Verkehrs- und Standortdaten sind ein wertvolles Gut – das weiß Österreich spätestens seit dem Beginn der Corona-Pandemie, als der Anbieter A1 Bewegungsströme der Handynutzer an die Regierung lieferte, sodass diese zur Bekämpfung der Pandemie genutzt werden konnten. Ein Kunde wollte auf die eigenen Verkehrs- und Standortdaten ebenfalls Zugriff bekommen, was von A1 wiederum abgewiesen wurde. Der Kunde reichte daraufhin im Juni mithilfe der Datenschutz-NGO Noyb eine Beschwerde bei der Datenschutzbehörde (DSB) ein.

Die Entscheidung der DSB steht nun fest, und diese fällt gegen das Anliegen der NGO aus: A1 habe die Auskunft zu Recht verweigert, heißt es, für ein Abweichen von der bisherigen Entscheidungslinie gebe es keinen Grund. Die Entscheidung ist noch nicht rechtskräftig, und die NGO bringt nun eine Bescheidbeschwerde ein.

Standortdaten: Wenn das Handy spazieren geht

Gestritten wird um die Standort- sowie die Verkehrsdaten. Bei den Standortdaten handelt es sich vereinfacht gesagt um Daten, die den jeweiligen Standort eines Handys beinhalten. Knackpunkt ist hier, dass nach Ansicht von A1 – und auch der Datenschutzbehörde – der Standort eines Handys nicht unbedingt auch den Standort des Besitzers wiedergibt: Denn es könnte ja auch jemand anders mit dem Handy spazieren gegangen sein. Somit handelt es sich um Geräte- und nicht zwingend um persönliche Daten – womit auch das Auskunftsrecht nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) entfällt.

Im bisherigen Verfahren konnte der betroffene Kunde nicht nachweisen, dass sich die Standorte ausschließlich auf ihn beziehen – wiewohl es sich um ein mit Passwort geschütztes Gerät handelt, wie man bei der NGO betont. Bei Noyb dreht man diese Überlegung weiter: Folge man dieser Argumentation, dann gebe es künftig gar keinen Anspruch auf Datenauskunft mehr – denn schließlich sei es bei jedem internetfähigen Gerät oder Account theoretisch möglich, dass jemand anders sie nutzt.

Ist das wirklich mein Netflix-Account?

"Sie haben eine Smartwatch? Keine Datenauskunft über gesammelte Gesundheitsdaten, jemand anderer könnte diese getragen haben. Sie verwenden Netflix? Keine Datenauskunft, jemand anderer könnte mit Ihrem Account ferngesehen haben. Sie bestellen regelmäßig auf Amazon? Keine Datenauskunft, jemand anderer könnte ja eine Bestellung getätigt haben", sagt dazu Marco Blocher, Datenschutzjurist bei Noyb: "Das grundrechtlich bestehende Recht auf Datenauskunft würde im Ergebnis nur mehr in Ausnahmefällen bestehen."

Freilich gebe es Szenarien, in denen Vertragsinhaber und Mobiltelefonnutzer auseinanderfallen, etwa bei Firmenhandys und Verträgen für minderjährige Kinder. Im vorliegenden Fall handle sich aber um eine kinderlose Einzelperson, die ihr Handy abgesichert hatte, heißt es seitens der NGO. Es sei aber als Einzelperson so gut wie unmöglich, die ausschließliche Nutzung eines Geräts oder Accounts vor Gericht zu beweisen, "sofern er nicht sein gesamtes Leben auf Video aufzeichnet", so Blocher.

Verkehrsdaten: Wildwuchs der Regelungen

Auch bei den Verkehrsdaten – etwa IP-Adressen, Logdaten, Zeitpunkt und Dauer der Verbindung oder die übermittelte Datenmenge – gab die DSB dem Unternehmen Recht. Dabei berief sich die Behörde auf Paragraf 99 Absatz 5 Telekommunikationsgesetz 2003, welches es Polizei, Staatsanwaltschaft und Gerichten im Zusammenhang mit möglichen Straftaten erlaubt, die Verkehrsdaten eines Nutzers vom Mobilfunkanbieter zu verlangen.

Die DSB schließt daraus, dass ausschließlich diesen staatlichen Einrichtungen Zugriff auf alle Verkehrsdaten zusteht – nicht aber dem Nutzer selbst. Das wiederum steht in Gegensatz zum Auskunftsrecht nach Artikel 15 der DSGVO.

Zwar ist vorgesehen, dass das Telekommunikationsgesetz (TKG) tatsächlich in manchen Fällen über der DSGVO stehen kann – dafür müssen aber bestimmte Voraussetzungen gegeben sein, wie Blocher sagt: Zum Beispiel müsse es sich dabei um Regeln handeln, welche eine Umsetzung der jüngeren E-Privacy-Richtlinie darstellen. Blocher: "Im vorliegenden Fall handelt es sich jedoch um eine ältere Regelung, um ein Relikt aus Zeiten der Vorratsdatenspeicherung." Zudem sei es "nicht der Inhalt oder Zweck der Vorschrift und mit der DSGVO nicht vereinbar", dass ein Kunde seine eigenen Daten nicht erhalten darf, nur weil diese Daten Behörden unter strengen Auflagen zustehen.

Ein weiter Weg

Der STANDARD hat A1 um eine Stellungnahme gebeten, bisher jedoch noch keine Antwort erhalten. Zeit bliebe dafür jedenfalls genug, denn bis zum endgültigen Urteil werden noch lange Wege zurückgelegt. So wird die Beschwerde eigentlich zuerst bei der DSB eingebracht, welche diese wiederum an das Bundesverwaltungsgericht weiterleitet. A1 kann daraufhin auf die Beschwerde reagieren, das Bundesverwaltungsgericht trifft schließlich eine Entscheidung. Und bis es soweit ist, kann laut Blocher noch gut ein Jahr vergehen. (Stefan Mey, 16.11.2021)