zurück zum Artikel

Jahrelange Datenschutzverletzung: Telekom Austria drohen 218 Euro Strafe

Jahrlange Datenschutzverletzung: Telekom Austria drohen 218 Euro Strafe

In diesem Gebäude am Wiener Donaukanal befindet sich jenes Fernmeldebüro, das die maximal 218 Euro Verwaltungsstrafe verhängen könnte.

(Bild: gemeinfrei)

Jahrelang hat A1 Verkehrsdaten gespeichert, die zu löschen gewesen wären. Mehr als 14.000 Kunden sind betroffen. Die Strafdrohung beschränkt sich auf 218 Euro. Dem Whistleblower, der den Fall aufgedeckt haben dürfte, drohen 25.000 Euro.

A1 (Telekom Austria), Österreichs größter Netzbetreiber, soll jahrelang Datenschutzbestimmungen verletzt [1] haben. Das Unternehmen bedauert, die Verkehrsdaten von mehr als 14.000 Kunden nicht fristgerecht gelöscht zu haben. Der verantwortliche Manager hat nun eine Verwaltungsstrafe zu befürchten: sieben bis 218 Euro. Dem unbekannten Whistleblower, der die Missstände aufgedeckt haben dürfte, drohen indes bis zu 25.000 Euro Verwaltungsstrafe.

Der Wiener Anwalt Ewald Scheucher hat A1 bei der österreichischen Datenschutzbehörde angezeigt und eine mehr als 700 Seiten lange Liste betroffener Kunden eingereicht. Sie hatten laut einem Bericht [2] der Tageszeitung Kurier Festnetz- oder Mobilfunkanschlüsse von A1 und sich über Leistung oder Abrechnung beschwert. Im Zuge der Bearbeitung stellten A1-Mitarbeiter Nutzungsprofile zusammen. Gespeichert war darin etwa Standorte der genutzten Mobilfunksender und mit wem wie lange telefoniert und SMS ausgetauscht sowie welche Webseiten wann für wie lange aufgerufen wurden.

Das österreichische Telekommunikationsgesetzes (TKG 2003 [3]) schreibt Anbietern vor, alle nicht für die Rechnung erforderlichen Verkehrsdaten sofort zu löschen. Drei Monate nach Rechnungslegung sind auch die relevanten Daten zu löschen, sofern die Rechnung bezahlt und nicht formal beeinsprucht wurde. Diese Vorschrift hat A1 offenbar seit 2013 nicht befolgt.

Axel Anderl

Rechtsanwalt Dr. Axel Anderl

(Bild: Dorda Brugger Jordis Rechtsanwälte GmbH [4])

"Paragraph 99 TKG enthält ein prinzipielles Speicher- und Übermittlungsverbot", bestätigt der Wiener Anwalt Axel Anderl heise online, "Da [das] TKG keine Strafbestimmung für den allgemeinen Verstoß gegen die Löschpflicht vorsieht, gilt [Paragraph 10 des Verwaltungsstrafgesetzes [5]]. Mit einer Geldstrafe von bis zu 218 Euro beziehungsweise einer Freiheitsstrafe bis zu zwei Wochen ist die Regelung beinahe zahnlos." Und Freiheitsstrafen werden im Verwaltungsrecht kaum verhängt.

Ebenso ist unwahrscheinlich, dass die Datenschutzverletzungen pro betroffenem Kunden getrennt bestraft werden. Denn die Rechtsprechung nimmt bei einheitlichem Willensentschluss, gleichartiger Begehung und zeitlichem Zusammenhang ein "fortgesetzes Delikt" an, worauf nur eine Strafe steht.

Anderl nennt ein Argument gegen das fortgesetzte Delikt: "Die Gesetzesverstöße wurden über mehrere Jahre begangen. Würde man da immer ein fortgesetztes Delikt annehmen, wären kontinuierliche Verstöße über längere Zeit gegenüber gelegentlichen Verstößen begünstigt." Aber dazu müsste der österreichische Verwaltungsgerichtshof (VwGH) wohl seine Rechtsprechung adaptieren.

Die Datenschutzbehörde, bei der Scheuchers Anzeige eingegangen ist, kann übrigens gar keine Strafe verhängen. Sie darf ermitteln und die Herstellung eines rechtskonformen Zustands auftragen. Für ein Verwaltungsstrafverfahren wäre eine Anzeige beim Fernmeldebüro erforderlich. Ob dieses aber ein Verfahren führt, und wenn ja, mit welchem Ergebnis, wird wohl nie bekannt werden. Das unterliegt nämlich dem Amtsgeheimnis, das beim Fernmeldebüro erfahrungsgemäß gut gehütet wird.

Theoretisch könnte die Regulierungsbehörde RTR (Rundfunk und Telekom Regulierungs-GmbH) eine Gesetzesübertretung formal feststellen. Das ist aber sanktionslos. Erst beim nächsten Zuwiderhandeln könnten dann bis zu 8.000 Euro Geldbuße anfallen.

Am 25. Mai ändert sich die Rechtslage. Dann tritt die Datenschutz-Grundverordnung [7] der EU (DSGVO [8]) in Kraft und die Datenschutzbehörde erhält Strafkompetenz. Gleichzeitig wird der Grundsatz der Datenminimierung verschärft. "Ein derartiger Verstoß gegen die Grundsätze der Datenverarbeitung könnte dann mit einer Geldbuße von bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweit erzielten Konzern-Jahresumsatzes bestraft werden", verdeutlicht Anwalt Anderl.

Unbekannt ist, wie der anzeigende Anwalt Scheucher an die A1-Dateien gelangt ist. Wahrscheinlich gab es einen Whistleblower. Sollte diese Person erwischt werden, drohen ihr wesentlich härtere Konsequenzen als dem A1-Management. Neben einer möglichen Entlassung könnte es eine Verwaltungsstrafe wegen Verletzung des Datenschutzes geben. Im Unterschied zu A1 hat der Whistleblower die brisanten Verkehrsdaten der A1-Kunden nämlich an Dritte weitergegeben. Und darauf stehen bis zu 25.000 Euro, worüber der Magistrat der Stadt Wien zu entscheiden hätte.

Eine Strafe in voller Höhe wäre jedoch überraschend, zumal die Daten, soweit bekannt, nicht veröffentlicht sondern über Scheucher der Datenschutzbehörde zugeleitet wurden. Andererseits hatte auch ein Journalist des Kurier Einblick.

EU_Flagge

Die EU stärkt den Datenschutz.

(Bild: gemeinfrei)

Denkbar sind sogar strafrechtliche Konsequenzen für den Whistleblower. Für eine Beurteilung fehlen aber Detailinformationen, merkt Anderl an: "Das wäre zu spekulativ. Wir wissen nicht wirklich, wie der Whistleblower die Daten erhalten hat." Und: "Whistleblowing ist per se nicht unzulässig und kann sehr wohl auch gerechtfertigt werden. Diese Tendenz zeigt insbesondere die in Österreich noch umzusetzende Geheimnisschutzrichtlinie [9] [der EU]."

Sollte sich herausstellen, dass der Whistleblower die Dateien kopieren konnte, weil A1 die gemäß Datenschutzgesetz (DSG 2000 [10]) erforderlichen Sicherheitsmaßnahmen außer Acht gelassen hat, könnte es eine weitere Verwaltungsstrafe geben: Der Magistrat der Stadt Wien könnte dem verantwortlichen A1-Manager maximal 10.000 Euro aufbrummen. Solch ein Verfahren unterläge ebenfalls dem Amtsgeheimnis. (ds [11])


URL dieses Artikels:
http://www.heise.de/-3990676

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Datenschutzskandal-bei-Telekom-Austria-3989557.html
[2] https://kurier.at/wirtschaft/schwerwiegender-verdacht-datenaffaere-bei-a1-telekom/313.166.427
[3] https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20002849
[4] http://www.dorda.at
[5] https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10005770
[6] https://www.heise.de/meldung/Webinar-Die-DSGVO-Checkliste-3978479.html
[7] https://www.heise.de/ct/ausgabe/2018-5-Strengere-Datenschutz-Vorschriften-fuer-Unternehmen-und-Konzerne-3965649.html
[8] http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A32016R0679&from=DE
[9] https://www.heise.de/meldung/EU-Rat-befuerwortet-Richtlinie-zum-Schutz-von-Geschaeftsgeheimnissen-3222495.html
[10] https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597
[11] mailto:ds@heise.de