Vorbemerkung

In dem Diskussionsfaden zum Thema »Fehlermeldung: ›Die Verbindung mit dem Server homepage.t-online.de schlug fehl.‹« benutzte ich zur Erläuterung des Domain Name Services das naheliegende Beispiel telekomhilft.telekom.de, weil es hier jeder vor Augen hat, wenn er in die Adresszeile seines Browsers sieht. Bei der Recherche wurde ich sehr überrascht. Ich beschloss, den folgenden Beitrag zu schreiben und die unten stehenden Fragen an die Verantwortlichen dieser Community-Plattform zu stellen:

Datenschutzrechtliche Bemerkungen (eines Nicht-Juristen)

Hinter dem Domain Name telekomhilft.telekom.de steht die IP-Adresse 13.225.223.48 (und wie wir gleich sehen werden noch weitere IP-Adressen). So hat es für mich heute AbuseIPDB ermittelt, das man nicht nur im Fall von Missbrauch (abuse) verwenden kann, sondern auch immer dann, wenn man wissen möchte, welche IP-Adresse sich hinter einem Domain Name verbirgt. AbuseIPDB gibt denn auch richtig aus, dass es zu dieser IP-Adresse keinen Eintrag in der Datenbank hat, also (höchstwahrscheinlich und hier ganz gewiss) kein Missbrauch (etwa Versuch des Hackens) vorliegt.

Was allerdings auffällt, sind Land und Internet Service Provider ( ISP ), zu denen die IP-Adresse gehört: »United States of America« und »Amazon.com Inc.«. Das überrascht! Denn wer vermutet schon, dass hinter einer Top Level Domain »de« des Konzerns Deutsche Telekom eine IP-Adresse in den USA und des Amazon-Konzerns steckt?

Es könnte sein, dass sich AbuseIPDB irrt, dachte ich: Vielleicht sind dort falsche Daten hinterlegt. Doch ein zweites Werkzeug, das ich einsetzte, brachte vier IPv4-Adressen und acht IPv6-Adressen von Amazon.com als Ergebnis. Es wird wohl ein Content Delivery Network ( CDN ) von Amazon Web Services (AWS) benutzt mit Standorten in den USA, Hongkong und Japan. (vergleiche auch diesen Beitrag von @Sherlocka vom 28.09.2019, 22:56 Uhr, den ich erst jetzt gesehen habe) Man beachte, dass Hongkong in der Volksrepublik China (Festland-China) liegt. Dieses Land wird - nach unseren Maßstäben zumindest - nicht demokratisch regiert. Eine gewisse Willkür hinsichtlich Einhaltung datenschutzrechtlicher Regeln, sofern überhaupt in China vorhanden und akzeptiert (ich bin kein Experte diesbezüglich), muss befürchtet werden. Es ist nicht auszuschließen, dass personenbezogene Daten von Telekom-Kundendienstmitarbeitern und Kunden auch in China verarbeitet werden.

Einst gab es Datenschutzabkommen zwischen der EU und den USA: Sie hießen »Safe Harbor« (Sicherer Hafen) und »Privacy Shield« (Datenschutz-Schild). Für beide hatte die EU-Kommission einen Angemessenheitsbeschluss gemäß Artikel 45 DS-GVO gefasst. Damit wurden die USA damals wie ein EU-Land behandelt. Doch der Europäische Gerichtshof (EuGH) hat beide Abkommen und die Angemessenheitsbeschlüsse nacheinander für ungültig erklärt - zuletzt am 16. Juli 2020 mit dem Schrems-II-Urteil den »Privacy Shield«. Damit wurden die USA zum Drittland, was einschneidende rechtliche Folgen hatte. Grund für das EuGH-Urteil war unter anderem: »keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger« (Seite 4 des nachfolgend verlinkten Dokuments). Genauere und weitere Informationen findet man beispielsweise in der Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? (PDF-Datei, 1 MB) vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Die Datenschutz-Grundverordnung (DS-GVO) sieht für die Übermittlung personenbezogener Daten (z. B. IP-Adresse des heimischen Rechners oder Smartphones, E-Mail-Adresse) in Drittländer (außerhalb des Europäischen Wirtschaftsraums) besondere Regeln vor: siehe Artikel 44 bis 49 DS-GVO. Vor allem reicht eine normale Einwilligung betroffener Personen (hier also  von uns Kunden und von den Kundendienstmitarbeitern) zur Verarbeitung personenbezogener Daten für einen Datentransfer in ein Drittland nicht aus. Bevor personenbezogene Daten in ein Drittland übermittelt werden dürfen, bedarf es einer freiwilligen ausdrücklichen besonderen Einwilligung nach ausführlicher Information über den Drittlandtransfer und die damit verbundenen Risiken (Artikel 49 Absatz 1 Buchstabe a). Bei Mitarbeitern ist grundsätzlich keine freiwillige Einwilligung möglich, denn es gilt die Wahl: hier arbeiten und damit einwilligen oder woanders oder gar nicht arbeiten (Zwangslage).

Ein berechtigtes Interesse (z. B. der Telekom, einen guten Kundendienst zu leisten) reicht bei Übermittlung personenbezogener Daten in Drittländer niemals aus, wenn die Datenschutz-Aufsichtsbehörde nicht zugestimmt hat (siehe Artikel 49 Absatz 1 DS-GVO).

Da hier auch IP-Adressen in ein Drittland übermittelt werden, gibt es m. W. keinen technisch möglichen Weg, mit Standardvertragsklauseln gemäß Artikel 46 DS-GVO zu arbeiten. Denn sie bedürfen zusätzlicher Maßnahmen wie Ende-zu-Ende-Verschlüsselung. IP-Adressen müssen im Datenverkehr aber immer unverschlüsselt sein, sonst funktioniert er technisch nicht.

In den Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 (PDF-Datei, 257 KB), angenommen am 25. Mai 2018 vom Europäischen Datenschutzausschuss (EDSA), steht mehr darüber. Dort steht zu Artikel 49 Absatz 1 Buchstabe a DS-GVO auch: »... Wie in der vorstehenden Analyse dargelegt, ist die Hürde für die Anwendbarkeit der Einwilligung als Ausnahmetatbestand für Datenübermittlungen in Drittländer in der DSGVO hoch gesetzt. Diese hohe Hürde in Verbindung mit der Tatsache, dass die von einer betroffenen Person erteilte Einwilligung jederzeit widerrufen werden kann, bedeutet, dass die Einwilligung wohl nicht als geeignete langfristige Lösung für die Übermittlung in Drittländer angesehen werden kann.« (Seiten 9f, Hervorhebung von mir)

Der/Die Datenschutzhinweis/Nutzungsbedingungen der Telekom Deutschland GmbH ("Telekom") für die Telekom-hilft-Community  stammen vom 27.08.2019. Sie sind also veraltet, denn sie berücksichtigen das Schrems-II-Urteil nicht. Zudem steht dort unter Punkt 5: »Ihre Daten werden grundsätzlich in Deutschland und im europäischen Ausland verarbeitet.

Findet eine Verarbeitung Ihrer Daten in Ausnahmefällen auch in Ländern außerhalb der Europäischen Union (also in sog. Drittstaaten) statt, geschieht dies, soweit Sie hierin ausdrücklich eingewilligt haben oder es für unsere Leistungserbringung Ihnen gegenüber erforderlich ist oder es gesetzlich vorgesehen ist (Art. 49 DSGVO). Darüber hinaus erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z.B. Angemessenheitsbeschluss der EU-Kommission, Abschluss einer EU-Standardvertragsklausel oder sog. geeignete Garantien, Art. 44ff. DSGVO).«

Liegen China, Japan und die USA allesamt in Europa? Das wäre mir neu. Zudem werden hier doch offensichtlich regelmäßig und häufig - um das Wort »immer« zu vermeiden - personenbezogene Daten in Drittländer übermittelt. Das sind keine Ausnahmefälle. Und wo bleibt die ausführliche Aufklärung gemäß der oben verlinkten Leitlinien 2/2018 des EDSA?

Was sagt die Telekom selbst?

Der Konzern Deutsche Telekom hat einen Code of Conduct (Verhaltenskodex; PDF-Datei 3 MB). Hier einige Auszüge daraus:

»Ein schlechter Ruf oder fehlende Reputation eines Unternehmens gefährdet dessen Erfolg. Geschäftserfolg braucht also dieses gewisse Mehr, nämlich rechts- und gesetzeskonformes Verhalten von Vorständen, Geschäftsführern, Führungskräften sowie von allen Mitarbeiterinnen und Mitarbeitern (Beschäftigte).« (Seite 2, Hervorhebung von mir)

»Die Deutsche Telekom hält alle rechtlichen und gesetzlichen Vorschriften zur Leitung und Überwachung von Unternehmen sowie die international anerkannten Standards guter und verantwortungsvoller Unternehmensführung ein.« (Seite 3)

»5.1 Datensicherheit
Die Sicherheit von Daten ist für die Deutsche Telekom von überragender Bedeutung. Die Datensicherheit beeinflusst den Geschäftserfolg und das öffentliche Ansehen. Daher schützt die Deutsche Telekom Unternehmensdaten, Kunden-, Geschäftspartner-, Aktionärs- und Beschäftigtendaten mit allen zur Verfügung stehenden geeigneten und angemessenen technischen und organisatorischen Mitteln vor unberechtigtem Zugang, unbefugter und missbräuchlicher Verwendung, Verlust und vorzeitiger Vernichtung. Dies geschieht unter Wahrung des jeweiligen Rechtsrahmens und der nationalen Gesetze sowie interner Richtlinien und Regelungen.« (Seite 9)

Zwischenfrage von mir: Ist die Nutzung unserer personenbezogenen Daten durch US-Geheimdienste oder chinesische Behörden keine »unbefugte und missbräuchliche Verwendung«?

»5.2 Datenschutz
Die Deutsche Telekom weiß um die hohe Sensibilität der ihr anvertrauten persönlichen Daten ihrer Kunden, Geschäftspartner, Beschäftigten und Aktionäre und schützt diese durch einen sorgfältigen und verantwortungsbewussten Umgang. Die Deutsche Telekom ergreift eine Vielzahl von technischen und organisatorischen Maßnahmen, die darauf zielen, die Vertraulichkeit von persönlichen Daten sicherzustellen. Jeder Einzelne ist im Rahmen seiner Aufgaben verantwortlich, ein hohes Schutzniveau in der Deutschen Telekom zu gewährleisten. Die Beschäftigten der Deutschen Telekom halten sich konsequent an die Datenschutzbestimmungen und respektieren und beachten insbesondere die umfassenden Rechte der Personen, deren Daten sie erheben, verarbeiten und nutzen.« (Seite 9)

Datenschutz ist ein Menschenrecht (Artikel 8 der EU-Grundrechte-Charta; PDF-Datei, 771 KB). Die Deutsche Telekom hat einen Menschenrechtskodex & Soziale Grundsätze (PDF-Datei, 1,1 MB). In ihrem Menschenrechtskodex ist die EU-Grundrechte-Charta zwar nicht erwähnt. Es heißt dort aber:

»Unsere Verpflichtung zur Achtung und Förderung der Menschenrechte und sozialen Grundsätze an jedem Ort, an dem wir tätig sind, einschließlich unserer Geschäftspartner und Lieferketten:
Die Deutsche Telekom nimmt alle international anerkannten Menschenrechte und sozialen Grundsätze ernst und erkennt ihre Verantwortung als weltweit führendes Telekommunikationsunternehmen an. Der Erfolg unseres Unternehmens basiert auf unseren hohen Qualitätsstandards, Integrität und Exzellenz und wir sorgen dafür, dass die Menschenrechte geachtet werden.« (Seite 2)

Fragen

1. Die Deutsche Telekom sieht sich selbst als »weltweit führendes Telekommunikationsunternehmen« (siehe oben). Warum und wozu greift sie dann beim Betrieb dieser Community-Website auf einen Dienstleister zurück, den sie vertraglich nicht dazu binden kann, das EU-Datenschutzrecht einzuhalten? (Erläuterung: Mindestens in den USA und China gelten derzeit Rechtsnormen, die der DS-GVO zuwiderlaufen, mit ihr aber zumindest nicht im Einklang stehen.)
2. Wenn die Deutsche Telekom die erforderlichen technischen Mittel nicht hat, diese Plattform technisch sicher zu betreiben, obwohl sie sich als »weltweit führendes Telekommunikationsunternehmen« betrachtet, warum verzichtet sie dann nicht auf diese Community-Plattform, wenn sie sie wohl nicht im Einklang mit Recht und Gesetz betreiben kann? (Es gäbe ja gewiss andere technische Möglichkeiten, mit Kunden in einer ähnlichen Weise zu kommunizieren und Kunden untereinander Austausch pflegen zu lassen, die rechtskonform betrieben werden können.)
3. Wenn die Deutsche Telekom der Auffassung ist, dass sie diese Community-Plattform in der jetzigen Art und Weise und mit dem Dienstleister aus einem Drittland im Einklang mit Recht und Gesetz der EU und Deutschlands betreiben kann, womit und wie begründet sie das?
4. Was will die Deutsche Telekom unternehmen, um ihre eigenen Aussagen im Verhaltenskodex und im Menschenrechtskodex hinsichtlich Einhaltung von Recht und Gesetz und auch der Menschenrechte konsequenter einzuhalten?

Freundliche Grüße

ReiPar