23. April 2009 - Konsequenzen der gesetzlichen Regelung für Unternehmen

Wer muss Vorratsdatenspeicherung betreiben?

Das Gesetz zur Vorratsdatenspeicherung führt in Unternehmen häufig zu Unsicherheit darüber, inwieweit sie hier in die Pflicht genommen sind. Werden sie doch als Arbeitgeber durch die Bereitstellung öffentlicher Kommunikationsmittel selbst zum Diensteanbieter. Und nach dem Wortlaut des Gesetzes müssen alle Anbieter öffentlich zugänglicher Telekommunikationsdienste Vorratsdatenspeicherung betreiben. In den meisten Fällen kann jedoch Entwarnung gegeben werden.

wer-muss-vorratsdatenspeicherung-betreiben.jpeg
Muss eigentlich auch ein Arbeitgeber, der private E-Mail erlaubt, Vorratsdatenspeicherung betreiben? (Foto: Gerd Altmann/PIXELIO).

Die unter dem Begriff „Vorratsdatenspeicherung“ bekannt gewordene europäische Richtlinie 2006/24/EG wirft nach wie vor Fragen auf.

Datenspeicherung für Terrorabwehr und Strafverfolgung

Inhaltlich geht es dabei um die Speicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden sowie um deren Weitergabe an die staatlichen Behörden zur Terrorabwehr und zu Zwecken der Strafverfolgung.

Die rechtliche Grundlage

So regelt § 113a des Telekommunikationsgesetzes (TKG) die Speicherungspflicht von Daten und § 113b TKG die Verwendung dieser gespeicherten Daten.

Beide Regelungen stellen die gesetzliche Verankerung der Vorratsdatenspeicherung dar.

Welche Daten sind betroffen?

Zu speichern sind Verbindungsdaten, also technische Informationen, die sich aus den Umständen der Telekommunikation ergeben.

Dazu gehören unter anderem die Telefonverbindungen mit den Rufnummern sowohl des Anrufers als auch der des angerufenen Teilnehmers und die Uhrzeit des Anrufs.

Bei Internet-Telefondiensten wird die IP-Adresse des Anrufers und des Angerufenen gespeichert.

Bei Internetverbindungen geht es um die IP-Adresse des Nutzers, bei E-Mail-Diensten um die IP-Adresse des Absenders, die E-Mail-Adressen aller an Versand und Empfang Beteiligten und außerdem um den Zeitpunkt des Versands und Empfangs.

Auch der Benutzername und die IP-Adresse des Abrufers einer E-Mail gehören zu den speicherungspflichtigen Daten.

Dauer der Speicherung

Nach bisherigem Recht mussten die Anbieter öffentlich zugänglicher Telekommunikationsdienste die Verkehrsdaten nach Beendigung der Verbindung unverzüglich löschen, es sei denn, sie benötigen die Daten z.B. zu Abrechnungszwecken.

Da sich immer mehr so genannte Flatrate-Angebote durchsetzten, ist dieser Zweck als Rechtfertigung praktisch weggefallen, so dass seitens der Anbieter kein Grund zur Speicherung der Verbindungsdaten mehr bestand.

6 Monate sind die Daten zu speichern

Darauf hat der Gesetzgeber reagiert. Seit dem 01.01.2008 müssen Verkehrsdaten jedes Telekommunikationsvorgangs von Anbietern öffentlich zugänglicher Telekommunikationsdienste sechs Monate lang aufbewahrt werden.

Die Anbieter von Internet, von E-Mailboxen sowie von Internettelefonie müssen spätestens bis zum 01.01.2009 (§ 150 Abs. 12b TKG) die Aufbewahrungspflichten erfüllen.

Bußgelder für Verstöße

Die Verletzung der Verpflichtungen stellt eine Ordnungswidrigkeit dar. Die Anbieter können dabei mit Bußgeldern bis zu 500.000 € belangt werden.

Wer muss Vorratsdatenspeicherung betreiben?

Welche Konsequenzen das Gesetz zur Vorratsdatenspeicherung für Unternehmen hat bzw. wer Vorratsdatenspeicherung betreiben muss, ist gesetzlich nicht klar geregelt.

„alle Anbieter öffentlich zugänglicher Telekommunikationsdienste“

Nach dem Gesetzeswortlaut müssen alle Anbieter öffentlich zugänglicher Telekommunikationsdienste Vorratsdatenspeicherung betreiben.

Dabei wird weder die Unternehmensgröße noch der Zweck der Nutzung des Telekommunikationsdienstes berücksichtigt.

Proteste haben zu einer Entschärfung geführt

Aufgrund massiver Proteste aus der Wirtschaft, die die hierbei entstehenden erheblichen Kosten für die Bereitstellung der IT-Infrastruktur zur Speicherung der Daten nicht übernehmen wollte, und infolge der Bedenken des Bundesverfassungsgerichts, ist das Gesetz teilweise entschärft worden.

Zum einen sollen nicht alle Unternehmen zur Vorratsdatenspeicherung oder zumindest nicht zur Vorhaltung der entsprechenden „Beauskunftungssysteme“ verpflichtet sein.

Finanzielle Entschädigung

Zum anderen sollen die Unternehmen eine, wenn auch geringe, finanzielle Entschädigung für ihre Mitwirkung erhalten. („Gesetz zur Neuordnung der Kostenerstattung von Hilfeleistungen der Provider beim Abhören der Telekommunikation und der Vorratsdatenspeicherung“).

Verpflichtet die Erlaubnis privater E-Mail zur Vorratsdatenspeicherung?

Für viele Unternehmen stellt sich die Frage, ob sie durch eine Erlaubnis oder eine Duldung der Privatnutzung betrieblicher Kommunikationsmittel durch die Arbeitnehmer zur Vorratsdatenspeicherung verpflichtet sind.

Hintergrund für diese Unsicherheit ist die Tatsache, dass der Arbeitgeber nach den §§ 3 Nr. 10, 91 TKG, 11 TMG zum Diensteanbieter wird, wenn er für Dritte geschäftsmäßig Telekommunikationsdienste erbringt und die Bereitstellung solcher Dienste nicht ausschließlich berufliche oder dienstliche Zwecke erfüllt.

Arbeitgeber sind von der Vorratsdatenspeicherung befreit!

Die Pflicht zur Vorratsdatenspeicherung ist jedoch zu verneinen, denn diese ist nicht an den Begriff „Dritte“, sondern an den Begriff „Öffentlichkeit“ geknüpft.

Zur Vorratsdatenspeicherung ist verpflichtet, wer „öffentlich zugängliche Telekommunikationsdienste“ für Endnutzer erbringt.

Unter dem Begriff „Öffentlichkeit“ ist ein unbestimmter Personenkreis (also jedermann) zu verstehen.

Die Mitarbeiter sind nicht die „Öffentlichkeit“

Die Identität der Mitarbeiter ist dem Unternehmen als Telekommunikationsanbieter hingegen bekannt.

Zwar gibt es keine gesetzliche Definition für „Öffentlichkeit“, doch ähnlich wie z.B. im Versammlungsrecht impliziert der Begriff der Öffentlichkeit einen unbestimmten Personenkreis.

Auch die Bundesnetzagentur, die die technischen Details des Auskunftsverfahrens festlegt (§ 110 Abs. 3 TKG), erklärte ausdrücklich, dass der Arbeitgeber als Diensteanbieter von der Pflicht zur Vorratsdatenspeicherung befreit ist.

Absicherung bei der Nutzung durch Dritte

Viele Unternehmen stellen regelmäßig externen Besuchern oder Kunden ihre betrieblichen Kommunikationsmittel zur Verfügung.

Dies wirft die Frage auf, ob etwas anderes gilt, wenn das Unternehmen keinerlei Vorkehrungen gegen Nutzung des betrieblichen Kommunikationsmittels durch Externe getroffen hat – wenn etwa ein ungesichertes WLAN verwendet wird und auch sonst keine Sicherheitsvorkehrung hinsichtlich des Zuganges zum Netz getroffen wurde.

Diese Frage lässt sich nur im Einzelfall beantworten. Prinzipiell sollen schon aus datenschutzrechtlichen und haftungsrechtlichen Gründen (Stichwort: Haftung für Verhalten Dritter bzw. „Störerhaftung“) eine Absicherung des Netzes und eine Kontrolle der Zugangsberechtigungen, z.B. durch Passwortschutz, erfolgen.

Nur so ist der Personenkreis hinreichend bestimmt – und die Pflicht zur Vorratsdatenspeicherung entfällt.

Faezeh Shokrian
Faezeh Shokrian ist Rechtsanwältin und Datenschutzconsultant der intersoft consulting services GmbH.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln