Nachspiel: Telekom und Fernmeldegeheimnis
Deutsche Bundesregierung soll sich detailliert zur Telekom äußern: Kontrolle mutmaßlicher Verstöße gegen das Fernmeldegeheimnis bei der Deutschen Telekom AG
Regierung soll mitteilen, in welchen Abständen die Telekommunikationsverbindungsdaten im IVBB derzeit gelöscht werden
(24.06.08) - Die "mutmaßlichen Verletzungen des Fernmeldegeheimnisses" durch die Deutsche Telekom AG sind für Bündnis 90/Die Grünen Anlass, nach der Wirksamkeit von Kontrollen durch die zuständigen Stellen zu fragen (16/9591). Die Bundesregierung soll darlegen, welche Prüfungen und Ermittlungen die Bundesnetzagentur eingeleitet hat. Die Fraktion will wissen, ob die "Sicherheitsmängel" bei der Telekom auch auf den Informationsverbund Berlin-Bonn (IVBB) durchschlagen, der die obersten Bundesbehörden miteinander vernetzt. Unter anderem soll die Regierung mitteilen, in welchen Abständen die Telekommunikationsverbindungsdaten im IVBB derzeit gelöscht werden.
Die in den Medien berichteten mutmaßlichen Verletzungen des Fernmeldegeheimnisses sowie weiterer Rechtsgüter durch die Deutsche Telekom AG (nachfolgend: DTAG) geben Anlass, nach Durchführung und Wirksamkeit vorsorglicher Kontrolle gegen derlei durch die zuständigen Stellen zu fragen.
Erläuternd zu nachstehenden Fragekomplexen I. bis VI. wird vorbemerkt:
Zu I. Prüfungen der Bundesnetzagentur bei der DTAG:
Betreiber von Einrichtungen der Telekommunikation (nachfolgend: TK) wie die DTAG sind verpflichtet, "angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze 1. des Fernmeldegeheimnisses und personenbezogener Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen" (§ 109 Abs. 1 TKG) sowie "ein Sicherheitskonzept zu erstellen und dieses der Bundesnetzagentur" unverzüglich nach Aufnahme der Telekommunikationsdienste" vorzulegen. Die Bundesnetzagentur hat das Konzept zu prüfen und kann Mängelbeseitigung verlangen. (§ 109 Abs.3 TKG).
Zu II. Verarbeitung von Verbindungs- und Standort-Daten auch für DTAG-Zwecke nur begrenzt zulässig:
Daten über Telefonverbindungen und Standorte dürfen nur für begrenzte Zwecke und für angeordnete Überwachungen erhoben, verwendet und übermittelt werden (§ 88 Abs. 3 TKG, §§ 96 bis 100 TKG).
Zu III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der Bundesnetzagentur:
Die Betreiber öffentlicher Telekommunikationsanlagen haben gemäß § 110 Abs. 1 TKG ab Betriebsaufnahme – bei Meidung von Bußgeld bis 500 000 Euro – Einrichtungen zur Telekommunikationsüberwachung vorzuhalten, diesbezügliche organisatorische Vorkehrungen zu treffen, beides der Bundesnetzagentur "unverzüglich" durch Unterlagen nachzuweisen sowie mit dieser einen Termin zur obligatorischen Überprüfung zu vereinbaren; diese kann die Bundesnetzagentur in begründeten Fällen wiederholen (§ 110 Abs.1 Nr. 4, Abs. 5 TKG). Gemäß § 14 TKÜV hat der Betreiber die dabei nachzuweisende Überwachungstechnik "nach dem Stand der Technik gegen unbefugte Inanspruchnahme zu schützen". Medien berichteten, dass dies offenbar im Fall der DTAG nicht effektiv umgesetzt worden sei.
Sofern der Betreiber nicht all diese Verpflichtungen erfüllt, kann die Bundesnetzagentur gemäß § 115 Abs. 3 TKG erforderlichenfalls den Betrieb von Anlagen einschränken, untersagen oder das "geschäftsmäßige Erbringen des betreffenden Telekommunikationsdienstes ganz oder teilweise untersagen".
Zu IV. Protokollierung aller Datenzugriffe durch DTAG und Erkenntnisse der Bundesnetzagentur:
Ein TK-Anlagenbetreiber wie die DTAG hat gemäß § 16 Abs. 1 TKÜV "sicherzustellen, dass jede Anwendung seiner Überwachungseinrichtungen bei der Eingabe der für die technische Umsetzung erforderlichen Daten automatisch lückenlos protokolliert wird. Unter Satz 1 fallen auch Anwendungen für unternehmensinterne Testzwecke." Diese Protokollierungen müssen technisch und organisatorisch gegen Löschung gesichert sein und dürfen erst nach 2 Jahren sowie nur durch besonderes Datenprüfungspersonal gelöscht werden, wobei Zeitpunkt und Durchführender zu notieren ist (§ 16 Abs. 2 TKÜV). Ein TK-Anlagenbetreiber wie die DTAG hat diese Überwachungs- und Testprotokolle mindestens quartalsweise auszuwerten und "hat der Bundesnetzagentur spätestens zum Ende eines jeden Kalendervierteljahres eine Kopie der Prüfergebnisse zu übersenden. Die Bundesnetzagentur bewahrt diese Unterlagen, die sie bei der Einsichtnahme nach Absatz 4 verwenden kann, bis zum Ende des folgenden Kalenderjahres auf." (§ 17 Abs. 1 TKÜV). Zu V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätigkeitsbeschränkungen: Gemäß § 128 Abs. 1 TKG kann die Bundesnetzagentur "alle Ermittlungen führen und alle Beweise erheben, die erforderlich sind."
Die Bundesnetzagentur kann zur Umsetzung der gesetzlichen Verpflichtungen jederzeit gemäß § 127 TKG Auskünfte verlangen und dazu während der üblichen Bürozeiten die Räume des betroffenen Unternehmen betreten und dort Akten einsehen.
Die Fragesteller gehen davon aus, dass die Bundesnetzagentur spätestens nach den Medienberichten über die Vorfälle bei der DTAG festgestellt haben müsste, dass es dort Probleme gibt. Gemäß § 126 (1) TKG könnte bzw. müsste nun die Bundesnetzagentur die Feststellung treffen, "dass ein Unternehmen seine Verpflichtungen nach diesem Gesetz oder auf Grund dieses Gesetzes nicht erfüllt" und das Unternehmen zur Stellungnahme sowie Abhilfe mit Fristsetzung unter Androhung von Zwangsgeld bis zu 500 000 Euro auffordern. Gemäß § 126 Abs. 3 TKG gilt: "Verletzt das Unternehmen seine Verpflichtungen in schwerer oder wiederholter Weise oder kommt es den von der Bundesnetzagentur zur Abhilfe angeordneten Maßnahmen nach Absatz 2 nicht nach, so kann die Bundesnetzagentur ihm die Tätigkeit als Betreiber von Telekommunikationsnetzen oder Anbieter von Telekommunikationsdiensten untersagen."
Gemäß §126 (4) TKG "kann die Bundesnetzagentur in Abweichung von den Verfahren nach den Absätzen 1 bis 3 vorläufige Maßnahmen ergreifen", wenn "durch die Verletzung von Verpflichtungen die öffentliche Sicherheit und Ordnung unmittelbar und erheblich gefährdet" wird.
Zu VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den Informationsverbund Berlin-Bonn IVBB der obersten Bundesbehörden:
Der Informationsverbund Berlin-Bonn (IVBB) des Bundes zur Vernetzung der Obersten Bundesbehörden, einer der Grundpfeiler für die Verwaltungsmodernisierung im Rahmen der Initiative BundOnline 2005, wurde seinerzeit durch die DTAG realisiert. Der im Auftrag der Telekom durch ein Karlsruher Unternehmen gebaute zentrale TK-Server für den IVBB in der Berliner Wilhelmstrasse wird dort bis heute durch die Telekom-Zentrale/Regierungsdienste überwacht. Daher ist zu befürchten, dass die zutage getretenen Sicherheitsmängel und Datenschutzverletzungen bei der DTAG sich nachteilig auch auf die Kommunikations- und Datensicherheit im IVBB auswirken können bzw. schon ausgewirkt haben, insbesondere in Form eines Missbrauch von IVBB-Telekommunikationsdaten seitens Personen aus dem DTAG-Bereich.
Dies vorausgeschickt, fragen wir:
I. Prüfungen der Bundesnetzagentur bei der DTAG
1. Hat die Bundesnetzagentur die Konzepte zum Schutz des Fernmeldegeheimnisses der DTAG geprüft?
2. Welche Ergebnisse hatte dies?
3. Wann fand die letzte Prüfung statt?
4. Worauf bezog sich diese?
5. Gab es dabei Beanstandungen? Ggf. welche?
6. Wie viele Prüfungen von Diensten bzw. TK-Komponenten gemäß § 109 TKG führte die Bundesnetzagentur seit 2000 bei der DTAG durch?
7. Welche Konzepte hat die DTAG der Bundesnetzagentur in diesem Zeitraum zu welchen Diensten bzw. Komponenten vorgelegt?
8. Inwieweit trifft nach Erkenntnissen der Bundesregierung bzw. der Bundesnetzagentur aufgrund aktuellen Medienberichten zu, denen zufolge die DTAG nun den ehemaligen Bundesrichter Schäfer erst jetzt mit der Erstellung eines Sicherheitskonzepts beauftrage, die Schlussfolgerung zu, dass die DTAG bisher ihren dahingehenden Pflichten gemäß § 109 Abs. 3 TKG nicht nachkam?
9. Inwieweit treffen nach Erkenntnissen der Bundesregierung bzw. der Bundesnetzagentur aktuelle Medienberichte zu (z. B. SPIEGEL-ONLINE 5. Juni 2008), wonach interne Untersuchungen des Telekom-Konzerns ergaben, dass
a) bei dem Unternehmen T-Mobile wegen unzureichender Schutzmaßnahmen auch unberechtigte Mitarbeiter Zugang zu Kundendaten hatten, die dem Fenmeldegeheimnis gemäß § 88 TKG unterliegen,
b) es Prüfern bei simulierten Hacker-Attacken auf die IT-Infrastruktur gelang, auf finanzielle oder kundenbezogene Daten zuzugreifen und diese zu manipulieren?
10. Sofern der Bundesregierung bzw. der Bundesnetzagentur entsprechende Erkenntnisse vorliegen:
a) In welcher Weise und zu welchem Zeitpunkt wurden diese erlangt?
b) Welche Konsequenzen wurden daraus gezogen?
II. Verarbeitung von Verbindungs- und Standort-Daten auch für DTAG-Zwecke nur begrenzt zulässig
11. Gab es für die Bundesnetzagentur oder – nach Kenntnis der Bundesregierung – für den Bundesdatenschutzbeauftragten seit 2000 bei der DTAG Anhaltspunkte für
a) Verstöße gegen § 88 TKG,
b) eine den §§ 96 bis 100 TKG zuwider laufende Nutzung von Daten bei der DTAG,
c) für den Medienberichten zu entnehmenden Verdacht der unzulässigen Nutzung von Daten aus Systemen, die ausschließlich zu Zwecken der TK-Überwachung genutzt werden dürfen?
12. Hat die Bundesnetzagentur aufgrund ihrer Zuständigkeiten dazu eigene Untersuchungen angestellt?
13. Wenn ja, mit welchem Ergebnis?
14. Hat nach Kenntnis der Bundesregierung der Bundesdatenschutzbeauftragte seit 2000 im Rahmen seiner Zuständigkeiten gemäß §§ 115 Abs. 4 TKG, 25 BDSG Kontrollen bei der DTAG angestellt?
15. Wenn ja, mit welchem Ergebnis?
III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der Bundesnetzagentur
16. Hat die Bundesnetzagentur gemäß ihrer Verpflichtung aus § 115 Abs. 1 Satz 1 Nr. 3 TKG die Anlage der DTAG zur Telekommunikationsüberwachung, Überwachung und Datenübermittlung auf die o. g. Vorgaben hin geprüft, v. a. auf den Schutz vor unbefugter Inanspruchnahme?
17. Wenn ja, wann erstmals, und mit welchem Ergebnis?
18. Wann prüfte die Bundesnetzagentur dies zuletzt? Mit welchem Ergebnis?
IV. Protokollierung aller Datenzugriffe durchDT AG und Erkenntnisse der Bundesnetzagentur
19. a) Hat die DTAG der Bundesnetzagentur die Prüfprotokolle durchgehend ordnungsgemäß übermittelt?
b) Inwieweit ggf. nicht?
20. a) Beachtete die DTAG nach Erkenntnissen der Bundesnetzagentur die o. g. Löschungsvorschriften?
b) Inwieweit ggf. nicht?
c) Enthalten nach Erkenntnissen der Bundesnetzagentur diejenigen Protokolle, die jetzt noch ungelöscht bei der DTAG bzw. der Bundesnetzagentur vorhanden sein müssten über Kommunikation bis mindestens
Juni 2006, auch Details über die von den Medien nun berichteten Überwachungsfälle bei der DTAG?
d) Falls nein, warum nicht?
e) Welche Maßnahme hat die Bundesnetzagentur ergriffen und/oder wird sie kurzfristig ergreifen, um zu Beweiszwecken über diese Vorfälle die planmäßige Löschung der Protokollierungen bei der DTAG zu verhindern und die Daten zunächst "einzufrieren"?
21. a) Hat die Bundesnetzagentur die durch die DTAG übermittelten Protokoll-Kopien stets geprüft?
b) Hat sie darin Unregelmäßigkeiten entdeckt?
c) Wenn ja, wann je welche?
V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätigkeitsbeschränkungen
22. Welche Ermittlungen hat die Bundesnetzagentur nach Bekanntwerden der Rechtsverstöße beim Schutz des Fernmeldegeheimnisses bei der DTAG eingeleitet?
23. Gab es seit 2000 Untersuchungen dort, und wenn ja, mit welchem Ergebnis?
24. Hat der Bundesdatenschutzbeauftragte bezüglich des Schutzes personenbezogener Kundendaten bei der DTAG um Auskünfte gebeten?
25. Teilt die Bundesregierung die Auffassung der Fragesteller, dass
a) der Eingriff in das Fernmeldegeheimnis bei der DTAG nach gegenwärtigem Kenntnisstand als so schwere Verletzung ihrer Verpflichtungen nach dem TKG zu sehen ist, dass auch vorläufige Maßnahmen der Bundesnetzagentur nach § 126 Abs. 3 TKG durchaus rechtfertigen könnten,
b) die DTAG durch ihre "Verletzung von Verpflichtungen" die "öffentliche Sicherheit und Ordnung unmittelbar und erheblich" gefährdet hat im Sinne des § 126 Abs. 4 TKG zumindest dann, sofern die DTAG so in Grundrecht nicht nur einzelner Betroffener eingriff, sondern ebenso einer größeren Zahl von Personen/Kunden?
26. Welche unmittelbaren Maßnahme gemäß § 126 TKG hat die Bundesnetzagentur
gegenüber der DTAG ergriffen?
27. Hält die Bundesregierung eine vollständige oder teilweise Untersagung der Tätigkeit der DTAG als Betreiber von TK-Netzen und Anbieter von Telekommunikationsdiensten für noch vermeidbar?
Wenn ja, wie, und unter welchen Voraussetzungen.
VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den IVBB der obersten Bundesbehörden
28. Soweit die DTAG am Betrieb des IVBB maßgeblichbeteiligt ist, sieht die Bundesregierung nun die Sicherheit des IVBB vor Überwachung noch als gewährleistet an? Wenn ja, warum,
29. Welche Sicherheitsmängel und Datenschutzverletzungen im IVBB, insbesondere solcher, die durch Personen der DTAG veranlasst oder herbeigeführt wurden, sind der Bundesregierung bzw. der Bundesnetzagentur seit 2000 im Einzelnen bekannt geworden?
30. In welchen Abständen werden die Telekommunikations-Verbindungsdaten im Rahmen des IVBB derzeit gelöscht?
31. Welche Verbesserungen von Kontrollmöglichkeiten bezüglich etwaiger heimlicher Überwachungen von IVBB-Daten hält die Bundesregierung für nutzbringend?
32. Wie kann im IVBB – insbesondere zugunsten wirksamer Kontrollmöglichkeiten durch die Bundesnetzagentur – erreicht werden
a) eine bessere Kontrollierbarkeit der Netz-Administratoren,
b) soweit noch nicht praktiziert, die vollständige Protokollierung von (versuchten) Zugriffen bzw. Abrufen von Verbindungsdaten,
c) wirksamere technische, organisatorische, personelle und vertragliche Vorkehrungen gegen ähnlichen Datenmissbrauch im IVBB, wie bei der DTAG mutmaßlich geschehen?
33. Welche Bedeutung misst die Bundesregierung bezüglich der Sicherheit personenbezogener und v. a. Kommunikationsverbindungs-Daten im IVBB dem möglichen Einstieg ausländischer Investoren in die DTAG bei, v. a. der russischen Firma SISTEMA (vgl. DER SPIEGEL Nr. 23/2008 S. 33) auch angesichts strategischer Erkenntnisbegehren russischer Sicherheitsbehörden?
(Deutscher Bundestag: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>