Dr. Axel Spies

USA: Neues zu Telefondaten und Kampf den «Data Brokern»


Heiß diskutiert wird in den USA derzeit, ob dem Handel mit Telefondaten - insb. mit Mobilfunkdaten (Anruflisten, angerufene Teilnehmer, Uhrzeit usw.) - ein Riegel vorgeschoben werden soll. Diese Daten sind in den USA relativ einfach erhältlich und werden z.B. von Scheidungsanwälten und Detektiven (sog. Private Eyes) genutzt.

Eine Suche über Google mit dem Begriff "Cell Phone Records" ergibt rund 136.000 Einträge, darunter zahlreiche "Data Brokers", die diese Datensätze an Private verkaufen. Das Problem ist, wie die Debatte erweist, keinesfalls auf Mobilfunkdaten begrenzt.

Gesprächsdaten des Generals für US-$ 89 erworben

Daten von lokalen Festnetzgesprächen sind üblicherweise nicht erhältlich, da sie in den USA nicht für Abrechnungszwecke gespeichert werden, wohl aber die Mobilfunkdaten. So wurde kürzlich bekannt, dass ein Blogger die Anrufdaten des früheren Generals und Präsidentschaftskandidaten Wesley Clark für nur US-$ 89.- "legal" gekauft habe. Auch für die Polizisten in den USA sind Data Broker mittlerweile ein ernstzunehmendes Problem geworden: Das FBI berichtet, dass es einem Data Broker bei verdeckten Ermittlungen kürzlich US-$ 160.- gezahlt habe, um herauszufinden, ob der Broker die Mobilfunkdaten eines Agenten liefern könne - der Broker lieferte die kompletten Daten innerhalb von drei Stunden! Die Data Broker arbeiten in einer rechtlichen Grauzone - manche geben sich ggü. den Telefonanbietern als Kunden aus, um von ihnen Datensätze zu erhalten. Als Hintergrund muss man wissen, dass es in den USA keine mit dem deutschen "Volkszählungsurteil" vergleichbare höchstrichterliche Entscheidung zu einem Datenschutzgrundrecht gibt und der Begriff "Data Protection" weitgehend unbekannt ist - der in der USA übliche Begriff "Privacy" ist keineswegs mit "Datenschutz" zu übersetzen. Darüber hinaus haben die Bundesgesetze in den USA bei weitem nicht die Reichweite von Bundesgesetzen in Deutschland, da den US-Bundesstaaten gerade im kommerziellen Sektor erhebliche Kompetenzen von der US-Verfassung zugemessen werden. D.h., es gibt eine Vielzahl von einzelstaatlichen Regeln, die bestimmte Aspekte des Datenschutzes umfassen. Datenschutzbehörden im europäischen Sinne gibt es nicht, mit Ausnahme vielleicht von Kalifornien (California Office of Privacy Protection and Department of Consumer Affairs). Schließlich ist es nach dem US-Verfassungsrecht rechtlich schwierig - manche sagen sogar völlig unmöglich -, aus dem durch viele höchstrichterliche Entscheidungen anerkannten Verfassungsprinzip der US-"Privacy" Datenschutzrechte zwischen Privaten herzuleiten. Von vielen in den USA wird Datensammeln, sog. "Data Mining", als legitime und von der US-Verfassung gedeckte Wirtschaftstätigkeit angesehen, die den wirtschaftlichen Nutzen der Datensammlungen fördere und letztendlich Mehrwert schaffe, der über Steuern und Abgaben schließlich allen zugute kommt.

US-Gesetzgeber auf den Plan gerufen

Auf Grund der geschilderten Vorkommnisse bei der Polizei wird in Illinois z.Zt. ein Gesetzentwurf gegen den Verkauf von TK-Daten erörtert. Andere Bundesstaaten werden wohl folgen. Auf Bundesebene hat Senator Chuck Schumer (D-NY), unterstützt von Senator Bill Nelson (D-FL) am 18.1.2006 einen Gesetzesentwurf zu einem "Consumer Telephone Records Protection Act" im Senat eingebracht, der Data Brokern zumindest im Bereich von Mobilfunkdaten das Handwerk legen soll. Schumer schlägt u.a. vor, die unberechtigte Weitergabe von Mobilfunkdaten mit einer Geldstrafe von US-$ 250.000.- und/oder Gefängnis bis zu fünf Jahren zu belegen. Die Strafe träfe jeden, der versucht, unberechtigt oder sonst unter falschem Vorwand "vertrauliche Telefondaten" (confidential telephone record information) zu erwerben. Der Gesetzentwurf kreiert ein neues Wort - "pretexting" - für Fälle, in denen Data Broker unter dem Vorwand, Kunde zu sein, versuchen, von TK-Anbietern Kundendaten zu erwerben. Eine Anhörung des Senats hierzu fand Anfang Februar 2006 statt. Ein ähnlicher Gesetzesvorschlag wurde von den Abgeordneten Inslee und Blackburn im US-Repräsentantenhaus eingebracht. Kritiker der Maßnahme fürchten negative Auswirkungen auf den Handel und warnen vor unüberlegten Schnellschüssen - das Thema Schutz der Kundendaten im Bereich der Telefonie müsse grds. angepackt und gelöst werden. Ob es aber zu einer weitreichenden Regelung des Datenschutzes in Form eines Bundesgesetzes, in etwa vergleichbar mit dem BDSG in Deutschland, kommt, ist allerdings sehr unwahrscheinlich. Mitglieder des Commerce Committee des US-Repräsentantenhauses haben sich nach einer öffentlichen Anhörung an mehrere Data Broker gewandt. Sie fordern detaillierte Kundenlisten, eine Übersicht über die Methoden zum Erwerb von persönlichen Daten, Informationen über die vertraglichen und gesetzlichen Grundlagen für den Datenerwerb, Unterlagen über Anfragen/Beschlagnahmen von Kundendaten durch Staatsanwaltschaften und andere Sicherheitsbehörden sowie nähere Informationen über das Einholen von Zustimmungen der Personen, deren Daten gesammelt werden. Die betroffenen Data Broker zeigten sich "perplex" ob dieser Auskunftsverlangen. Einige Data Broker haben schon mitgeteilt, dass sie der Aufforderung nicht nachkommen werden. Sie verteidigen sich u.a. damit, dass diese Daten gar nicht der Öffentlichkeit, sondern nur bestimmten Kunden (Banken, Versicherungen usw.) zur Verfügung stünden, z.B. um Versicherungsbetrug aufzudecken oder allein zu Zwecken der Bonitätsprüfung.

FCC wird aktiv

Der Vorsitzende der FCC, Martin, hat ebenfalls angekündigt, sich der Sache anzunehmen und die Verwaltungsvorschriften der FCC so zu ergänzen, dass der Verkauf sog. "Cell Phone Call Logs" unterbunden wird. Neue Gesetze seien hierfür nicht erforderlich. Das Electronic Privacy Information Center (EPIC) hat einen Antrag bei der FCC eingereicht, die Regeln zu verschärfen und gegen den unrechtmäßigen Verkauf von Mobilfunkdaten durch Data Broker rigoroser als bisher vorzugehen. Die US Mobilfunkanbieter Cingular und Sprint haben bereits Urteile gegen unberechtigte "Data Broker" erwirkt.

Als ersten Schritt hat das Enforcement Bureau der FCC am 30.1.2006 von allen Carriern gefordert, dass sie Bericht über die Nutzung ihrer zu Abrechnungszwecken gespeicherten Kundendaten (Customer Proprietary Network Information - CPNI - s. Kasten) erstatten (Compliance Certificate nach Section 64.2009(e) der FCC-Regeln). Die Frist für die Einreichung der Berichte betrug für die Carrier nur eine Woche. Die genannte FCC-Regel besagt, dass ein vertretungsbefugter Manager der Gesellschaft jährlich einmal schriftlich bestätigen muss, dass die Gesellschaft die für die Nutzung von CPNI einschlägigen Regeln einhält.

CPNI (Customer Proprietary Network Information):

  • information contained in customer bills for telecommunications service,

  • information that relates to the quantity, technical configuration, type, destination, location, and amount of use for telecommunications services by any customer, which is made available to the carrier by the customer solely by virtue of the carrier-customer relationship.

Sicherung und Schutz der CNPI nach den FCC-Rules (Übersicht):

  • A system by which the status of a customer's CPNI approval must be clearly established prior to the use of CPNI.

  • Maintenance of records for at least one year of a carrier's sales and marketing campaigns using CPNI (including a description of each such campaign, the dates and purpose of the campaign, the specific CPNI used, and the products and services offered).

  • Training of personnel as to when they are and are not authorized to use CPNI, and an express disciplinary procedure.

  • Implementation of a supervisory review process regarding carrier compliance for out-bound marketing which specifically includes supervisory approval of all out-bound marketing proposed by sales personnel, and maintenance of records of compliance for at least one year.

Quelle: FCC CPNI Safeguards (47 C.F.R. § 64.2009)

Weiterhin muss die Gesellschaft eine Beschreibung einreichen, wie sie CPNI verwaltet. Gegen die Bescheide des Enforcement Bureau hat der US-Verband CompTel mittlerweile Beschwerde eingelegt mit dem Argument, das Bureau habe seine gesetzlich zugemessenen Kompetenzen überschritten.

Gleichzeitig geht das FCC Enforcement Bureau derzeit nach Jahren des Zusehens mit fast atemberaubender Geschwindigkeit gegen Verletzungen der CPNI-Regeln vor. Am 25.1.2006 hat das Bureau von AT&T und dem TK-Anbieter Alltel innerhalb von 48 Stunden Auskunft verlangt, ob diese Unternehmen i.S.d. FCC-Regel 64.2009(e) ihre CPNI sichern. Zwei Tage später reichte AT&T ein von ihrer neuen Muttergesellschaft SBC unterzeichnetes Schreiben bei der FCC mit der entsprechenden Bestätigung ein, jedoch keine Bestätigung der AT&T Corp. Alltel reichte innerhalb dieser sehr kurz bemessenen Frist nur eine sehr allgemein gehaltene Stellungnahme zum Gebrauch von CPNI bei der FCC ein. Schon am nächsten Tag, dem 30.1.2006, stellte das Enforcement Bureau beiden Gesellschaften Strafbescheide - sog. Notices of Apparent Liability for Forfeiture (NALF) - über je US-$ 100.000.- mit der Begründung zu, dass die Unternehmen die einschlägigen FCC-Regeln nicht eingehalten hätten. Etwas pathetisch schrieb das Bureau: "... there may be no more important obligation on a carrier's part than protection of its subscribers' proprietary information. Consumers are increasingly concerned about the security of their sensitive, personal data . . . Given the increasing concern about the security of this data, and evidence that the data appears to be widely available to third parties, we must take aggressive, substantial steps to ensure that carriers implement necessary and adequate measures to protect their subscribers' CPNI, as required by the Commission's existing CPNI rules." Insb. Alltel wurde von der FCC an den regulatorischen Pranger gestellt, weil es die FCC-Regeln zu den CPNI "offensichtlich nicht ernst genommen" habe. Die Widerspruchsfrist beider Unternehmen gegen die Entscheidung läuft am 1.3.2006 ab.

Auch nicht als "Carrier" lizenzierte TK-Unternehmen geraten neuerdings verstärkt ins Visier der FCC: Seit November hat die FCC gegen eine Reihe von Data Brokern Zwangsbescheide (sog. sub-poenas) erlassen - "seeking to obtain information concern[ing] call detail and other [CPNI]" that the data brokers "may be obtaining from telecommunications providers, in apparent violation of Section 222 of the Communications Act ... and the Commission's [CPNI] rules." Obwohl der US-Telecommunications Act und die FCC-Regeln bislang nur die Weitergabe von CPNI durch "Carrier" verbieten, hat die FCC nach den Regeln auch die Befugnis, auch gegen Dritte zur Beweissicherung Zwangsbescheide (sub-poenas) zu erlassen. Gegen zwei der Unternehmen, die die Webseiten "LocateCell.com" und "DataFind.org" betreiben, wurden bereits Strafbescheide von je US-$ 100.000.- erlassen und weitere Strafmaßnahmen angedroht, weil sie den Zwangsbescheiden nicht nachgekommen sind. Die FCC hat ein neues Verfahren (Notice of Public Rulemaking) zum Thema CPNI angekündigt.

Weitgehende Informationspflichten für Data Broker

In anderem Zusammenhang hat die Federal Trade Commission (FTC) kürzlich eine hohe Strafe verhängt, nämlich i.H.v. US-$ 10 Mio. Geldstrafe zzgl. US-$ 5 Mio. Schadensersatz für die Kunden. Betroffen war die Gesellschaft ChoicePoint Inc. - eine zertifizierte "Consumer Reporting Agency" aus Atlanta. Der U.S. District Court for the Northern District of Georgia hat diese Strafe gebilligt (United States v. ChoicePoint Inc., N.D. Ga., No. 06-cv-00198, 1/26/06). Überdies musste sich Choice Point verpflichten, ein Informationssicherheitsprogramm und Training für die Mitarbeiter intern umzusetzen. Choice Point hatte zahlreiche personenbezogene Daten zu Zwecken der Kreditauskunft gesammelt (Name, Geburtsdatum, Sozialversicherungsnummer, Bonitätsdaten usw.), die dann Dritten unberechtigterweise zugänglich gemacht wurden, die unter falschem Vorwand die Daten von ChoicePoint, Inc. abgerufen hatten. Ungefähr 800 Personen wurden daraufhin Opfer von "Identity Theft". Es kam zu einer Class Action der Opfer gegen die Gesellschaft und zu von der FTC angeordneten Durchsuchungen bei der Gesellschaft. Die Kläger behaupteten, die Gesellschaft hätte bessere Kontrollmaßnahmen einrichten müssen, um die unberechtigte Datenweitergabe zu unterbinden. Sie hatten damit Erfolg.

Auf Ebene des Gesetzgebers gehen zahlreiche Bestrebungen dahin, die Aufdeckung und Benachrichtigung von Verletzungen der Datensicherheit (security leaks, data violations) den Unternehmen zur Pflicht zu machen. In rd. 20 Bundesstaaten z.B. ist diese Pflicht schon in "Privacy Acts" verankert. Möglicherweise kommt es bald zu einem rechtsvereinheitlichenden Bundesgesetz zu diesem speziellen Problemkreis, das es bislang nicht gibt.

RA Dr. Axel Spies, Bingham & McCutchen, Washington DC.

Quellen: Allgemein zu den FCC-Maßnahmen: www.fcc.gov; Warnung des Chicago Police Department: http://www.suntimes.com/output/news/cst-nws-privacy05.html; http://www.suntimes.com/cgi-bin/print.cgi?getReferrer=http:/www.suntimes.com/output/news/cst-nws-cell06.html:; Cell Phone Records: http://www.informationweek.com/blog/main/archives/2006/01/for_sale_your_p.html; Communications Daily v. 17.1.2006, S. 5 f.; http://www.cbsnews.com/stories/2006/01/12/eveningnews/main1206518.shtml; Temporary Restraining Order from the U.S. District Court in Atlanta; GA, Cingular v. Data Find Solutions, Inc. and 1st Source Information Specialists, Inc.: http://biz.yahoo.com/prnews/060113/clf058.html?.v=19.


MMR 2006, Heft 3, IX