Telekommunikationsgesetz

Das Telekommunikationsgesetz (TKG) soll zum einen durch technologieneutrale Regulierung den Wettbewerb im Telekommunikationswesen (fördern) und außerdem eine leistungsfähige Infrastruktur auf diesem Gebiet fördern. Es regelt in Abgrenzung zum TMG den technischen Vorgang des Aussendens, Übermitteln und Empfangens von Signalen, § 3 Nr. 22 TKG.

 

§ 100 TKG

§ 100 TKG erlaubt es dem Diensteanbieter, Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer zur Störungsbeseitigung zu erheben und zu verwenden (also speichern und verarbeiten), soweit dies erforderlich ist. Bestandsdaten sind in § 3 Nr. 3 TKG legaldefiniert. Hierunter sind die Daten eines Teilnehmers (das ist der Vertragspartner) zu verstehen, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Dazu zählen insbes. Name, Anschrift und  Kontoverbindung.1Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 9. Verkehrsdaten im Sinne von § 3 Nr. 30 TKG betreffen demgegenüber die einzelne Nutzung, werden also bei jeder einzelnen Nutzung neu vergeben.2Säcker(-Klesczewski), TKG, 3. Auflage 2013, § 96 TKG, Rn. 1 ff. Hierzu gehören beispielsweise, nach mittlerweile gefestigter Rechtsprechung, dynamische IP-Adressen.3BVerfG, MMR 2010, 356; BGH, MMR 2011, 341.

Das IT-Sicherheitsgesetz hatte den in § 100 Abs. 1 TKG bereits bestehende Erlaubnistatbestand zur Klarstellung dahingehend ergänzt, dass er auch Störungen erfasst, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. Damit die weitreichenden Befugnisse des Diensteanbieters keine „Einführung der Vorratsdatenspeicherung durch die Hintertür“ bedeutet, ist es angebracht, sich noch einmal die höchstrichterliche Rechtsprechung zu Speicherzeiträumen zu vergegenwärtigen.4Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 29. Der BGH hatte bspw. die Speicherung einer IP-Adresse zur Behebung einer Störung über § 100 Abs. 1 TKG a. F. für die Dauer von sieben Tagen (noch) für zulässig erachtet, gleichzeitig aber auch noch einmal klargestellt, dass die Speicherdauer nicht das zur Erreichung der Zwecke der Norm notwendige Maß überschreiten dürfe.5BGH V. 3.7.2014 – III ZR 391/13, NJW 2014, 2500 (2503). Diesen Gedanken sollten Diensteanbieter auch bei der Anwendung  des neuen § 100 TKG Abs. 1 berücksichtigen.

Außerdem kann der Betreiber oder ein von ihm Beauftragter unter den Voraussetzungen des § 100 Abs. 2 TKG auf bestehende Verbindungen aufschalten. Ein solches Aufschalten ist zulässig, um Umschaltungen durchzuführen oder Störungen im Netz zu erkennen und einzugrenzen. Dabei entstehende Aufzeichnungen sind unverzüglich nach Abschluss der Arbeiten wieder zu löschen und der Betroffene muss hiervon schon während der Maßnahme durch ein akustisches oder sonstiges Signal in Kenntnis gesetzt werden. Auch darf der Diensteanbieter unter den engen Voraussetzungen des § 100 Abs. 3 TKG zur Sicherung seines Entgeltanspruches die Bestandsdaten und Verkehrsdaten verwenden, um eine rechtswidrige Inanspruchnahme des Telekommunikationsnetzes oder -dienstes aufzudecken oder zu unterbinden. Liegen die Voraussetzungen des § 100 Abs. 3 S. 1 TKG vor, ist es dem Diensteanbieter als ultima ratio zudem gemäß § 100 Abs. 4 TKG gestattet, Steuersignale zu erheben und zu verwenden.

 

§ 109 TKG

§ 109 Abs. 1 TKG verpflichtet den Diensteanbieter (§ 3 Nr. 17a TKG), die erforderlichen technischen Vorkehrungen und sonstigen Maßnahmen zu treffen, um das Fernmeldegeheimnis und die personenbezogenen Daten zu schützen. Die Norm dient dem Datenschutz und dem Schutz von Individualinteressen.

§ 109 Abs. 2 TKG statuiert eine Pflicht für den Betreiber öffentlicher TK-Netze (§ 3 Nr. 16a TKG) und den Diensteanbieter, Schutzvorkehrungen gegen Störungen, auch durch äußere Angriffe oder Katastrophen, sowie generelle Maßnahmen zur Gewährleistung von IT-Sicherheit zu treffen.  Durch das IT-Sicherheitsgesetz wurde der „Stand der Technik“ als Maßstab in § 109 Abs. 2 TKG aufgenommen, sodass die dort bezeichneten IT-Sicherheitsmaßnahmen und Vorkehrungen ein höheres Maß an Aktualität erreichen dürften.

Bei gemeinsamer Nutzung eines Standortes oder von technischen Einrichtungen hat nach § 109 Abs. 3 TKG jeder Betreiber der Anlage den oben angegebenen Verpflichtungen aus Abs. 1 und 2 nachzukommen, soweit bestimmte Verpflichtungen nicht einem Beteiligten zugeordnet werden können.

Der § 109 Abs. 4 TKG verpflichtet Betreiber und Diensteanbieter zur Benennung eines Sicherheitsbeauftragten sowie zur Erstellung eines Sicherheitskonzepts. Die Umsetzung des Letzteren wird aufgrund des IT-Sicherheitsgesetzes nunmehr alle zwei Jahre überprüft. Für die Überprüfung ist nach wie vor die Bundesnetzagentur zuständig. Sie kann hierzu nötigenfalls auf die Kontrollmechanismen und Sanktionsinstrumentarien des § 115 TKG zurückgreifen, also unter anderem Bußgelder verhängen oder Anlagen schließen.

§ 109 Abs. 5 TKG normiert die Pflicht zur Meldung von Störungen. Hierzu gehören aufgrund des IT-Sicherheitsgesetzes auch die Störungen, die zu beträchtlichen Sicherheitsverletzungen der datenverarbeitenden Systeme der Endnutzer führen können.  Zu melden wären beispielsweise wohl Vorfälle, bei denen wichtige personenbezogene Daten wie Bankverbindungen oder Gesundheitsdaten gefährdet sind.6Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109, Praxiskommentar, S. 102.

Die beschriebene Aufnahme des „Stands der Technik“ in das Gesetz stärkt auch die Verbindlichkeit des IT-Sicherheitskataloges nach § 109 Abs. 6 TKG stärken. In Zukunft werden bei der Erstellung dieses Kataloges das BSI und der Bundesdatenschutzbeauftragte eine größere Rolle spielen; nunmehr braucht die Bundesnetzagentur hierzu deren „Einvernehmen“ und nicht mehr allein deren „Benehmen“.

§ 109 Abs. 7 TKG regelt das Recht der Bundesnetzagentur Sicherheitsaudits durch Dritte durchführen zu lassen. Sowohl über die im Rahmen dieser Audits aufgedeckten Mängel und über die angeordneten Abhilfemaßnahmen muss das BSI gemäß § 109 Abs. 8 TKG informiert werden. Diese Informationspflicht liegt dann allerdings nicht mehr beim Betreiber der Anlage, sondern bei der Bundesnetzagentur.

 

§ 109a TKG – Daten und Informationssicherheit

Derjenige, der öffentlich zugängliche Telekommunikationsdienste erbringt, ist dazu verpflichtet, wenn es zur Verletzung des Schutzes personenbezogener Daten gekommen ist, unverzüglich die Bundesnetzagentur und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu informieren. Bei der Annahme einer schwerwiegenden Rechtsverletzung hat er überdies die Betroffenen hierüber in Kenntnis zu setzen. Eine vergleichbare Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten gilt nach § 42a BDSG.

Ergänzend hierzu legt der neue § 109a Abs. 4 TKG dem Anbieter öffentlich zugänglicher TK-Dienste eine Hinweispflicht bei Störungen auf, die von den Datenverarbeitungssystemen der Nutzer ausgehen. Ein solcher Fall dürfte beispielsweise vorliegen, wenn ein Nutzer durch ein abrupt auftretendes explodierendes Datenvolumen auffällt, und Anhaltspunkte bestehen, dass sich auf dessen Computer ein Trojaner befindet 7Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109a, Praxiskommentar, S. 103.. Der Anbieter muss in dem Fall aktiv werden, seinen Kunden von dem Vorfall in Kenntnis setzen und – in allgemeiner Form – Hinweise zur Beseitigung der Störung geben. Nicht geschuldet ist die individuelle Untersuchung der Hardware des Nutzers (Gesetzesbegründung, S. 36.). Ausreichen könnte etwa ein Verweis zu einer Webseite, die Hinweise auf entsprechende Hilfsmittel (Antiviren-Software o. ä.) enthält.8Gitter/Meißner/Spauschus, ZD 2015, 512 (515).

Der neue § 109a Abs. 4 TKG dürfte wohl – ähnlich wie der neue § 13 Abs. 7 TMG – als eine IT-Sicherheitsvorschrift nicht allein für die Betreiber von Kritischen Infrastrukturen relevant sein. Denn zum einen fällt unter einem öffentlich zugänglichen TK-Dienst auch sowas wie ein öffentlicher WLAN-Hotspot (z. B. Hotspots auf Flughäfen, in Cafés, Hotels usw.).9Mantz/Sassenberg, NJW 2014, 3537 (3538). Zum anderen ist auch der Anbieterbegriff ist nach § 3 Nr. 6 TKG vergleichsweise weitgefasst. Natürlich unterfallen letzterem in erster Linie die klassischen Telekommunikationsunternehmen, Erbringer der Telekommunikationsdienstleistung meint jedoch beispielsweise auch den Anbieter des offenen WLANs10Mantz/Sassenberg, NJW 2014, 3537 (3538); Redeker, ITRB 2011, 186 (186 f.). und/oder sogar dessen Hilfspersonen11Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 15..

Die Nichtbeachtung der Informationspflicht nach § 109a Abs. 4 TKG muss nicht folgenlos bleiben, sondern kann eine Haftung nach §§ 44, 44a TKG gegenüber Nutzer und Mitbewerber nach sich ziehen.12Hornung, NJW 2015. 3334 (3339).

 

§ 149 TKG – Bußgeldvorschriften

§ 149 TKG ergänzt die vom Gesetzgeber für besonders relevant gehaltenen tk-rechtlichen Regelungen um die Möglichkeit, hiergegen gerichtete Verstöße mit Sanktionen zu beantworten. Dies betrifft etwa die durch das IT-Sicherheitsgesetz ausgeweiteten Meldepflichten in § 109 Abs. 5 TKG. Um letzteren mehr Nachdruck zu verleihen, hat der Gesetzgeber daher die entsprechende Ordnungswidrigkeitenvorschrift in § 149 Abs. 1 Ziff. 21 TKG geschaffen. Die Bußgeldhöhe kann hier bis zu dreihunderttausend Euro betragen.

Referenzen   [ + ]

1. Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 9.
2. Säcker(-Klesczewski), TKG, 3. Auflage 2013, § 96 TKG, Rn. 1 ff.
3. BVerfG, MMR 2010, 356; BGH, MMR 2011, 341.
4. Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 29.
5. BGH V. 3.7.2014 – III ZR 391/13, NJW 2014, 2500 (2503).
6. Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109, Praxiskommentar, S. 102.
7. Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109a, Praxiskommentar, S. 103.
8. Gitter/Meißner/Spauschus, ZD 2015, 512 (515).
9. Mantz/Sassenberg, NJW 2014, 3537 (3538).
10. Mantz/Sassenberg, NJW 2014, 3537 (3538); Redeker, ITRB 2011, 186 (186 f.).
11. Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 15.
12. Hornung, NJW 2015. 3334 (3339).