Schwerwiegender Verdacht: Groß angelegte Datenaffäre bei A1 Telekom
Bei der österreichischen Datenschutzbehörde ist am Dienstag eine brisante Anzeige gegen die A1 Telekom Austria eingelangt. Anwalt Ewald Scheucher, der schon die umstrittene Vorratsdatenspeicherung vor dem Europäischen Gerichtshof gekippt hat, wirft dem Unternehmen darin vor, die Ruf- und Verbindungsdaten Zehntausender Kunden "ohne gesetzliche Grundlage, ohne Einwilligung der Betroffenen und zeitlich unbegrenzt zu speichern". "Ohne Tätigwerden der Datenschutzbehörde besteht die Gefahr, dass sich die Zahl der Betroffenen, deren Grundrecht auf Datenschutz verletzt wird, stetig vergrößert", heißt es in der Anzeige.
Betroffen sind Kunden von A1 Mobil, A1 Festnetz, Bob und Red Bull Mobile. Darunter sind nicht nur Tausende Privatpersonen, sondern zahlreiche namhafte Anwaltskanzleien, private und staatsnahe Unternehmen wie die ÖBB Infrastruktur, die SPÖ, die ÖVP Niederösterreich, die Landwirtschaftskammer NÖ, mehrere große Versicherungen, die Universitäten Wien, Salzburg und Klagenfurt, sowie der ORF und das Rote Kreuz. Die Liste der angeführten Kunden umfasst mehr als 700 Seiten.
Aus dem Jahr 2013
Laut der Sachverhaltsdarstellung wurden die Telekom- und Internetdaten ganz bestimmter Kunden abgespeichert und bis heute nicht gelöscht. Es betrifft Kundendaten aus den Jahren 2013, 2014, 2015 und jünger.
"Grundsätzlich ist eine Speicherung über einen längeren Zeitraum als sechs Monate rechtlich ein absolutes No-Go, außer es handelt sich zum Beispiel um einen anhängigen Rechtsstreit oder es liegt explizit eine Einwilligung des Kunden vor", sagt Anwalt Scheucher auf Anfrage zum KURIER. "Eine Speicherung dieser Kundendaten über einen Zeitraum von bis zu fünf Jahren ist aus meiner Sicht illegal."
Ausgelöst wird diese fragwürdige "Vorratsdatenspeicherung" bei der A1 Telekom dann, wenn ein Kunde sich über die Höhe einer Rechnung, über etwaige Fehler bei der Abrechnung von Dienstleistungen, über ein zu schnell verbrauchtes Datenvolumen oder eine zu langsame Datenverbindung beschwert. Dann wird von den Sachbearbeitern ein Bearbeitungsfall mit der Rufnummer des Kunden angelegt und die Daten des Anschlusses zusammengesammelt: Mit wem der Kunde wann und wie lang telefoniert hat und wer ihn angerufen hat; wem er SMS in welcher Länge geschickt hat und wer ihm solche Kurznachrichten im Gegenzug übermittelt hat.
Pornos angesurft
Der KURIER konnte in eine Datei mit insgesamt 14.328 Bearbeitungsfällen einsehen. Besonders pikant ist dabei, dass offenbar auch der Senderstandort des Handykunden abgefragt wird. Auch die Internetadressen der Kunden werden gespeichert, sprich alle Homepages, die der betroffene Kunde angesurft hat und wie lange er dort verweilte.
Im Bearbeitungsfall einer namhaften Druckerei (aus dem Jahr 2013) ist zum Beispiel ersichtlich, dass jemand Internet-Pornoseiten aufgesucht hat.
Der KURIER hat A1 mit den Vorwürfen konfrontiert. Der Konzern legt Wert auf die Feststellung, dass "bei A1 Datenschutz und Datensicherheit oberste Priorität haben".
Interne Revision eingeschaltet
"Deshalb nehmen wir die angeführten Vorwürfe sehr ernst und sind um umfassende Aufklärung bemüht. Dementsprechend wurde unmittelbar die interne Revision eingeschaltet", heißt es in einer schriftlichen Stellungnahme an den KURIER. "Wir analysieren die unternehmensinternen Prozesse und werden, wenn notwendig, die erforderlichen Maßnahmen treffen."
Die Anzeige könne A1 nicht kommentieren, da sie angeblich noch nicht vorliegt. Grundsätzlich sei zu sagen, heißt es weiter, "dass entsprechend den gesetzlichen Bestimmungen bei Einsprüchen und Verfahren Daten oft viel länger als drei Monate gespeichert werden müssen; nämlich solange die Abrechnung rechtlich angefochten werden kann bzw. bis eine endgültige Entscheidung vorliegt". Laut A1 gelte das bis zu drei Jahre nach Beendigung des Verfahrens.
Laut Anwalt Scheucher betrifft diese gesetzliche Ausnahmeregelung zum Beispiel formale Rechnungsanfechtungen, aber Kundenanfragen und -Beschwerden zur Rechnungshöhe oder zum Datenvolumen fallen nicht darunter.
§ 99. (1) Verkehrsdaten dürfen außer in den in diesem Gesetz geregelten Fällen nicht gespeichert oder übermittelt werden und sind vom Anbieter nach Beendigung der Verbindung unverzüglich zu löschen oder zu anonymisieren. Die Zulässigkeit der weiteren Verwendung von Verkehrsdaten, die nach Abs. 5 übermittelt werden, richtet sich nach den Vorschriften der Strafprozessordnung (StPO), des Sicherheitspolizeigesetzes (SPG) sowie des Polizeiliches Staatsschutzgesetz (PStSG).
(2) Sofern dies für Zwecke der Verrechnung von Endkunden- oder Vorleistungsentgelten erforderlich ist, hat der Betreiber eines öffentlichen Kommunikationsnetzes oder -dienstes Verkehrsdaten zu speichern. Die Verkehrsdaten sind zu löschen oder zu anonymisieren, sobald der Bezahlvorgang durchgeführt wurde und innerhalb einer Frist von drei Monaten die Entgelte nicht schriftlich beeinsprucht wurden. Die Daten sind jedoch nicht zu löschen, wenn
| 1. | ein fristgerechter Einspruch erhoben wurde, bis zum Ablauf jener Frist, innerhalb derer die Abrechnung rechtlich angefochten werden kann. | |||||||||
| 2. | die Rechnung nicht beglichen wurde, bis zum Ablauf jener Frist, bis zu der der Anspruch auf Zahlung geltend gemacht werden kann, oder | |||||||||
| 3. | ein Verfahren über die Höhe der Entgelte eingeleitet wurde, bis zur endgültigen Entscheidung. | |||||||||
| Diese Daten sind im Streitfall der entscheidenden Einrichtung sowie der Schlichtungsstelle (§ 122) unverkürzt zur Verfügung zu stellen. Der Umfang der gespeicherten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken. |
(3) Die Verarbeitung von Verkehrsdaten darf nur durch solche Personen erfolgen, die für die Entgeltverrechnung oder Verkehrsabwicklung, Behebung von Störungen, Kundenanfragen, Betrugsermittlung oder Vermarktung der Kommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen zuständig sind oder die von diesen Personen beauftragt wurden. Der Umfang der verwendeten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.
(4) Dem Anbieter ist es außer in den in diesem Gesetz besonders geregelten Fällen untersagt, einen Teilnehmeranschluss über die Zwecke der Verrechnung hinaus nach den von diesem Anschluss aus angerufenen Teilnehmernummern auszuwerten. Mit Zustimmung des Teilnehmers darf der Anbieter die Daten zur Vermarktung für Zwecke der eigenen Telekommunikationsdienste oder für die Bereitstellung von Diensten mit Zusatznutzen verwenden.
(5) Eine Verarbeitung von Verkehrsdaten zu Auskunftszwecken ist zulässig zur Auskunft über
1.
Daten einer Nachrichtenübermittlung gemäß § 134 Z 2 StPO;
2.
Zugangsdaten an Gerichte und Staatsanwaltschaften nach Maßgabe des § 76a Abs. 2 StPO.
3.
Verkehrsdaten und Stammdaten, wenn hiefür die Verarbeitung von Verkehrsdaten erforderlich ist, sowie zur Auskunft über Standortdaten an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a und 3b SPG sowie § 11 Abs. 1 Z 5 PStSG. Ist eine aktuelle Standortfeststellung nicht möglich, darf die Standortkennung (Cell-ID) zum letzten Kommunikationsvorgang der Endeinrichtung verarbeitet werden;
4.
Zugangsdaten, wenn diese längstens drei Monate vor der Anfrage gespeichert wurden, an nach dem SPG zuständige Sicherheitsbehörden nach Maßgabe des § 53 Abs. 3a Z 3 SPG sowie § 11 Abs. 1 Z 5 PStSG;
5.
Verkehrsdaten, Zugangsdaten und Standortdaten nach Maßgabe des § 11 Abs. 1 Z 7 PStSG.
Kommentare