Dr. Axel Spies

USA: Weitergabe von Kundendaten durch Carrier


Die Federal Communications Commission (FCC) hat am 25.7.2002 neue Datenschutzregeln zur Nutzung und Weitergabe von Kundendaten erlassen. Die Regelung betrifft sog. Customer Proprietary Network Information (CPNI).

Vereinfacht gesagt, umfassen CPNI alle personenbezogenen Daten, die im Zusammenhang mit der Benutzung eines Telefons entstehen (z.B. welche Dienste der Kunde in Anspruch nimmt, wer von wem wann angerufen wird, die Dauer des Anrufs usw.). Eine genaue Definition von CPNI findet sich im U.S. Telecommunications Act (47 U.S.C. § 222(f)(1) i.V.m. § 222(h)(1)). Die neue FCC-Entscheidung wirft ein bezeichnendes Licht auf die unterschiedlichen Ansatzpunkte im Datenschutz auf beiden Seiten des Atlantiks. Die neuen Regeln - die komplette Entscheidung umfasst 112 Seiten - treten 30 Tage nach ihrer Veröffentlichung im US-Federal Register in Kraft.

Gem. Sec. 222 des U.S. Telecommuncations Act bedarf die Nutzung, Zugangsgewährung oder Offenlegung (disclosure) von CPNI grds. der Zustimmung des Kunden (approval). Eng definierte Ausnahmen bestehen u.a. für den Fall der Rechnungstellung und Beitreibung. Die Diskussion in den USA geht hauptsächlich um die rechtliche Interpretation des Begriffs "approval": Konkret: Bedarf die Weitergabe von CPNI der vorherigen Zustimmung des betroffenen Kunden (Opt-in-Modell) oder hat der Kunde nur die Möglichkeit, der Weitergabe zu widersprechen (Opt-out-Modell)? Ursprünglich hatte die FCC für die Weitergabe ein reines Opt-in-Modell vorgesehen, den Begriff "approval" also als "vorherige Zustimmung" interpretiert. Diese FCC-Entscheidung ("CPNI Order" v. 26.2.1998) hob jedoch das Berufungsgericht, der US Court of Appeals, Tenth Circuit, 1999 auf: Die Richter machten Bedenken nach dem First Amendment der US-Verfassung (Schutz der freien Rede) geltend. Diese Verfassungsvorschrift, so die Richter, schütze Carrier, die CPNI weitergeben wollen, vor einem reinen Opt-in-Modell. "Approval" umfasse auch die stillschweigende Zustimmung der Kunden mit der Folge, dass die Daten weitergegeben werden dürfen. Das Gericht führte aus, dass das First Amendment sich auch auf Kommunikation zwischen einem Unternehmen und dem Kunden beziehe (Commercial Speech) und das Unternehmen schütze, mit einem Kunden Kontakt aufzunehmen und Marketing zu betreiben. Das schließe auch die Weitergabe von CPNI ein.

Opt-in/Opt-out

Mit der neuen Entscheidung v. 25.7. 2002 versucht die FCC, auf der Grundlage eines langwierigen Konsultationsverfahrens den Bedenken des Gerichts Rechnung zu tragen. Besonders wichtig sind die neuen FCC-Regeln zur Weitergabe der CPNI an Dritte. Die FCC geht dabei einen Mittelweg, den sog. "Dual Opt-in/Opt-out Approach":

Opt-out (oder nach Wahl des Carriers "Opt-in") für CPNI, die ein Carrier einer Tochtergesellschaft oder der Muttergesellschaft weitergibt, vorausgesetzt, dass der Empfänger "kommunikationsbezogene" Dienste anbietet. Mit umfasst von der Regel sind Erfüllungsgehilfen des Carriers (third party agents) und Joint Venture-Partner, sofern die Parteien nach bestimmten Kriterien Vertraulichkeitsvereinbarungen über die CPNI treffen. Der Kunde muss vom Carrier über die Möglichkeit des Opt-out (Opt-in) vorab informiert werden (s.u.). Die Benachrichtigung muss periodisch mindestens alle zwei Jahre wiederholt werden. Das Opt-out/Opt-in muss kostenfrei sein und der Kunde muss den Status seines Opt-out (Opt-in) jederzeit erfahren können.

Opt-in (zwingend) für den Fall, dass die CPNI an sonstige Dritte weitergegeben werden. Dies schließt Tochtergesellschaften, die keine kommunikationsbezogenen Dienste erbringen, mit ein.

Darüber hinaus hat die FCC in der neuen Entscheidung bestimmt, dass die Benachrichtigung des Carriers an den Kunden mindestens folgenden Inhalt haben muss:

  • Ausdrücklicher Hinweis, dass der Kunde ein Recht auf den Schutz der Vertraulichkeit von CPNI hat und dem Carrier nach Bundesrecht die Pflicht obliegt, diese zu schützen.

  • Beschreibung des Zwecks, für den die CPNI benutzt werden sowie der Möglichkeit, dass der Kunde der Nutzung der CPNI jederzeit widersprechen kann.

  • Präzise und verständliche Beschreibung des Verfahrens, mit dessen Hilfe der Kunde die Nutzung der CPNI gestatten oder untersagen kann (s.o.).

  • Versicherung, dass die Versagung der Weitergabe von CPNI durch den Kunden keine negativen Auswirkungen auf die Bereitstellung von Diensten hat, die der Kunde vom Carrier bestellt hat.

  • Eine Beschreibung eventueller Konsequenzen, die eine Versagung der Genehmigung der Weitergabe von CPNI für den Kunden hat.

  • Alle Hinweise müssen in einem deutlichen, ausreichend großen Schrifttyp abgefasst sein und dürfen nicht in anderen Texten "versteckt" werden.

  • Falls die Hinweise in andere Sprachen als Englisch übersetzt werden, müssen alle Hinweise übersetzt werden.

FCC uneins

Die Entscheidung der FCC-Commissioners erging nicht einstimmig. Zur Begründung der Mehrheitsentscheidung führt deren Vorsitzender Michael Powell aus, dass der Konsument bei einer Weitergabe innerhalb der ersten Fallgruppe einen "reduzierten Erwartungshorizont" hinsichtlich des Schutzes seiner CPNI habe: "... we conclude, albeit somewhat reluctantly, that under the court's constitutional analysis, companies may satisfy the somewhat less stringent requirement of giving consumers the chance to ,opt-out` of intracompany communications-related use of CPNI... This mixed approach we adopt here tracks evidence on the record that consumers have a reduced expectation of privacy regarding CPNI where this information is used by their existing carriers to market services customarily offered by telephone companies, such as voicemail and Internet access. This approach also comports with decisions by other appeals courts, at least one of which has required opt-in consent for some purposes and opt-out consent for others."

Hingegen kritisiert der bei der Abstimmung unterlegene FCC Commissioner Michael Copps in seiner Stellungnahme die Mehrheitsentscheidung heftig. Durch das Opt-out-Modell werde das Unternehmen faktisch zum Herr der personenbezogenen Daten des Kunden. "Approval" setze eine auf informierter Grundlage abgegebene Willenserklärung des Kunden voraus (informed and deliberate response). Nur das Opt-in-Modell gewährleiste, dass der Kunde die Informationen des Carriers über die Weitergabe von Daten auch lese und verstehe. Die Unternehmen seien demgegenüber nicht schutzwürdig; Kundenmarketing, das auf die Nutzung personenbezogener Daten basiere, sei gefährlich: "Today information technologies can monitor what we do, who we talk with, what we buy, what organizations we belong to, what political activities we undertake, what gods we worship. We may have avoided Orwell's 1984, but the threat of technology intrusion into our private lives is not only real - it is growing."

Neue FCC-Anhörung

Mit dieser Entscheidung ist das Thema CPNI keinesfalls ad acta gelegt. Die FCC ersucht nunmehr alle interessierten Parteien, zu einer Reihe von Themen und Fragestellungen i.R.e. öffentlichen Konsultation Stellung zu nehmen. Die wichtigsten Themen der Konsultation sind:

  • Zugriff auf CNPI von US-Kunden vom Ausland aus und Speicherung von CPNI ebendort? (Offensichtlich hat das FBI hiergegen bei der FCC Sicherheitsbedenken angemeldet und fordert, dass zumindest Kopien der CPNI in den USA vorhanden sein müssen.)

  • Mechanismen und Sicherungsmaßnahmen zur Durchsetzung der Vertraulichkeit von CPNI.

  • Erwerb der Daten durch Dritte und Benachrichtigungspflichten ggü. dem Kunden (insb. im Fall der Insolvenz des Carriers).

  • Verfassungsmäßigkeit von evtl. weitergehenden Weitergabebeschränkungen, die CPNI betreffen.

  • Die Kommentierungsfrist endet 30 Tage nach Veröffentlichung der CPNI-Regeln im US-Federal Register.

Quelle: FCC 02-214 Telecommunications Carriers' Use of Customer Proprietary Network Information and Other Customer Information, adopted 07/16/02, released 07/25/02, abrufbar unter: http://www.fcc.gov.

RA Dr. Axel Spies, Swidler, Berlin, Shereff, Friedman, LLP, Washington DC.


MMR 2002, Heft 9, XXIV