Empfehlung zum Schutz personenbezogener Daten auf dem Gebiet der Telekommunikationsdienste unter besonderer Bezugnahme auf Telefondienste

vom Ministerkomitee auf der 528. Sitzung am 07. Februar 1995 angenommen

Präambel

Das Ministerkomitee, gemäß den Bestimmungen des Artikels 15 b des Statuts des Europarates,

In der Erwägung, daß das Ziel des Europarats darin liegt, eine größere Einheit unter seinen Mitgliedern zu schaffen;

In dem Bewußtsein des zunehmenden Einsatzes automatischer Datenverarbeitung auf dem Gebiet der Telekommunikationsdienste, wie auch der möglichen Vorteile technologischer Entwicklungen, die damit für den Benutzer einhergehen, insbesondere im Bereich der Telefondienste;

Eingedenk der zunehmenden Digitalisierung der Netze und der Vorteile, die diese für die Benutzer von Telekommunikationsdiensten mit sich bringt;

In der Überzeugung, daß jedoch die technische Entwicklung der Telekommunikation, insbesondere bei den Telefondiensten, möglicherweise Risiken für die Privatsphäre des Benutzers und Einschränkungen seiner Kommunikationsfreiheit mit sich bringt;

Bezugnehmend auf gewisse neue Merkmale, die besonders auf dem Gebiet der Telefondienste auftreten, so z.B. die Rufnummernanzeige, die Anrufweiterschaltung, Mobiltelefone, wie auch Fangschaltungen und automatische Wahlvorrichtungen;

In Anbetracht der Risiken für die Privatsphäre und die Kommunikationsfreiheit, die mit dem Aufstellen von Einzelentgeltnachweisen einhergehen;

In der Erkenntnis, daß das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Straßburg 1981; ETS 108) auf die automatische Datenverarbeitung von Netzbetreibern und anderen Anbietern von Telekommunikationsdiensten anzuwenden ist,

In der Überzeugung, daß es jedoch angemessen ist, die allgemeinen Bestimmungen des Übereinkommens spezifischer anzuwenden, um sie der Erhebung und Verarbeitung personenbezogener Daten von Seiten der Netzbetreiber und anderer Anbieter von Telekommunikationsdiensten anzupassen;

In Anbetracht der Tatsache, daß neue Entwicklungen bei den Telekommunikationsdiensten die in Artikel 8 der Europäischen Menschenrechtskonvention garantierte Recht auf Achtung des Privatlebens und die Wahrung des Briefgeheimnisses achten müssen;

Empfiehlt den Regierungen der Mitgliedstaaten:

- in ihrer innerstaatlichen Gesetzgebung und Praxis die dieser Empfehlung beigefügten Grundsätze zu berücksichtigen;

- diese Empfehlung den Behörden zur Kenntnis zu bringen, die an der Umsetzung nationaler politischer Maßnahmen in bezug auf den Datenschutz oder der Telekommunikation beteiligt sind;

- sicherzustellen, daß die Bestimmungen dieser Empfehlung den Netzbetreibern, Anbietern von

Telekommunikationsdiensten, Geräte- und Softwareherstellern, den Organisationen, die mit fernmeldedienstlichen Mitteln Direkt-Marketing betreiben, wie auch Gremien, die die vorgenannten Gruppen vertreten, und Verbraucherorganisationen zur Kenntnis gebracht werden;

- die Bestimmungen der Empfehlung innerhalb der verschiedenen internationalen Gremien, die sich mit Telekommunikation befassen, voranzutreiben.

ANHANG ZUR EMPFEHLUNG

1. Geltungsbereich und Begriffsbestimmungen

1.1 Die in dieser Empfehlung enthaltenen Grundsätze gelten für Netzbetreiber und Diensteanbieter, die für die Erfüllung ihrer Aufgaben personenbezogene Daten erheben und

verarbeiten.

1.2 Diese Grundsätze gelten für personenbezogene Daten, die einer automatisierten Verarbeitung unterzogen werden.

Die Mitgliedstaaten können die in dieser Empfehlung enthaltenen Grundsätze auf personenbezogene Daten ausdehnen, die einer manuellen Verarbeitung unterzogen werden.

1.3 Die Mitgliedstaaten können die in dieser Empfehlung enthaltenen Grundsätze auf die Erhebung und Verarbeitung von personenbezogenen Daten ausdehnen, die sich auf juristische Personen beziehen.

1.4 Für die Zwecke dieser Empfehlung:

- deckt der Ausdruck "personenbezogene Daten" jegliche Information ab, die sich auf einen bestimmten oder bestimmbaren einzelnen (Betroffenen) beziehen. Ein einzelner gilt nicht als "bestimmbar", wenn die Bestimmung einen unverhältnismäßigen Aufwand an Zeit, Kosten oder

Personaleinsatz erfordert.

- deckt der Ausdruck "Telekommunikationsdienste" die verschiedenen Dienste ab, die über Telekommunikationsnetze für Stimm-, Text-, Bild- und Datenübertragung zwischen Benutzern in den Bereichen Kommunikation oder Schriftverkehr angeboten werden.

- bezieht sich der Ausdruck "Netzbetreiber" auf öffentliche oder private Organisationen, die die Nutzung von Telekommunikationsnetzen ermöglichen.

- bezieht sich der Ausdruck "Diensteanbieter" auf öffentliche oder private Organisationen, die unter der Verwendung eines von einem Netzbetreiber bereitgestellten Netzes oder eines eigenen Netzes Telekommunikationsdienste anbieten und betreiben.

2. Achtung der Privatsphäre

2.1 Telekommunikationsdienste, und insbesondere in der Entwicklung befindliche Telefondienste sollten unter gebührender Achtung der Privatsphäre des Benutzers, des Briefgeheimnisses und der Kommunikationsfreiheit angeboten werden,

2.2 Netzbetreiber, Diensteanbieter sowie Geräte- und Softwarehersteller sollten sich die Informationstechnik zunutze machen, um Netze, Geräte und Software derartig zu gestalten und zu betreiben, daß die Privatsphäre der Benutzer gewährleistet ist.

Es sollte möglich sein, auf anonyme Art und Weise Zugang zu den Telekommunikationsnetzen und -diensten zu erhalten.

2.3 Eingriffe von Seiten der Netzbetreiber oder Diensteanbieter in den Inhalt von Mitteilungen sollten verboten werden, es sei denn, sie sind für die technische Speicherung oder die Übertragung von Mitteilungen oder zu anderen rechtmäßigen Zwecken oder für die Ausführung eines Servicevertrages mit dem Teilnehmer gestattet. Die Daten, die zu dem Inhalt einer Nachricht gehören, die bei einem derartigen Eingriff erhoben wurden, sollten nicht an Dritte weitergegeben werden.

2.4 Eingriffe von seiten öffentlicher Stellen in den Inhalt von Mitteilungen, worunter beispielsweise auch der Einsatz von Lausch- oder Abhöreinrichtungen oder von anderen Mitteln der Überwachung von Telekommunikationsverbindungen fällt, dürfen nur vorgenommen werden,

wenn dies gesetzlich vorgesehen ist und in einer demokratischen Gesellschaft eine notwendige Maßnahme ist

a) zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten;

b) zum Schutz des Betroffenen oder der Rechte und Freiheiten anderer.

2.5 Bei Eingriffen von seiten öffentlicher Stellen in den Inhalt einer Mitteilung sollte das innerstaatliche Recht festlegen:

a) die Ausübung des Auskunfts- und Berichtigungsrechtes des Betroffenen;

b) die Umstände, unter denen die zuständigen Behörden berechtigt sind, der betroffenen Person die Auskunft zu verweigern oder eine Auskunft hinauszuzögern;

c) die Speicherung oder Vernichtung der Daten.

Wird ein Netzbetreiber oder ein Diensteanbieter von einer Behörde angewiesen, einen Eingriff vorzunehmen, so sollten die dabei erhobenen Daten nur an die in der Eingriffsermächtigung benannte Stelle weitergegeben werden.

2.6 Das innerstaatliche Recht sollte die Bedingungen und Sicherheitsmaßnahmen festlegen, gemäß denen die Netzbetreiber berechtigt sind, technische Mittel einzusetzen, um die Quelle beleidigender oder mißbräuchlicher Anrufe festzustellen.

3. Erhebung und Verarbeitung von Daten

3.1 Die Erhebung und Verarbeitung personenbezogener Daten im Bereich der Telekommunikationsdienste sollten im Rahmen datenschutzrechtlicher Maßnahmen stattfinden und sich entwickeln. Dabei sollten die Bestimmungen des Übereinkommens zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten und insbesondere der Grundsatz der Zweckbestimmung berücksichtigt werden.

Unbeschadet anderer in dieser Empfehlung vorgesehener Zwecke sollten Netzbetreiber und Diensteanbieter personenbezogene Daten ausschließlich erheben und verarbeiten, um eine Verbindung eines Benutzers zum Netz herzustellen und ihm einen bestimmten Telekommunikationsdienst verfügbar zu machen. Desweiteren dürfen Netzbetreiber und Diensteanbieter Daten zu Rechnungs- und Überprüfungszwecken wie auch zur Sicherung

des optimalen technischen Betriebs des Netzes und des Dienstes sowie deren Entwicklung erheben und verarbeiten.

3.2 Netzbetreiber und Diensteanbieter sollten die Teilnehmer verschiedener Telekommunikationsdienste in angemessener Weise über die Arten personenbezogener Daten informieren, die sie betreffen und die erhoben und verarbeitet werden. Darüber hinaus sollten sie diese über die gesetzliche Grundlage der Erhebung, die Erhebungs- und Verarbeitungszwecke, die Verwendung der Daten und die Speicherungsdauer in Kenntnis setzen.

4. Weitergabe von Daten

4.1 Personenbezogene Daten, die von Netzbetreibern bzw. Diensteanbietern erhoben und verarbeitet werden, sollten nicht weitergegeben werden, es sei denn, der betreffende Teilnehmer hat nach einer Belehrung eine schriftliche und ausdrückliche Zustimmung abgegeben und die weitergegebene Information ermöglicht nicht die Identifizierung angerufener Teilnehmer.

Der Teilnehmer kann seine Zustimmung jederzeit zurückziehen, jedoch nicht rückwirkend.

4.2 Personenbezogene Daten, die von Netzbetreibern bzw. Diensteanbietern erhoben und verarbeitet wurden, dürfen an öffentliche Behörden weitergegeben werden, wenn dies gesetzlich vorgesehen ist und in einer demokratischen Gesellschaft eine notwendige Maßnahme ist

a) zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Währungsinteressen des Staates oder zur Bekämpfung von Straftaten;

b) zum Schutz des Betroffenen oder der Rechte und Freiheiten anderer.

4.3 Bei der Weitergabe personenbezogener Daten an öffentliche Stellen sollte das innerstaatliche Recht festlegen:

a) die Ausübung des Auskunfts- und Berichtigungsrechtes des Betroffenen;

b) die Umstände, unter denen die zuständigen Behörden berechtigt sind, der betroffenen Person die Auskunft zu verweigern oder eine Auskunft zu verzögern;

c) die Aufbewahrung oder Vernichtung der Daten.

4.4 Netzbetreiber und Diensteanbieter dürfen Teilnehmerlisten mit personenbezogenen Daten nur dann an Dritte weitergeben, wenn eine der folgenden Bedingungen erfüllt ist:

a. Der Teilnehmer hat nach einer Belehrung eine ausdrückliche und schriftliche Zustimmung gegeben, oder

b. der Teilnehmer wurde von der beabsichtigten Weitergabe in Kenntnis gesetzt und hatte keine Einwände, oder

c. die Datenschutzbehörde hat die Weitergabe genehmigt, oder

d. die Weitergabe ist durch innerstaatliches Recht vorgesehen.

Der Teilnehmer kann seine Zustimmung jederzeit zurückziehen, jedoch nicht rückwirkend.

4.5 Die Weitergabe personenbezogener Daten zwischen Netzbetreibern und Diensteanbietern ist zulässig, wenn die Weitergabe für betriebstechnische und für Rechnungszwecke notwendig ist.

5. Auskunfts- und Berichtigungsrecht

5.1 Jeder Teilnehmer sollte auf Wunsch, in angemessenen Abständen und ohne übermäßigen Aufschub oder Aufwand alle Daten erhalten können, die ihn betreffen und die von Netzbetreibern oder Diensteanbietern erhoben und verarbeitet wurden, und sollte sie berichtigen oder löschen lassen können, wenn sie unzutreffend, unwichtig oder übermäßig sind oder zu lange gespeichert wurden.

5.2 Die Erfüllung der unter Grundsatz 5.1 aufgeführten Ansprüche kann verweigert, eingeschränkt oder aufgeschoben werden, wenn dies gesetzlich vorgesehen ist und in einer demokratischen Gesellschaft eine notwendige Maßnahme ist

a) zum Schutz der Sicherheit des Staates, der öffentlichen Sicherheit, der Währungsinteressen des Staates oder der Bekämpfung von Straftaten;

b) zum Schutz des Betroffenen oder der Rechte und Freiheiten anderer.

6. Sicherheit

6.1 Netzbetreiber und Diensteanbieter sollten alle angemessenen technischen und organisatorischen Maßnahmen ergreifen, um die physische und logische Sicherheit des Netzes, der Dienste und der von ihnen erhobenen und verarbeiteten Daten sicherzustellen und den unerlaubten Eingriff in oder die Überwachung von Mitteilungen zu verhindern.

6.2 Teilnehmer an Telekommunikationsdiensten sollten in Kenntnis gesetzt werden über die Sicherheitsrisiken des Netzes und über Methoden, mit denen sie Sicherheitsrisiken ihrer Mitteilungen reduzieren können.

7. Anwendung der Grundsätze

a) Verzeichnisse

7.1 Die Teilnehmer sollten das Recht haben, die Aufnahme ihrer personenbezogenen Daten in ein Verzeichnis kostenlos und ohne Begründung zu verweigern.

Sollte jedoch innerstaatliches Recht die Aufnahme bestimmter Daten in ein Verzeichnis erforderlich machen, so sollte der Teilnehmer das Recht haben, den Ausschluß seiner Daten unter Angabe schlüssiger Gründe zu erwirken.

In den Fällen, in denen ein Teilnehmer nach innerstaatlichem Recht eine Gebühr für die Auslassung aus dem Verzeichnis bezahlen muß, sollte eine solche Gebühr einen angemessenen Betrag nicht übersteigen und in keinem Fall von der Ausübung des Rechtes, die Daten aus dem

Verzeichnis auszuschließen, abschrecken.

7.2 Teilnehmer, die die in einem Verzeichnis enthaltenen Daten über die Mitbenutzer seines Endgerätes erhalten möchten, sollten zunächst die Zustimmung der Mitbenutzer einholen.

7.3 Sollte ein Teilnehmer die Aufnahme zusätzlicher Daten über ihn wünschen, so sollten sich die in einem Verzeichnis enthaltenen personenbezogenen Daten auf die Daten beschränken, die notwendig sind, um einen bestimmten Teilnehmer in angemessener Art und Weise zu identifizieren und um Verwechslungen zwischen verschiedenen, im Verzeichnis aufgeführten Teilnehmern zu verhindern.

7.4 Beim Einsehen elektronischer Verzeichnisse sollten technische Mittel vorgesehen werden, um einem Mißbrauch und insbesondere einem unbefugten Fernladen vorzubeugen.

Das Abgleichen von Daten, die in elektronischen Verzeichnissen enthalten sind, mit anderen Daten oder Dateien sollte verboten sein, es sei denn, dies ist durch innerstaatliches Recht vorgesehen oder für betriebstechnische Zwecke von seiten der Netzbetreiber oder Diensteanbieter von grundlegender Bedeutung.

7.5 Die in einem Verzeichnis enthaltenen Daten können vom Netzbetreiber oder Diensteanbieter verwendet werden, um einen Dienst zu betreiben, der darin besteht, konkrete Anfragen zum Verzeichnis zu beantworten. Die Antworten auf solche Anfragen zum Verzeichnis sollten sich auf die Weitergabe von Daten beschränken, die im Verzeichnis erscheinen. Es sollten Maßnahmen zur Vorbeugung von Mißbrauch getroffen werden. Dienste, bei denen Anfragen zu Verzeichnissen beantwortet werden, sollten keine Informationen zu Teilnehmern weitergeben, die nicht im Verzeichnis erscheinen, es sei denn, die Teilnehmer haben nach Belehrung eine schriftliche Zustimmung dazu abgegeben.

7.6 Die Verwendung von Daten, die im Verzeichnis erscheinen, unterliegen darüber hinaus den einschlägigen Grundsätzen der Empfehlung Nr. R (91) 10 zu der Weitergabe von bei öffentlichen Stellen gespeicherten personenbezogenen Daten an Dritte.

b) Verwendung von Daten für Zwecke des Direkt-Marketing

7.7 Die Grundsätze, die in der Empfehlung Nr. R (85) über den Schutz personenbezogener Daten, die für Zwecke des Direkt-Marketing verwendet werden, festgelegt worden sind, finden auch Anwendung auf die Verwendung von Teilnehmerdaten durch Dritte für Zwecke des Direkt-Marketing.

7.8 Das innerstaatliche Recht sollte angemessene Sicherheitsmaßnahmen vorsehen und die Bedingungen festlegen, gemäß denen Netzbetreiber, Diensteanbieter und Dritte Daten für Zwecke des Direkt-Marketing per Telefon oder mit anderen Mitteln der Telekommunikation verwenden dürfen.

7.9 Es sollte auf die Ausarbeitung von Verhaltensregeln hingewirkt werden, um sicherzustellen, daß die praktische Handhabung die Teilnehmer nicht in eine Notlage bringt bzw. ihnen Unannehmlichkeiten bereitet. Das innerstaatliche Recht bzw. die Verhaltensregeln sollten insbesondere die Zeiten betreffen, zu denen Anrufe gemacht werden dürfen, die Art der Mitteilung und die Art und Weise, in der die Mitteilung übermittelt wird.

7.10 Direkt-Marketing per Telefon oder anderer Telekommunikationsmittel darf nicht an Teilnehmer gerichtet werden, die den Wunsch geäußert haben, kein Werbematerial zu erhalten. Zu diesem Zweck sollten angemessene Mittel entwickelt werden, um die Teilnehmer zu bestimmen, die kein Werbematerial über Telefon erhalten möchten.

7.11 Automatische Anrufeinrichtungen für die Übermittlung bereits auf Band aufgenommener Mitteilungen mit Werbecharakter dürfen nur an die Teilnehmer gerichtet werden, die dem Anbieter eines solchen Dienstes nach einer Belehrung ihre ausdrückliche Zustimmung gegeben haben. Der Teilnehmer kann seine Zustimmung jederzeit zurückziehen.

c) Ausführliche Rechnungen

7.12 Nur auf Anfrage des Teilnehmers sollten die Netzbetreiber und die Diensteanbieter

Einzelentgeltnachweise ausstellen. Die Privatsphäre von Mitbenutzern und Korrespondenzpartnern sollte berücksichtigt werden.

7.13 Die Netzbetreiber oder Diensteanbieter sollten die für die Rechnungserstellung benötigte Daten nur solange speichern, wie es für den Kontenausgleich zwingend erforderlich ist. Dabei sollten sie in Erwägung ziehen, daß die Daten unter Umständen über einen angemessenen Zeitraum gespeichert werden müssen, falls Beschwerden in bezug auf die Rechnungserstellung auftreten oder falls rechtliche Bestimmungen eine längere Speicherdauer erfordern.

d) Nebenstellensysteme

7.14 Der einzelne sollte grundsätzlich immer dann in angemessener Weise informiert werden, wenn Daten, die bei der Benutzung eines Telefons entstehen, vom Betreiber des Nebenstellensystems erhoben und verarbeitet werden. Die gespeicherten Daten sollten unverzüglich nach der Begleichung der Rechnung gelöscht werden.

7.15 Die in der Empfehlung R (89) 2 zum Schutz personenbezogener Daten, die für Beschäftigungszwecke verwendet werden, festgelegten Grundsätze finden auf die Betreibung von Gesprächsnachweissystemen von seiten der Arbeitgeber an den jeweiligen Arbeitsplätzen

Anwendung.

e) Rufnummernanzeige

7.16 Die Einführung eines solchen Dienstemerkmals, das die Anzeige der Telefonnummer eines ankommenden Anrufes am Endgerät des angerufenen Teilnehmers ermöglicht, sollte mit der Information an alle Teilnehmer einhergehen, daß dieses Merkmal jetzt einigen Teilnehmern zur Verfügung steht und daß daher möglicherweise ihre Telefonnummer dem angerufenen Teilnehmer angezeigt wird.

Die Einführung eines solches Merkmals sollte mit der Möglichkeit des Anrufers einhergehen, die Anzeige der Telefonnummer beim angerufenen Teilnehmer auf einfache Art und Weise zu unterdrücken.

7.17 Das innerstaatliche Recht sollte die Bedingungen und Sicherheitsmaßnahmen festlegen, gemäß denen Netzbetreiber befugt bzw, verpflichtet sind, die Entscheidung eines Anrufers außer Kraft zu setzen, die Anzeige seiner Nummer auf dem Endgerät des angerufenen Teilnehmers zu unterdrücken.

f) Anrufweiterschaltung

7.18 Es sollten Mechanismen erwogen werden, gemäß denen ein dritter Teilnehmer in Streitfällen die Aufhebung der Anrufweiterschaltung erwirken kann.

7.19 In den Fällen, in denen die Überwachung eingehender und abgehender Anrufe eines Teilnehmers in Übereinstimmung mit den Bestimmungen des Grundsatzes 2.4 in bezug auf die Überwachung von Kommunikationsverbindungen gestattet wurde, sollten sich die Überwachungsmaßnahmen nicht auf alle Anrufe ausdehnen, die beim Endgerät eines dritten Teilnehmers eingehen, sondern nur auf solche. die vom zuerst genannten Teilnehmer weitergeleitet wurden.

g) Mobiltelefone

7.20 Bei der Bereitstellung und dem Betrieb von Mobiltelefondiensten sollten die Netzbetreiber und Diensteanbieter die Teilnehmer über die Risiken informieren, die mit der Benutzung von

Mobiltelefonnetzen für die Vertraulichkeit des Gesprächs einhergehen, insbesondere in Anbetracht der Tatsache, daß Funkkommunikationen nicht verschlüsselt werden. Es sollten Mittel und Wege gefunden werden, den Teilnehmern von Mobiltelefonnetzen Verschlüsselungsmöglichkeiten oder entsprechende Sicherheitsmaßnahmen anzubieten.

7.21 Es sollte die Notwendigkeit berücksichtigt werden, sicherzustellen, daß die Rechnungserstellung für die Benutzung eines Mobiltelefons nicht die Speicherung von Daten erforderlich macht, aus denen mit allzu großer Genauigkeit Rückschlüsse auf den Aufenthaltsort des Teilnehmers bzw. des angerufenen Teilnehmers zur Zeit des Anrufes gezogen werden können.