Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Das Verfahren nach § 169 TKG

Durch § 169 TKG werden die TK-Diensteanbieter verpflichtet, die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie unter bestimmten Umständen auch die Betroffenen zu benachrichtigen, wenn der Schutz personenbezogener Daten verletzt worden ist.

auf einer Tastatur ist die große Taste mit Verstoß melden bedruckt
Quelle: ©stockpics - stock.adobe.com

Durch § 169 Telekommunikationsgesetz (TKG) werden die Telekommunikationsdienste(TK)-Diensteanbieter verpflichtet, die Bundesnetzagentur (BNetzA) und die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie unter bestimmten Umständen auch die Betroffenen zu benachrichtigen, wenn der Schutz personenbezogener Daten verletzt worden ist. 

Hiervon ist die Meldepflicht nach Art. 33 DSGVO zu unterscheiden, die dann anwendbar ist, wenn das auf den gemeldeten Verstoß anwendbare Recht die DSGVO ist. Weitere Informationen zur Meldepflicht nach Art. 33 DSGVO können dem von der/dem BfDI herausgegebenen Infoblatt „Meldung von Datenschutzverstößen“ entnommen werden. Meldungen nach Art. 33 DSGVO können dem BfDI über ein Online-Formular übermittelt werden.

Wenn personenbezogene Daten natürlicher Personen betroffen sind, hinsichtlich derer das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Umsetzung der ePrivacy-Richtlinie (2002/58/EG) erlassene bereichsspezifischen Datenschutzregelungen enthält ist das Meldeverfahren nach § 169 TKG einschlägig (vergleiche Art. 95 DSGVO). In Mischfällen, bei denen durch denselben Lebenssachverhalt neben Vorschriften der DSGVO auch Datenschutzregelungen des TTDSG verletzt wurden, braucht nur nach § 169 TKG gemeldet zu werden (z.B. bei Verkehrs- und Bestandsdaten).

Meldungen nach § 169 TKG

Aufgrund der seit dem 1. Dezember 2021 in Kraft getretenen neuen Rechtsgrundlage in § 169 TKG, die den bisherigen § 109a TKG ablöst, sind die Anbieter öffentlich zugänglicher Telekommunikationsdienste verpflichtet, Verletzungen des Schutzes personenbezogener Daten – im Folgenden Datenschutzverletzungen – zu melden. Eine Legaldefinition dieses Begriffes findet sich in § 3 Nr. 71 TKG.

Die Informationspflicht über entsprechende Datenschutzverletzungen ist zweistufig ausgestaltet. In der ersten Stufe ist jeder Fall unverzüglich den Aufsichtsbehörden zu melden. Sollte darüber hinaus anzunehmen sein, dass durch die Datenschutzverletzung Betroffene schwerwiegend in ihren Rechten oder schutzwürdigen Interessen beeinträchtig werden, müssen diese in einem weiteren Schritt über den Vorfall benachrichtig werden.

Zur Umsetzung der Meldepflicht nach Art. 4 ePrivacy-Richtlinie hat die EU-Kommission am 24. Juni 2013 technische Durchführungsmaßnahmen in Bezug auf Umstände, Form und Verfahren erlassen. Die Verordnung (EU) Nr. 611/2013 der Kommission vom 24. Juni 2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (Datenschutzrichtlinie für elektronische Kommunikation – im Folgenden: Durchführungsverordnung) ist am 25. August 2013 in Kraft getreten. Hierbei hat der Gesetzgeber die Meldepflicht nicht auf bestimmte Situationen begrenzt, so dass auch vermeintlich kleinere Datenschutzverletzungen mit weniger schweren Auswirkungen den Aufsichtsbehörden mitgeteilt werden müssen. Dies betont auch die EU-Kommission in ihrer Durchführungsverordnung, nach der alle Datenschutzverletzungen an die zuständigen Behörden zu melden sind.

Unter Berücksichtigung dieser EU-Verordnung, die auch für das Verfahren nach § 169 TKG gilt, sollen die folgenden Leitlinien als Handreichung für die Telekommunikationsdienstleister die Meldung einer Datenschutzverletzung vereinfachen. Hierzu gehören nun auch interpersonelle Telekommunikationsdienste i.S.d. § 3 Nr. 61 TKG. Dazu zählen insbesondere E-Maildienste und Messengerdienste und grundsätzlich auch Videokonferenzdienste.

Leitlinien zur Melde- bzw. Benachrichtigungspflicht nach § 169 TKG

1. Meldebogen

Der vorliegende Meldebogen soll die Meldung von Datenschutzverletzungen i.S.d. § 169 TKG sowohl für die einmeldende Stelle, als auch deren Bearbeitung durch die Aufsichtsbehörden erleichtern und beschleunigen.

Der Gesetzeswortlaut des § 169 TKG sieht vor, dass die Meldung sowohl an die Bundesnetzagentur (BNetzA) als auch an die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zu übermitteln ist.

Dieser kann in elektronischer Form per E-Mail an das Postfach 169TKG@bfdi.bund.de bzw. an das Postfach 169TKG@BNetzA.de übermittelt werden. Zur sicheren Übermittlung per E-Mail steht ein PGP Schlüssel zur Verfügung.

Der Eingang der Meldung wird dem im Meldebogen benannten Ansprechpartner durch den BfDI unter Nennung des Aktenzeichens bestätigt. Nur wenn im Einzelfall Rückfragen zu Angaben im Meldebogen notwendig werden, wird die zuständige Aufsichtsbehörde weitergehend tätig. Dies könnte beispielsweise bei abweichenden Einschätzungen hinsichtlich der Schwere der Datenschutzverletzung oder des Bestehens einer Benachrichtigungspflicht gegenüber den Betroffenen der Fall sein. 

2. Meldefrist

Ziel des Meldebogens ist es, eine effiziente Behandlung des Vorfalls zu ermöglichen und dadurch die potenziell negativen Folgen des Vorfalls bestmöglich zu minimieren. Hierfür ist es essenziell, dass die initiale Meldung schnellstmöglich erfolgt. Gemäß Art. 2 Abs. 2 der Durchführungsverordnung muss ein meldepflichtiger Vorfall innerhalb von 24 Stunden nach Feststellung der Datenschutzverletzung gemeldet werden. Eine Datenschutzverletzung gilt als festgestellt, sobald der Betreiber vom Auftreten einer Sicherheitsverletzung, die zu einer Verletzung des Schutzes personenbezogener Daten geführt hat, hinreichende Kenntnis erlangt hat.

3. Nachmeldungen

Da nicht auszuschließen ist, dass zu diesem frühen Zeitpunkt noch nicht alle Informationen für eine vollständige Meldung zur Verfügung stehen, können solche Details als „bisher unbekannt“ zunächst noch offen bleiben. Eine Nachmeldung der noch offenen Punkte muss so schnell wie möglich, jedenfalls aber innerhalb von drei Tagen nach der ersten Meldung erfolgen. Sofern auch diese Zeitvorgabe nicht eingehalten werden kann, sind sämtliche nach Ablauf der drei Tage vorliegenden Informationen zu übermitteln. Darüber hinaus ist darzulegen, wieso einzelne Informationen noch nicht geliefert werden können (vergleiche Art. 2 Abs. 3 der Durchführungsverordnung).

Nachmeldungen beschränken sich nicht ausschließlich auf Ergänzungen von bislang fehlenden Informationen, sondern können auch dazu dienen, Änderungen bei bereits angegebenen Informationen aufgrund neuer Erkenntnisse mitzuteilen. Da immer die zeitlich letzte Meldung als aktuell betrachtet wird, sollte darauf geachtet werden, dass der Meldebogen auch bei Nachmeldungen komplett ausgefüllt wird und nicht nur bislang fehlende oder zu ändernde Punkte ergänzend mitgeteilt werden. Auch die Nachmeldungen müssen sowohl an die BNetzA als auch an die oder den BfDI gesandt werden.

4. Schwere der Datenschutzverletzung (Frage 15 im Meldebogen)

Die Einschätzung der Schwere der Datenschutzverletzung soll den Aufsichtsbehörden einen ersten aussagekräftigen Einblick in die Bedeutung des gemeldeten Vorfalls ermöglichen.

Die Schwere der Datenschutzverletzung muss möglichst objektiv von der meldenden Stelle bestimmt und in eine der vorgegebenen Kategorien eingeordnet werden. Da verschiedene Faktoren (zum Beispiel Sensibilität der Daten, Umstände der Datenschutzverletzung, und so weiter) Einfluss auf eine solche Bewertung haben, ist es nicht zielführend, an dieser Stelle konkrete Beispiele für die einzelnen Kategorien anzuführen. Allerdings wird im Rahmen der Bewertung durch die Aufsichtsbehörden von Folgendem ausgegangen: Eine niedrige Schwere dürfte grundsätzlich nur dann vorliegen, wenn die von der Datenschutzverletzung betroffenen Daten nur sehr unwahrscheinlich und unter großem Aufwand einen Rückschluss auf die Betroffenen erlauben; eine sehr hohe Schwere dürfte regelmäßig gegeben sein, wenn es sich um äußerst sensible Daten handelt, bei denen ohne größere Schwierigkeiten der Bezug zum Betroffenen hergestellt werden kann und/oder dem Betroffenen aufgrund des Vorfalls ein finanzieller oder reputativer Schaden droht.

Bei der Beurteilung der Schwere der Datenschutzverletzung sind grundsätzlich die Art und Sensibilität der betroffenen Daten sowie die Umstände (beispielsweise ob die Datenschutzverletzung von einem Täter gezielt herbeigeführt wurde oder auf einem Versehen beruht, ob die Daten öffentlich zugänglich gemacht wurden, und so weiter) zu berücksichtigen. Die Zugriffsmöglichkeit auf die vom Vorfall betroffenen Daten (insbesondere die potenzielle Sicherung der Daten im Sinne des § 169 Abs. 1 Satz 3 TKG) hat keinen Einfluss auf die Pflicht zur Meldung des Verstoßes an die Aufsichtsbehörden, sondern wirkt sich erst bei der Entscheidung über eine Benachrichtigung der Betroffenen aus.

5. Benachrichtigung an die Betroffenen

Gemäß § 169 Abs. 1 Satz 2 TKG sind die Betroffenen zu benachrichtigen, wenn anzunehmen ist, dass sie durch die Verletzung des Schutzes ihrer personenbezogenen Daten in ihren Rechten oder schutzwürdigen Interessen schwerwiegend beeinträchtigt werden.

Bei der Beurteilung, ob eine schwerwiegende Beeinträchtigung vorliegt oder zu erwarten ist, sind die Art der betroffenen Daten, die wahrscheinlichen Folgen für die Betroffenen und die Umstände der Datenschutzverletzung zu berücksichtigen (vergleiche auch Art. 3 Abs. 2 der Durchführungsverordnung).

Sofern eine Benachrichtigung der Betroffenen erforderlich ist, sollte sie schnellstmöglich erfolgen.

Hinsichtlich des Inhaltes der Benachrichtigung an die Betroffenen gilt § 169 Ab. 2 Satz 1 TKG i.V.m. Art. 3 Abs. 4 der Durchführungsverordnung.

Können nicht alle Betroffenen identifiziert werden, können und sollten individuelle Benachrichtigungen durch eine öffentliche Anzeige in entsprechend verbreiteten Medien ergänzt werden (vergleiche Art. 3 Abs. 7 der Durchführungsverordnung). In diesem Fall müssen die Anbieter öffentlich zugänglicher Telekommunikationsdienste weiterhin alle zumutbaren Anstrengungen unternehmen, um weitere Betroffene zu ermitteln und sie so bald wie möglich mit den nötigen Angaben persönlich zu benachrichtigen.

Die Benachrichtigung kann unterbleiben, wenn die betroffenen Daten durch ein als sicher anerkanntes Verschlüsselungsverfahren oder durch andere geeignete technische Vorkehrungen i.S.d. § 169 Absatz 1 TKG geschützt sind und dies gegenüber den Aufsichtsbehörden entsprechend nachgewiesen werden kann. Dieser Nachweis kann auch unabhängig von einer Darstellung dieser Maßnahmen im Sicherheitskonzept erbracht werden. Sofern allerdings bereits im Rahmen des Sicherheitskonzepts eine Darlegung erfolgt ist, kann auf die entsprechenden Passagen verwiesen werden. Eine grundsätzliche Pflicht zur Vorlage des Sicherheitskonzeptes ergibt sich aus § 169 TKG nicht.

Sollte noch nicht bekannt sein, ob die tangierten Daten durch geeignete Vorkehrungen ausreichend geschützt sind (zum Beispiel weil das Datenleck noch nicht lokalisiert wurde), ist eine Benachrichtigung der möglicherweise in ihren Rechten und schutzwürdigen Interessen schwerwiegend Betroffenen grundsätzlich vorzunehmen.

Eine schwerwiegende Beeinträchtigung der Rechte und schutzwürdigen Interessen der Betroffenen kann gegebenenfalls auch entstehen, wenn aufgrund eines Verlustes der Daten, diese bei der datenverarbeitenden Stelle nicht mehr verfügbar sind. In diesen Fällen ist eine Benachrichtigung auch dann erforderlich, wenn die Daten durch ein als sicher anerkanntes Verschlüsselungsverfahren oder durch andere geeignete technische Vorkehrungen i.S.d. § 169 Abs. 1 TKG geschützt sind.

Ebenfalls ist eine unverzügliche Benachrichtigung nach § 169 Abs. 4 TKG immer dann erforderlich, wenn der Vorfall im Zusammenhang mit einer Störung steht, die vom Datenverarbeitungssystem des Nutzers ausgeht, oder eine solche Störung anlässlich des Vorfalls bekannt geworden ist. In diesen Fällen sind den betroffenen Nutzern – soweit möglich – auch Informationen über geeignete Mittel zur Beseitigung der Störung zur Verfügung zu stellen.

Anders als die Benachrichtigung der Betroffenen hat die Meldung eines Vorfalls gegenüber BNetzA und die oder den BfDI stets zu erfolgen, unabhängig davon ob und wie die betroffenen Daten gegen einen unberechtigten Zugriff gesichert sind. Das Unterlassen einer Meldung an die Aufsichtsbehörden kann eine Ordnungswidrigkeit i.S.d. § 228 Abs. 2 Nr. 40 TKG darstellen.

6. Mitwirkung Dritter

Sofern ein TK-Anbieter im Rahmen der Diensterbringung Daten seiner Kunden von Dritten verarbeiten lässt, die selbst in keinen direkten vertraglichen Beziehungen mit dem Kunden stehen, müssen diese verpflichtet werden, im Fall einer Datenschutzverletzung unverzüglich den TK-Anbieter zu informieren, damit dieser den oben genannten Meldepflichten nachkommen kann. Diese Anforderungen gelten unabhängig davon, ob die Dritten im Wege der Auftragsdatenverarbeitung oder aufgrund einer Funktionsübertragung für den TK-Anbieter tätig werden.

7. Verzeichnis über Vorfälle

Sämtliche Vorfälle der letzten fünf Jahre sind unter den Voraussetzungen des § 169 Abs. 3 TKG in einem Verzeichnis zu protokollieren, welches den Aufsichtsbehörden auf Nachfrage zur Verfügung zu stellen ist. 

Der Meldebogen § 169 Telekommunikationsgesetz (Stand Februar 2022):

Lesen Sie hier die zitierten EU-Verordnung:

Die entsprechende Website der BNetzA zu § 169 TKG finden Sie hier:

Für die verschlüsselte Kommunikation: