Update D: Vorratsdatenspeicherung – Neuerungen zum Jahreswechsel

Die umstrittene Vorratsdatenspeicherung tritt mit Wirkung vom 01. Januar 2009 in die zweite Phase, die die Pflichten für Unternehmen deutlich erweitert. Die Pflicht zur Speicherung könnte nun einen wesentlich vergrößerten Kreis von Unternehmen treffen.

Mit Wegfall der Übergangsregelung sind seit dem 01. Januar 2009 auch Anbieter von Internetdiensten verpflichtet, Bestandsdaten zu eMail-Postfächern und Verkehrsdaten aus dem Internetverkehr für die Dauer von sechs Monaten zu speichern. Betroffen davon sind Anbieter von Internetzugangsdiensten, Diensten der elektronischen Post oder Internettelefondiensten.

Es erscheint daher nicht ausgeschlossen, dass jedes Unternehmen zu einem derartigen Anbieter von Internetdiensten werden könnte, wenn es beispielsweise seinen Mitarbeitern die private Nutzung der dienstlichen eMail-Konten oder des Internets erlaubt. In diesem Fall wäre das betreffende Unternehmen dann auch den Anforderungen der Vorratsdatenspeicherung unterworfen und müsste zwingend die geforderten Daten speichern.

Zu den zu in einem solchen Fall zu speichernden Daten gehörten die Informationen, zu welcher Zeit ein Nutzer wie lange und unter welcher IP-Adresse das Internet genutzt hat. Bei einer eMail würden die Adressen von Absender und Empfänger, ihre IP-Adressen sowie die Zeitpunkte, wann die Mail versandt und wann sie vom Server abgerufen wird, zu speichern sein. Im Rahmen der Internettelefonie wären die Rufnummern sowie Beginn und Ende von Gesprächen zu erfassen, wie dies bei Telefongesprächen im Festnetz bzw. im Mobilfunk bereits seit 2008 geschieht. Die Speicherpflicht beträfe dagegen nicht die Inhalte von Gesprächen und eMails oder die Information, welche Websites der Nutzer im Internet besucht hat.

Die Unternehmen müssten die gespeicherten Daten so vorhalten, dass Auskunftsersuchen berechtigter Stellen unverzüglich beantwortet werden können. Zugleich wären sie verpflichtet, die Löschung der im Rahmen der Vorratsdatenspeicherung erhobenen Daten binnen einer Frist von einem Monat nach Ablauf der sechsmonatigen Speicherfrist sicherzustellen.

Seit dem 01. Januar 2009 werden Verstöße gegen die Pflichten zur Speicherung der vorbenannten Daten aber beispielsweise auch zu deren Löschung als Ordnungswidrigkeiten nach § 149 TKG geahndet.

Die Verpflichtung zur Vorratsdatenspeicherung bei privater Nutzung im Unternehmen besteht jedoch nur dann, wenn diese Kommunikation das Merkmal „öffentlich zugänglich“ erfüllt. Dies wird von der überwiegenden Meinung in der juristischen Diskussion abgelehnt. Der Mitarbeiterkreis der Unternehmen sei geschlossen, da die private Nutzung auf den konkreten Mitarbeiterkreis beschränkt sei. Außerdem sei es grundsätzlich nicht möglich, die beim Serviceprovider des Unternehmens anfallenden Daten nach privater oder dienstlicher Nutzung getrennt zu speichern; die Speicherung erfolge vielmehr zusammen. Aus der Begründung des die Vorratsdatenspeicherung implementierenden Gesetzes gehe aber explizit hervor, dass eine Mehrfachspeicherung gleichartiger Daten vermieden werden soll. Diese Ansicht wird unter anderem vom Unternehmensinteressenverband BITKOM, der Bundesnetzagentur und dem Bundesbeauftragten für den Datenschutz vertreten.

Für Unternehmen und deren Mitarbeiter ist diese Ansicht sicherlich vorzugswürdig, da sie gerade keine Verpflichtung zur Vorratsdatenspeicherung bestimmt. Zwar ist die Meinung der Bundesnetzagentur nicht abschließend verbindlich und kann Unternehmen daher keine letzte Rechtssicherheit garantieren, ein Unternehmen, das deren Ansicht folgt, kann jedoch davon ausgehen, sich rechtmäßig zu verhalten. Eine abschließende rechtliche Beurteilung kann jedoch nur durch die Gerichte erfolgen.

Unternehmen sollten, schon zur Vermeidung der zusätzlichen Kosten, die durch die Pflicht zur Speicherung der Daten sowie deren Verwaltung und Löschung entstehen könnten, aber auch um einer möglichen anderen Beurteilung der Rechtslage durch die Gerichte zu entgehen, versuchen, sich dem Anwendungsbereich der Vorratsdatenspeicherung zu entziehen. Dies lässt sich dadurch erreichen, dass ein Verbot der privaten Nutzung aller betrieblichen Kommunikationssysteme, d.h. Internet, Internettelefonie, eMail, Telefon und Handy, ausgesprochen wird. Die Pflicht zur Speicherung trifft nämlich, wie oben bereits angedeutet, nur Anbieter von "in der Regel gegen Entgelt erbrachte[n] Dienste[n]". Erlaubt ein Unternehmen die private Nutzung, erbringt es eine Dienstleistung gegenüber seinen Mitarbeitern. Die Dienstleistung ist Teil der Vergütung, die ein Mitarbeiter für seine Arbeitsleistung (das Entgelt) erhält und mit der dieser auch die private Nutzung der aufgeführten Kommunikationsdienste bezahlt. Anders ist dies bei einer rein betrieblichen Nutzung, da diese Dienste gegenüber den Arbeitnehmern nicht gegen Entgelt erbracht würden.

Ein solches Verbot wird sich am besten im Rahmen einer Betriebsvereinbarung zur Nutzung der IT-Systeme aussprechen lassen, es kann aber beispielsweise auch in eine schon bestehende IT-Sicherheitsrichtlinie aufgenommen werden. Es sollten auf jeden Fall Maßnahmen getroffen werden, um das Verbot allen Mitarbeitern bekannt zu machen. Dabei könnte es sich auch anbieten, bspw. bei der täglichen Anmeldung an den Arbeitsplatz-Systemen ein Hinweisfenster mit dem Verbot einzublenden, das der Mitarbeiter bestätigen muss. So wäre es möglich, die Arbeitnehmer täglich auf das Verbot hinzuweisen.

Schließlich bedarf ein derartiges Verbot auch noch der regelmäßigen Kontrolle. Diese dient dazu, die Entstehung einer betrieblichen Übung zu vermeiden, über die bei möglicher Kenntnis und Duldung durch die Vorgesetzten die private Nutzung der betrieblichen Kommunikationseinrichtungen entgegen dem ausgesprochenen Verbot doch wieder zulässig sein könnte. Auf die regelmäßige Kontrolle der Einhaltung des Verbotes sollte sowohl bei Aussprache des ursprünglichen Verbotes als auch bei der täglichen Anmeldung hingewiesen werden. Die Kontrolle muss sich nicht auf alle Arbeitnehmer erstrecken, vielmehr genügt eine stichprobenartige Kontrolle einiger zufällig ausgewählter Arbeitnehmer.

Durch ein Verbot der privaten Nutzung wählen Unternehmer die rechtssichere Lösung, da sie sich unabhängig von der Diskussion, ob die private Nutzung von Internet und eMail zur Vorratsdatenspeicherung verpflichtet, dieser gänzlich entziehen.