Verkauf von Handy-Bewegungsdaten: Erlaubt oder nicht?

Telefonica/o2 prüft die Möglichkeit, Handy-Bewegungsdaten ihrer Kunden weiter zu veräußern (siehe dazu nur hier). Anonymisiert natürlich. Die Frage, ob man das überhaupt dürfte, wird derzeit allerdings kaum behandelt, vielmehr wird – m.E. zu Recht – direkt rechtspolitisch gesagt, dass das so unvertretbar wäre. Aber fernab vom rechtspolitischen Aspekt: Wäre es rechtlich überhaupt zulässig, Bewegungsdaten der Kunden zu veräußern?

Wir haben heutzutage den Trieb entwickelt, (angeblich) anonymisierte Daten besonders privilegiert zu behandeln. Mir drängt sich der Verdacht auf, nur weil die hier von anonymisierten Daten die Rede ist, möchte man sich der rechtlichen Prüfung weitestgehend entziehen, nach dem Motto: Was anonymisiert ist, ist Freiwild. Das wäre schon faktisch äußerst bedenklich, da bei bestimmten Daten eine echte Anonymisierung gar nicht möglich ist. In der Vergangenheit wurde es beispielsweise schon geschafft, auf Grund scheinbar anonymer Google-Suchanfragen zu erkennen, wer da am Ende gesucht hat.
Auch Standort-Daten können insofern, anonymisiert hin oder her, letzten Endes – wenn sie nur zahlreich genug angehäuft werden und mit Zusatzdaten wie Altersgruppe versehen sind – relativ einfach einzelnen Personen zugeordnet werden. Der Schluss, „Anonymisiert = Problemlos“ ist insofern ein Trugschluss und sollte nicht zu weniger Vorsicht verleiten.

Bestandsdaten vs. Verkehrsdaten
Es sei zunächst ins Telekommunikationsgesetz (TKG) geblickt, wo im Bereich Datenschutz zwischen Verkehrsdaten und Bestandsdaten zu unterscheiden ist. Nach §3 Nr.30 TKG sind „Verkehrsdaten“ die Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. Es ist quasi der tägliche „Nutzungs-Traffic“, alle Daten die rund um das Telefonieren anfallen. Davon gesondert zu sehen sind die Bestandsdaten, das sind die Daten, die rund um die Vertragsabwicklung nötig sind (§3 Nr.3 TKG), also etwa Name, Anschrift etc.
Wenn wir hier über Bewegungsdaten sprechen, geht es um Handy-Ortungsdaten, die anfallen, wenn das Handy sich automatisiert in bestimmte Funkzellen einwählt. Diese Daten sind m.E. problemlos Verkehrsdaten.

Datenschutzrechtliche Regelungen
Die Unterscheidung in Bestandsdaten und Verkehrsdaten ist nicht rein dogmatisch: Bestandsdaten dürfen erheblich mehr genutzt werden, etwa nach §95 II TKG auch zur Werbung. Bei Verkehrsdaten, um die es hier ja nun geht, sieht das aber schon anders aus: Die nämlich unterfallen dem §96 TKG. Dort findet man jedoch keine ausdrückliche Regelung der so genannten Standortdaten, vielmehr werden diese wohl unter „sonstige zum Aufbau und zur Aufrechterhaltung der Telekommunikation sowie zur Entgeltabrechnung notwendige Verkehrsdaten“ nach §96 I Nr.5 TKG fallen. Als solche bedarf es zu ihrer weiteren Verarbeitung zwingend einer gesetzlichen Grundlage, wenn sie nicht zum Verbindungsaufbau notwendig sind. Ohne weitere gesetzliche Grundlage sind sie nach Verbindungsende sodann automatisch zu löschen.

Nun gibt es den §96 III TKG, der eine Vermarktung auch solcher Daten vorsieht, wenn die Daten anonymisiert wurden und der Nutzer vorher eingewilligt hat – aber nur, sofern diese Daten zu folgenden Zwecken genutzt werden:

zum Zwecke der Vermarktung von Telekommunikationsdiensten, oder
zur bedarfsgerechten Gestaltung von Telekommunikationsdiensten oder
zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und im dazu erforderlichen Zeitraum (dazu §98 TKG)

Hier gilt es dann genau hinzusehen: In der Diskussion steht die Veräußerung der anonymisierten Daten an Dritte, damit diese ihre Werbung bzw. Produkte/Dienstleistung optimieren können. Um die Vermarktung der eigenen TK-Dienste des Providers geht es damit also gerade nicht. Auch geht es nicht darum, die eigenen TK-Dienste „bedarfsgerecht zu Gestalten“, es geht ja vielmehr um fremde Dienste. Und die zuletzt genannten „Dienste mit Zusatznutzen“ sind (§3 Nr.5 TKG iVm §98 TKG) sind eigenständige Dienste Dritter, die unmittelbar im Einzelfall die Standortdaten abfragen: Ursprünglich ging es hier vor allem um so genannte Premiumdienste (dazu Punkt 81 in der Begründung zum Gesetzentwurf). Auch dies hat nichts mit dem massenhaften Verkauf anonymisierter Daten an Dritte zu tun.

Ich bin somit beim §96 III TKG äusserst skeptisch, ob der das geplante Vorgehen überhaupt deckt – jedenfalls wenn man auf die Details achtet und nicht nach „anonymisiert“ und „Einwilligung“ zu Lesen aufhört. Weitere Ermächtigungen für das Vorgehen kann ich nicht erkennen, so dass m.E. an dieser Stelle das Ergebnis lauten muss: Nach deutschem TKG ist dieses Vorgehen derzeit rechtlich nicht gedeckt.

Anwendbarkeit des BDSG

Eine Anwendbarkeit sonstiger allgemeiner Normen des BDSG lehne ich in diesem Bereich ab, insbesondere etwa den §28 III BDSG. Es geht hier nicht um irgendwelche personenbezogenen Daten, sondern um Daten, die dem Fernmeldegeheimnis unterliegen (§88 TKG). Die speziellen datenschutzrechtlichen Regelungen hinsichtlich Erhebung und Verarbeitung der Daten im TKG gehen daher den allgemeinen Regelungen des BDSG vor und sind insofern abschliessend.

Kurz zur Einwilligung

Da ich letztlich zu einem rechtswidrigen Vorgehen komme, untersuche ich nicht mehr lange die Einwilligung, die angeblich schon jetzt in AGB abgerungen wird, wobei es wohl nur den nachträglichen Widerspruch gibt aber kein Opt-In. Diese Einwilligung wird wahrscheinlich letztlich ohnehin nicht wirksam sein, da sie wahrscheinlich als reine nachherige Opt-Out-Lösung dem Freiwilligkeitsgebot des §4a BDSG widerspricht. Den §96 IV TKG verstehe ich insofern auch nicht als Vorschrift, die die Vorgaben des §4a BDSG (Freiwillig und Informiert) verdrängt, sondern vielmehr hinsichtlich von TK-Verträgen nur weiter konkretisiert. Das bisher von der Presse beschriebene Vorgehen stößt insofern bei mir auch auf erhebliche Kritik, vorbehaltlich einer detaillierten Prüfung.

Fazit

Das anhäufen (angeblich) anonymisierter Standarddaten zum weiteren Verkauf an Dritte ist m.E. derzeit mit de TKG nicht vereinbar.