Der Konzern soll die Rufdaten Zehntausender Kunden illegal gespeichert haben, wie es in einer Klage heißt.
Bei der österreichischen Datenschutzbehörde ist am Dienstag eine brisante Anzeige gegen die A1 Telekom Austria eingelangt. Anwalt Ewald Scheucher, der schon die umstrittene Vorratsdatenspeicherung vor dem Europäischen Gerichtshof gekippt hat, wirft dem Unternehmen darin vor, die Ruf- und Verbindungsdaten Zehntausender Kunden „ohne gesetzliche Grundlage, ohne Einwilligung der Betroffenen und zeitlich unbegrenzt zu speichern“. „Ohne Tätigwerden der Datenschutzbehörde besteht die Gefahr, dass sich die Zahl der Betroffenen, deren Grundrecht auf Datenschutz verletzt wird, stetig vergrößert“, heißt es in der Anzeige.
Betroffen sind Kunden von A1 Mobil, A1 Festnetz, Bob und Red Bull Mobile. Darunter sind nicht nur Tausende Privatpersonen, sondern zahlreiche namhafte Anwaltskanzleien, private und staatsnahe Unternehmen wie die ÖBB Infrastruktur, die SPÖ, die ÖVP Niederösterreich, die Landwirtschaftskammer NÖ, mehrere große Versicherungen, die Universitäten Wien, Salzburg und Klagenfurt, sowie der ORF und das Rote Kreuz.
Aus dem Jahr 2013
Laut der Sachverhaltsdarstellung wurden die Telekom- und Internetdaten ganz bestimmter Kunden abgespeichert und bis heute nicht gelöscht. Es betrifft Kundendaten aus den Jahren 2013, 2014, 2015 und jünger.
„Grundsätzlich ist eine Speicherung über einen längeren Zeitraum als sechs Monate rechtlich ein absolutes No-Go, außer es handelt sich zum Beispiel um einen anhängigen Rechtsstreit oder es liegt explizit eine Einwilligung des Kunden vor“, sagt Anwalt Scheucher zum KURIER. „Eine Speicherung dieser Kundendaten über einen Zeitraum von bis zu fünf Jahren ist aus meiner Sicht illegal.“
Ausgelöst wird diese fragwürdige „Vorratsdatenspeicherung“ bei der A1 Telekom dann, wenn ein Kunde sich über die Höhe einer Rechnung, über etwaige Fehler bei der Abrechnung von Dienstleistungen, über ein zu schnell verbrauchtes Datenvolumen oder eine zu langsame Datenverbindung beschwert. Dann wird von den Sachbearbeitern ein Bearbeitungsfall mit der Rufnummer des Kunden angelegt und die Daten des Anschlusses zusammengesammelt: Mit wem der Kunde wann und wie lang telefoniert hat und wer ihn angerufen hat; wem er SMS in welcher Länge geschickt hat und wer ihm solche Kurznachrichten im Gegenzug übermittelt hat.
Pornos angesurft
Der KURIER konnte in eine Datei mit insgesamt 14.328 Bearbeitungsfällen einsehen. Besonders pikant ist dabei, dass offenbar auch der Senderstandort des Handykunden abgefragt wird. Auch die Internetadressen der Kunden werden gespeichert, sprich alle Homepages, die der betroffene Kunde angesurft hat und wie lange er dort verweilte.
Im Bearbeitungsfall einer namhaften Druckerei (aus dem Jahr 2013) ist zum Beispiel ersichtlich, dass jemand Internet-Pornoseiten aufgesucht hat.
Der KURIER hat A1 mit den Vorwürfen konfrontiert. Der Konzern legt Wert auf die Feststellung, dass „bei A1 Datenschutz und Datensicherheit oberste Priorität haben“.
Interne Revision
„Deshalb nehmen wir die angeführten Vorwürfe sehr ernst und sind um umfassende Aufklärung bemüht. Dementsprechend wurde unmittelbar die interne Revision eingeschaltet“, heißt es in einer schriftlichen Stellungnahme an den KURIER. „Wir analysieren die unternehmensinternen Prozesse und werden, wenn notwendig, die erforderlichen Maßnahmen treffen.“
Die Anzeige könne A1 nicht kommentieren, da sie angeblich noch nicht vorliegt. Grundsätzlich sei zu sagen, heißt es weiter, „dass entsprechend den gesetzlichen Bestimmungen bei Einsprüchen und Verfahren Daten oft viel länger als drei Monate gespeichert werden müssen; nämlich solange die Abrechnung rechtlich angefochten werden kann bzw. bis eine endgültige Entscheidung vorliegt“. Laut A1 gelte das bis zu drei Jahre nach Beendigung des Verfahrens. Laut Anwalt Scheucher betrifft diese gesetzliche Ausnahmeregelung zum Beispiel formale Rechnungsanfechtungen, aber Kundenanfragen und -Beschwerden zur Rechnungshöhe oder zum Datenvolumen fallen nicht darunter.
Die Gesetzeslage
Laut Telekommunikationsgesetz 2003 dürfen Verbindungs- bzw. Verkehrsdaten nur zur Verrechnung von Entgelten gespeichert werden. Sie sind nach Bezahlung bzw. innerhalb von drei Monaten zu löschen oder zu anonymisieren.
Nur bei einem fristgerechten Einspruch gegen die Abrechnung, bei unbeglichenen Rechnungen oder Streitfällen bzw. Verfahren dürfen sie befristet gespeichert werden. Wörtlich heißt es dazu: „Der Umfang der gespeicherten Verkehrsdaten ist auf das unbedingt notwendige Minimum zu beschränken.