Vom 18. Juni 2008
Deutscher Bundestag Drucksache 16/9591
16. Wahlperiode 18. 06. 2008
Kleine Anfrage
der Abgeordneten Hans-Christian Ströbele, Volker Beck (Köln), Silke Stokar
von Neuforn, Monika Lazar, Irmingard Schewe-Gerigk, Josef Philip Winkler
und der Fraktion BÜNDNIS 90/ DIE GRÜNEN
Kontrolle mutmaßlicher Verstöße gegen das Fernmeldegeheimnis bei der
Deutschen Telekom AG
Die in den Medien berichteten mutmaßlichen Verletzungen des Fernmeldege-
heimnisses sowie weiterer Rechtsgüter durch die Deutsche Telekom AG (nach-
folgend: DTAG) geben Anlass, nach Durchführung und Wirksamkeit vorsorg-
licher Kontrolle gegen derlei durch die zuständigen Stellen zu fragen.
Erläuternd zu nachstehenden Fragekomplexen I. bis VI. wird vorbemerkt:
Zu I. Prüfungen der Bundesnetzagentur bei der DTAG:
Betreiber von Einrichtungen der Telekommunikation (nachfolgend: TK) wie die
DTAG sind verpflichtet, „angemessene technische Vorkehrungen oder sonstige
Maßnahmen zum Schutze 1. des Fernmeldegeheimnisses und personenbezoge-
ner Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme ge-
gen unerlaubte Zugriffe zu treffen“ (§ 109 Abs. 1 des Telekommunikationsgeset-
zes – TKG) sowie „ein Sicherheitskonzept zu erstellen und dieses der Bundes-
netzagentur“ unverzüglich nach Aufnahme der Telekommunikationsdienste“
vorzulegen. Die Bundesnetzagentur hat das Konzept zu prüfen und kann Män-
gelbeseitigung verlangen. (§ 109 Abs. 3 TKG).
Zu II. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG-Zwe-
cke nur begrenzt zulässig:
Daten über Telefonverbindungen und Standorte dürfen nur für begrenzte
Zwecke und für angeordnete Überwachungen erhoben, verwendet und übermit-
telt werden (§ 88 Abs. 3 TKG, §§ 96 bis 100 TKG).
Zu III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der
Bundesnetzagentur:
Die Betreiber öffentlicher Telekommunikationsanlagen haben gemäß § 110 Abs. 1
TKG ab Betriebsaufnahme – bei Meidung von Bußgeld bis 500 000 Euro – Ein-
richtungen zur Telekommunikationsüberwachung vorzuhalten, diesbezügliche
organisatorische Vorkehrungen zu treffen, beides der Bundesnetzagentur „un-
verzüglich“ durch Unterlagen nachzuweisen sowie mit dieser einen Termin zur
obligatorischen Überprüfung zu vereinbaren; diese kann die Bundesnetzagentur
in begründeten Fällen wiederholen (§ 110 Abs.1 Nr. 4, Abs. 5 TKG). Gemäß § 14
der Telekommunikations-Überwachungsverordnung (TKÜV) hat der Betreiber
die dabei nachzuweisende Überwachungstechnik „nach dem Stand der Technik
Drucksache 16/9591 – 2 – Deutscher Bundestag – 16. Wahlperiode
gegen unbefugte Inanspruchnahme zu schützen“. Medien berichteten, dass dies
offenbar im Fall der DTAG nicht effektiv umgesetzt worden sei.
Sofern der Betreiber nicht all diese Verpflichtungen erfüllt, kann die Bundes-
netzagentur gemäß § 115 Abs. 3 TKG erforderlichenfalls den Betrieb von An-
lagen einschränken, untersagen oder das „geschäftsmäßige Erbringen des be-
treffenden Telekommunikationsdienstes ganz oder teilweise untersagen“.
Zu IV. Protokollierung aller Datenzugriffe durch DTAG und Erkenntnisse der
Bundesnetzagentur:
Ein TK-Anlagenbetreiber wie die DTAG hat gemäß § 16 Abs. 1 TKÜV
„sicherzustellen, dass jede Anwendung seiner Überwachungseinrichtungen bei
der Eingabe der für die technische Umsetzung erforderlichen Daten automa-
tisch lückenlos protokolliert wird. Unter Satz 1 fallen auch Anwendungen für
unternehmensinterne Testzwecke.“ Diese Protokollierungen müssen technisch
und organisatorisch gegen Löschung gesichert sein und dürfen erst nach 2 Jah-
ren sowie nur durch besonderes Datenprüfungspersonal gelöscht werden, wo-
bei Zeitpunkt und Durchführender zu notieren sind (§ 16 Abs. 2 TKÜV).
Ein TK-Anlagenbetreiber wie die DTAG hat diese Überwachungs- und Test-
protokolle mindestens quartalsweise auszuwerten und „hat der Bundesnetz-
agentur spätestens zum Ende eines jeden Kalendervierteljahres eine Kopie der
Prüfergebnisse zu übersenden. Die Bundesnetzagentur bewahrt diese Unter-
lagen, die sie bei der Einsichtnahme nach Absatz 4 verwenden kann, bis zum
Ende des folgenden Kalenderjahres auf.“ (§ 17 Abs. 1 TKÜV).
Zu V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu
Tätigkeitsbeschränkungen:
Gemäß § 128 Abs. 1 TKG kann die Bundesnetzagentur „alle Ermittlungen füh-
ren und alle Beweise erheben, die erforderlich sind.“
Die Bundesnetzagentur kann zur Umsetzung der gesetzlichen Verpflichtungen
jederzeit gemäß § 127 TKG Auskünfte verlangen und dazu während der
üblichen Bürozeiten die Räume des betroffenen Unternehmen betreten und dort
Akten einsehen.
Die Fragesteller gehen davon aus, dass die Bundesnetzagentur spätestens nach
den Medienberichten über die Vorfälle bei der DTAG festgestellt haben müsste,
dass es dort Probleme gibt. Gemäß § 126 Abs. 1 TKG könnte bzw. müsste nun
die Bundesnetzagentur die Feststellung treffen, „dass ein Unternehmen seine
Verpflichtungen nach diesem Gesetz oder auf Grund dieses Gesetzes nicht
erfüllt“ und das Unternehmen zur Stellungnahme sowie Abhilfe mit Frist-
setzung unter Androhung von Zwangsgeld bis zu 500 000 Euro auffordern.
Gemäß § 126 Abs. 3 TKG gilt: „Verletzt das Unternehmen seine Verpflichtun-
gen in schwerer oder wiederholter Weise oder kommt es den von der Bundes-
netzagentur zur Abhilfe angeordneten Maßnahmen nach Absatz 2 nicht nach,
so kann die Bundesnetzagentur ihm die Tätigkeit als Betreiber von Telekom-
munikationsnetzen oder Anbieter von Telekommunikationsdiensten unter-
sagen.“
Gemäß §126 Abs. 4 TKG „kann die Bundesnetzagentur in Abweichung von
den Verfahren nach den Absätzen 1 bis 3 vorläufige Maßnahmen ergreifen“,
wenn „durch die Verletzung von Verpflichtungen die öffentliche Sicherheit und
Ordnung unmittelbar und erheblich gefährdet“ wird.
Deutscher Bundestag – 16. Wahlperiode – 3 – Drucksache 16/9591
Zu VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den Informa-
tionsverbund Berlin-Bonn (IVBB) der Obersten Bundesbehörden:
Der IVBB des Bundes zur Vernetzung der Obersten Bundesbehörden, einer der
Grundpfeiler für die Verwaltungsmodernisierung im Rahmen der Initiative
BundOnline 2005, wurde seinerzeit durch die DTAG realisiert. Der im Auftrag
der DTAG durch ein Karlsruher Unternehmen gebaute zentrale TK-Server für
den IVBB in der Berliner Wilhelmstraße wird dort bis heute durch die Tele-
kom-Zentrale/Regierungsdienste überwacht. Daher ist zu befürchten, dass die
zutage getretenen Sicherheitsmängel und Datenschutzverletzungen bei der
DTAG sich nachteilig auch auf die Kommunikations- und Datensicherheit im
IVBB auswirken können bzw. schon ausgewirkt haben, insbesondere in Form
eines Missbrauchs von IVBB-Telekommunikationsdaten seitens Personen aus
dem DTAG-Bereich.
Dies vorausgeschickt, fragen wir:
I. Prüfungen der Bundesnetzagentur bei der DTAG
1. Hat die Bundesnetzagentur die Konzepte zum Schutz des Fernmeldege-
heimnisses der DTAG geprüft?
2. Welche Ergebnisse hatte dies?
3. Wann fand die letzte Prüfung statt?
4. Worauf bezog sich diese?
5. Gab es dabei Beanstandungen?
Wenn ja, welche?
6. Wie viele Prüfungen von Diensten bzw. TK-Komponenten gemäß § 109
TKG führte die Bundesnetzagentur seit 2000 bei der DTAG durch?
7. Welche Konzepte hat die DTAG der Bundesnetzagentur in diesem Zeit-
raum zu welchen Diensten bzw. Komponenten vorgelegt?
8. Inwieweit trifft nach Erkenntnissen der Bundesregierung bzw. der Bundes-
netzagentur aufgrund aktueller Medienberichte, denen zufolge die DTAG
nun den ehemaligen Bundesrichter, Gerhard Schäfer, erst jetzt mit der Er-
stellung eines Sicherheitskonzepts beauftrage, die Schlussfolgerung zu,
dass die DTAG bisher ihren dahingehenden Pflichten gemäß § 109 Abs. 3
TKG nicht nachkam?
9. Inwieweit treffen nach Erkenntnissen der Bundesregierung bzw. der Bun-
desnetzagentur aktuelle Medienberichte zu (z. B. SPIEGEL ONLINE
5. Juni 2008), wonach interne Untersuchungen des Telekom-Konzerns er-
gaben, dass
a) bei dem Unternehmen T-Mobile Deutschland GmbH wegen unzurei-
chender Schutzmaßnahmen auch unberechtigte Mitarbeiter Zugang zu
Kundendaten hatten, die dem Fernmeldegeheimnis gemäß § 88 TKG
unterliegen,
b) es Prüfern bei simulierten Hacker-Attacken auf die IT-Infrastruktur ge-
lang, auf finanzielle oder kundenbezogene Daten zuzugreifen und diese
zu manipulieren?
10. Sofern der Bundesregierung bzw. der Bundesnetzagentur entsprechende
Erkenntnisse vorliegen:
a) In welcher Weise und zu welchem Zeitpunkt wurden diese erlangt?
b) Welche Konsequenzen wurden daraus gezogen?
Drucksache 16/9591 – 4 – Deutscher Bundestag – 16. Wahlperiode
II. Verarbeitung von Verbindungs- und Standortdaten auch für DTAG- Zwecke
nur begrenzt zulässig
11. Gab es für die Bundesnetzagentur oder – nach Kenntnis der Bundesregie-
rung – für den Bundesdatenschutzbeauftragten seit 2000 bei der DTAG
Anhaltspunkte für
a) Verstöße gegen § 88 TKG,
b) eine gemäß den §§ 96 bis 100 TKG zuwider laufende Nutzung von
Daten bei der DTAG,
c) den Medienberichten zu entnehmenden Verdacht der unzulässigen
Nutzung von Daten aus Systemen, die ausschließlich zu Zwecken der
TK-Überwachung genutzt werden dürfen?
12. Hat die Bundesnetzagentur aufgrund ihrer Zuständigkeiten dazu eigene
Untersuchungen angestellt?
13. Wenn ja, mit welchem Ergebnis?
14. Hat nach Kenntnis der Bundesregierung der Bundesdatenschutzbeauftragte
seit 2000 im Rahmen seiner Zuständigkeiten gemäß § 115 Abs. 4 TKG und
§ 25 des Bundesdatenschutzgesetzes (BDSG) Kontrollen bei der DTAG
angestellt?
15. Wenn ja, mit welchem Ergebnis?
III. Datenschutzpflichten von TK-Betreibern und Sanktionsbefugnisse der
Bundesnetzagentur
16. Hat die Bundesnetzagentur gemäß ihrer Verpflichtung aus § 115 Abs. 1 Satz 3
TKG die Anlage der DTAG zur Telekommunikationsüberwachung und Da-
tenübermittlung auf die oben genannten Vorgaben hin geprüft, vor allem auf
den Schutz vor unbefugter Inanspruchnahme?
17. Wenn ja, wann erstmals, und mit welchem Ergebnis?
18. Wann prüfte die Bundesnetzagentur dies zuletzt?
Mit welchem Ergebnis?
IV. Protokollierung aller Datenzugriffe durch DTAG und Erkenntnisse der
Bundesnetzagentur
19. a) Hat die DTAG der Bundesnetzagentur die Prüfprotokolle durchgehend
ordnungsgemäß übermittelt?
b) Wenn nein, inwieweit nicht?
20. a) Beachtete die DTAG nach Erkenntnissen der Bundesnetzagentur die
oben genannten Löschungsvorschriften?
b) Wenn nein, inwieweit nicht?
c) Enthalten nach Erkenntnissen der Bundesnetzagentur diejenigen Proto-
kolle, die jetzt noch ungelöscht bei der DTAG bzw. der Bundesnetz-
agentur vorhanden sein müssten über Kommunikation bis mindestens
Juni 2006, auch Details über die von den Medien nun berichteten Über-
wachungsfälle bei der DTAG?
d) Falls nein, warum nicht?
e) Welche Maßnahme hat die Bundesnetzagentur ergriffen und/oder wird
sie kurzfristig ergreifen, um zu Beweiszwecken über diese Vorfälle die
planmäßige Löschung der Protokollierungen bei der DTAG zu verhin-
dern und die Daten zunächst „einzufrieren“?
Deutscher Bundestag – 16. Wahlperiode – 5 – Drucksache 16/9591
21. a) Hat die Bundesnetzagentur die durch die DTAG übermittelten Proto-
kollkopien stets geprüft?
b) Hat sie darin Unregelmäßigkeiten entdeckt?
c) Wenn ja, wann je welche?
V. Maßnahmen der Bundesnetzagentur gegenüber der DTAG bis hin zu Tätig-
keitsbeschränkungen
22. Welche Ermittlungen hat die Bundesnetzagentur nach Bekanntwerden der
Rechtsverstöße beim Schutz des Fernmeldegeheimnisses bei der DTAG
eingeleitet?
23. Gab es seit 2000 Untersuchungen dort, und wenn ja, mit welchem Ergebnis?
24. Hat der Bundesdatenschutzbeauftragte bezüglich des Schutzes personen-
bezogener Kundendaten bei der DTAG um Auskünfte gebeten?
25. Teilt die Bundesregierung die Auffassung der Fragesteller, dass
a) der Eingriff in das Fernmeldegeheimnis bei der DTAG nach gegenwär-
tigem Kenntnisstand als so schwere Verletzung ihrer Verpflichtungen
nach dem TKG zu sehen ist, dass auch vorläufige Maßnahmen der Bun-
desnetzagentur nach § 126 Abs. 3 TKG durchaus rechtfertigen könnten,
b) die DTAG durch ihre „Verletzung von Verpflichtungen“ die „öffentliche
Sicherheit und Ordnung unmittelbar und erheblich“ gefährdet hat im
Sinne des § 126 Abs. 4 TKG zumindest dann, sofern die DTAG so in das
Grundrecht nicht nur einzelner Betroffener eingriff, sondern ebenso einer
größeren Zahl von Personen/Kunden?
26. Welche unmittelbaren Maßnahmen gemäß § 126 TKG hat die Bundesnetz-
agentur gegenüber der DTAG ergriffen?
27. Hält die Bundesregierung eine vollständige oder teilweise Untersagung der
Tätigkeit der DTAG als Betreiber von TK-Netzen und Anbieter von Tele-
kommunikationsdiensten für noch vermeidbar?
Wenn ja, wie, und unter welchen Voraussetzungen?
VI. Durchschlagen von Sicherheitsmängeln bei der DTAG auf den IVBB der
obersten Bundesbehörden
28. Soweit die DTAG am Betrieb des IVBB maßgeblich beteiligt ist, sieht die
Bundesregierung nun die Sicherheit des IVBB vor Überwachung noch als
gewährleistet an?
Wenn ja, warum?
29. Welche Sicherheitsmängel und Datenschutzverletzungen im IVBB, insbe-
sondere solcher, die durch Personen der DTAG veranlasst oder herbeige-
führt wurden, sind der Bundesregierung bzw. der Bundesnetzagentur seit
2000 im Einzelnen bekannt geworden?
30. In welchen Abständen werden die Telekommunikations-Verbindungsdaten
im Rahmen des IVBB derzeit gelöscht?
31. Welche Verbesserungen von Kontrollmöglichkeiten bezüglich etwaiger
heimlicher Überwachungen von IVBB-Daten hält die Bundesregierung für
nutzbringend?
32. Wie kann im IVBB – insbesondere zugunsten wirksamer Kontrollmöglich-
keiten durch die Bundesnetzagentur – erreicht werden
a) eine bessere Kontrollierbarkeit der Netz-Administratoren,
Drucksache 16/9591 – 6 – Deutscher Bundestag – 16. Wahlperiode
b) soweit noch nicht praktiziert, die vollständige Protokollierung von (ver-
suchten) Zugriffen bzw. Abrufen von Verbindungsdaten,
c) wirksamere technische, organisatorische, personelle und vertragliche
Vorkehrungen gegen ähnlichen Datenmissbrauch im IVBB, wie bei der
DTAG mutmaßlich geschehen?
33. Welche Bedeutung misst die Bundesregierung bezüglich der Sicherheit per-
sonenbezogener und vor allem Kommunikationsverbindungsdaten im IVBB
dem möglichen Einstieg ausländischer Investoren in die DTAG bei, vor
allem der russischen Firma SISTEMA (vgl. DER SPIEGEL Nr. 23/2008
S. 33) auch angesichts strategischer Erkenntnisbegehren russischer Sicher-
heitsbehörden?
Berlin, den 18. Juni 2008
Renate Künast, Fritz Kuhn und Fraktion