Neben strikten Beschränkungen für die Verarbeitung von Daten, die bei der Telekommunikation (TK) anfallen, verpflichtet das neue TKG zu Maßnahmen in zwei Bereichen: Technische Vorkehrungen sind erstens zum Schutz des Fernmeldegeheimnisses und zweitens für den Zugriff der Sicherheitsbehörden von Bund und Ländern auf Kundendaten und TK-Verbindungen zu treffen. Die Verpflichtungen müssen im einzelnen noch vom Bundespostministerium und von der Bundesregierung festgelegt werden.
Bei der politischen Diskussion des TKG wurde den Vorschriften über "Fernmeldegeheimnis, Datenschutz und Sicherung" wenig Aufmerksamkeit geschenkt. Erst langsam erkennen nun die Anbieter, welche Folgen sich aus diesen Regelungen ergeben. Dabei sind die Verpflichtungen nicht mal völlig neu. Sie galten aber vor dem TKG für einen eingeschränkteren Kreis. So hatte nach dem alten Fernmeldeanlagengesetz das Fernmeldegeheimnis jeder zu wahren, der eine "für den öffentlichen Fernmeldeverkehr" bestimmte Anlage betrieb. Eine ähnliche Einschränkung nimmt die noch geltende Telekommunikationsdienst- unternehmen-Datenschutzverordnung (TDSV) vor.
Die meisten der hier relevanten neuen Vorschriften des TKG gelten für alle, die geschäftsmäßig TK-Dienste erbringen (Paragraph 3, Nr. 5 TKG). In der Begründung zum TKG-Entwurf faßt der Gesetzgeber darunter zusammen: zum Beispiel Unternehmensnetze, Clubtelefone und Nebenstellenanlagen in Hotels, Krankenhäusern, Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung stehen. Ausgenommen werden dagegen private Endgeräte, Haustelefonanlagen und hauseigene Sprechanlagen.
Besonders interessant ist dabei der Hinweis des Gesetzgebers, daß auch TK-Anlagen in Betrieben und Behörden unter die Vorschriften fallen können. Das würde jedes Unternehmen betreffen, auch wenn es nicht gewerblich, das heißt mit Gewinnerzielungsabsicht, TK-Dienste anbietet. Die Begründung stellt auf den Fall ab, daß die Anlage den Beschäftigten auch zur privaten Nutzung zur Verfügung steht. Dadurch wird das Unternehmen nach den Vorstellungen des Gesetzgebers zum Anbieter, weil die Beschäftigten in ihrer Rolle als Privatperson wie ein Dritter zu behandeln sind. Unerheblich ist, ob das Unternehmen mit Privatgesprächen Geld verdienen will.
Bald keine Privatgespräche mehr?
Wer unter den Anwendungsbereich der Vorschriften fällt, muß das Fernmeldegeheimnis wahren, Sicherheitsmaßnahmen ergreifen und zahlreiche Datenschutzbestimmungen einhalten. Außerdem bestehen Auskunftsansprüche der Sicherheitsbehörden - all das nur, weil die Beschäftigten auch Privatgespräche führen dürfen. Wenn es bei dieser Auslegung des Gesetzes bleibt, wird so manches Unternehmen künftig Privatgespräche untersagen.
Neu sind die meisten Vorschriften auch für Betreiber von Unternehmensnetzen. Bisher unterlagen sie einem besonderen Status, der jetzt in den Datenschutzvorschriften des neuen TKG aufgegeben wird. Immer dann, wenn ein Unternehmen seine TK-Anlage nicht selbst betreibt, sondern ein externes Unternehmen als Dienstleister einschaltet, müssen die neuen Vorschriften eingehalten werden. Das gilt beispielsweise bei zentralen TK-Firmen innerhalb eines Konzerns. Unternehmen helfen sich im Bereich der DV in vergleichbaren Fällen mit einer Rechtskonstruktion aus dem Bundesdatenschutzgesetz, der sogenannten Auftragsdatenverarbeitung. Ob sich dieses Hilfsmittel entsprechend im TKG anwenden läßt, ist aber noch ungeklärt.
Auswirkungen haben die neuen Vorschriften auch auf Online-Dienste, denn es kommt nicht darauf an, ob Sprache oder andere Daten übermittelt werden. Entscheidend ist der technische Vorgang des Sendens, Übermittelns und Empfangens von Nachrichten jeglicher Art mit TK-Anlagen (Paragraph 3, Nr. 16 und Nr. 17 TKG). Wer also E-Mail und Chat-Räume anbietet, erbringt damit TK-Dienste, für die die Vorschriften des TKG aber nicht gerade maßgeschneidert sind. Außerdem werden für Online-Services gerade weitere Datenschutzvorschriften im Informations- und Kommunikationsdienstegesetz geschaffen. Von den Ländern kommt dann noch der Staatsvertrag für Mediendienste dazu, so daß sich Online-Dienste über mangelnde Regulierung künftig nicht beschweren können.
Das neue TKG verpflichtet in Paragraph 87 zu "angemessenen" technischen Vorkehrungen zum Schutz des Fernmeldegeheimnisses und personenbezogener Daten. Was aber ist angemessen? Der Anbieter von TK-Diensten weiß nicht, was seine Kunden über das Netz schicken. Er muß eigentlich immer vom schlimmsten Fall ausgehen, also von sehr sensiblen Daten, so daß auch hohe Anforderungen an die Sicherheitsstandards zu stellen sind. Der Stand der technischen Entwicklung ist dabei zu berücksichtigen. Eine Einschränkung ist aber denkbar und im Ergebnis auch sinnvoll: Wer als Benutzer von TK-Verbindungen besonders sensible Daten übermittelt, darf sich nicht allein auf die Sicherheitsvorkehrungen seines Anbieters verlassen. Er kann vielmehr zum Beispiel selbst Verschlüsselungstechnik einsetzen. Deshalb sollten die Verpflichtungen der Anbieter dort aufhören, wo vom Nutzer eigene Schutzmaßnahmen erwartet werden können.
Die Regulierungsbehörde, das heißt bis zum 31. Dezember 1997 noch das Bundespostministerium, hat nach dem neuen TKG die Aufgabe, einen Katalog mit Sicherheitsanforderungen vorzulegen. Er soll angemessene Standardsicherheit festlegen. Der für die Schutzmaßnahmen zu erbringende technische und organisatorische Aufwand soll von der Bedeutung der zu schützenden Rechte und der zu sichernden Anlagen abhängig gemacht werden. Das Postministerium hat einen Entwurf des Katalogs veröffentlicht. Er wird derzeit mit dem Bundesamt für Sicherheit in der Informationstechnik und den relevanten Verbraucher- und Wirtschaftsverbänden diskutiert.
Wer nach den Vorschriften des neuen TKG eine Lizenz benötigt, muß bereits dem Lizenzantrag ein Sicherheitskonzept beilegen. Das Konzept wird vor der Lizenzvergabe geprüft und muß nachgebessert werden, wenn es den gestellten Anforderungen nicht entspricht. Außerdem sind die lizenzpflichtigen Unternehmen zur Bestellung eines Sicherheitsbeauftragten verpflichtet.
Als die Post noch staatlich und praktisch das einzige TK-Unternehmen war, hatten es die Sicherheitsbehörden leicht. Für Telefonüberwachungen mußten sie sich nur an einen Ansprechpartner wenden. Die Post war eine Behörde und zur Amthilfe verpflichtet. Mit der Privatisierung der Post zur Telekom AG und dem Auftreten neuer Anbieter komplizierte sich die Situation. Der Gesetzgeber griff per Verordnung ein und verpflichtete die Betreiber von für den öffentlichen Verkehr bestimmten Fernmeldeanlagen, ihre Netze den Sicherheitsbehörden zu öffnen. Das neue TKG geht jetzt noch weiter. Kundendateien müssen zum elektronischen Abruf bereitgehalten werden, ferner besteht eine Auskunftspflicht über die Vertragsverhältnisse.
Die Verpflichtung zur Bereithaltung von Kundendateien hat großen Protest unter Datenschützern ausgelöst. Dabei wurden die tatsächlichen Risiken aber überschätzt. Die Dateien sollen nur Name und Anschrift der Inhaber von Rufnummern und Rufnummernkontingenten enthalten. Zugriff auf die Daten haben nur bestimmte, im Gesetz genannte Sicherheitsbehörden, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist. Die Sicherheitsvorkehrungen gegen einen unbefugten Zugriff auf die Daten müssen noch festgelegt werden. Es ist aber nicht zu erwarten, daß sie unzureichend sein werden.
Auch künftig kein Mangel an Regulierung
Wesentlich sensibler als der Zugriff auf Kundendateien sind Maßnahmen zur Überwachung von TK-Verbindungen. In Paragraph 88 TKG finden sich Verpflichtungen zur technischen Umsetzung von Überwachungsmaßnahmen. Der Anwendungsbereich der Vorschrift erschließt sich nicht ganz einfach, denn sie bezieht sich nur auf Betreiber von TK-Anlagen, die gesetzliche verpflichtet sind, die Überwachung und Aufzeichnung der Gespräche beziehungsweise des Datenaustauschs zu ermöglichen. Bisher greift die Vorschrift deshalb nur für die Betreiber von Fernmeldeanlagen, die für den öffentlichen Verkehr bestimmt sind. Gesetzesvorschläge zur Ausweitung des Anwendungsbereichs werden in Bonn aber bereits vorbereitet und sollen im Frühjahr als Referentenentwurf vorliegen.
Die konkrete technische Ausgestaltung der Überwachungsmaßnahmen muß noch durch Verordnung geregelt werden. Hier wird die Bundesregierung voraussichtlich in den nächsten Wochen eine vorläufige Anwendung der Fernmeldeverkehrs-Überwachungsverordnung (FÜV) beschließen. Im nächsten Jahr soll dann eine neue Verordnung entworfen werden. Fest steht bereits jetzt, daß die Betreiber der TK-Anlagen die Kosten tragen müssen. Je nach Ausgestaltung der Verpflichtungen werden die Betreiber dadurch stark belastet. Nur wer für die Leitungsverbindung zwischen Sicherheitsbehörde und überwachter Anlage herangezogen wird, kann wenigstens Verbindungsgebühren erheben.
Ob es richtig ist, daß dem Staat Zugriff auf den Fernmeldeverkehr gewährt wird, läßt sich nur politisch beantworten. Die Rechtsgrundlagen für Überwachungsmaßnahmen in der Strafprozeßordnung, dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10-Gesetz) und dem Außenwirtschaftsgesetz (AWG) sind mit strengen Anwendungsvoraussetzungen versehen. Die Überwachungen dienen der Bekämpfung schwerer Kriminalität. Den Sicherheitsbehörden müssen diese Mittel zugestanden werden, wenn sie die Bevölkerung effektiv schützen sollen. Häufig wäre der Einsatz verdeckter Ermittler die einzige Alternative zur Überwachung des Telefonverkehrs. Damit sind, das gilt es zu bedenken, persönliche Gefahren für die Beamten verbunden, die sich kaum rechtfertigen lassen, wenn eine Telefonüberwachung zu vergleichbaren Ergebnissen führt.
Eine ganz andere Frage ist aber, ob die Kosten für Überwachungsmaßnahmen den Anbietern der TK-Dienste aufzuerlegen sind. Wenn sich die Polizei ein Auto beschafft, bekommt sie es auch nicht kostenlos. Zumindest bei der technischen Ausgestaltung der Überwachungspflichten sollte deshalb darauf geachtet werden, daß sich die Belastungen für die neuen Anbieter in Grenzen halten.
Zur politischen Ehrlichkeit gehört auch, daß die Bevölkerung eine Vorstellung davon bekommt, in welchem Umfang Überwachungen erfolgen. Das Telekommunikationsgesetz schafft hierfür nur eine Teillösung, indem es die Anbieter zur Anfertigung von Jahresstatistiken verpflichtet. Eine Zusammenfassung der Statistiken wird die Regulierungsbe- hörde jährlich veröffentlichen. Es werden aber nur Über- wachungen nach den Paragra- phen 100a/b Strafprozeßordnung (StPo) in die Statistik aufgenommen. Vor allem der Bereich geheimdienstlicher Telefonüberwachungen wird deshalb weiterhin nicht erhellt.
Hohe Kosten für TK-Anbieter
Im November 1996 hat das Bundespostministerium einen Entwurf für einen Katalog von Sicherheitsanforderungen nach Paragraph 87 TKG veröffentlicht. Diese Vorlage wurde am 9. Dezember 1996 in einer Anhörung in Bonn diskutiert. Die TK-Unternehmen beklagten dabei die hohen Kosten, die mit der Erfüllung der Verpflichtungen verbunden sind. Der Katalog enthält folgende Schutzziele und Anforderungen:-Schutz des Fernmeldegeheimnisses und personenbezogener Daten,-Schutz der programmgesteuerten TK- und DV-Systeme gegen unerlaubten Zugriff,-Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen von TK-Netzen führen, sowie-Schutz von TK- und DV-Systemen gegen äußere Angriffe und Einwirkungen von Katastrophen.
Sanktionen
Paragraph 15 TKG: Widerruf der Lizenz.Paragraph 91, Absatz 2 TKG: Zwangsgeld bis zu drei Millionen Mark, wenn Überwachungsmöglichkeit nicht bereitgestellt wird. Zwangsgeld bis zu 200000 Mark, wenn Auskunft aus Kundendateien nicht erfolgt.Paragraph 91, Absatz 3 TKG: Untersagung des TK-Dienstes.Paragraph 96 TKG: Bußgelder.
Rechte der Sicherheitsbehörden
Paragraph 88, Absatz 1 bis 3 TKG: Verpflichtung der Netzbetreiber zur kostenlosen technischen Umsetzung von Überwachungsmaßnahmen.Paragraph 88, Absatz 4 TKG: Verpflichtung der Netzbetreiber, Übertragungskapazitäten zum üblichen Tarif zur Verfügung zu stellen.Paragraph 89, Absatz 6 TKG: Auskunftsanspruch der Sicherheitsbehörden über Vertragsverhältnisse. Kostenerstattung nur, wenn das Gesetz über die Höhe von Entschädigung von Zeugen und Sachverständigen greift.Paragraph 90, Absatz 1 bis 4 TKG: Kostenlose Einrichtung von Kundendatenbanken für den elektronischen Zugriff seitens der Sicherheitsbehörden durch alle geschäftsmäßigen Anbieter von TK-Diensten.Paragraph 90, Absatz 5 TKG: Auskunft über Kundendateien durch Dritte, die lediglich Rufnummern aus einem Rufnummernkontingent vergeben. Kosten- erstattung entsprechend dem Gesetz über die Höhe von Entschädigung von Zeugen und Sachverständigen.Bisher regelt die Fernmeldeverkehrs-Überwachungsverordnung (FÜV), wie den Sicherheitsbehörden Zugriff auf Fernmeldeanlagen, die für den öffent- lichen Verkehr bestimmt sind, zu geben ist. Das Bonner Telekommunikationsgesetz schafft hierfür eine neue Rechtsgrundlage, die der Gesetzgeber noch durch eine Verordnung nach Art der alten FÜV ausfüllen muß.
Abhöraktion
-Paragraphen 100a/b Strafprozeßordnung (StPO),-Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G10-Gesetz) sowie-Paragraph 39 Außenwirtschaftsgesetz (AWG).Im letzten Jahr sind allein nach den Paragraphen 100a/b StPO insgesamt 3667 richterliche und staatsanwaltschaftliche Anordnungen zur Telefonüberwachung im Bereich der deutschen Telekom ergangen. Die Zahl der restlichen Telefonüberwachungen ist geheim. Es wird geschätzt, daß in Deutschland doppelt so viele Telefonüberwachungen vorgenommen werden wie in den gesamten USA.
Angeklickt
Um als Anbieter von TK-Diensten den Datenschutzvorschriften und der vorgeschriebenen Zusammenarbeit mit den Sicherheitsbehörden gemäß dem neuen Telekommunikationsgesetz (TKG) gerecht zu werden, sind verschiedene technische und organisatorische Maßnahmen erforderlich. In den nächsten Monaten werden das Bundespostministerium und die Bundesregierung die Pflichten weiter spezifizieren. Schon jetzt zeichnet sich ab, daß die Anbieter für die meisten Kosten selbst aufkommen werden müssen. Am Ende dürften die Kunden die Zeche zahlen.
*Ulrich Wuermeling ist Redakteur und Rechtsanwalt in Limburg. Er bietet auch Seminare an.