Mit heißer Nadel

Inhaltsverzeichnis

Nach längeren Geburtswehen ist das neue Telekommunikationsgesetz (TKG) am 1. August 1996 endlich in Kraft getreten. Das Gesetz löst in weiten Teilen das Fernmeldeanlagengesetz (FAG) ab, das allerdings im übrigen weitergelten und erst am 31. Dezember 1997 endgültig außer Kraft treten wird.

Das Gesetz soll die vollständige Liberalisierung der Telekommunikationsmärkte ermöglichen, um über den Wettbewerb den Zugang zu einer modernen, preiswerten und leistungsfähigen Telekommunikationsstruktur sicherzustellen.

Die Vorschriften des TKG regeln nicht nur Wegerechte, Frequenzordnungen, Nummernverwaltung und die Lizenzierung für den Betrieb von Übertragungswegen und Sprachtelefoniediensten. Sie richten sich auch nicht nur an die großen gewerblich tätigen Onlinedienste. Von einigen Regeln, die etwa die Sicherung des Fernmeldegeheimnisses oder den Datenschutz betreffen, sind auch diejenigen betroffen, die in öffentlichen Netzen - wie der private Mailboxbetreiber - unentgeltlich Telekommunikationsdienstleistungen für andere erbringen.

Begriffsbestimmungen

Eine der zentralen Begriffsbestimmungen, die erst zu einem recht späten Zeitpunkt des Gesetzgebungsverfahrens ihren Platz im Gesetz gefunden hat, ist diejenige des 'geschäftsmäßigen Erbringens von Telekommunikationsdiensten'. Nach § 3 Ziffer 5 TKG soll darunter 'das nachhaltige Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte mit oder ohne Gewinnerzielungsabsicht' zu verstehen sein. Jeder, der nach dieser Definition geschäftsmäßig Telekommunikationsdienste erbringt, ist zum Beispiel zur Wahrung des Fernmeldegeheimnisses und zur Einhaltung des Datenschutzes verpflichtet und unterliegt grundsätzlich auch Überwachungsmaßnahmen durch die Regulierungsbehörde.

Nun bietet Telekommunikation - das ist nach einer weiteren Definition in § 3 Ziffer 16 'der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in der Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen' - natürlich jeder Provider, aber auch derjenige an, der nur eine Mailbox betreibt. Webserver und Mailboxen sind auch technische Einrichtungen, 'die als Nachrichten identifizierbare elektromagnetische oder optische Signale senden, übertragen, vermitteln, empfangen, steuern oder kontrollieren' können - so die Begriffsbestimmung für 'Telekommunikationsanlage' in § 3 Ziffer 17 TKG. Jeder SysOp, der seine Passion auslebt, erbringt deshalb ganz gewiß geschäftsmäßig Telekommunikationsdienste im Sinne des neuen Gesetzes.

Alle Vorschriften des TKG dagegen, die das Erbringen von 'Telekommunikationsdienstleistungen' - man beachte die Subtilität in der Wortwahl des Gesetzgebers - voraussetzen, muß der nichtkommerziell tätige private Mailboxbetreiber dagegen nicht beachten. Hierbei handelt es sich nämlich nur um gewerbliche Angebote. Ein bloßes Redaktionsversehen dürfte die Tatsache sein, daß § 3 Ziffer 19 TKG zwar bei gewerblich erbrachten 'Telekommunikationsdienstleistungen', nicht aber bei privaten 'Telekommunikationsdiensten' zwischen öffentlichen Angeboten und geschlossenen Benutzergruppen unterschieden wurde. Strenggenommen muß sich allerdings auch schon derjenige mit den Vorschriften des TKG auseinandersetzen, der seinen Rechner lediglich mit demjenigen des Nachbarn vernetzt hat und diesem unentgeltlich anbietet, einen Teil des eigenen Festplattenangebots zu nutzen. Eine von vielen Ungereimtheiten des neuen Gesetzes, die wohl erst die Rechtsprechung ausräumen wird.

Anmeldung

Eines der in den vergangenen Monaten in vielen Netzen heiß diskutierten Themen war die Frage danach, ob Mailboxen beim Bundesamt für Post und Telekommunikation in Mainz anzumelden waren. § 4 TKG beschränkt die Anzeigepflicht nunmehr auf die gewerblichen Erbringer von Telekommunikationsdienstleistungen beschränkt.

Wer sich hierüber zu Recht freut, übersieht allerdings leider die Regelung in § 88 Abs. 2 S. 3 TKG. Hiernach darf jeder Betrieb einer Telekommunikationsanlage - wir erinnern uns: das sind auch Mailboxen - erst aufgenommen werden, wenn technische Einrichtungen zur Überwachung des Fernmeldeverkehrs nach § 88 Abs. 1 TKG eingerichtet worden sind und dies der Regulierungsbehörde schriftlich angezeigt worden ist. Die Aufgaben der Regulierungsbehörde übernimmt nach § 98 TKG bis Ende 1997 das Bundesministerium für Post und Telekommunikation, so daß Anmeldungen dort - zuständig ist das Referat Z 25 - erfolgen müssen. Während unter der Geltung des § 1a FAG lediglich eine allgemeine Anzeigepflicht bestand, muß jetzt also bereits vor der Betriebsaufnahme eine Anzeige beim Ministerium erfolgen. Es ist abzusehen, daß die Behörde damit argumentieren wird, daß nicht jede Mailbox technische Einrichtungen zur Überwachung durch die Regulierungsbehörde nach § 88 Abs. 1 TKG schaffen und deshalb die Einrichtung auch nicht anzeigen muß.

Diese Auffassung wird sich aber nicht mit der Regelung in § 88 4 TKG vertragen, nach der völlig undifferenziert jeder Betreiber einer Telekommunikationsanlage, der anderen einen Netzzugang geschäftsmäßig anbietet - also auch jeder Fido-Node - zur Überwachung einen Netzzugang 'unverzüglich und vorrangig' bereitstellen muß. Und das ist sicherlich eine gesetzlich vorgesehene Maßnahme zur Überwachung der Telekommunikation im Sinne des § 88 Abs. 1 TKG. Man wird mit Spannung abwarten dürfen, wie das Bundespostministerium die gesetzestreu handelnden privaten Betreiber bescheiden wird.

Was für Mailboxen richtig ist, gilt natürlich erst recht für gewerblich tätige Provider. Diese müssen die Aufnahme ihres Geschäftsbetriebs sowohl nach § 4 TKG als auch nach § 88 Abs. 4 TKG der Regulierungsbehörde gegenüber anzeigen. Das gilt allerdings nur für diejenigen Provider, die auch 'Telekommunikation' anbieten, also Nachrichten aussenden, übermitteln und empfangen. Ausgenommen von der Anmeldepflicht sind daher bloße 'Presence Provider', die nur Plattenspeicher vermieten, und 'Content Provider', die nur Inhalte liefern.

Als geschäftsmäßig handelnde Erbringer von Telekommunikationsdiensten müssen Provider und Mailboxbetreiber nach § 85 TKG das Fernmeldegeheimnis wahren. Das ist an sich nichts Neues, weil sie hierzu auch schon nach dem jetzt aufgehobenen § 14a FAG verpflichtet waren.

Neu ist allerdings, daß nunmehr ausdrücklich auch geregelt wird, daß das Fernmeldegeheimnis auch die bloße Kenntnisnahme vom Inhalt der Telekommunikationsdaten, also etwa privater Netmails, verbietet. § 14a FAG verbot nach seinem Wortlaut nur die Weitergabe, nicht aber das bloße Lesen der Nachricht durch den Systembetreiber. Nach § 85 Abs. 3 TKG ist es jetzt untersagt, 'sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen'. Verboten ist den Betreibern damit nicht nur die Weitergabe von Inhalten an Dritte, sondern auch das Mitlesen nicht für sie bestimmter privater Post. Das gilt natürlich auch dann, wenn interne Netzregeln - etwa die Fido Policy - eine Kenntnisnahme gestatten sollten.

Eine Ausnahme kann nur dann gelten, wenn der Autor der Netmail, was selten vorkommen wird, dem Provider ein Mitlesen ausdrücklich erlaubt hat.

Bei seiner Regelung schießt das Gesetz über das gesteckte Ziel eines effizienten Schutzes des Fernmeldegeheimnisses allerdings weit hinaus. Nach der Definition von 'Telekommunikation' in § 3 Ziffer 16 TKG werden nämlich Nachrichten jeglicher Art umfaßt, strenggenommen also auch öffentliche Mitteilungen in Newsgroups und Echo-Areas. Es kann dem Provider und seinen Mitarbeitern oder dem Betreiber einer Mailbox allerdings wohl kaum verwehrt sein, diese öffentlichen Nachrichten an andere weiterzugeben, sie zu 'forwarden'. Erst recht wird er sie, wie jeder andere Netzteilnehmer auch, ohne schlechtes Gewissen zur Kenntnis nehmen dürfen. Dafür sind öffentliche Nachrichten ja gerade da.

Datenschutz

Auf die Initiative von Bündnis 90/Die Grünen hin wurden auch die nicht kommerziell tätigen Betreiber von Onlinediensten, die geschäftsmäßig Telekommunikationsdienste anbieten, verpflichtet, über die allgemeinen Regelungen hinaus für den Datenschutz zu sorgen. Nach § 89 Abs. 1 TKG soll die Bundesregierung durch Rechtsverordnung die näheren Einzelheiten regeln. Tatsächlich ist schon wenige Tage vor dem TKG - fast unbemerkt - die Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV) in Kraft getreten und hat die Teledienstunternehmen-Datenschutzverordnung (UDSV) und die TELEKOM-Datenschutzverordnung abgelöst.

Gegenstand der neuen TDSV ist der Schutz personenbezogener Daten der am Fernmeldeverkehr Beteiligten. Sie gilt nach § 2 Ziffer 2 und 3 TDSV für Unternehmen und Anbieter, die geschäftsmäßig Telekommunikationsdienstleistungen für die Öffentlichkeit erbringen oder daran mitwirken. Legt man dem Merkmal 'geschäftsmäßig' die Definition des TKG zugrunde, müssen sich auch private Mailboxbetreiber an die Verordnung halten, wenn sie ihre Leistungen nachhaltig erbringen. Merkwürdigerweise werden dann 'Telekommunikationsdienstleistungen' in § 2 Ziffer 5 TDSV wieder als 'das gewerbliche Angebot von Telekommunikation' definiert. Die Verordnung soll sich deshalb wohl doch nur an kommerziell tätige Provider richten. So genau weiß das in Bonn derzeit aber niemand.

Die Verordnung regelt vor allem, welche Daten des Kunden erhoben und weiterverarbeitet werden können. Anbieter von Telekommunikationsdienstleistungen dürfen nur bestimmte personenbezogene Daten ihrer Kunden - die TDSV nennt diese Daten in § 4 Abs. 1 TDSV 'Bestandsdaten' - erheben, verarbeiten und nutzen. Das sind Informationen, die zur inhaltlichen Ausgestaltung des Vetragsverhältnisses unbedingt erforderlich sind. Hierzu gehören etwa die Speicherung von Anschrift, Telefonnummer und Bankverbindung. Darüber hinaus dürfen die 'Verbindungsdaten' - also Informationen über das Einwahlverhalten des Kunden - nach § 5 TDSV nur insoweit gespeichert und ausgewertet werden, wie es insbesondere für Abrechnungszwecke notwendig ist.

Wenn der Provider pauschal abrechnet, darf er das Nutzerverhalten nur insoweit in Logdateien speichern, wie er solche Informationen für das Erbringen seiner Leistungen benötigt. Denkbar ist zum Beispiel, daß der Kunde bestimmte Newsgroups abonniert hat. Hier muß der Provider unter Umständen festhalten, um welche Diskussionsgruppen es sich handelt. Von Informationen, die nicht zu den Bestandsdaten gehören, darf der Anbieter die Erbringung seiner Leistungen nicht abhängig machen. Unzulässig wären deshalb Fragen nach Beruf oder genauem Alter des Kunden, es sei denn, diese Angaben sind ausdrücklich als freiwillig gekennzeichnet.

Erhobene Bestandsdaten darf der Anbieter nutzen, soweit dies zur Beratung der Kunden, zur Werbung und zur Marktforschung für eigene Zwecke und zur bedarfsgerechten Gestaltung seiner Telekommunikationsdienstleistungen erforderlich ist. Vor der Erhebung der Daten muß er den Kunden allerdings darauf hinweisen, daß dieser einer solchen Nutzung widersprechen kann, § 4 Abs. 2 TDSV. Außerdem muß der Provider nach § 3 Abs. 5 TDSV auf besondere Gefährdungspotentiale hinweisen, wenn die Netzsicherheit durch unbefugte Eingriffe Dritter bedroht ist. Er tut deshalb gut daran, neue Kunden bei Vertragsbeginn ausdrücklich darauf hinzuweisen, daß unverschlüsselte elektronische Kommunikation im Internet nicht sicher ist.

Nach Beendigung des Vertragsverhältnisses darf der Provider die Bestandsdaten höchstens noch zwei Jahre speichern. Anschließend muß er sie löschen, § 4 Abs. 3 TDSV. Verbindungsdaten muß der Provider wegen § 6 Abs. 3 TDSV normalerweise spätestens 80 Tage nach der Abrechnung über die Verbindungen löschen.

Auch Onlinedienste und Provider dürfen gemäß § 10 TDSV öffentliche Verzeichnisse ihrer Kunden in Form von Druckwerken oder elektronischen Verzeichnissen erstellen und herausgeben. Die elektronischen Userverzeichnisse der großen Onlinedienste sind deshalb zulässig. Kunden, die einer Veröffentlichung ihrer Daten widersprechen, dürfen allerdings nicht eingetragen werden. Der Anbieter muß 'mit einer der nächsten Fernmelderechnungen' auf sein Widerspruchsrecht hingewiesen werden. Offensichtlich hat der Verordnungsgeber hier noch die Telekom und andere Sprachtelefonieanbieter im Visier gehabt; Onlinedienste und Provider verschicken bekanntlich keine 'Fernmelderechnungen'.

Besonders behandelt § 11 TDSV allerdings die Auskunfterteilung aus Kundenverzeichnissen. Hier dürfen zwar Rufnummern, bei Widerspruch des Kunden aber keine Adressen oder andere Kundendaten mitgeteilt werden. Auch die Telefonauskunft der Telekom hat in der Vergangenheit bekanntlich solche Daten nicht herausgerückt. Generell verboten ist die Mitteilung der Namen und anderer Daten von Kunden, von denen nur die Rufnummer bekannt ist (sog. 'Inverssuche'). Diese Beschränkung gilt übrigens nicht nur für den Anbieter selbst, sondern (natürlich) auch für andere, die Kundenverzeichnisse vermarkten wollen. Zu diesem Ergebnis kam kurz vor Inkrafttreten der TDSV jedenfalls das LG Mannheim (Az. 7 O 43/96) im Zusammenhang mit der Entscheidung über die datenschutzrechtliche Zulässigkeit der Telefonbuch-CD D-Info 2.0, mit deren Hilfe Adressen über die bloße Eingabe der Rufnummer gefunden werden können.

Datenschutzregeln im TKG

Die Grenzen zwischen öffentlichen Verzeichnissen und der Auskunfterteilung sind heute fließend, weil elektronische Verzeichnisse vom Suchenden selbst leicht mit geeigneten Suchprogrammen durchforstet werden können. Im Ergebnis bedeutet dies, daß der Diensteanbieter sein Kundenverzeichnis zwar nicht mit einem Suchprogramm zusammen vermarkten darf. Es spricht aber nichts dagegen, daß der Kunde den Datenbestand anschließend mit einem eigenen Programm durchsucht und dabei auch die Möglichkeiten der Inverssuche nutzt. Ein Ergebnis, daß Datenschützer kaum befriedigen dürfte.

Sollten die Regeln der TDSV für nicht kommerziell tätige Mailboxbetreiber nicht gelten, haben sie trotzdem die datenschutzrechtlichen Vorschriften des TKG zu beachten. Diese Regeln gelten im übrigen natürlich ergänzend auch für Provider und Onlinedienste.

Das bedeutet, daß eine Speicherung von Nutzerdaten auf das unbedingt Erforderliche beschränkt werden muß. Ganz sicher unzulässig ist es deshalb, sogenannte CallLogs - das sind Übersichten darüber, welcher User sich wann in eine Mailbox eingewählt hat - anderen zugänglich zu machen. Auf Dauer dürfen nur Name, Adresse und Paßwort des Users gespeichert werden. Hierbei handelt es sich um Daten, die für die Abwicklung des Leistungsverhältnisses zwischen dem Leistungserbringer und dem Kunden unbedingt erforderlich sind. Wer für sein Angebot vom User einen kleinen Obolus verlangt, der sich nach der Menge der abgerufenen Daten oder der in der Box verbrachten Zeit richtet, darf natürlich auch solche Daten speichern, allerdings nur so lange, wie er solche Daten für Abrechnungs- und Nachweiszwecke benötigt. Spätestens dann, wenn der User oder der Kunde gezahlt hat, sind die Daten zu löschen. In § 10 der Teledienstunternehmen-Datenschutzverordnung (USDV) war bisher geregelt, daß der Dienstebetreiber Namen, Anschrift und Beruf der bei ihm mit einem Account registrierten Personen öffentlich bekannt machen darf. In Zukunft darf er das nach § 89 Abs. 8 TKG nur noch, wenn ein entsprechender Antrag des Kunden vorliegt. Daran muß sich natürlich auch die Telekom bei Einträgen in Fernsprechverzeichnissen richten. Einträge in bestehenden Verzeichnissen und Listen müssen nur dann geändert werden, wenn der Betroffene widerspricht.

Im Rahmen von Strafverfolgungsmaßnahmen und bei der Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung haben die Polizei und bestimmte andere Behörden immer schon das Recht gehabt, Beweise sicherzustellen. Wenn nicht Gefahr im Verzug ist, können sie solche Maßnahmen allerdings nur ergreifen, wenn ein Richter sie zuvor hierzu - etwa in einem Durchsuchungsbeschluß - ermächtigt hat. Selbst wer nur Krimiserien im Fernsehen verfolgt, der ahnt, daß das in der Praxis nicht immer so einfach ist. In § 89 Abs. 6 TKG stellt der Gesetzgeber nur noch einmal eindeutig klar, daß für den Zugriff auf Daten, über die Anbieter von Onlinediensten verfügen, nichts anderes gilt. Bei den Datenschutzregelungen geht es also nicht darum, daß die Polizei zusätzliche Befugnisse erhält. Es soll eigentlich nur klargestellt werden, daß die recht strengen Datenschutzregeln - wie bisher - dann nicht gelten, wenn übergeordnete Interessen des Gemeinwohls eine Aufdeckung erforderlich machen. Ob der Staat in jedem einzelnen Fall verantwortlich mit seiner Befugnis umgeht, steht zwar auf einem anderen Blatt, hat aber mit der Neuregelung im TKG nichts zu tun. Betroffene sollten allerdings wissen, daß zu den bei Providern vorübergehend gespeicherten Daten natürlich auch Informationen darüber gehören, welche Newsgroups abonniert wurden.

Sollte die Polizei tatsächlich einmal Daten beschlagnahmen, dürfen der Provider - und der Mailboxbetreiber - die betroffenen User nach § 89 Abs. 6 S. 2 TKG von einer solchen Beschlagnahme nicht informieren.

Nach § 90 Abs. 1 TKG sind die geschäftsmäßig handelnden Anbieter von Telekommunikationsdiensten verpflichtet, 'Kundendateien zu führen, in die unverzüglich die Rufnummern und Rufnummernkontingente, die zur weiteren Vermarktung oder sonstigen Nutzung an andere vergeben werden, sowie Name und Anschrift der Inhaber von Rufnummern und Rufnummernkontingenten aufzunehmen sind, auch soweit diese nicht in öffentliche Verzeichnisse eingetragen sind.' Soweit es 'zur Erfüllung der gesetzlichen Aufgaben erforderlich ist', darf die Regulierungsbehörde diese Daten - also nur Rufnummer, Name und Anschrift des Inhabers - auf Anfrage der Gerichte, der Ermittlungsbehörden und des Verfassungsschutzes abrufen. Der Anbieter hat auf seine Kosten dafür zu sorgen, daß ein solcher Abruf von ihm unbemerkt erfolgen kann.

Die in manchen Printmedien und Netzen verbreitete Panik, der Staat könne über diese Regelung systematisch und unbemerkt Mailboxen und Onlinedienste abhorchen, ist völlig unbegründet. Zunächst einmal: Selbstverständlich benötigen die Behörden auch in Zukunft eine richterliche Erlaubnis, wenn sie im Einzelfall eine private Kommunikation über Datennetze mitschneiden, also 'abhören' wollen. In § 90 TKG geht es allein um die Zuordnung von Rufnummern zu Anschlußinhabern, nicht um Inhalte der Kommunikation.

Viel wichtiger ist noch, daß die Vorschrift weder kommerzielle Onlinedienste noch Internet-Provider oder Mailboxbetreiber überhaupt betrifft. Diese werden, da sie geschäftsmäßig Telekommunikationsdienste anbieten, zwar grundsätzlich verpflichtet, Kundendateien zu führen. Da sie aber bekanntlich - anders als die Betreiber von Mobilfunknetzen - gar keine Rufnummern an ihre Kunden vergeben oder in anderer Weise vermarkten, müssen sie in solche Dateien auch nichts eintragen. Die von Onlinediensten in der Vergangenheit wiederholt geäußerte Sorge, man müsse mit erheblichem Kostenaufwand technische Einrichtungen für eine Abhörmöglichkeit der Regulierungsbehörde schaffen, war deshalb vollkommen unbegründet. Es ist allerdings nicht auszuschließen, daß der Gesetzgeber selbst gar nicht gemerkt hat, daß der Paragraph derzeit nur Mobilfunkprovider betrifft. (fm) (fm)