Technisch-Organisatorische Maßnahmen
Homepage

Wir über Uns
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen
Materialien
Service
Themen

Datenschutzfreundliche Technologien
in der Telekommunikation


Zur Inhaltsübersicht

MÖGLICHKEITEN DER DATENVERMEIDUNG UND -REDUZIERUNG

Zur Inhaltsübersicht 4.1 

Schutz von Sender und Empfänger

Derzeitige Netzstrukturen (Vermittlungsnetze) basieren darauf, Nachrichten zwischen den Teilnehmern an Telekommunikationsdiensten direkt zu vermitteln. Vor Herstellung einer Kommunikationsverbindung sind die Teilnehmerstationen daher zu identifizieren. Durch Einsatz dieser Technik wird das Kommunikationsverhalten leicht beobachtbar und auch kontrollierbar. Je schwächer die Netzbündelung zum Teilnehmer ausgeprägt ist, desto geringer ist der Aufwand, mit dem die Beobachtung vorgenommen werden kann. Bei den Mobilkommunikationsnetzen kommt hinzu, daß die Lokalisierungsinformation schnell wechseln kann, für einen Verbindungsaufbau aber der Aufenthaltsort aktuell bekannt sein muß.

Ein Schutz vor der Preisgabe des Kommunikationsverhaltens sowie des Senders und Empfängers wird dann erreicht, wenn Zeitpunkt, Dauer und Ort der Kommunikation nicht bekannt sind bzw. ermittelt werden können. Es sind deshalb Verfahren und Techniken zum Schutz der Verbindungs- und Lokalisationsdaten einzusetzen. Zu nennen sind die Änderung der physikalischen Netzstruktur durch Verwendung von Verteilnetzen, der Einsatz impliziter Adressierungsarten, die Mix-Technologie sowie in drahtlosen Netzen darüber hinaus das Verhindern der Peilbarkeit und der Teilnehmerortung. Um den Grad des Schutzes von Sender und Empfänger einschätzen zu können, konzentrieren sich die folgenden Bewertungen nach dem Datensparsamkeitsmodell auf Verbindungsdaten und ggf. Verbindungsvorbereitungsdaten.

4.1.1 Verteilung von Nachrichten

Wird insbesondere in teilnehmernahen Netzbereichen ein gleichmäßiges, kommunikationsunabhängiges Nachrichtenaufkommen erzeugt und werden die jeweiligen Nachrichten nicht direkt vermittelt, sondern in den gesamten Netzbereich eingestellt, kann ein Rückschluß auf das Kommunikationsverhalten Einzelner und den Abruf der Nachrichten nicht mehr unmittelbar erfolgen. Verteilnetze (Broadcasting) gestatten allen Teilnehmern, die Informationen aus dem Netz zu nehmen, die für sie bestimmt sind. Damit wird erreicht, daß die Empfänger vom Netz nicht mehr identifiziert werden können.

Im Gegensatz zu expliziter Adressierung, bei der die Adreßinformation zur Wegewahl im Netz verwendet wird, kann in Verteilnetzen jede Teilnehmerstation anhand bestimmter Merkmale (implizite Adresse) erkennen, welche Nachricht an sie gerichtet ist. Bei einer verdeckten Adressierung kann die Adresse nur vom Empfänger ausgewertet werden. Die Möglichkeit der Umsetzung besteht z.B. über Verschlüsselungssysteme, bei denen ein Schlüssel zwischen Kommunikationspartnern ausgetauscht wird und somit Nachrichten und Adressen nur mit Kenntnis des Schlüssels gelesen werden können. Eine andere Möglichkeit ist die Verwendung variabler Adressen, die zwischen den Partnern nach erstmaliger Verbindungsaufnahme vereinbart werden (z.B. durch Generierung mit Pseudozufallsgeneratoren).

Technisch bedeutet der Einsatz von Verteilnetzen eine ganz neue Verkabelungsstruktur in Breitbandtechnik. Die Vervielfachung des Nachrichtenvolumens auf allen Teilnehmerleitungen erfordert eine geeignete Bandbreite, um einen möglichst großen Datenstrom mit vielen Einzelnachrichten multiplexen zu können. Als beste Topologie bietet sich die Ringstruktur mit einem Tokenverfahren an, bei der die Nachrichten bei allen Teilnehmern vorbeilaufen. Aus Leistungs-, Zuverlässigkeits- und Kostengründen lassen sich für sehr viele Teilnehmer reine Verteilnetze bei Individualkommunikation nicht mehr sinnvoll einsetzen. Statt dessen bieten sich Vermittlungs-/Verteilnetze (VmVt-Netze) an, die hierarchisch organisiert sind. Solche VmVt-Netze bestehen aus Verteilnetzen im Teilnehmeranschlußbereich, die durch ein Vermittlungsnetz verbunden sind. Die Nachrichten werden dabei nicht an alle, sondern nur an hinreichend viele Teilnehmerstationen verteilt (Multicasting).

Bewertung

Bei Broadcasting für Mediendienste oder Individualkommunikation fallen keine Daten darüber an, welche der Teilnehmer Empfänger der Informationen sind. Es handelt sich also um eine Datenvermeidung bei der Empfängerinformation. Verdeckte Adressen entsprechen benutzerkontrollierten Pseudonymen.

Allgemeine Mediendienste sollten wegen des Schutzes der Empfängerinformation wie bisher über Verteilnetze realisiert werden. Auch bei Individualkommunikation könnte eine derartige Netzstruktur, zumindest in unteren hierarchischen Ebenen, eingesetzt werden, wenn gleichzeitig ein Schutz der Inhalte, z.B. durch Verschlüsselung, und eine nicht direkt auswertbare Adressierung gewährleistet ist.

4.1.2 Bedeutungslose Nachrichten: Dummy Traffic

Unter Dummy Traffic versteht man das Einbringen bedeutungsloser Zeichenfolgen in Netze zu kommunikationsarmen Zeiten, um ein gleichbleibendes Kommunikationsverhalten vorzutäuschen und damit ein Ausforschen zu verhindern. Das Einbringen der Zeichenfolge sollte vom Sender erfolgen, sie sollte von realen Nachrichten nicht unterscheidbar sein. Denkbar ist beispielsweise das Senden aller Teilnehmer zu einem festgelegten Zeittakt unabhängig davon, ob bedeutungsvolle Nachrichten verschickt werden sollen oder nicht. Der Schutz des Senders besteht darin, daß für das Netz nicht mehr entscheidbar ist, wann genau und wie viele bedeutungsvolle Nachrichten er sendet.
Das Verfahren ist am wirksamsten, wenn das gesamte Nachrichtenaufkommen über Verteilnetze oder Ringstrukturen abgewickelt wird, um Zuordnungen zu vermeiden. Weiterhin muß die Adressierung verschleierbar sein.

Bewertung

Dummy Traffic ist ein vielfältig einsetzbares Hilfsmittel, das in Kombination mit verschleierter Adressierung eine Identifikation der relevanten Daten nicht erkennen läßt. Durch diese Methode der zusätzlichen Datenproduktion wird der Effekt der Datenvermeidung bzgl. des senderseitigen Kommunikationsverhaltens erreicht. Damit kann diese Methode der zusätzlichen Datenproduktion als eine Art der Datenvermeidung aufgefaßt werden, da Informationen über das senderseitige Kommunikationsverhalten verschleiert werden.

4.1.3 Überlagern des Senden nach David Chaum: DC-Net

Die Methode des überlagernden Sendens gewährleistet in einem beliebigen digitalen Netz, daß das Senden anonym geschieht. Es kann an beliebig vielen Stellen abgehört und manipuliert werden; dennoch ist es einem Angreifer nicht möglich, die gesendeten Nachrichten einer Station zu entschlüsseln. Die Teilnehmerstationen haben paarweise einen Schlüssel miteinander ausgetauscht und diesen Wert vor den anderen geheim gehalten. Auf Basis dieser Beziehung werden über die Nachrichten (sofern die Teilnehmerstation senden will) und Schlüssel bitweise Summen modulo 2 (Überlagerung) gebildet, die zur Identifizierung und Entschlüsselung der im Netz versandten Informationen dienen. Mit einer Erweiterung des überlagernden Empfangens kann das überlagernde Senden auch zum anonymen Empfangen genutzt werden.

Bewertung

DC-Netze ermöglichen sowohl Sender- als auch Empfängeranonymität. Nach dem Datensparsamkeitsmodell ist das DC-Netz bei der benutzerkontrollierten Pseudonymisierung (wegen der geheimen Schlüssel der Teilnehmerstationen) oder sogar bei der Datenvermeidung (da relevante Daten für das Netz nicht erkennbar sind) einzuordnen. Allerdings sind DC-Netze aufwendig in ihrer Realisierung und nicht für die existierenden schmalbandigen Signalisierungskanäle geeignet.

4.1.4 Mixe

Mixe sind Netzknoten, die dem Schutz der Kommunikationsbeziehung dienen, indem sie die Verkettbarkeit zwischen Sender und Empfänger einer Nachricht verhindern. Dies wird durch das folgende, erstmals von David Chaum entwickelte Verfahren ([Chau_81]) erreicht (übersichtliche Darstellung in [FrJP_97]):

  1. Sammlung eingehender Nachrichten
  2. Umkodierung der Nachrichten
  3. Ausgabe der Nachrichten in veränderter Reihenfolge an den nächsten (Mix-)Netzknoten bis zum Empfänger
Mit der Mix-Technik lassen sich folgende Eigenschaften (wahlweise oder kombiniert) realisieren:
  • Unverkettbarkeit zwischen Sender und Empfänger einer Nachricht,
  • Pseudonymität des Senders,
  • Pseudonymität des Empfängers,
  • Anonymität des Senders gegenüber Dritten,
  • Anonymität des Empfängers gegenüber Dritten,
  • Anonymität des Senders gegenüber dem Empfänger,
  • Anonymität des Empfängers gegenüber dem Sender,
  • Schutz weiterer Verbindungsdaten, z.B. Signalisierungsbeziehungen, Location Updates / Aufenthaltsinformationen (bei Mobilkommunikation), Beginn, Dauer oder Dienstart der Kommunikation.
Neben technischen Sicherheitsmaßnahmen ist für den Schutz erforderlich, daß ein Angreifer sich keinen Zugriff auf alle auf einem Kommunikationsweg verwendeten Mixe verschaffen kann. Dies wäre z.B. der Fall, wenn alle Mix-Betreiber kooperieren würden, um die Kommunikationsbeziehung von Sender und Empfänger aufzudecken. Mindestens einer der verwendeten Mixe muß also vertrauenswürdig sein. Daher sollten Mixe möglichst unabhängig entworfen und hergestellt werden sowie unabhängige Betreiber haben.

Funktion des Mix-Verfahrens

Um eine Zuordenbarkeit von ein- und ausgehenden Nachrichten zu verhindern, werden die Nachrichten gegebenenfalls auf gleiche Länge gebracht, z.B. in gleich große Abschnitte unterteilt oder aufgefüllt.
Das Umkodieren der Nachrichten erfolgt in der Regel mittels asymmetrischer Kryptographie: Jedem Mix ist ein Schlüsselpaar aus öffentlich bekanntem und dazugehörigem privaten Schlüssel zugeordnet. Die Nachrichten werden mit dem öffentlichen Schlüssel des Mixes verschlüsselt an ihn gesendet. Er entschlüsselt die Nachrichten vor dem Weiterleiten mit seinem privaten Schlüssel. Eine deterministische Umkodierung ist leicht von einem Angreifer auszunutzen, der die ein- und abgehenden Nachrichten beobachtet, indem er eine vom Mix ausgegebene Nachricht erneut mit dem öffentlichen Schlüssel des Mixes verschlüsselt. Dies entspricht dann wieder der Eingangsnachricht. Daher wird eine indeterministische Umkodierung gewählt: Der Nachricht wird ein zufälliger Teil beigefügt, den der Mix nach der Umkodierung entfernt. Hier bietet sich eine längentreue Umkodierung an.

Damit Replay-Angriffe (Wiedereinspielen derselben Nachrichten) keinen Erfolg haben, sind Wiederholungen von identischen Nachrichten zu ignorieren. Dies läßt sich beispielsweise dadurch erreichen, daß vom Mix Zeitstempel für die Nachrichten vergeben werden oder daß bereits gesendete Nachrichten über einen gewissen Zeitraum in einer Datenbank gespeichert werden.

Um die Unverkettbarkeit der ein- und ausgehenden Nachrichten zu erreichen, müssen genügend viele Nachrichten im Mixpuffer vorliegen. Ist dies nicht der Fall, kann der Mix bedeutungslose Dummy-Nachrichten (s.o.) erzeugen, die z.B. beim letzten Mix wieder aussortiert werden. Die Forderung nach genügend vielen verschiedenen Absendern, die sich nicht zu einem Angriff zusammenschließen dürfen, läßt sich technisch auch dann nicht befriedigend lösen, wenn die Absender verifizierbar wären. Doch auch hier bietet die Erzeugung von Dummies Abhilfe.

Für den Puffer des Mixes sind verschiedene Betriebsarten denkbar, z.B. der Batchbetrieb, bei dem alle Nachrichten weiterbearbeitet werden, sobald m Nachrichten im Puffer stehen, der Poolbetrieb, bei dem zufällig eine Nachricht aus dem Puffer zur Weiterbearbeitung ausgewählt wird, sobald die (m+1)-te Nachricht eintrifft, oder auch Mischformen. Daneben kann sich die Steuerung an Latenzzeiten orientieren, z.B. vom Benutzer gewählte Verzögerungen (maximale oder minimale Wartezeiten) oder eine zufällige vom Mix ermittelte Dauer.

Da das Senden beobachtbar bleibt, könnte von den Teilnehmern gefordert werden, daß sie jeweils in einem bestimmten Zeittakt senden müssen und ggf. bedeutungslose Nachrichten erzeugen. Alle Teilnehmer, die zur selben Zeit senden, bilden dann die Anonymitätsgruppe.

Einsatzbereiche für Mix

Für einige Bereiche der Telekommunikation existieren bereits Konzepte, wie das Mix-Verfahren zum Schutz der Kommunikationsbeziehung eingesetzt werden kann:

  • Telefon-Mixe auf der Basis von ISDN ([PfPW_89])
  • Schutz der Aufenthaltsinformation in Mobilkommunikationsnetzen mit pseudonymer Speicherung von Teilnehmerdaten ([FFJM_97])
  • Non-Disclosure Method (NDM) mit unabhängigen "Security Agents" als Mixe, die vom Benutzer ausgewählt werden können, mit asymmetrischer Umkodierung, z.B. für Mobile IP ([FaKK_97])
  • Anonymous- und Pseudonymous-Server im Internet, die auf Anwendungsebene arbeiten ([Cott_95]):
    • Remailer für News-Postings und E-Mail mit Absenderersetzung durch Pseudonyme, die für jeden Nutzer gespeichert werden, ohne eine Möglichkeit der Umkodierung
    • Cypherpunk-Remailer für News-Postings und E-Mail mit Möglichkeit der Umkodierung und Angabe von Latenzzeiten
    • Mixmaster für News-Postings und E-Mail (bestimmtes Format erforderlich) im Poolbetrieb mit Umkodierung und Wiederholungstest auf die Paket-ID
    • Anonymisierungs-Proxy für WWW mit Ersetzung des Absenders durch die Server-Adresse (z.B. [http://www.anonymizer.com]   [LINK])
Um Echtzeitanforderungen wie z.B. beim Telefonverkehr zu erfüllen, wandelt man das Mix-Verfahren dahingehend ab, daß getaktete Mix-Kanäle mit hybrider Verschlüsselung verwendet werden: Zum Verbindungsaufbau wird eine spezielle Kanalaufbaunachricht asymmetrisch verschlüsselt an den Empfänger gesendet, die jedem Mix auf dem Weg einen Schlüssel eines schnellen symmetrischen Kryptosystems übergibt, mit dem die Daten auf diesem Mix-Kanal entschlüsselt werden.

Bewertung

Mixe bieten eine benutzerkontrollierte Pseudonymisierung sowohl für den Sender als auch für den Empfänger. Der Schutz kann sich zusätzlich zu den Verbindungsdaten auch auf die Verbindungsvorbereitungsdaten erstrecken.

Für den Einsatz von Mixen reicht eine Modifikation vorhandener Netze aus; es ist also dafür nicht nötig, vollständig neue Netze zu entwerfen. In vielen Bereichen könnte der Aufbau von Mixen sukzessiv erfolgen. Untersuchungen zeigen, daß die zur Verfügung stehende Bandbreite bestehender Kommunikationsnetze für einen Mix-Betrieb ausreicht ([FJMP_97]). Konzepte für ISDN ([PfPW_89]), GSM ([FeJP_96]) und bestimmte Internet-Dienste liegen vor, eine Anpassung der Konzepte auf andere Kommunikationsnetze wie ATM und UMTS (Universal Mobile Telekom Systems) ist möglich.

Zur Grafik Integration verschiedener Datenschutz-Maßnahmen in einem Netz
(Grafik: 38 KB)

4.1.5 Verhinderung der Peilbarkeit

Elektromagnetische Wellen haben die Eigenschaft, daß aufgrund ihrer Ausbreitung die Sender lokalisiert werden können. Der Aufenthaltsort mobiler Teilnehmer kann somit beim Aussenden von Nachrichten durch Peilung festgestellt und verfolgt werden.
Will man dies verhindern, sind Verfahren einzusetzen, die eine Peilung erschweren. Da eine elektromagnetische Welle nur dann erkennbar ist, wenn sie sich aus dem vorhandenen "weißen Rauschen" abhebt, kann man sich den Grundsatz der Nachrichtentheorie zunutze machen, daß es zur Erkennung eines digital zu übertragenden Signals nicht auf die Signalform, sondern auf den Energieinhalt ankommt. Wird durch ein geeignetes Modulationsverfahren die Signalleistung so breit verteilt, daß sie sich vom Rauschen nicht mehr abhebt, ist die Abstrahlung von Informationen mit konventionellen Mitteln nicht mehr peilbar. Das Verfahren wird "direkte Spreizung" genannt.

Hierbei werden die Daten wie üblich auf den Träger aufmoduliert. Das entstehende Signal wird in einem zweiten Modulationsschritt mit einer Pseudozufallszahlenfolge (PN-Code: Pseudonoise- Code) moduliert. Der PN-Code wird mittels eines PN-Generators aus dem PN-Key von Sender und Empfänger erzeugt. Das entstehende Signal hat eine geringe Leistungsdichte und ähnelt dem "weißen Rauschen". Der Empfänger multipliziert das empfangene Signal erneut mit dem nachgebildeten PN-Code, wodurch die Spreizung zurückgenommen wird und der Träger in seiner ursprünglichen Form vorliegt. Bei Verwendung von orthogonalen PN-Codes können mehrere Nutzer im selben Spektrum senden. Die Auslastung ist vergleichbar mit den bekannten Multiplexverfahren. Mit konventionellen Mitteln wie Spektrumsanalysatoren sind die direkt gespreizten Signale nicht zu entdecken. Mit einem Radiometer ist dies u.U. möglich. Eine Peilung des Signals ist mit diesem Instrument aber ausgeschlossen.

Bewertung

Sofern zentrale vertrauenswürdige Instanzen eingesetzt werden, kann man lediglich von einer (sonstigen) Pseudonymisierung des Senders und Empfängers nach dem Datensparsamkeitsmodell ausgehen, die sich auch auf die Verbindungsvorbereitungsdaten erstreckt. Es ist jedoch auch möglich, das Verfahren mit benutzerkontrollierten Pseudonymen zu realisieren. Die Ähnlichkeit zum "weißen Rauschen" trägt dazu bei, daß relevante Informationen nicht mehr erkennbar sind.

Das Verfahren erfordert aufgrund der Spreizung der Nutzsignale eine Bandbreitenerweiterung für die Übertragungskanäle um den Spreizfaktor (100 bis 1000). Damit ist es auf die derzeitige Netzstruktur nicht ohne erheblichen Zusatzaufwand übertragbar, wobei der Aufwand wesentlich davon abhängig ist, an welcher Stelle (in einer ortsfesten Station des Festnetzes oder in der Basisfunkstation) die Entspreizung vorgenommen wird. Bei einer Detektion im Festnetz durch vertrauenswürdige (auch verschiedene dezentrale) Instanzen bedeutet dies, daß die erforderliche Bandbreite auch im Festnetz vorhanden sein muß. Gleichzeitig ist auch das Verfahren der derzeitigen Lokalisation mittels HLR und VLR zu überarbeiten.

4.1.6 Änderung des Aufenthaltsmanagements

Der GSM-Standard erfordert es, in derzeitigen mobilen Netzen Aufenthaltsinformationen zentral in Datenbanken (HLR und VLR) aktuell vorzuhalten. Damit ist die Erstellung von Bewegungsprofilen möglich.

Auslagerung der Aufenthaltsinformationen in vertrauenswürdige Instanzen

Einen Schutz der Aufenthaltsinformationen kann man z.B. dadurch erreichen, daß die Informationen über den Aufenthaltsort in vertrauenswürdige zentrale oder dezentrale Instanzen ausgelagert werden. Dem Netzbetreiber werden von diesen Instanzen für die Teilnehmer zeitgesteuerte Pseudonyme mitgeteilt, mit denen der Aufenthaltsort ermittelt werden kann. Zum Aufbau von Verbindungen ist es bei dieser Struktur zunächst notwendig, bei der vertrauenswürdigen Instanz das aktuelle Pseudonym zu erfragen. In einem zweiten Schritt kann dann hiermit die Netzverbindung hergestellt werden.

Bewertung

Sender und Empfänger sind mit zeitgesteuerten Pseudonymen ausgestattet, die je nach Ausgestaltung des Verfahrens mehr oder weniger benutzerkontrolliert sein können. Bei diesem Verfahren ist es notwendig, die GSM-Struktur in bezug auf die HLR und VLR zu ändern. Der erforderliche Aufwand des Verfahrens hängt in erster Linie vom Grad der Dezentralisierung ab.

Broadcastverfahren in Anonymitätsgruppen

Eine weitere Möglichkeit, die Aufenthaltsinformation zu verbergen, besteht darin, aus der IMSI mit Hilfe einer allgemein bekannten Hashfunktion eine verkürzte IMSI zu bilden, die als Gruppenpseudonym dienen kann und im Netz zur Lokalisation verwendet wird. Damit bilden sich Anonymitätsgruppen von Teilnehmern, die hinreichend groß sein müssen und in der GSM-Struktur zu verwalten sind.

Soll ein Verbindungswunsch zu einem mobilen Teilnehmer hergestellt werden, so ist zunächst dem Netz über IMSI die Gruppe des Empfängers mitzuteilen. Im Broadcastverfahren wird anschließend der gesamten Gruppe, die mit dem öffentlichen Schlüssel des Adressaten verschlüsselte IMSI übermittelt. Nur dieser kann dann durch Entschlüsselung mit seinem geheimen Schlüssel feststellen, daß er adressiert wurde, und damit die Nachricht auswerten.

Bewertung

Die Verbindungsdaten werden bei diesem Verfahren nicht geschützt, denn bei Kenntnis der öffentlichen Schlüssel aller in Frage kommenden Teilnehmer kann die gesendete verschlüsselte IMSI leicht abgeglichen werden. Allerdings lassen sich wegen des Broadcastverfahrens innerhalb der Gruppe nicht die Lokalisationsdaten des Empfängers ermitteln.

Dieses Verfahren beruht nicht auf einer Veränderung der GSM-Struktur, erfordert jedoch einen erhöhten Signalisierungsaufwand und eine größere Bandbreite. Nutzt man zur Aufenthaltsermitttlung mobiler Teilnehmer hierarchische Netze mit unterschiedlichen Zellradien, kann man die Aufenthaltsinformation dadurch verbergen, daß man die Signalisierung über Netze mit großen Zellradien steuert. Besonders geeignet hierzu wären Satellitennetze (z.B. LEO), die Overlayradien von ca. 2000 km abdecken könnten.

Seitenanfang
Zur Inhaltsübersicht

4.2  Datenminimierung bei der Entgeltabrechnung

Im folgenden wird dargestellt, daß es auf der Ebene der Telekommunikationsdienstleistungen technisch möglich ist, den Umfang der zu Abrechnungszwecken gespeicherten Verbindungsdaten erheblich zu reduzieren oder sogar völlig auf deren Speicherung zu verzichten. Ferner kann unter Umständen auch der Umfang der gespeicherten Bestandsdaten reduziert werden.

Da immer mehr Telekommunikationsdienstleistungen mit Hilfe von Chipkarten genutzt und abgerechnet werden und unter dem Oberbegriff Elektronisches Geld verschiedene Möglichkeiten für sichere elektronische Zahlungsverfahren entwickelt wurden, mit deren Hilfe auch Telekommunikationsdienstleistungen bezahlt werden können, erfolgt zunächst eine Darstellung wichtiger chipkartengestützter Nutzungs- und Zahlungsformen sowie die Möglichkeiten des elektronischen Geldes, bevor dargelegt wird, wie sich diese Techniken dazu nutzen lassen, den Umfang der gespeicherten Telekommunikations-Verbindungsdaten zu reduzieren oder sogar deren Speicherung gänzlich überflüssig zu machen.

4.2.1 Einsatz von Chipkarten für die Bezahlung von Telekommunikationsdienstleistungen

Die zum Bezahlen von Telekommunikationsdienstleistungen nutzbaren Chipkarten sind entweder mit einem Prepaid- oder mit einem Postpaid-Abrechnungsverfahren verbunden. Bei den Prepaid-Verfahren stellt die Chipkarte eine Guthabenkarte dar (vergleichbar mit der Telefonkarte), von der bei jeder Nutzung ein entsprechender Betrag abgebucht wird. Im Gegensatz dazu dienen die Chipkarten bei den Postpaid-Verfahren in der Regel dazu, den Benutzer gegenüber dem Anbieter der Telekommunikationsdienstleistung sicher zu identifizieren.

Chipkarten in Verbindung mit Prepaid-Zahlung

Bei Chipkarten, die in Verbindung mit einem Prepaid-Abrechnungsverfahren eingesetzt werden, ist zwischen Speicher-Wertkarten, Remote-Access-Karten sowie multifunktionalen Karten zu unterscheiden:

  • Speicher-Wertkarten:
    Bei Speicher-Wertkarten wird ein Guthaben in Form von Werteinheiten lokal auf dem in der Karte enthaltenen Chip gespeichert. Bevor mit Hilfe einer solchen Karte eine Telekommunikationsdienstleistung in Anspruch genommen und bezahlt werden kann, muß sich die Karte gegenüber dem Telekommunikationsnetz als gültige Karte ausweisen (authentifizieren). Anschließend kann man die gewünschte Telekommunikationsdienstleistung in Anspruch nehmen. Dabei wird das Guthaben auf der Karte jeweils um die verbrauchten Werteinheiten reduziert. Speicher-Wertkarten können technisch so gestaltet werden, daß das darauf gespeicherte Guthaben beispielsweise mit Hilfe bestimmter Buchungsterminals wiederaufladbar ist. Ein Telekommunikationsunternehmen, das Speicher-Wertkarten zum Bezahlen akzeptiert, kann - technisch gesehen - zusätzlich Schattenkonten führen, in denen es registriert, welcher Guthabenbetrag noch auf den einzelnen ausgegebenen Karten (beispielsweise identifiziert anhand der Kartennummer) verfügbar ist. Derartige Schattenkonten könnten dazu dienen, bestimmte Mißbrauchsarten zu erkennen. Anwendungsbeispiel für eine nicht-wiederaufladbare Speicher-Wertkarte ohne Schattenkontoführung ist die deutsche Telefonkarte
  • Remote-Access-Karten:
    Die vor allem in den USA eingeführten Remote-Access-Karten speichern im Unterschied zu den Speicher-Wertkarten kein Guthaben. Das Guthabenkonto (Kartenkonto) des Teilnehmers wird vielmehr zentral vom Telekommunikationsanbieter geführt. Die Chipkarten dienen in erster Linie dazu, den Benutzer gegenüber dem Anbieter der Telekommunikationsdienstleistung sicher zu identifizieren und zu authentifizieren. Dabei tritt die Chipkarte an die Stelle der bei anderen Calling Cards erforderlichen PIN-Eingabe, die leicht abgehört werden kann. Die bei der Telekommunikation zu zahlenden Werteinheiten werden in Echtzeit von einem im voraus auf dem Kartenkonto eingezahlten Guthaben abgebucht. Das Kartenkonto kann durch Einzahlungen wieder "aufgeladen" werden, wobei der Telekommunikationsdienstanbieter hierfür die Personalien des Karteninhabers nicht kennen muß. Beispiel für eine Remote-Access-Karte ist die T-Card der Telekom zum Telefonieren im Festnetz sowie der Mobilfunkdienst "Telly D1 Xtra" im D1-Mobilfunknetz.
  • Multifunktionale Chipkarten:
    Inzwischen gibt es auch im voraus aufgebuchte multifunktionale Kartenzahlungssysteme, etwa die EC-Geldkarte oder die PayCard der Telekom, wobei letztere an Kartentelefonen zum Bezahlen der genutzten Telekommunikationsdienstleistungen eingesetzt werden kann. Derartige multifunktionale Systeme erfordern eine technische und organisatorische Infrastruktur, die die Verrechnung der Werteinheiten (Clearing) zwischen den verschiedenen Organisationen ermöglicht, deren Leistungen mit der Karte bezahlt werden können. Von der konkreten Ausgestaltung dieser Verrechnungsverfahren hängt es ab, ob und wie detailliert die Clearingstellen davon erfahren, wer welche Leistung mit Hilfe einer Karte bezahlt hat.
  • Chipkarten in Verbindung mit Postpaid-Verfahren:
    Bei Postpaid-Abrechnungsverfahren, die beispielsweise in Zusammenhang mit Kredit- oder Debitkarten angeboten werden, werden die einzelnen Kommunikationsvorgänge zum Zweck einer späteren Abrechnung personenbezogen zentral gespeichert.

Bewertung des Chipkarteneinsatzes zur Bezahlung von Telekommunikationsdienstleistungen

Aus Sicht des Datenschutzes sind Verfahren, die auf Guthabenbasis arbeiten (Prepaid-Cards) gegenüber den Postpaid-Cards vorzuziehen, da nur die Prepaid-Cards eine anonyme Abrechnung von TK-Dienstleistungen ermöglichen. Dabei ist Systemen mit ausschließlich lokaler Speicherung der Werteinheiten auf der Chipkarte des Teilnehmers der Vorzug vor solchen Verfahren zu geben, bei denen zusätzlich oder ausschließlich eine zentrale Speicherung und Verrechnung der Werteinheiten erfolgt, denn die hierbei geführten Schattenkonten könnten, sofern die Identität des Karteninhabers aufgedeckt würde, zur Bildung persönlicher Kommunikationsprofile genutzt werden. Dieses Risiko ist bei wiederaufladbaren Karten besonders gravierend, da hier die Schattenkonten über einen längeren Zeitraum geführt werden.

Soweit die Chipkarten künftig auch zur Abwicklung intelligenter Authentifizierungsmechanismen genutzt werden, macht dies die bislang zur Authentifizierung der Karte erforderliche Übermittlung der individuellen Kartennummer an das Telekommunikationsdienstunternehmen überflüssig. Hierdurch könnte nicht nur ein abhörsicheres Authentifikationsverfahren realisiert werden, sondern das Telekommunikationsdienstunternehmen könnte bei diesem Verfahren auch auf die Speicherung der Kartennummern verzichten, die mit entsprechendem Zusatzwissen einzelnen Personen zugeordnet werden könnten.

4.2.2 Elektronisches Geld zur Bezahlung von Telekommunikationsdienstleistungen

In dem Maße, in dem offene elektronische Kommunikationsnetze wie T-Online oder Internet genutzt werden, um Waren oder Dienstleistungen zum Verkauf anzubieten, wächst auch das Interesse an Möglichkeiten des elektronischen Bezahlens, das Käufern wie auch Verkäufern eine ausreichende Sicherheit bietet. Dabei können mit dem elektronischen Geld beispielsweise die über Netz bestellten Waren, aber auch Telekommunikationsdienstleistungen bezahlt werden. Mittlerweile wurden verschiedene Varianten elektronischen Geldes entwickelt, die sich unter anderem in folgender Hinsicht unterscheiden:

  • Bei sogenannten bargeldähnlichen Verfahren gibt es besonders aufgebaute elektronische Dateien, die wie Bargeld unmittelbar einen Geldwert repräsentieren und durch deren Übertragung bezahlt werden kann. Andere Verfahren, es handelt sich hierbei häufig um besonders gesicherte Formen des Home-Bankings, ermöglichen demgegenüber lediglich die gesicherte Übertragung von Überweisungsaufträgen oder anderen, an die Hausbank gerichteten Aufträgen.
  • Es gibt, wie bei den Chipkarten, Prepaid-Verfahren, bei denen Werteinheiten in einem ersten Schritt gegenüber der geldausgebenden Stelle (z.B. Bank) bezahlt werden, bevor in einem zweiten Schritt mit dem elektronischen Geld eine Ware oder Dienstleitung bezahlt wird. In anderen Fällen verwendet der Kunde elektronisches Geld, dessen Gegenwert erst dann von ihm an eine Clearingstelle zu entrichten ist, nachdem er das elektronische Geld zum Bezahlen an einen Händler übertragen und dieser es zur Gutschrift des Gegenwerts an die Clearingstelle weitergab.

Bewertung

Aus Sicht des Datenschutzes bieten die bargeldorientierten Prepaid-Verfahren die besten Voraussetzungen für die Realisierung eines sicheren elektronischen Zahlungsverfahrens, das die gleiche Anonymität des Bezahlens erlaubt wie das Bezahlen mit Bargeld. Beispiel eines solchen Verfahrens ist E-Cash, das es gestattet, durch den Austausch elektronischer Geldstücke, sogenannte Cyberbucks, zu bezahlen. Man erhält derartige Cyberbucks auf Anforderung von seiner Bank, die den Gegenwert bar entgegennimmt oder von einem Kundenkonto abbucht. Die Cyberbucks werden anschließend elektronisch auf einen PC des Kunden übertragen und können von ihm wiederum an Händler weitergereicht werden. Die Händler können mit den eingenommenen Cyberbucks ihrerseits Waren oder Dienstleistungen bezahlen.

4.2.3 Möglichkeiten zur Reduzierung oder zur völligen Vermeidung der Speicherung von Verbindungsdaten für Abrechnungszwecke

Sofern bargeldähnliches elektronisches Geld benutzt wird, um Telekommunikationsdienstleistungen abzugelten, eröffnet dies die Möglichkeit, diese Dienstleistung bereits während oder spätestens mit dem Ende der Telekommunikationsverbindung zu bezahlen. Vorstellbar ist, daß der Telekommunikationskunde das Entgelt für jeden neu angebrochenen Zeittakt via elektronischem Geld jeweils in Echtzeit übermittelt. Wird eine neu angebrochene Tarifeinheit nicht umgehend bezahlt, so bricht das Telekommunikationsdienstunternehmen die Verbindung wie beim Münztelefon sofort ab.

Elektronisches Geld kann auch benutzt werden, um auf Speicher-Wertkarten bargeldlos wieder ein Guthaben aufzubuchen, ohne daß man hierfür personenbezogene Angaben preisgeben müßte, beispielsweise die eigene Bankverbindung. Der Einsatz elektronischen Geldes kann allerdings nur dann zur Datensparsamkeit beitragen, wenn damit anonyme Zahlungsvorgänge möglich sind. Diese Anforderung wird nicht von allen bislang entwickelten Systemen für elektronisches Geld erfüllt.

Bereits aus verschiedenen Anlässen haben die Datenschutzbeauftragten des Bundes und der Länder darauf hingewiesen, daß vielfach auf die Speicherung unter Umständen umfangreicher Datenbestände für Abrechnungszwecke verzichtet werden kann, wenn die Bezahlung mit Hilfe von Speicher-Wertkarten erfolgt (vgl. z.B. Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 22./23.10.1996 zum Datenschutz bei der Vermittlung und Abrechnung digitaler Fernsehsendungen). Dies gilt auch für das Bezahlen von Telekommunikationsdienstleistungen. Bislang stellt allerdings lediglich die Telefonkarte ein Beispiel für bereits am Markt eingeführte und in größerem Umfang genutzte Speicher-Wertkarten zur Bezahlung von Telekommunikationsdienstleistungen dar. Diese Karten sind nicht wiederaufladbar und können bislang nur an öffentlichen Telefonen genutzt werden. Technisch wäre es aber ebenso möglich, Endgeräte für nicht-öffentliche Anschlüsse anzubieten, die ebenso wie die öffentlichen Telefone in der Lage sind, die anfallenden Telekommunikationsentgelte von einer Chipkarte abzubuchen. Bei der Gestaltung dieser Systeme ist nicht nur darauf zu achten, daß mit ihrer Hilfe zentrale Datenbestände für Abrechnungszwecke vermieden werden können, sondern auch darauf, daß die Abrechnungsmöglichkeiten manipulationssicher sind. Ferner sollten Telekommunikationsverbindungen auf Wunsch des Teilnehmers dokumentiert werden können. Die Verbindungsdaten dürfen hierbei allerdings nur in einem Umfang genutzt werden, daß Persönlichkeitsrechte Dritter, z.B. angerufener Teilnehmer gewahrt bleiben.

Ein solches System könnte wie folgt funktionieren:
Auf der Strecke Endgerät - Anschlußdose - Vermittelnder Netzknoten (VNK) (früher als "Ortsvermittlungsstelle" bezeichnet) wird zwischen dem Endgerät und der Anschlußdose im Bereich des Teilnehmers ein Gerät zur Abrechnung von Telekommunikationsdienstleistungen installiert, im folgenden kurz "T-Zähler" genannt. Denkbar ist auch eine Installation direkt im Endgerät oder erst in der Anschlußdose. Ein solcher T-Zähler enthält einen Mikrocomputer und einen Chipkartenleser. Sobald man von einem über einen T-Zähler angeschlossenen Endgerät, z.B. von einem Telefon- oder Telefaxgerät aus eine Verbindung zu einem anderen Teilnehmer aufbauen will, erhält der T-Zähler ein entsprechendes Signal. Er prüft dann zunächst, ob sich eine Speicher-Wertkarte im Lesegerät befindet. Um eine manipulationssichere Abrechnung der in Anspruch genommenen Telekommunikationsdienstleistungen zu ermöglichen, sollten sich T-Zähler und Chipkarte, T-Zähler und Endgerät sowie T-Zähler und VNK jeweils gegenseitig authentifizieren. Anschließend wird, wie bisher, die Verbindung zum gewünschten Telekommunikationsteilnehmer aufgebaut. Zu Beginn der Verbindung sowie mit jedem neuen Zeittakt bucht der T-Zähler das für einen Zeittakt zu zahlende Entgelt vom Guthaben der Speicher-Wertkarte ab. Wann jeweils eine neue Tarifeinheit beginnt, teilt der VNK dem T-Zähler während der laufenden Verbindung mit. Eine solche Übermittlung von Entgeltimpulsen bietet die Telekom ihren Kunden bereits heutzutage auf Wunsch an. Alternativ ist auch eine Ausführung des T-Zählers vorstellbar, bei der dieser anhand einer eingebauten Uhr und den aktuellen Tarifinformationen selbst berechnet, wann ein neuer Zeittakt beginnt. Die hierzu erforderlichen Informationen über neue oder geänderte Tarife sowie die zu verwendenden Taktlängen teilt der VNK hierbei dem T-Zähler jeweils bei Bedarf im Anschluß an die Authentifizierung des T-Zählers gegenüber dem VNK mit. Bei der Übermittlung der Tarifimpulse oder der Tarifinformationen sind technische Maßnahmen (insbesondere Verschlüsselung und elektronische Signatur) vorzusehen, die die Integrität, Authentizität und Zurechenbarkeit der übertragenen Daten sicherstellen. Spätestens nach Abschluß der Verbindung werden beim Telekommunikationsdienstanbieter alle Verbindungsdaten gelöscht, die dazu dienten, die einzelne Verbindung aufzubauen und aufrecht zu erhalten.

Zur Grafik Abrechnung von Telekommunikationsdienstleistungen
(Grafik: 22 KB)

Folgende Voraussetzungen müßten erfüllt sein, soll durch einen Einsatz von Speicher-Wertkarten bei nicht-öffentlichen Telekommunikationsanschlüssen auf die Verbindungsdatenspeicherung für Abrechnungszwecke verzichtet werden:

  • Die Telekommunikationsunternehmen müßten neuartige Dienste anbieten, bei denen auf die Speicherung von Verbindungsdaten für die Entgeltberechnung verzichtet wird.
  • Es müßten T-Zähler als Einzelgeräte oder Telekommunikationsendgeräte mit Chipkartenleser auf den Markt kommen, die die Funktion des oben beschriebenen T-Zählers übernehmen können. Zur Durchführung der vorgesehenen Authentifikationen müßten die VNK der Telekommunikationsdienstunternehmen technisch entsprechend ergänzt werden.
  • Es sollte möglich sein, wiederaufladbare Speicher-Wertkarten zu benutzen. Zum Wiederaufladen einzelner Karten ist eine Infrastruktur mit Aufladestellen erforderlich. Denkbar ist, daß die Karten an Geldautomaten oder öffentlichen Kartentelefonen aufgeladen werden. Ein Beispiel für eine solche wiederaufladbare Speicher-Wertkarte stellt die von der Telekom angebotene "Paycard" dar, mit der man unter anderem auch an öffentlichen Kartentelefonen telefonieren kann. Mit Hilfe einer PIN lassen sich an Kartentelefonen Geldbeträge vom Girokonto auf eine Paycard umbuchen.

Sind alle diese Anforderungen erfüllt, so könnte auch an nicht-öffentlichen Telekommunikationsanschlüssen die bislang übliche Speicherung der Verbindungsdaten zu Abrechnungszwecken entfallen. Sofern der entsprechende Tarif außerdem keinen monatlichen Grundpreis beinhaltet, kann auf die Speicherung von Kundendaten für Abrechnungszwecke ganz verzichtet werden.

Die bislang genannten Möglichkeiten zur Vermeidung der Speicherung von Verbindungsdaten für Abrechnungszwecke wurden am Beispiel der Telekommunikation im Festnetz erläutert. Entsprechende Möglichkeiten bestehen aber auch bei der Mobilkommunikation. In diesem Fall müßte die für jeden Mobilanschluß ausgegebene Mobilfunkkarte zugleich eine wiederaufladbare Speicher-Wertkarte darstellen und das Handy die Funktionen des T-Zählers übernehmen. Daß die Nutzung derartiger Speicher-Wertkarten bei der Mobilkommunikation technisch möglich ist, belegt das Beispiel, daß zum Jahreswechsel 1994/1995 kurzzeitig eine anfänglich mit einem Wert von 100 DM ausgestattete Prepaid-Mobilfunkkarte für das Netz D1 auf den Markt kam, bei der der Diensteanbieter nicht registrierte, an wen er diese Karten ausgegeben hat (vgl. Niederschrift der 725.Sitzung des Bundesrats-Rechtsausschusses vom 18.Juni 1997, S. 53).

4.2.4 Möglichkeiten zur Minimierung von Bestandsdaten

Werden Telekommunikationsdienste angeboten, die keine Speicherung von Verbindungsdaten zu Abrechnungszwecken erfordern, so stellt sich die Frage, ob dies auch zu einer Reduzierung der Kunden-Stammdaten beim Telekommunikationsdienstunternehmen führen kann. Stammdaten dienen zumindest teilweise auch der Abrechnung: Offensichtlich ist dies bei der Bankverbindung. Aber auch die Anschrift dient - neben anderen Zwecken - der regelmäßigen postalischen Zustellung der Rechnungen.

Neben der Abrechnung können Stammdaten aber auch folgenden Zwecken dienen:

  • Rufnummernverzeichnisse und Auskunft
    Sofern Kunden in öffentliche Telekommunikationsverzeichnisse (z.B. Telefonbuch) eingetragen werden möchten oder sofern sie damit einverstanden sind, daß ihre Anschlußnummer sowie im Rahmen der Komfortauskunft unter Umständen auch weitere Angaben über eine Auskunft an Dritte weitergegeben werden, erfordert dies die Speicherung entsprechender Stammdaten.
  • Kundeninformation
    Möglicherweise sehen die Telekommunikationsunternehmen außerdem einen Bedarf, eine für einen Anschluß verantwortliche Person individuell schriftlich benachrichtigen zu können, z.B. im Fall einer Tarifänderung oder zur Information über häufig auftretende Störungen.
  • Störungsbeseitigung
    Ein Telekommunikationsunternehmen kann, zumindest bei Festnetzanschlüssen, geltend machen, daß es dauerhaft z.B. Name und Anschrift einer Person benötigt, die ihm im Fall einer Störung Zugang zu den in Privaträumen installierten Netzkomponenten (z.B. Leitungen oder Anschlußdosen) ermöglichen kann.
  • Hoheitliche Aufgaben
    Durch § 90 Abs.1 TKG werden Telekommunikationsdienstunternehmen, die geschäftsmäßig Telekommunikationsdienste anbieten, verpflichtet, Kundendateien zu führen, in denen Namen und Anschrift der Inhaber von Rufnummern oder Rufnummernkontingenten enthalten sind.

Der Einsatz von Speicher-Wertkarten oder bargeldähnlichem elektronischen Geld zur Vermeidung der Speicherung von Verbindungsdaten für Abrechnungszwecke ermöglicht zunächst nur eine Reduzierung der gespeicherten Stammdaten, insoweit diese ausschließlich für Abrechnungszwecke genutzt wurden, wie dies etwa bei der Bankverbindung der Fall sein dürfte. Soweit Stammdaten neben der Abrechnung auch noch einem oder mehreren anderen Zwecken dienen, ist eine Reduzierung dieser Stammdaten nur in dem Ausmaß möglich, wie sich auch die Stammdatenspeicherung für diese anderen Zwecke reduzieren oder vermeiden läßt. Hierzu ist im einzelnen festzustellen:

  • Hinsichtlich der für Rufnummernverzeichnisse und Auskunft genutzten Daten haben Kunden heute schon die Wahlmöglichkeit, ob sie ihre Daten für diese Zwecke bereitstellen wollen oder nicht.
  • Soweit es um Stammdaten geht, die der Kundeninformation dienen, ist vorstellbar, daß ein Kunde auf Speicherung seiner Stammdaten für derartige Zwecke verzichtet. Es müßte dabei jedoch sichergestellt sein, daß dieser Kunde die entsprechenden Informationen auf Wunsch erhalten kann; dies könnte z.B. mit Hilfe eines Telefondienstes erfolgen, der aktuelle Tarifinformationen und sonstige aktuelle Hinweise zum Abruf bereithält.
  • Daten für Zwecke der Störungsbeseitigung dürften allenfalls im Bereich des Festnetzes erforderlich sein.
  • Hinsichtlich der Vorschrift des § 90 Abs.1 TKG stellt sich die Frage, ob diese Vorschrift die Telekommunikationsunternehmen auch zur Bereitstellung von Daten über solche Kunden verpflichtet, über die das Unternehmen ansonsten keine personenbezogenen Daten gespeichert hat. Eine solche Auslegung des § 90 Abs.1 TKG stünde dem Angebot eines anonymen Telekommunikationsdienstes entgegen und widerspräche auch§ 89 Abs.2 Nr.1a, wonach Bestandsdaten nur für Telekommunikationszwecke gespeichert werden dürfen.

4.2.5 Datenminimierung bei Entgeltabrechnungen an Nebenstellenanlagen

Die in Nr. 4.2.3 und 4.2.4 dargestellten Möglichkeiten für die Minimierung von Verbindungs- und Bestandsdaten lassen sich aus technischer Sicht auch bei Anschlüssen realisieren, die über eine beispielsweise von einer Firma oder einer Behörde betriebenen Nebenstellenanlage mit dem öffentlichen Telekommunikationsnetz verbunden sind. Auch bei einer eigenen Gebührenverarbeitung kann der Umfang der gespeicherten Verbindungsdaten durch folgende Maßnahmen erheblich reduziert werden:

  • Für die Erhebung von Verbindungsdaten in Gebührencomputern ist der Grundsatz anzuwenden, nur die Daten zu speichern, die Basis für eine konkrete Auswertung sind.
  • Bereits bei der Übernahme von Verbindungsdaten wird die Erforderlichkeit einer weiteren Speicherung überprüft. Die Daten werden weitestgehend verdichtet und gleichzeitig in der TK-Anlage gelöscht.
  • Im Gebührencomputer sind im Regelfall nur noch die Gebühreneinheiten - ggf. fortlaufend addiert - zu speichern und Verbindungsdaten nur soweit wie sie später auch tatsächlich ausgewertet werden.
  • Bei der Speicherung von Daten über Dienstgespräche sind insbesondere Prinzipien der zufälligen Stichprobe anzuwenden.
  • Den Nutzerinnen und Nutzern von TK-Anlagen ist für die Abrechnung von Privatgesprächen das Wahlrecht einzuräumen auf Einzelnachweise zu verzichten. In diesen Fällen könnte auf die Speicherung der Verbindungsdaten oder zumindest auf deren regelmäßigen Ausdruck verzichtet werden.

4.2.6 Zusammenfassende Bewertung

Das Bezahlen von Telekommunikationsdienstleistungen mit Hilfe bargeldähnlichen elektronischen Geldes kann zur Datenvermeidung beitragen, sofern die Bezahlung jeweils unmittelbar nach Beendigung einer Telekommunikationsverbindung erfolgt. Elektronisches Geld kann auch eine wichtige Rolle spielen, wenn es um das bargeldlose Wiederaufladen von Speicher-Wertkarten geht, ohne dabei eine Bankverbindung angeben zu müssen.

Die Verwendung von im voraus bezahlten Chipkarten (Speicher-Wertkarten) schafft die technischen Voraussetzungen für Telekommunikationsdienste, bei deren Nutzung keine Verbindungsdaten zu Abrechnungszwecken gespeichert werden müssen.

Darüber hinaus ist auch die Stammdatenspeicherung für Abrechnungszwecke überflüssig z.B. bei Verzicht auf einen Grundpreis oder bei monatlicher Abbuchung über den T-Zähler. Verzichtet der Kunde ferner darauf,

  • daß sein Name und seine Rufnummer über eine Auskunft an Dritte weitergegeben werden,
  • daß sein Name und seine Rufnummer in öffentlichen Kundenverzeichnissen eingetragen werden und
  • daß seine Stammdaten für Zwecke der Kundeninformation verwendet werden,
so besteht im Festnetz unter Umständen lediglich noch ein Bedarf zur Stammdatenspeicherung für die Störungsbeseitigung beim Teilnehmeranschluß. Im Bereich des Mobilfunks ist ein entsprechender Bedarf nicht zu erkennen.


Zur Inhaltsübersicht

HANDLUNGSEMPFEHLUNG


 Letzte Änderung:
  am 03.08.98
mail to webmaster