Nachspiel: Telekom und Fernmeldegeheimnis


Deutsche Bundesregierung soll sich detailliert zur Telekom äußern: Kontrolle mutmaßlicher Verstöße gegen das Fernmeldegeheimnis bei der Deutschen Telekom AG
Regierung soll mitteilen, in welchen Abständen die Telekommunikationsverbindungsdaten im IVBB derzeit gelöscht werden


(24.06.08) - Die "mutmaßlichen Verletzungen des Fernmeldegeheimnisses" durch die Deutsche Telekom AG sind für Bündnis 90/Die Grünen Anlass, nach der Wirksamkeit von Kontrollen durch die zuständigen Stellen zu fragen (16/9591). Die Bundesregierung soll darlegen, welche Prüfungen und Ermittlungen die Bundesnetzagentur eingeleitet hat. Die Fraktion will wissen, ob die "Sicherheitsmängel" bei der Telekom auch auf den Informationsverbund Berlin-Bonn (IVBB) durchschlagen, der die obersten Bundesbehörden miteinander vernetzt. Unter anderem soll die Regierung mitteilen, in welchen Abständen die Telekommunikationsverbindungsdaten im IVBB derzeit gelöscht werden.

Die in den Medien berichteten mutmaßlichen Verletzungen des Fernmeldegeheimnisses sowie weiterer Rechtsgüter durch die Deutsche Telekom AG (nachfolgend: DTAG) geben Anlass, nach Durchführung und Wirksamkeit vorsorglicher Kontrolle gegen derlei durch die zuständigen Stellen zu fragen.

Erläuternd zu nachstehenden Fragekomplexen I. bis VI. wird vorbemerkt:

Zu I. Prüfungen der Bundesnetzagentur bei der DTAG:
Betreiber von Einrichtungen der Telekommunikation (nachfolgend: TK) wie die DTAG sind verpflichtet, "angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze 1. des Fernmeldegeheimnisses und personenbezogener Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen" (§ 109 Abs. 1 TKG) sowie "ein Sicherheitskonzept zu erstellen und dieses der Bundesnetzagentur" unverzüglich nach Aufnahme der Telekommunikationsdienste" vorzulegen. Die Bundesnetzagentur hat das Konzept zu prüfen und kann Mängelbeseitigung verlangen. (§ 109 Abs.3 TKG).

Zu II. Verarbeitung von Verbindungs- und Standort-Daten auch für DTAG-Zwecke nur begrenzt zulässig:
Daten über Telefonverbindungen und Standorte dürfen nur für begrenzte Zwecke und für angeordnete Überwachungen erhoben, verwendet und übermittelt werden (§ 88 Abs. 3 TKG, §§ 96 bis 100 TKG).

Zu III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der Bundesnetzagentur:
Die Betreiber öffentlicher Telekommunikationsanlagen haben gemäß § 110 Abs. 1 TKG ab Betriebsaufnahme – bei Meidung von Bußgeld bis 500 000 Euro – Einrichtungen zur Telekommunikationsüberwachung vorzuhalten, diesbezügliche organisatorische Vorkehrungen zu treffen, beides der Bundesnetzagentur "unverzüglich" durch Unterlagen nachzuweisen sowie mit dieser einen Termin zur obligatorischen Überprüfung zu vereinbaren; diese kann die Bundesnetzagentur in begründeten Fällen wiederholen (§ 110 Abs.1 Nr. 4, Abs. 5 TKG). Gemäß § 14 TKÜV hat der Betreiber die dabei nachzuweisende Überwachungstechnik "nach dem Stand der Technik gegen unbefugte Inanspruchnahme zu schützen". Medien berichteten, dass dies offenbar im Fall der DTAG nicht effektiv umgesetzt worden sei.
Sofern der Betreiber nicht all diese Verpflichtungen erfüllt, kann die Bundesnetzagentur gemäß § 115 Abs. 3 TKG erforderlichenfalls den Betrieb von Anlagen einschränken, untersagen oder das "geschäftsmäßige Erbringen des betreffenden Telekommunikationsdienstes ganz oder teilweise untersagen".

Zu IV. Protokollierung aller Datenzugriffe durch DTAG und Erkenntnisse der Bundesnetzagentur:
Ein TK-Anlagenbetreiber wie die DTAG hat gemäß § 16 Abs. 1 TKÜV "sicherzustellen, dass jede Anwendung seiner Überwachungseinrichtungen bei der Eingabe der für die technische Umsetzung erforderlichen Daten automatisch lückenlos protokolliert wird. Unter Satz 1 fallen auch Anwendungen für unternehmensinterne Testzwecke." Diese Protokollierungen müssen technisch und organisatorisch gegen Löschung gesichert sein und dürfen erst nach 2 Jahren sowie nur durch besonderes Datenprüfungspersonal gelöscht werden, wobei Zeitpunkt und Durchführender zu notieren ist (§ 16 Abs. 2 TKÜV). Ein TK-Anlagenbetreiber wie die DTAG hat diese Überwachungs- und Testprotokolle mindestens quartalsweise auszuwerten und "hat der Bundesnetzagentur spätestens zum Ende eines jeden Kalendervierteljahres eine Kopie der Prüfergebnisse zu übersenden. Die Bundesnetzagentur bewahrt diese Unterlagen, die sie bei der Einsichtnahme nach Absatz 4 verwenden kann, bis zum Ende des folgenden Kalenderjahres auf." (§ 17 Abs. 1 TKÜV). Zu V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätigkeitsbeschränkungen: Gemäß § 128 Abs. 1 TKG kann die Bundesnetzagentur "alle Ermittlungen führen und alle Beweise erheben, die erforderlich sind."

Die Bundesnetzagentur kann zur Umsetzung der gesetzlichen Verpflichtungen jederzeit gemäß § 127 TKG Auskünfte verlangen und dazu während der üblichen Bürozeiten die Räume des betroffenen Unternehmen betreten und dort Akten einsehen.

Die Fragesteller gehen davon aus, dass die Bundesnetzagentur spätestens nach den Medienberichten über die Vorfälle bei der DTAG festgestellt haben müsste, dass es dort Probleme gibt. Gemäß § 126 (1) TKG könnte bzw. müsste nun die Bundesnetzagentur die Feststellung treffen, "dass ein Unternehmen seine Verpflichtungen nach diesem Gesetz oder auf Grund dieses Gesetzes nicht erfüllt" und das Unternehmen zur Stellungnahme sowie Abhilfe mit Fristsetzung unter Androhung von Zwangsgeld bis zu 500 000 Euro auffordern. Gemäß § 126 Abs. 3 TKG gilt: "Verletzt das Unternehmen seine Verpflichtungen in schwerer oder wiederholter Weise oder kommt es den von der Bundesnetzagentur zur Abhilfe angeordneten Maßnahmen nach Absatz 2 nicht nach, so kann die Bundesnetzagentur ihm die Tätigkeit als Betreiber von Telekommunikationsnetzen oder Anbieter von Telekommunikationsdiensten untersagen."

Gemäß §126 (4) TKG "kann die Bundesnetzagentur in Abweichung von den Verfahren nach den Absätzen 1 bis 3 vorläufige Maßnahmen ergreifen", wenn "durch die Verletzung von Verpflichtungen die öffentliche Sicherheit und Ordnung unmittelbar und erheblich gefährdet" wird.

Zu VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den Informationsverbund Berlin-Bonn IVBB der obersten Bundesbehörden:
Der Informationsverbund Berlin-Bonn (IVBB) des Bundes zur Vernetzung der Obersten Bundesbehörden, einer der Grundpfeiler für die Verwaltungsmodernisierung im Rahmen der Initiative BundOnline 2005, wurde seinerzeit durch die DTAG realisiert. Der im Auftrag der Telekom durch ein Karlsruher Unternehmen gebaute zentrale TK-Server für den IVBB in der Berliner Wilhelmstrasse wird dort bis heute durch die Telekom-Zentrale/Regierungsdienste überwacht. Daher ist zu befürchten, dass die zutage getretenen Sicherheitsmängel und Datenschutzverletzungen bei der DTAG sich nachteilig auch auf die Kommunikations- und Datensicherheit im IVBB auswirken können bzw. schon ausgewirkt haben, insbesondere in Form eines Missbrauch von IVBB-Telekommunikationsdaten seitens Personen aus dem DTAG-Bereich.

Dies vorausgeschickt, fragen wir:
I. Prüfungen der Bundesnetzagentur bei der DTAG

1. Hat die Bundesnetzagentur die Konzepte zum Schutz des Fernmeldegeheimnisses der DTAG geprüft?

2. Welche Ergebnisse hatte dies?

3. Wann fand die letzte Prüfung statt?

4. Worauf bezog sich diese?

5. Gab es dabei Beanstandungen? Ggf. welche?

6. Wie viele Prüfungen von Diensten bzw. TK-Komponenten gemäß § 109 TKG führte die Bundesnetzagentur seit 2000 bei der DTAG durch?

7. Welche Konzepte hat die DTAG der Bundesnetzagentur in diesem Zeitraum zu welchen Diensten bzw. Komponenten vorgelegt?

8. Inwieweit trifft nach Erkenntnissen der Bundesregierung bzw. der Bundesnetzagentur aufgrund aktuellen Medienberichten zu, denen zufolge die DTAG nun den ehemaligen Bundesrichter Schäfer erst jetzt mit der Erstellung eines Sicherheitskonzepts beauftrage, die Schlussfolgerung zu, dass die DTAG bisher ihren dahingehenden Pflichten gemäß § 109 Abs. 3 TKG nicht nachkam?

9. Inwieweit treffen nach Erkenntnissen der Bundesregierung bzw. der Bundesnetzagentur aktuelle Medienberichte zu (z. B. SPIEGEL-ONLINE 5. Juni 2008), wonach interne Untersuchungen des Telekom-Konzerns ergaben, dass
a) bei dem Unternehmen T-Mobile wegen unzureichender Schutzmaßnahmen auch unberechtigte Mitarbeiter Zugang zu Kundendaten hatten, die dem Fenmeldegeheimnis gemäß § 88 TKG unterliegen,
b) es Prüfern bei simulierten Hacker-Attacken auf die IT-Infrastruktur gelang, auf finanzielle oder kundenbezogene Daten zuzugreifen und diese zu manipulieren?

10. Sofern der Bundesregierung bzw. der Bundesnetzagentur entsprechende Erkenntnisse vorliegen:
a) In welcher Weise und zu welchem Zeitpunkt wurden diese erlangt?
b) Welche Konsequenzen wurden daraus gezogen?


II. Verarbeitung von Verbindungs- und Standort-Daten auch für DTAG-Zwecke nur begrenzt zulässig

11. Gab es für die Bundesnetzagentur oder – nach Kenntnis der Bundesregierung – für den Bundesdatenschutzbeauftragten seit 2000 bei der DTAG Anhaltspunkte für
a) Verstöße gegen § 88 TKG,
b) eine den §§ 96 bis 100 TKG zuwider laufende Nutzung von Daten bei der DTAG,
c) für den Medienberichten zu entnehmenden Verdacht der unzulässigen Nutzung von Daten aus Systemen, die ausschließlich zu Zwecken der TK-Überwachung genutzt werden dürfen?

12. Hat die Bundesnetzagentur aufgrund ihrer Zuständigkeiten dazu eigene Untersuchungen angestellt?

13. Wenn ja, mit welchem Ergebnis?

14. Hat nach Kenntnis der Bundesregierung der Bundesdatenschutzbeauftragte seit 2000 im Rahmen seiner Zuständigkeiten gemäß §§ 115 Abs. 4 TKG, 25 BDSG Kontrollen bei der DTAG angestellt?

15. Wenn ja, mit welchem Ergebnis?


III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der Bundesnetzagentur

16. Hat die Bundesnetzagentur gemäß ihrer Verpflichtung aus § 115 Abs. 1 Satz 1 Nr. 3 TKG die Anlage der DTAG zur Telekommunikationsüberwachung, Überwachung und Datenübermittlung auf die o. g. Vorgaben hin geprüft, v. a. auf den Schutz vor unbefugter Inanspruchnahme?

17. Wenn ja, wann erstmals, und mit welchem Ergebnis?

18. Wann prüfte die Bundesnetzagentur dies zuletzt? Mit welchem Ergebnis?


IV. Protokollierung aller Datenzugriffe durchDT AG und Erkenntnisse der Bundesnetzagentur

19. a) Hat die DTAG der Bundesnetzagentur die Prüfprotokolle durchgehend ordnungsgemäß übermittelt?
b) Inwieweit ggf. nicht?

20. a) Beachtete die DTAG nach Erkenntnissen der Bundesnetzagentur die o. g. Löschungsvorschriften?
b) Inwieweit ggf. nicht?
c) Enthalten nach Erkenntnissen der Bundesnetzagentur diejenigen Protokolle, die jetzt noch ungelöscht bei der DTAG bzw. der Bundesnetzagentur vorhanden sein müssten über Kommunikation bis mindestens
Juni 2006, auch Details über die von den Medien nun berichteten Überwachungsfälle bei der DTAG?
d) Falls nein, warum nicht?
e) Welche Maßnahme hat die Bundesnetzagentur ergriffen und/oder wird sie kurzfristig ergreifen, um zu Beweiszwecken über diese Vorfälle die planmäßige Löschung der Protokollierungen bei der DTAG zu verhindern und die Daten zunächst "einzufrieren"?

21. a) Hat die Bundesnetzagentur die durch die DTAG übermittelten Protokoll-Kopien stets geprüft?
b) Hat sie darin Unregelmäßigkeiten entdeckt?
c) Wenn ja, wann je welche?

V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätigkeitsbeschränkungen

22. Welche Ermittlungen hat die Bundesnetzagentur nach Bekanntwerden der Rechtsverstöße beim Schutz des Fernmeldegeheimnisses bei der DTAG eingeleitet?

23. Gab es seit 2000 Untersuchungen dort, und wenn ja, mit welchem Ergebnis?

24. Hat der Bundesdatenschutzbeauftragte bezüglich des Schutzes personenbezogener Kundendaten bei der DTAG um Auskünfte gebeten?

25. Teilt die Bundesregierung die Auffassung der Fragesteller, dass
a) der Eingriff in das Fernmeldegeheimnis bei der DTAG nach gegenwärtigem Kenntnisstand als so schwere Verletzung ihrer Verpflichtungen nach dem TKG zu sehen ist, dass auch vorläufige Maßnahmen der Bundesnetzagentur nach § 126 Abs. 3 TKG durchaus rechtfertigen könnten,
b) die DTAG durch ihre "Verletzung von Verpflichtungen" die "öffentliche Sicherheit und Ordnung unmittelbar und erheblich" gefährdet hat im Sinne des § 126 Abs. 4 TKG zumindest dann, sofern die DTAG so in Grundrecht nicht nur einzelner Betroffener eingriff, sondern ebenso einer größeren Zahl von Personen/Kunden?

26. Welche unmittelbaren Maßnahme gemäß § 126 TKG hat die Bundesnetzagentur
gegenüber der DTAG ergriffen?

27. Hält die Bundesregierung eine vollständige oder teilweise Untersagung der Tätigkeit der DTAG als Betreiber von TK-Netzen und Anbieter von Telekommunikationsdiensten für noch vermeidbar?
Wenn ja, wie, und unter welchen Voraussetzungen.


VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den IVBB der obersten Bundesbehörden

28. Soweit die DTAG am Betrieb des IVBB maßgeblichbeteiligt ist, sieht die Bundesregierung nun die Sicherheit des IVBB vor Überwachung noch als gewährleistet an? Wenn ja, warum,

29. Welche Sicherheitsmängel und Datenschutzverletzungen im IVBB, insbesondere solcher, die durch Personen der DTAG veranlasst oder herbeigeführt wurden, sind der Bundesregierung bzw. der Bundesnetzagentur seit 2000 im Einzelnen bekannt geworden?

30. In welchen Abständen werden die Telekommunikations-Verbindungsdaten im Rahmen des IVBB derzeit gelöscht?

31. Welche Verbesserungen von Kontrollmöglichkeiten bezüglich etwaiger heimlicher Überwachungen von IVBB-Daten hält die Bundesregierung für nutzbringend?

32. Wie kann im IVBB – insbesondere zugunsten wirksamer Kontrollmöglichkeiten durch die Bundesnetzagentur – erreicht werden
a) eine bessere Kontrollierbarkeit der Netz-Administratoren,
b) soweit noch nicht praktiziert, die vollständige Protokollierung von (versuchten) Zugriffen bzw. Abrufen von Verbindungsdaten,
c) wirksamere technische, organisatorische, personelle und vertragliche Vorkehrungen gegen ähnlichen Datenmissbrauch im IVBB, wie bei der DTAG mutmaßlich geschehen?

33. Welche Bedeutung misst die Bundesregierung bezüglich der Sicherheit personenbezogener und v. a. Kommunikationsverbindungs-Daten im IVBB dem möglichen Einstieg ausländischer Investoren in die DTAG bei, v. a. der russischen Firma SISTEMA (vgl. DER SPIEGEL Nr. 23/2008 S. 33) auch angesichts strategischer Erkenntnisbegehren russischer Sicherheitsbehörden?
(Deutscher Bundestag: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Bundestag, Bundesregierung, Bundesrat

  • Lobbygesellschaft für Digitale Transformation

    Die Bundesregierung gestaltet nach eigener Darstellung die digitale Transformation im Sinne der Bürger durch digitalpolitische Initiativen aktiv mit. Dazu würden bestehende Verfahren kontinuierlich modernisiert und implementiert im Hinblick auf aktuelle technische Entwicklungen, heißt es in der Antwort (20/13814) der Bundesregierung auf eine Kleine Anfrage (20/13448) der AfD-Fraktion.

  • AfD fordert Stopp der Wärmewende

    Die AfD-Fraktion will durch einen Stopp der Wärmewende Wohnen wieder bezahlbar machen. In einem Antrag (20/13764) wird insbesondere eine Absenkung der Energiestandards bei Neubauten verlangt.

  • AfD-Fraktion hält EU-Richtlinie für "rechtswidrig"

    Für die AfD-Fraktion greift eine EU-Richtlinie "rechtswidrig in die Grundrechte der Bürger ein". Das schreibt sie in einem Antrag (20/13799), in dem sie darauf abzielt, dass das EU-Parlament und der Rat der EU am 24. April 2024 die Richtlinie über die Abschöpfung und Einziehung von Vermögenswerten beschlossen hätten.

  • Umsetzung der "eIDAS 2.0"-Verordnung

    Um die Umsetzung der "eIDAS 2.0"-Verordnung geht es in einem Antrag der CDU/CSU-Fraktion (20/13735). Wie die Fraktion darin ausführt, wird mit eIDAS 2.0 "eine persönliche europäische digitale Brieftasche, die EUDI-Wallet" geschaffen.

  • Neufassung der Energieauditpflicht

    Der Ausschuss für Klimaschutz und Energie im Rahmen einer Sachverständigen-Anhörung mit dem Gesetzentwurf der Bundesregierung "zur Änderung des Gesetzes über Energiedienstleistungen und andere Effizienzmaßnahmen, zur Änderung des Energieeffizienzgesetzes und zur Änderung des Energieverbrauchskennzeichnungsgesetzes (20/11852) befasst. Im Fokus stand dabei vor allem die Neufassung der Energieauditpflicht.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen