Telekommunikationsgesetz (TKG)

Nationale Regelung

Adressat: Das TKG ist von allen Unternehmen zu beachten, die in ihrem Betrieb Telekommunikationseinrichtungen unterhalten.

Relevante Normen: § 85, § 93, § 100, § 107, § 109, § 109a, § 110, § 113d, § 113e, § 115

Regelungsgehalt

Allgemein:

Das Telekommunikationsgesetz (TKG) regelt ausschließlich die technische Signalübertragung im Bereich der Telekommunikation. Hierbei verfolgt der Gesetzgeber ausweislich des § 1 TKG drei Hauptziele: Stärkung des Wettbewerbs, Förderung leistungsfähiger Telekommunikationsinfrastrukturen und Schaffung von Universaldienstleistungen. Das TKG regelt in Abgrenzung zum TMG den technischen Vorgang des Aussendens, Übermitteln und Empfangens von Signalen, § 3 Nr. 22 TKG. Den Regelungen des TKG sollten alle kleinen und mittelständischen Unternehmen Beachtung schenken, die selbst – und hierbei handelt es sich sicherlich um die große Mehrheit – Telekommunikationseinrichtungen in ihrem Betrieb unterhalten. Insbesondere deswegen, da nach der wohl noch herrschenden Meinung ein Arbeitgeber Diensteanbieter im Sinne des TKG ist, wenn er den Arbeitnehmern die Nutzung der betrieblichen Kommunikationsmittel nicht nur zu ausschließlich betrieblichen, sondern auch privaten Zwecken gestattet.[1]

§ 85:

Unternehmen die zur Erbringung von Universaldienstleistungen verpflichtet sind, d.h. der Sicherstellung eines Mindestangebots an Diensten für die Öffentlichkeit (§ 78 Abs. 1 TKG), haben dieses grundsätzlich aufrecht zu erhalten und sind nur in Ausnahmesituationen berechtigt die Erbringung zu unterbrechen, § 85 Abs. 1 TKG. Gemäß § 85 Abs. 2 Nr. 2 TKG ist ein derartiger Erlaubnistatbestand dann erfüllt, wenn eine Unterbrechung des Dienstes nötig ist, um die Netzintegrität zu gewährleisten. Hierunter können auch schädliche Angriffe auf die IT-Infrastruktur gefasst werden.[2]

§ 93:

§ 93 TKG regelt die gegenüber den Teilnehmern der Kommunikation bestehenden Informationspflichten. Zumindest bis zur Geltungserlangung der DS-GVO im Mai 2018 stellte die Regelung bereichsspezifisches Datenschutzrecht dar und beruht zumindest in Teilen auf einer Umsetzung der ePrivacy-RL. Anzumerken ist, dass § 93 Abs. 1 TKG (im Gegensatz zu § 93 Abs. 2 TKG wohl inzwischen durch Art. 13 und 14 DS-GVO in großen Teilen verdrängt wurde.[3]

§ 100:

§ 100 TKG erlaubt es dem Diensteanbieter, Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer zur Störungsbeseitigung, aufgrund eines befürchteten internen oder externen Cyberangriffs, zu erheben und zu verwenden (also speichern und verarbeiten), soweit dies erforderlich ist. Bestandsdaten sind in § 3 Nr. 3 TKG legaldefiniert. Hierunter sind die Daten eines Teilnehmers (das ist der Vertragspartner) zu verstehen, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden. Dazu zählen insbes. Name, Anschrift und  Kontoverbindung.[4] Verkehrsdaten im Sinne von § 3 Nr. 30 TKG betreffen demgegenüber die einzelne Nutzung, werden also bei jeder einzelnen Nutzung neu vergeben.[5] Hierzu gehören beispielsweise, nach mittlerweile gefestigter Rechtsprechung, dynamische IP-Adressen.[6] Wichtig ist, dass die erhobenen Daten nur verwendet werden dürfen, um der abstrakten Gefahr einer Beeinträchtigung entgegen zu wirken.

Das IT-Sicherheitsgesetz hatte den in § 100 Abs. 1 TKG bereits bestehenden Erlaubnistatbestand zur Klarstellung dahingehend ergänzt, dass er auch Störungen erfasst, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können. Damit die weitreichenden Befugnisse des Diensteanbieters keine „Einführung der Vorratsdatenspeicherung durch die Hintertür“ bedeutet, ist es angebracht, sich noch einmal die höchstrichterliche Rechtsprechung zu Speicherzeiträumen zu vergegenwärtigen.[7] Der BGH hatte bspw. die Speicherung einer IP-Adresse zur Behebung einer Störung über § 100 Abs. 1 TKG a. F. für die Dauer von sieben Tagen (noch) für zulässig erachtet, gleichzeitig aber auch noch einmal klargestellt, dass die Speicherdauer nicht das zur Erreichung der Zwecke der Norm notwendige Maß überschreiten dürfe.[8] Diesen Gedanken sollten Diensteanbieter auch bei der Anwendung  des neuen § 100 Abs. 1 TKG berücksichtigen. Stets beachtet werden muss der Grundsatz der Verhältnismäßigkeit.

Außerdem kann der Betreiber oder ein von ihm Beauftragter unter den Voraussetzungen des § 100 Abs. 2 TKG auf bestehende Verbindungen aufschalten. Ein solches Aufschalten ist zulässig, um Umschaltungen durchzuführen oder Störungen im Netz zu erkennen und einzugrenzen. Dabei entstehende Aufzeichnungen sind unverzüglich nach Abschluss der Arbeiten wieder zu löschen. Der Betroffene muss hiervon schon während der Maßnahme durch ein akustisches oder sonstiges Signal in Kenntnis gesetzt werden. Auch darf der Diensteanbieter unter den engen Voraussetzungen des § 100 Abs. 3 TKG zur Sicherung seines Entgeltanspruches die Bestandsdaten und Verkehrsdaten verwenden, um eine rechtswidrige Inanspruchnahme des Telekommunikationsnetzes oder -dienstes aufzudecken oder zu unterbinden. Liegen die Voraussetzungen des § 100 Abs. 3 S. 1 TKG vor, ist es dem Diensteanbieter als ultima ratio zudem gemäß § 100 Abs. 4 TKG gestattet, Steuersignale zu erheben und zu verwenden.

§ 107:

Muss der Diensteanbieter zur Durchführung der Kommunikation Daten zwischenspeichern, so hat er gem. § 107 Abs. 2 S. 1 TKG die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um Fehlübermittlungen auszuschließen. Diese Maßnahmen müssen in ihrem Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck (Schutz des Fernmeldegeheimnisses) stehen.[9]

§ 109:

Gemäß § 109 Abs. 1 TKG hat jeder Diensteanbieter (§ 3 Nr. 17a TKG) die nötigen und dem Stand der Technik entsprechenden technischen und organisatorischen Maßnahmen zu ergreifen, die erforderlich sind, um zum einen das Fernmeldegeheimnis zu schützen und zum anderen den Schutz von personenbezogenen Daten sicherzustellen. Weitergehende Schutz- und Informationspflichten treffen Betreiber öffentlich zugänglicher Telekommunikationsnetze. Die Norm dient dem Datenschutz und dem Schutz von Individualinteressen.

§ 109 Abs. 2 TKG statuiert eine Pflicht für den Betreiber öffentlicher TK-Netze (§ 3 Nr. 16a TKG) und den Diensteanbieter, Schutzvorkehrungen gegen Störungen, auch durch äußere Angriffe oder Katastrophen, sowie generelle Maßnahmen zur Gewährleistung von IT-Sicherheit zu treffen. Durch das IT-Sicherheitsgesetz wurde der „Stand der Technik“ als Maßstab in § 109 Abs. 2 TKG aufgenommen, sodass die dort bezeichneten IT-Sicherheitsmaßnahmen und Vorkehrungen ein höheres Maß an Aktualität erreichen dürften.

Bei gemeinsamer Nutzung eines Standortes oder von technischen Einrichtungen hat nach § 109 Abs. 3 TKG jeder Betreiber der Anlage den oben angegebenen Verpflichtungen aus Abs. 1 und 2 nachzukommen, soweit bestimmte Verpflichtungen nicht einem Beteiligten zugeordnet werden können.

§ 109 Abs. 4 TKG verpflichtet Betreiber und Diensteanbieter zur Benennung eines Sicherheitsbeauftragten sowie zur Erstellung eines Sicherheitskonzepts. Die Umsetzung von Letzterem wird aufgrund des IT-Sicherheitsgesetzes nunmehr alle zwei Jahre überprüft. Für die Überprüfung ist die Bundesnetzagentur zuständig. Sie kann hierzu nötigenfalls auf die Kontrollmechanismen und Sanktionsinstrumentarien des § 115 TKG zurückgreifen, mithin unter anderem Bußgelder verhängen oder bei schweren Verstößen notfalls Anlagen schließen.

§ 109 Abs. 5 TKG normiert die Pflicht zur Meldung von Störungen. Hierzu gehören aufgrund des IT-Sicherheitsgesetzes auch die Störungen, die zu beträchtlichen Sicherheitsverletzungen der datenverarbeitenden Systeme der Endnutzer führen können. Zu melden wären beispielsweise wohl Vorfälle, bei denen wichtige personenbezogene Daten wie Bankverbindungen oder Gesundheitsdaten gefährdet sind.[10]

Die beschriebene Aufnahme des „Stands der Technik“ in das Gesetz stärkt auch die Verbindlichkeit des IT-Sicherheitskataloges nach § 109 Abs. 6 TKG. In Zukunft werden bei der Erstellung dieses Kataloges das BSI und der Bundesdatenschutzbeauftragte eine größere Rolle spielen; nunmehr braucht die Bundesnetzagentur hierzu deren „Einvernehmen“ und nicht mehr allein deren „Benehmen“.

§ 109 Abs. 7 TKG regelt das Recht der Bundesnetzagentur, Sicherheitsaudits durch Dritte durchführen zu lassen. Sowohl über die im Rahmen dieser Audits aufgedeckten Mängel und über die angeordneten Abhilfemaßnahmen muss das BSI gemäß § 109 Abs. 8 TKG informiert werden. Diese Informationspflicht liegt dann allerdings nicht mehr beim Betreiber der Anlage, sondern bei der Bundesnetzagentur.

§ 109a:

Besonders umfassende Verpflichtungen treffen einen Betreiber öffentlich zugänglicher Telekommunikationsdienstleistungen im Falle eines IT-Sicherheitsvorfalls. Werden bei einem Vorfall personenbezogene Daten kompromittiert, hat er dies gem. § 109a Abs. 1 TKG der Bundesnetzagentur sowie dem Bundesbeauftragten für den Datenschutz zu melden. Im Falle einer schwerwiegenden Verletzung ist im Übrigen auch der Betroffene selbst zu kontaktieren und Informationen über die Art der Verletzung des Schutzes personenbezogener Daten bereitzustellen, Angaben zu einer Kontaktstelle vorzuhalten sowie Empfehlungen zu schadensmildernden Maßnahmen vorzuschlagen, § 109a Abs. 2 TKG.

Weitergehend wird der Betreiber verpflichtet, Verletzungen des Schutzes personenbezogener Daten aussagekräftig zu protokollieren, um den staatlichen Behörden eine Überprüfung der getroffenen Maßnahmen zu ermöglichen, § 109a Abs. 3 TKG. Hierbei sind insbesondere folgende Informationen festzuhalten:

  • Umstände der Verletzungen
  • Auswirkungen der Verletzungen
  • Ergriffene Abhilfemaßnahmen

Ergänzend hierzu legt der neue § 109a Abs. 4 TKG dem Anbieter öffentlich zugänglicher TK-Dienste eine Hinweispflicht bei Störungen auf, die von den Datenverarbeitungssystemen der Nutzer ausgehen. Ein solcher Fall dürfte beispielsweise vorliegen, wenn ein Nutzer durch ein abrupt auftretendes explodierendes Datenvolumen auffällt, und Anhaltspunkte bestehen, dass sich auf dessen Computer ein Trojaner befindet.[11] Der Anbieter muss in dem Fall aktiv werden, seinen Kunden von dem Vorfall in Kenntnis setzen und – in allgemeiner Form – Hinweise zur Beseitigung der Störung geben, § 109 Abs. 4 S. 2 TKG. Nicht geschuldet ist die individuelle Untersuchung der Hardware des Nutzers (Gesetzesbegründung, S. 36.). Ausreichen könnte etwa ein Verweis zu einer Webseite, die Hinweise auf entsprechende Hilfsmittel (Antiviren-Software o. ä.) enthält.[12] Soweit dies nötig ist, kann im Übrigen eine Nutzung der Telekommunikationseinrichtungen des Nutzers bis zur Behebung der Störung eingeschränkt bzw. unterbunden werden, § 109a Abs. 5 TKG.

Der neue § 109a Abs. 4 TKG dürfte wohl – ähnlich wie der neue § 13 Abs. 7 TMG – als eine IT-Sicherheitsvorschrift nicht allein für die Betreiber von Kritischen Infrastrukturen relevant sein. Denn zum einen fällt unter einem öffentlich zugänglichen TK-Dienst ein öffentlicher WLAN-Hotspot (z. B. Hotspots auf Flughäfen, in Cafés, Hotels usw.)[13], zum anderen ist auch der Anbieterbegriff nach § 3 Nr. 6 TKG vergleichsweise weitgefasst. In erster Linie unterfallen dem Anbieterbegriff bereits begriffsnotwendig klassische Telekommunikationsanbieter; erfasst werden jedoch auch beispielsweise auch der Anbieter eines offenen WLANs[14] und/oder sogar dessen Hilfspersonen[15].

Eine Nichtbeachtung der Informationspflicht nach § 109a Abs. 4 TKG bleibt nicht folgenlos, sondern kann eine Haftung nach §§ 44, 44a TKG gegenüber Nutzern und Mitbewerbern nach sich ziehen.[16]

§ 110:

Genauere Einzelheiten, welche Vorgaben bei der technischen Umsetzung von Überwachungsmaßnahmen für Betreiber von Telekommunikationsmaßnahmen zu beachten sind regelt § 110 TKG. Diese sind seitens der Betreiber auf eigene Kosten umzusetzen. Sollte der Erbringer öffentlich zugänglicher Telekommunikationsdienste keine eigenen Anlagen unterhalten ist er verpflichtet, bei der Auswahl des Dritten darauf zu achten, dass dieser den gesetzlichen Vorgaben des § 100 TKG genügt, § 100 Abs. 1 S. 2 TKG.[17]

§ 113d:

Erbringer von öffentlich zugänglichen Kommunikationsdienstleistungen mit der Verpflichtung zur Speicherung von Daten (§§ 113a und 113b TKG) haben nach § 113d TKG durch Vorhaltung technisch, organisatorischer Maßnahmen sicherzustellen, dass auch im Falle eines IT-Sicherheitsvorfalls eine Kenntnisnahme und Verwendung der Daten durch Dritte unterbleibt. § 113d TKG sieht hierfür insbesondere folgende Maßnahmen vor:

  • den Einsatz eines besonders sicheren Verschlüsselungsverfahrens,
  • die Speicherung in gesonderten, von den für die üblichen betrieblichen Aufgaben getrennten Speichereinrichtungen,
  • die Speicherung mit einem hohen Schutz vor dem Zugriff aus dem Internet auf vom Internet entkoppelten Datenverarbeitungssystemen,
  • die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf Personen, die durch den Verpflichteten besonders ermächtigt sind, und
  • die notwendige Mitwirkung von mindestens zwei Personen beim Zugriff auf die Daten, die dazu durch den Verpflichteten besonders ermächtigt worden sind.

§ 113e:

Bereichsspezifische Datenschutzregelungen trifft § 113e TKG. Hiernach hat der vorgenannte zur Speicherung von Daten verpflichtete Erbringer von Telekommunikationsdienstleistungen sicherzustellen, dass zur Kontrolle eines hinreichenden Datenschutzes das Lesen, Kopieren, Ändern, Löschen und Sperren der Daten jeweils protokolliert wird. Hierbei muss der Betreiber folgendes protokollieren:

  • der Zeitpunkt des Zugriffs,
  • die auf die Daten zugreifenden Personen,
  • Zweck und Art des Zugriffs

§ 115:

Die Einhaltung der Sicherheitsrechtlichen Vorgaben des TKG wird seitens der Bundesnetzagentur bzw. im Falle des Datenschutzes von dem Bundesbeauftragten für den Datenschutz überwacht. Zu diesem Zweck können seitens der staatlichen Stellen Anordnungen und andere Maßnahmen getroffen werden, um den Betreiber zu rechtskonformen Verhalten anzuhalten, § 115 Abs. 1 TKG. Die Auswirkungen rechtsverletzenden Verhaltens können für den Betreiber empfindliche Nachteile nach sich ziehen. Es ist nicht nur möglich, dass Zwangsgelder in – je nach Art der Verletzung – Höhe von bis zu 500.000 Euro verhängt werden, vielmehr sieht § 115 Abs. 3 TKG als ultima ratio und bei besonders groben Verstößen auch eine Einstellung des Betriebs vor.

§ 149:

§ 149 TKG ergänzt die vom Gesetzgeber für besonders relevant gehaltenen telekommunikationsrechtlichen Regelungen um die Möglichkeit, hiergegen gerichtete Verstöße mit Sanktionen zu beantworten. Dies betrifft etwa die durch das IT-Sicherheitsgesetz ausgeweiteten Meldepflichten in § 109 Abs. 5 TKG. Um letzteren mehr Nachdruck zu verleihen, hat der Gesetzgeber daher die entsprechende Ordnungswidrigkeitenvorschrift in § 149 Abs. 1 Ziff. 21 TKG geschaffen. Im Falle eines Verstoßes kann die Bundesnetzagentur Bußgelder verhängen. Die Bußgeldhöhe kann hier bis zu dreihunderttausend Euro betragen.


[1] Deutlmoser/Filip in Hoeren/Sieber/Holznagel, Multimedia-Recht, 48. EL Februar 2019, Teil 16.6 E-Discovery, Rn. 101.

[2] Mager in Säcker, TKG, 3. Aufl. 2013, § 85 Rn. 12.

[3] Eckhardt in Spindler/Schuster, recht der elektronischen Medien, 4. Aufl. 2019, § 93 TKG, Rn. 18.

[4] Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 9.

[5] Säcker(-Klesczewski), TKG, 3. Auflage 2013, § 96 TKG, Rn. 1 ff.

[6] BVerfG, MMR 2010, 356; BGH, MMR 2011, 341.

[7] Terhaag, IT-Sicherheitsgesetz, Artikel 1 – BSIG, § 3, Praxiskommentar, S. 29.

[8] BGH V. 3.7.2014 – III ZR 391/13, NJW 2014, 2500 (2503).

[9] Vgl. Braun in Beck’scher TKG-Kommentar, 4. Aufl. 2013, § 107 TKG Rn. 11.

[10] Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109, Praxiskommentar, S. 102.

[11] Terhaag, IT-Sicherheitsgesetz, Artikel 5 – TKG, § 109a, Praxiskommentar, S. 103.

[12] Gitter/Meißner/Spauschus, ZD 2015, 512 (515).

[13] Mantz/Sassenberg, NJW 2014, 3537 (3538).

[14] Mantz/Sassenberg, NJW 2014, 3537 (3538); Redeker, ITRB 2011, 186 (186 f.).

[15] Säcker(-Säcker), TKG, 3. Auflage 2013, § 3 TKG, Rn. 15.

[16] Hornung, NJW 2015, 3334 (3339).

[17] Vgl. vertiefend Graf in BeckOK StPO mit RiStBV und Mistra, 34. Ed., Std. 01.07.2019, § 110 TKG.

Ähnliche Einträge