Sehr geehrte ************,

vielen Dank für Ihr Schreiben zur Anhörung vom 16.08.2024. Ich nehme dazu Stellung wie folgt:

1. Fehlendes Verzeichnis von Verarbeitungstätigkeiten

Ich darf aus eindeutigen Kommentaren zitieren: „Art. 30 konkretisiert die allg. Rechenschaftspflicht, welche Art. 5 Abs. 2 als Grundprinzip des unionalen Datenschutzrechts verankert. … Die meisten der Angaben, die Art. 30 den Pflichtigen abverlangt, korrespondieren mit einem Auskunftsrecht des Betroffenen (Art. 15 Abs. 1 Hs. 2 und Abs. 2).“ (Martini in Paal/Pauly, DS-GVO BDSG, 3. Auflage 2021, DSGVO Art. 30 Rn. 1 S.1). „So lässt sich ein Teil der Informationen bereits aus dem zu führenden Verarbeitungsverzeichnis gem. Art. 30 DS–GVO entnehmen.“ (Menz in Katko, Checklisten zur Datenschutz-Grundverordnung (DS-GVO), 2. Auflage 2023, §6 Auskunft Rn. 41) oder im Umkehrschluss, eine unvollständige Auskunft weist auf ein fehlendes oder unvollständiges Verarbeitungsverzeichnis hin. „Diese Nachweispflicht hat insbesondere Bedeutung im Hinblick auf Überprüfungen durch die Aufsichtsbehörden, die nach Art. 58 Abs. 1 lit. a auch die Befugnis haben, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.“ (Herbst in Kühling/Buchner, DS-GVO BDSG, 4. Auflage 2024, DSGVO Art. 5 Rn. 79). Ohne ein vollständiges Verfahrensverzeichnis ist es einem Verantwortlichen unmöglich, konsistent alle Verarbeitungsvorgänge zu beauskunften. Ich bin selbst Verantwortlicher und als Datenschutzbeauftragter tätig, daher kann ich das beurteilen, und ich empfehle auch grundsätzlich in das Verfahrensverzeichnis aufzunehmen, wie betroffene Personen identifiziert werden können.

Ich kann in Ihrer Akte nicht erkennen, dass Sie geprüft haben, ob die Telekom ein Verzeichnis von Verarbeitungstätigkeiten hat, obwohl Sie dazu nach Artikel 30 Abs. 4 und Artikel 58 Abs. 1 lit. a berechtigt und nach Artikel 57 Abs. 1 lit. a und f DSGVO verpflichtet wären. Der Hinweis auf §24 Abs. 2 VwVfG ist angesichts der divergierenden Ansichten zur Vollständigkeit der Auskunft erlaubt.

Die Rechenschaftspflicht aus Artikel 5 Abs. 2 DSGVO ist nach dem Wortlaut ein Jedermannsrecht. Nach den Urteilen des Europäischen Gerichtshofs vom 24. Februar 2022 C-175/20, Rn. 77 und Rn. 81 und 4. Mai 2023 C-60/22 Rn. 53 sowie dem Urteil des Bundesverwaltungsgerichts vom 02.03.2022, BVerwG 6 C 7.20, Rn. 50 trägt die Beklagte die Beweislast für die Rechtmäßigkeit der Verarbeitung, beim Urteil des Bundesverwaltungsgerichts jedenfalls im Streitfall (Rn. 50). Ggfs. werde ich Klagen nach Artikel 78 und 79 DSGVO prüfen.

Im konkreten Fall hat die Telekom am 08.12.2022 und 02.09.2024 falsche Negativauskünfte gegeben (alle Email dazu anbei). Auch das lässt darauf schließen, dass man kein Verzeichnis der Verarbeitungstätigkeiten hat, denn dann müsste man nicht den Kunden bitten, konkrete Verarbeitungen zu benennen. In meinen Augen sind diese Negativauskünfte ein klarer Verstoß gegen Artikel 15 DSGVO und ich darf meine Beschwerde dahingehend erweitern oder konkretisieren, dass Sie diesem (wiederholten) Verstoß nachgehen sollen.

2. Einwilligungen

Ich kann nicht mehr nachvollziehen, ob oder wie es zu den fraglichen Einwilligungen kam. Möglicherweise hat die Telekom die Webseite der Aktivierung nach meiner Registrierung geändert. Die Telekom hat im Übrigen Ihre Frage vom 15.07.2024, ob „der Zustimmungsprozess auch im November 2022 in der dargestellten Form durchgeführt wurde“ nicht beantwortet, sondern lediglich „ja, der Zustimmungsprozess wurde auch im November 2022 durchgeführt“ geantwortet und damit nicht ausgeschlossen, dass er auch in anderer Form durchgeführt wurde, beispielsweise mit vorausgefüllter Zustimmung.  Ich darf auch hier auf die Rechenschaftspflicht der Telekom hinweisen.

3. Verstoß gegen § 14 Abs.2 Nr. 2 Umsatzsteuergesetz und damit gegen Art.5 Abs. 1 lit. a DSGVO

Zwar handelt es sich auch um eine steuerrechtliche Frage, aber aus der ergeben sich eindeutig Konsequenzen für die Datenverarbeitung und die hat die DSGVO zu beachten, die in Artikel 5 Abs. 1 lit. a die Rechtmäßigkeit und Nachvollziehbarkeit der Verarbeitung fordert. Das schließt alle Gesetze ein. Die Telekom kann eine andere Auffassung haben, ob sie mir gegenüber zur Ausstellung einer Rechnung verpflichtet ist, aber dass die erbrachte Leistung der Umsatzsteuer unterliegt wird sie kaum bestreiten, und dass Einzahlung oder Abbuchen von Guthaben sich in der Buchhaltung – meines Wissens verwendet die Telekom SAP FI-CA – niederschlägt wohl auch nicht. Auch bestreitet die Telekom bzw. der Dienstleister das nicht, wie sich aus beigefügter Email von "Kaufland Aufladen" vom 16.02.2023 ergibt (bei Ihnen unter dem 19.03.2023 in der Akte). In der Buchhaltung finden sich also unter irgendeiner Identifikation (möglicherweise der Kundennummer) die mich repräsentiert, Daten die meine Einzahlungen und die Gegenbuchung für den gewählten Tarif abbilden und die die Telekom nicht beauskunftet hat. Eine Rechnung wäre eine geeignete Visualisierung dazu. Ohne das ist die Auskunft unvollständig.

4. Auskunft

In Ihrer Darstellung fehlt mir die Tatsache, dass die Telekom zunächst eine rechtswidrige Negativauskunft erteilt hat und auch danach Teile wie die oben angesprochenen Rechnungen oder die Standortdaten (siehe 4.2) rechtswidrig weggelassen hat, andere Informationen erst auf Rüge nachgereicht hat. Insgesamt ist der Auskunftsprozess klar rechtswidrig.

4.1 Formerfordernis

Hier geben Sie den Sachverhalt falsch wieder. Ich sah mich gezwungen den unsicheren elektronischen Weg zu versuchen, aber er hat nicht funktioniert. Jedenfalls habe ich am 08.03.2023 keine Auskunft per E-Mail erhalten. Daraufhin hat die Telekom als Verantwortlicher mir Papier statt z.B. einen Datenträger zugeschickt. Auch ist unklar was Sie mit „Das Recht auf Wahl des Kommunikationswegs kann nur dann frei ausgeübt werden, wenn sichere Alternativen angeboten werden“ – meinen Sie Wahl durch den Verantwortlichen oder den Betroffenen?

Tatsächlich beobachte ich eine große Unsicherheit bei Verantwortlichen welche Verfahren Sie anbieten sollen. Mir fallen die folgenden ein, die für mich als Betroffenen alle akzeptabel sind: Email mit SMTP-DANE (RFC 7672), Email mit verschlüsselten Anhängen und Passwort per Post, Datenträger per Post (Verschlüsselung m.E. entbehrlich, wird aber teilweise dennoch gemacht), Download aus einer Cloud mit einem zufälligen Element im Pfad und Passwort per Post. Nicht unerwähnt will ich lassen, dass viele Verantwortliche einschließlich dem BfDI dann unsichere Passwörter verwenden (ein Beispiel für den BfDI in 12-220 II#0445). Nicht akzeptabel sind für mich Papier (widerspricht Artikel 15 Abs. 3 Satz 3), Email mit S/MIME oder PGP Verschlüsselung (mangelhaftes Schlüsselmanagement, widerspricht Artikel 32, auch wird niemand S/MIME oder PGP ernsthaft als gängiges elektronisches Format im Sinne von Artikel 15 Abs. 3 Satz 3 auffassen), sowie irgendein Dienst bei dem ich genötigt werde einen Nutzungsvertrag oder eine Einwilligung zu erteilen (widerspricht Artikel 15).

Da ich – meine Email vom 17.03.2023 14:00 – notgedrungen die Nutzungsbedingungen akzeptiert und trotzdem keine Auskunft auf elektronischem Weg bekommen habe, liegt in meinen Augen ganz klar ein Verstoß gegen Artikel 15 Abs. 3 Satz 3 vor, völlig unabhängig davon ob der Übermittlungsweg sicher war oder nicht. Mir ist ein Rätsel warum Sie die Form in ein anderes Verwaltungsverfahren abtrennen wollen, dessen inhaltlicher Kern eine ganz andere Beschwerde ist. Bitte nennen Sie dafür Gründe. Heute hat mich außerdem die Anhörung in diesem Verfahren erreicht, ich kann in diesem nicht erkennen, dass die Bedingungsfeindlichkeit einer Auskunft thematisiert wird, also kann ich erwarten, dass Sie das in diesem Verfahren tun.

4.2 Standortdaten/Funkzellenabfrage

Hier verfolgen Sie drei unterschiedliche Argumentationen, die alle einer Analyse nicht standhalten. Überraschend finde ich, dass Sie dazu offensichtlich gar keine Stellungnahme der Telekom eingeholt haben bzw. nur die Antwort hinsichtlich der Speicherung für 7 Tage erhalten haben. Oder habe ich entsprechenden Schriftwechsel in meinen Auskünften übersehen?

1. „Den Ausführungen der Telekom, dass eine Kopie der verarbeiteten Verkehrsdaten, sofern überhaupt vorhanden, im Rahmen einer Auskunft gem. Art. 15 DSGVO aufgrund der Löschung innerhalb von sieben Tagen nicht möglich ist, ist für mich nachvollziehbar.“ – Das ist offen gesagt Unsinn. Zum einen weil die Telekom schon allein weil Sie diese Daten verarbeitet zu allen Angaben nach Artikel 15 Abs. 1 lit. a - h DSGVO verpflichtet ist und dieser Verpflichtung gar nicht nachgekommen ist. Zum anderen braucht die Telekom nur einmal im Bearbeitungszeitraum der Auskunftsanfrage diese Daten kopieren und in die Kopie nach Artikel 15 Abs. 3 aufnehmen. An jedem einzelnen Tag im Bearbeitungszeitraum sind unbestritten 7 Tage erreichbar und damit besteht auch die Verpflichtung zur Kopie.

Auch das Argument potentielle Mitnutzer ändert daran nichts. Natürlich kann die Telekom nichts über Mitnutzer wissen. Ich könnte jetzt behaupten, ich verleihe mein Telefon nicht. Stimmt, aber bei gemeinsamen Ausflügen mit meiner Partnerin befindet es sich auch mal in der Tasche meiner Partnerin und wenn ich alleine auf Toilette gehe, dann differieren unsere Koordinaten um ein paar Meter. Diese Differenz ist allerdings klein im Verhältnis zu den Ungenauigkeiten der Funkzellen. Ich erhalte bei Spaziergängen im nahen Wald oft SMS mit Roamingangeboten von den Franzosen, weil deren Funkabdeckung einfach besser ist als die der deutschen Anbieter. Rückschlüsse auf die genaue Person und damit auch einer Dritten sind mit diesen Daten nach meinem Verständnis nicht möglich.

Außerdem würde das allenfalls dazu führen, dass es sich bei den Funkzellendaten um personenbezogene Daten mehrere Personen handelt. Solche Daten wären ggfs. nach Artikel 15 Abs. 4 und der einschlägigen Rechtsprechung dazu zu schwärzen. Eine Totalverweigerung ist nach der einschlägigen Rechtsprechung dazu unzulässig. Und warum hier das Interesse anderer Personen soweit überwiegen soll, dass ggfs. alle Funkzellen zu schwärzen wären hat die Telekom nicht dargelegt. Auch Ihr „Aufgrund der hohen Sensibilität der Daten und insbesondere der Gefahr einer unbemerkten ,,Überwachung" gelten hier hohe Schutzmaßstäbe“. Ihnen ist sicher bekannt, dass Ausschlüsse von der Pflicht zur Auskunft nur auf Basis einer Öffnungsklausel nach Artikel 23 DSGVO zulässig sind. Weder die Telekom noch der BfDI haben dargelegt, auf welche gesetzgeberische Maßnahme und Öffnungsklausel sie sich hier berufen wollen.

Würde man dieser Argumentation folgen, dann wären außerdem Dienste wie „Find my Device“ von Apple oder Google illegal, weil sie die Position wesentlich genauer wiedergeben und damit tatsächlich zur Überwachung genutzt werden können, wenn sich das Gerät in den Händen anderer Personen befindet. Hat der BfDI dazu ein Verfahren laufen oder eine Stellungnahme abgegeben?

Ein weitere Analogie ergibt sich mit Utiq, früher Trust-Pid, bei dem Vodafone dem BfDI dargestellt hat, dass die Einwilligung technisch bedingt vertragsbezogen statt personenbezogen ist. Der BfDI hat das in https://fragdenstaat.de/anfrage/sachstand-zu-trustpid/805571/anhang/bfdi-2023-05-22-stellungnahme-2022-07-25.pdf auf Seite 4 thematisiert, die Antwort findet sich in https://fragdenstaat.de/anfrage/sachstand-zu-trustpid/826723/anhang/bfdi-2023-08-01-vodafone-2022-09-30.pdf und endet mit „Zusätzlich erlauben wir uns anzumerken, dass die gemeinsame Nutzung einer Mobilfunkverbindung zuvörderst im Verantwortungsbereich des jeweiligen Vertragspartners dieser Verbindung (SIM-Karten-Nutzer) liegt. Dieser hat es in der Hand, Dritte hinsichtlich einer Nutzung seines mobilen Endgerätes bzw. seiner Mobilfunkverbindung zuzulassen. Dieser Umstand kann von Vodafone kaum beeinflusst werden.“ Oder halt der Telekom, die auch an Utiq beteiligt ist. Heißt in meinen Augen auch, dass der Nutzer entscheiden darf, ob und wem er das Telefon überlässt und auch ob er seine Rechte aus Artikel 15 ausübt oder nicht, auch wenn das potentiell in Rechte anderer eingreifen kann. Oder der BfDI müsste konsequenter Weise Utiq verbieten, denn die deutschen TK-Anbieter unterliegen seiner Aufsicht, und ohne die Verarbeitung von Verkehrsdaten durch die TK-Anbieter wäre Utiq nicht möglich.

2. Sie berufen sich auf Artikel 95 DSGVO, nach dem Telekommunikationsanbieter nur den Pflichten nach Richtlinie 2002/58/EG unterliegen, „soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen“. Die Richtlinie 2002/58/EG selbst konkretisiert die alte Datenschutzrichtlinie 95/46/EG, modifiziert aber das Auskunftsrecht nach Artikel 12 von Richtlinie 95/46/EG nicht und enthält auch keine Öffnungsklausel zu Artikel 12 der Richtlinie oder anderen Betroffenenrechten. Damit fehlt es an einer Gesetzgebungskompetenz zum Auskunftsrecht auf Basis der Richtlinie 2002/58/EG, und nach Artikel 94 Abs. 2 DSGVO ist damit die DSGVO hinsichtlich der Betroffenenrechte anwendbar (vgl. VG Berlin 6 K 90/20 vom 23.06.2021 Rn. 96 Satz 1; Gierschmann, Positionsbestimmung der DSK zur Anwendbarkeit des TMG, ZD 2018, 297; Golland in Taeger/Gabel, DSGVO - BDSG - TTDSG, DSGVO Art. 95 Rn. 14; Kühling/Raab in Kühling/Buchner, DS-GVO BDSG, 4. Auflage 2024, Artikel 95 Verhältnis zur Richtlinie 2002/58/EG Rn 10; Klabunde/Selmayr in Datenschutz-Grundverordnung, 3. Auflage 2024, DS-GVO Art. 95 Verhältnis zur Richtlinie 2002/58/EG, Rn. 6f).

Daraus ergibt sich dann auch, dass der nationale Gesetzgeber eine Öffnungsklausel nach Artikel 23 erfüllen müsste, um das Auskunftsrecht nach Artikel 23 DSGVO einzuschränken, was er weder im TTDSG oder TDDDG  noch in einer der Gesetzesbegründungen getan hat, und selbst wenn Sie dafür etwas finden ist auch hier die einschlägige Rechtsprechung anzuwenden, dass zu schwärzen ist und eine Totalverweigerung unzulässig ist. Dass § 177 Abs. 3 TKG i.V. mit Abs. 1 nicht auf das Auskunftsrecht nach Artikel 15 DSGVO anzuwenden ist ergibt sich dann aus dem Anwendungsvorrang des europäischen Rechts, auch ohne dass die Auskunft in Abs. 1 aufgezählt ist.

Speziell zu dem von Ihnen angeführten §9 TDDDG, dem früheren §9 TTDSG, findet sich bei Kiparski, CR 2021, 482-491, Rn 33: „Auch die ePrivacy-RL lässt die Verarbeitung von Verkehrsdaten zu weiteren als den in § 9 Abs. 1 TTDSG genannten Zwecken zu § 9 Abs. 1 TTDSG wird daher richtlinienkonform und gesetzessystematisch so auszulegen sein, dass eine Verkehrsdatenverarbeitung jenseits der Vorgaben des § 9 Abs. 1 TTDSG auch dann zulässig sein wird, wenn in anderen Normen neben einer Pflicht auch ein Recht zur Verarbeitung von Verkehrsdaten besteht.“ woraus sich ebenfalls die Pflicht zur Erfüllung von Ansprüchen aus Artikel 15 DSGVO ergibt.

3. Sie argumentieren Verkehrsdaten seien aufgrund der Aussetzung der Vorratsdatenspeicherung wegen EuGH C‑793/19 und C‑794/19 vom 20.09.2022 nicht vorhanden und damit nicht zu beauskunften. Tatsächlich hat das Bundesverwaltungsgesetz das in BVerwG 6 C 6.22 vom 14.08.2023 nur für IP-Adressen ausdrücklich entschieden, nicht für andere Verkehrs- oder Standortdaten. Für einen Techniker ist völlig klar, dass Verkehrs- und Standortdaten erfasst, verarbeitet, und gespeichert werden müssen, um den Dienst zu erbringen. Eingeschränkt werden durch die Urteile lediglich der Verarbeitungszweck Strafverfolgung im weiteren Sinne und die Speicherdauer. Mangels wirksamen Bezugs auf eine Öffnungsklausel (s.o.) sind diese Daten zumindest bei den Metadaten nach Artikel 15 Abs. 1 lit. a-h aufzuführen, meiner Auffassung nach sind auch die während des Auskunftsverfahrens aktuell vorhandenen Daten im Ausschnitt zu beauskunften, und sei es nur die IP-Adresse der letzten Minute oder eben die Funkzellendaten für die unter a) unbestrittenen 7 Tage.

4.3 Maßnahmenpläne

Ihre Argumentation lässt nur den Schluss zu, dass die Telekom Störungsmeldungen von Kunden überhaupt nicht nachgeht. Denn selbstverständlich würde ein Störungsticket und die Bearbeitung Bezug nehmen müssen auf Verkehrsdaten aus der Kundenkommunikation, seien es die Mobilnummern, Funkzelle, Verbindungsdaten (wegen Peering zu anderen Anbietern) oder eine Ticketnummer – alles indirekt personenbezogene Daten im Sinne von Artikel 4 Nr. 1 DSGVO. Dass das nicht stattfindet ist in Anbetracht der deutschen Servicewüste natürlich glaubhaft, aber dann darf ich von der Telekom eine entsprechende Negativauskunft erwarten, dass meine Störungsmeldungen nicht bearbeitet wurden.

4.4 Rechnungen zum Herunterladen

Artikel 15 Abs. 3 beginnt mit „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten … zur Verfügung“. Da steht nicht, der Betroffene muss sich die Informationen an mehreren Stellen zusammensuchen. Ich darf aus meiner Stellungnahme vom 27.08. in 12-220 II#0445 zitieren: „Auch darf ich fragen, auf Basis welcher Rechtsgrundlage der BfDI meint, vom Wortlaut "eine Kopie" des Artikel 15 DSGVO und von der in dieser Hinsicht ebenfalls eindeutige Guidelines 01/2022 on data subject rights - Right of access des EDSA abweichen zu dürfen? Wenn Sie das anders beurteilen, müssten Sie dann nicht ein Kohärenzverfahren nach Artikel 63 DSGVO einleiten?“

Darüberhinaus handelt es sich bei Kaufland Aufladen um einen anderen Verantwortlichen, die Telekom kann damit nicht ihre Pflicht zur vollständigen Auskunft erfüllen.

4.5 Postident

Erfreulich dass Sie mir in diesem Punkt recht geben. Allerdings hätte die Telekom nicht erst auf meine Rüge vom 17.12.2022 hin diese Daten beauskunften müssen, sondern schon auf Basis meiner Auskunftsanfrage vom 07.12.2022. Auch hier ist die oben genannte Guideline eindeutig.

Als geeignete Kontrollmaßnahme erscheint mir die Einsicht in das oben schon angesprochene Verfahrensverzeichnis.

Ich habe am 22.08.2024 ein neues Starterpaket erworben, das Postident-Verfahren durchgeführt, und danach eine neue Auskunft angefordert. Dass die Telekom eine rechtswidrige Negativauskunft erteilt hat habe ich oben schon angesprochen.

Dass der BfDI und insbesondere Referat 24 regelmäßig von Maßnahmen nach Artikel 58 oder Artikel 83 DSGVO absieht und das oft ohne tragfähige Begründung fällt auf. Hat Referat 24 eine Beißhemmung gegenüber den beaufsichtigten Verantwortlichen?

Ich bitte um eine Eingangsbestätigung für diese Email.

Vielen Dank und viele Grüße

Joachim Lindenberg