden, wenn tatsächliche Anhaltspunkte vorliegen, dass der betroffene Nutzer nicht das geschuldete Entgelt entrichten wird. Zu anderen Zwecken, etwa zur Abwehr von „Denial of Service“-Angiffen, ist die Speicherung nicht erlaubt.

Dieses Thema wurde auch im DFN-Infobrief Januar 2009 behandelt.

Sonderproblem: Die Behandlung von IP-Adressen im TMG
Um in den Regelungsbereich des TMG zu fallen, muss es sich bei IP-Adressen zunächst um personenbezogene Daten handeln. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 BDSG. Als bestimmbar gilt die natürliche Person dann, wenn eine Identifikation durch die Verknüpfung verschiedener Informationen ohne unverhältnismäßigen Aufwand möglich ist. Für die Bestimmbarmachung kann auch ein Dritter eingesetzt werden. Personendaten sind somit dann bestimmbar, wenn sie persönlich oder von einem beauftragten Dritten ohne unverhältnismäßigen Aufwand in Erfahrung gebracht werden können.
Die Verhältnismäßigkeit des Aufwands muss anhand des konkreten technischen und organisatorischen Kontextes im Einzelfall beurteilt werden. Eine IP-Adresse hat von sich aus noch keinen Personenbezug, möglicherweise ist durch sie jedoch eine natürliche Person bestimmbar. Jedenfalls im Fall von statischen IP-Adressen, die den jeweiligen Anschlüssen auf Dauer zugewiesen werden, wird dies weitgehend angenommen, da über die IP-Adresse mittels einer Whois-Abfrage verhältnismäßig leicht festgestellt werden kann, wer hinter der Adresse steht. Schwieriger ist hingegen die Beurteilung von dynamischen IP-Adressen, wenn ein und dieselbe Adresse zu verschiedenen Zeitpunkten unterschiedlichen Nutzern zugeordnet wird, sodass die Binärzahl allein nicht zwangsläufig die Identifikation des jeweiligen Nutzers ermöglicht. Ein Access-Provider, der noch über die Logdateien verfügt, wann er welchem Nutzer welche IP-Adresse zugewiesen hat, kann die dynamische IP-Adresse jedoch mit geringem Aufwand mit dem Zeitstempel verknüpfen und somit den jeweiligen Nutzer identifizieren – für ihn stellen somit auch dynamische IP-Adressen personenbezogene Daten dar. Diese Möglichkeit haben Host- und Content-Provider nicht ohne weiteres. Trotzdem hat das Amtsgericht Berlin-Mitte am 27.03.2007 (Az.: 5 C 314/06) entschieden, dass auch dynamische IP-Adressen generell personenbezogene Daten seien. Durch die Zusammenführung der IP-Adresse mit anderen personenbezogenen Daten (z.B. Nutzerkennung) sei es in den meisten Fällen ohne großen Aufwand möglich, den Internetbenutzer zu identifizieren. Gegebenenfalls könne der Access-Provider diese Identifikation ermöglichen, selbst wenn er nicht zur Auskunft berechtigt wäre. Im Gegensatz zu diesem Verständnis ist die wohl herrschende Sichtweise, dass eine rein hypothetische Möglichkeit der Verschaffung von Name und Anschrift über den Access-Provider noch nicht für eine Bejahung der Bestimmbarkeit einer Person anhand einer IP-Adresse ausreicht. So hat auch das Amtsgericht München in seinem Urteil vom 30.09.2008 (Az.: 133 C 5677/08) argumentiert. Ohne Zusatzkenntnisse, die der Content-Provider beispielsweise dadurch erlangt, dass sich der Nutzer auf dessen Website einloggen muss, bleibt ihm nur die Möglichkeit, eine Auskunft über Name und Anschrift des Nutzers beim jeweiligen Access-Provider oder bei der Staatsanwaltschaft einzuholen. Eine solche Auskunft kann jedoch für die in der Regel verfolgten Zwecke mit legalen Mitteln gerade nicht erlangt werden. Daher könne in so gelagerten Fällen kaum noch davon gesprochen werden, dass es unter Anwendung von normalerweise zur Verfügung stehenden Hilfsmitteln und ohne großen Aufwand möglich sei, die Bestandsdaten des Klägers zu ermitteln und damit den Personenbezug herzustellen. IP-Adressen sind nach dieser Argumentation folglich nur dann personenbezogene Daten, wenn Zusatzkenntnisse bestehen, die eine Identifikation des Nutzers ermöglichen. Für Access-Provider kann dies bezüglich ihrer eigenen Nutzer jederzeit angenommen werden. Content- oder Host-Provider müssen sich hingegen in der Regel zusätzliche Informationen über den Nutzer einer dynamischen IP-Adresse von anderen verschaffen.

Soweit IP-Adressen personenbezogene Daten darstellen, muss weiterhin zwischen statischen und dynamischen IP-Adressen unterschieden werden. Statische IP-Adressen werden nach herrschender Ansicht als Bestandsdaten angesehen, so dass die Regelungen des § 14 TMG anwendbar sind. Dynamische IP-Adressen stellen hingegen Nutzungsdaten dar und unterfallen daher den Bestimmungen von § 15 TMG.

Sonderproblem: Verwendung von Cookies
Auch die Verwendung von Cookies ist nach dem TMG problematisch, also die Anlegung einer Datei durch einen Diensteanbieter, in der verschiedene Informationen des Aufrufs der Webseite durch den Nutzer gespeichert werden. Diese Datei wird daraufhin lokal auf dem Rechner des Nutzers gespeichert. Bei einem erneuten Aufruf des Dienstes werden die bisher gesetzten Cookies wiederum an den Diensteanbieter übermittelt, so dass diesem einzelne Daten aus der letzten Sitzung zur Verfügung stehen. Hiermit wird etwa eine „automatisierte“ Eingabe des Passworts ermöglicht, sofern der Nutzer stets denselben Rechner verwendet.

Für die Anwendbarkeit des TMG ist entscheidend, ob es sich bei einem Cookie um ein personenbezogenes Datum handelt. Dies lässt sich nur unter Berücksichtigung des konkreten Verwendungszusammenhangs beantworten: Ermöglicht der Cookie die Identifizierung des Nutzers, ist der Anwendungsbereich des Telemediengesetzes eröffnet und dessen Datenschutznormen müssen beachtet werden. Bereits in dem Anlegen der Datei liegt ein datenschutzrechtlich relevantes Speichern von personenbezogenen Daten. Es bedarf also nach § 12 TMG einer Einwilligung des Nutzers, sofern die Datenverarbeitung nicht von einer gesetzlichen Erlaubnisnorm gedeckt ist.

Ob Cookies als Bestandsdaten i.S.d. § 14 TMG oder als Nutzungsdaten nach § 15 TMG einzuordnen sind, hängt von dem geplanten Einsatz ab. Bei einer längerfristigen Speicherung von Cookies (mehrere Monate oder Jahre) besteht die Vermutung eines Bestandsdatums, da der Zusammenhang mit einer einzelnen Nutzung des Mediums verloren geht. Letztlich kann die Frage aber unbeantwortet bleiben, da weder § 14 TMG noch § 15 TMG die Speicherung von Cookies zur erleichterten Nutzung eines Dienstes zulassen. Nach § 14 TMG dürfen Bestandsdaten nur verwendet werden, soweit sie für die Begründung oder inhaltliche Ausgestaltung des Vertragsverhältnisses erforderlich sind. Vorherrschend ist hier eine enge Auslegung der Erforderlichkeit, so dass die Speicherung für die Vertragsabwicklung unerlässlich sein muss. Dies ist bei einer Speicherung in einem Cookie nicht der Fall. Nach § 15 Abs. 4 TMG sind Nutzungsdaten ohnehin zu löschen, sofern sie zu Abrechnungszwecken nicht erforderlich sind. Ein Einsatz von Cookies ist daher nur bei der vorherigen Erteilung einer Einwilligung des Nutzers zulässig. Zudem ist gemäß § 13 Abs. 1 Satz 2 TMG der Nutzer über die Einzelheiten des automatisierten Verfahrens zu unterrichten, wenn dadurch eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet wird. Bei der Installation und dem Auswerten der Cookies handelt es sich um einen automatisierten Vorgang. Da die Cookies auch der Identifizierung des Nutzers dienen, fallen sie unter die Unterrichtungspflicht.

2. Datenspeicherung im Telekommunikationsgesetz

Auch das TKG differenziert zwischen zwei Arten von Daten – Bestands- und Verkehrsdaten –, an deren Speicherung wie im TMG unterschiedliche rechtliche Anforderungen gestellt werden.

Bestandsdaten sind in § 3 Nr. 3 TKG als Daten eines Teilnehmers definiert, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Diese dürfen erhoben und verwendet werden, soweit es zur Erreichung dieser Zwecke erforderlich ist. Da die Definition keine konkreten Beispiele enthält und nicht abschließend ist, orientiert sich die Beurteilung des Datums immer am konkreten Vertragsverhältnis. Üblicherweise gehören Name, Vorname und Anschrift des Teilnehmers hierzu.
Verkehrsdaten sind dagegen Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden, § 3 Nr. 30 TKG. Sie dürfen nur dann erhoben und verwendet werden, wenn dies für die im TKG ausdrücklich zugelassene Zwecke erforderlich ist. Hierunter fallen u. a. Nummer oder Kennung der beteiligten Anschlüsse oder Endeinrichtungen, personenbezogene Berechtigungskennungen, Beginn und Ende der jeweiligen Verbindungen nach Datum und Uhrzeit und, soweit die Entgelte davon abhängen, die übermittelten Datenmengen.

Zu beachten ist, dass ein Datum sowohl Bestands- als auch Verkehrsdatum sein kann, zumal es bei der Beurteilung auf den konkreten Kontext der Datenverarbeitung im Einzelfall ankommt.

Speicherungsrechte von Bestandsdaten
Gemäß § 95 Abs. 1 TKG dürfen Bestandsdaten erhoben und verwendet werden, soweit dieses zur Erreichung eines der in § 3 Nr. 3 TKG genannten Zwecke erforderlich ist, also für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses. Die Übermittlung dieser Daten an Dritte ist nur zulässig, wenn eine gesetzliche Regelung vorliegt oder der Teilnehmer in die Übermittlung eingewilligt hat. Solch eine Einwilligung ist ebenfalls notwendig, wenn die Bestandsdaten zur Beratung, zur Werbung für eigene Angebote und zur Marktforschung verwendet werden sollen, solange auch hier das Kriterium der Erforderlichkeit beachtet wird.
Nach dem Ende des Vertragsverhältnisses müssen die Bestandsdaten mit Ablauf des auf die Beendigung folgenden Kalenderjahres gelöscht oder – in Ausnahmefällen – gesperrt werden, § 95 Abs. 3 TKG.

Speicherungsrechte von Verkehrsdaten
Für Verkehrsdaten enthält § 96 TKG Regeln über deren Erhebung und Verwendung. Zu beachten ist, dass ausschließlich die im Katalog des Absatz 1 aufgezählten Arten von Daten erhoben und verwendet werden dürfen, andere Verkehrdaten müssen außer Acht gelassen werden. § 96 Abs. 1 Nr. 5 TKG enthält allerdings einen Auffangtatbestand, nach dem auch „sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten“ erhoben und verwendet werden dürfen.

Grundsätzlich sind Verkehrsdaten vom Diensteanbieter nach Beendigung der Verbindung unverzüglich zu löschen. Unter strengen Voraussetzungen dürfen die Daten aber zur Vermarktung oder zur bedarfsgerechten Gestaltung von Telekommunikationsdiensten sowie zur Bereitstellung von Diensten mit Zusatznutzen weiterhin verwendet werden. Der Zeitraum darf dabei das erforderliche Maß nicht überschreiten, der Betroffene muss in die Verwendung eingewilligt haben und die Daten müssen unverzüglich anonymisiert werden. Ferner müssen dem Betroffenen Zweck und Dauer der Verarbeitung mitgeteilt werden, und er muss auf ein Widerrufsrecht der Einwilligung hingewiesen werden.

Weitere Ausnahmen von der Löschungspflicht müssen gesetzlich geregelt sein, wie es beispielsweise in § 97 TKG (Entgeltermittlung und Entgeltabrechnung), § 99 TKG (Einzelverbindungsnachweis), § 100 TKG (Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten) und § 101 TKG (Mitteilen ankommender Verbindungen) geschehen ist. Generell sind diese Ausnahmen jedoch sehr eng und erfordern durchgehend die Einhaltung der Erforderlichkeitsgrenze und einer sehr präzisen Eingrenzung von den benötigten Daten und dem Speicherungszeitraum. Zudem sind die Betroffenen in den Vorgang mittels Einwilligungen bzw. Benachrichtigungen miteinzubeziehen.

Zu beachten ist noch § 113a TKG: Derjenige, der öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, muss die bei der Nutzung seines Dienstes erzeugten oder verarbeiteten Verkehrsdaten sechs Monate im Inland oder in einem anderen Mitgliedstaat der Europäischen Union speichern. Falls die Daten nicht selbst erzeugt oder verarbeitet werden, muss sichergestellt werden, dass die Daten von Anderen gespeichert werden. Werden die Dienste jedoch nur für eine geschlossene Benutzergruppe angeboten, besteht keine Speicherpflicht nach § 113a TKG.

Sonderproblem: Die Behandlung von IP-Adressen im TKG
Schwierig ist wieder die Beurteilung, in welchem Umfang das TKG die Speicherung von IP-Adressen erlaubt. Auch im TKG sind statische IP-Adressen als Bestandsdaten und dynamische IP-Adressen als Verkehrsdaten anzusehen. Problematisch sind infolgedessen insbesondere die dynamischen IP-Adressen, die in den Anwendungsbereich der §§ 96 ff. TKG fallen, wobei sich insbesondere aus § 97 TKG (Entgeltermittlung und Entgeltabrechnung) und aus § 100 TKG (Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten) Rechte zur Speicherung ergeben können.

Zu Abrechnungszwecken müssen die relevanten Verkehrsdaten unverzüglich nach Beendigung der Verbindung ermittelt werden und zur Abrechnung nicht erforderlichen Daten sind ohnehin unverzüglich zu löschen, § 97 Abs. 3 TKG. Es ist also zu prüfen, ob dynamische IP-Adressen erforderliche Daten in diesem Sinne sind. Diesbezüglich entschied das AG Darmstadt (Urteil vom 30.06.2005, Az. 300 C 397/04, bestätigt durch das LG Darmstadt, Urteil vom 25.01.2006, Az. 25 S 118/05. Vgl. auch das AG Bonn, Urteil vom 5.07.2007, Az. 9 C 177/07.), dass ein Access-Provider dynamische IP-Adressen dann nicht speichern darf, wenn er dem Nutzer einen ununterbrochenen Zugang zum Internet anbietet (Flatrate), da sie dann nicht zur Abrechnung verwendet werden müssten. Auch im Falle eines Streits über die Richtigkeit der Abrechnung sei eine Vorlage der IP-Adressen nicht notwendig, weil den Anbieter keine Nachweispflichten für Einzelverbindungen treffen, die aufgrund rechtlicher Verpflichtungen gelöscht wurden. Er müsse entsprechend § 16 Abs. 2 der Telekommunikationskundenschutzverordnung (TKV) lediglich nachweisen, dass ein Vertrag besteht, das Abrechnungssystem ordnungsgemäß funktioniert und damit nur solche Nutzungsvorgänge abgerechnet werden, die unter Verwendung der Kennung und Geheimzahl stattgefunden haben. Die dynamische IP-Adresse ist folglich unverzüglich nach Beendigung der Verbindung zu löschen. Umgekehrt bedeutet dies aber, dass die Speicherung von IP-Adressen unter den Voraussetzungen des § 97 TKG dann zulässig ist, wenn die Höhe des Entgelts für den Internetzugang anhand der Dauer der Verbindung bzw. des Volumens des Downloads berechnet wird.

Ein weiteres Speicherungsrecht könnte sich aus § 100 TKG ergeben. Zum Erkennen, Eingrenzen und Beseitigen von Störungen oder Fehlern an den Telekommunikationsanlagen dürfen IP-Adressen erhoben und verwendet werden, soweit es zu diesen Zwecken erforderlich ist (§ 100 Abs. 1 TKG). Wenn dynamische IP-Adressen vergeben worden sind, wird dem Provider nach der Rechtsprechung z.B. des Landgerichts Darmstadt vom 06.06.2007 (Az.: 10 O 562/03) oder des Amtsgerichts Bonn vom 05.07.2007 (Az.: 9 C 177/07) eine Frist von sieben Tagen nach Ende der jeweiligen Internetverbindung zugestanden, in der die IP-Adresse in Verbindung mit den Anfangs- und Enddaten der Verbindung auch vorsorglich gespeichert werden darf. Der Access-Provider benötige die IP-Adressen zur Erkennung, Eingrenzung und Beseitigung von Störungen oder Fehlern ihrer Telekommunikationsanlagen und es könne einige Zeit dauern, bis eine solche Störung entdeckt würde. Nach Ablauf der Frist müssen die Daten gelöscht werden, wenn bis zu diesem Zeitpunkt keine Störung gefunden wurde und die IP-Adresse nicht zu anderen Zwecken benötigt wird, beispielsweise zur Entgeltabrechnung. Im Falle einer Störung müssen die Daten gelöscht werden, sobald diese beseitigt wurde. Zu beachten ist jedoch, dass sich die 7 Tages-Frist lediglich durch die Urteile einiger Gerichte herausgebildet hat, ohne jedoch gesetzlich geregelt zu sein. Andere Gerichte könnten in Zukunft auch von anderen Fristen ausgehen bzw. die vorsorglich Speicherung an sich für unzulässig erklären. Außerdem gilt die Frist nur für dynamische IP-Adressen, da statische IP-Adressen ohnehin dauerhaft zugewiesen werden und gemäß § 95 Abs. 3 TKG erst mit Ablauf des auf die Beendigung des Vertrages folgenden Kalenderjahres gelöscht werden müssen. Das bedeutet jedoch nicht zwangsläufig, dass ein Access-Provider, der statische IP-Adressen vergibt, auch andere Daten für einen solch langen Zeitraum speichern darf! Für die Erfüllung des mit dem Nutzer abgeschlossenen Vertrages ist es erforderlich, dass die statische IP-Adresse dauerhaft gespeichert wird. Die Speicherung anderer Daten, wie z.B. Verbindungsanfang und  ende, Verbindungsdauer oder Menge der versendeten und empfangenen Daten, ist zum Zweck der Vertragserfüllung hingegen nicht unbedingt erforderlich und muss daher separat beurteilt werden. Diese Daten dürfen nur dann in Kombination mit der statischen IP-Adresse gespeichert werden, wenn es das Gesetz erlaubt, beispielsweise zur Entgeltabrechnung, oder wenn der Nutzer ausdrücklich in die Speicherung einwilligt.

Die Rechte des Access-Providers beim Missbrauch seiner Telekommunikationsnetze durch eine rechtswidrige Inanspruchnahme – beispielsweise zur Leistungserschleichung, zum Hacking in andere Netzwerke oder zur Umgehung der Gebührenerfassung – regelt § 100 Abs. 3 TKG. Hiernach darf der Diensteanbieter IP-Adressen erheben und verwenden, soweit es für das Aufdecken und das Unterbinden der rechtswidrigen Inanspruchnahme notwendig ist. Dem Provider müssen für eine solche Speicherung allerdings tatsächliche Anhaltspunkte vorliegen, eine verdachtsunabhängige (präventive) Speicherung von IP-Adressen zur Missbrauchsbekämpfung ist nicht zulässig. Entscheidet sich ein Access-Provider, ein Verfahren zum Aufdecken und Unterbinden rechtswidriger Inanspruchnahme einzuführen oder ein hierfür bestehendes Verfahren zu ändern, hat er gemäß § 100 Abs. 3 Satz 5 TKG die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz zu informieren. Diese Informationspflicht gilt nur für das technische Verfahren als solches, nicht jedoch für Einzelfallmaßnahmen gegen einzelne Nutzer oder reine Tests. Die konkrete Missbrauchsverfolgung fällt also nicht unter diese Verpflichtung. Informiert werden muss ferner lediglich über die Aufnahme und Abänderung des Verfahrens, nicht jedoch über die einzelnen Mittel des Verfahrens oder den Abbruch der Überwachung. Enthalten sollte die Meldung die Punkte, die im Katalog des § 4e BDSG aufgezählt sind, also insbesondere Angaben zur Identifikation des verantwortlichen Diensteanbieters, den Zweck des Verfahrens und das Verfahren in groben Zügen.

Verantwortlich: A. Rülke
erstellt am:  12.11.2008      aktualisiert am:  07.11.2010