Telekom und Vodafone haben vor dem Verwaltungsgericht (VG) Köln teilweise Erfolg. Die streitgegenständliche Regelung der Bundesnetzagentur, wonach unter anderem beim Verkauf von Prepaid-Karten durch einen Vertriebspartner der Mobilfunkanbieter sich eine Personalausweiskopie zusenden lassen und die Nutzerdaten selbst nochmals überprüfen muss, ist rechtswidrig. Dies hat das VG Köln in einer mündlichen Verhandlung am 13.11.2020 – unter Zuschaltung der Beteiligten per Videokonferenz – und mit am 01.12.2020 zugestellten Urteilen entschieden (Az. 9 K 573/18, 9 K 574/18, 9 K 1378/18).
- Datenschutzrecht
Regelung zur Identitätsüberprüfung bei Prepaid-SIM-Karten ist rechtswidrig
von Carl Christian Müller
VG Köln: Keine Doppelprüfungspflicht für Mobilfunkanbieter
Bundesnetzagentur legt "Vier-Augen-Prinzip" als Verfahren fest
Seit einer im Juni 2016 zur Terrorismusbekämpfung geänderten Gesetzesregelung sind Mobilfunkanbieter nicht nur verpflichtet, vor der Freischaltung einer Prepaid-SIM-Karte bestimmte Daten des Erwerbers, wie z.B. Name, Anschrift und Geburtsdatum, für Auskunftsersuchen der Sicherheitsbehörden zu erheben, sondern diese Daten auch anhand eines geeigneten Ausweisdokumentes auf ihre Richtigkeit hin zu überprüfen. Außerdem sieht das Gesetz vor, dass die Bundesnetzagentur „andere geeignete Verfahren“ zur Identifizierung festlegt.
Daraufhin erließ die Bundesnetzagentur eine an alle Mobilfunkanbieter gerichtete Allgemeinverfügung, in der sie unter anderem regelte, wie die Identität vor Ort überprüft werden kann, wenn ein Handynutzer von einem Dritten, also Vertriebspartnern des jeweiligen Dienstanbieters, eine Prepaid-SIM-Karte erwerben möchte, z.B. im „Handy-Shop“. Ferner regelt die Verfügung verschiedene Verfahren der Identitätsprüfung unter Abwesenden, wie das Post-Ident-Verfahren oder die Identitätsüberprüfung per Video-Chat, für den Fall, dass diese wegen des gewählten Vertriebsweges nicht vor Ort durchgeführt werden kann, z. B. bei einem Erwerb im Internet. In allen Verfahren ist vorgesehen, dass eine Kopie des Personalausweises bzw. eines anderen Ausweises von dem Dritten an den Dienstanbieter übermittelt werden muss und dieser im Sinne eines Vier-Augen-Prinzips dann (nochmals) prüfen muss, ob die Daten auf dem Ausweis mit den bei Erwerb der SIM-Karte erhobenen Daten übereinstimmen, bevor er sie in der Kundendatei speichert.
Mobilfunkanbieter sehen ihr Geschäftsmodell gefährdet
Gegen diese Regelungen der Bundesnetzagentur hatten drei Mobilfunkanbieter geklagt, weil sie diese für unverhältnismäßig hielten. Insbesondere sahen sie das Geschäftsmodell mit Prepaid-SIM-Karten gefährdet, weil wesentliches Kaufargument die sofortige Nutzbarkeit sei, die durch die doppelte Prüfpflicht jedoch verzögert würde.
Das VG Köln ist dem Vorbringen der Klägerinnen überwiegend gefolgt. Es hat die Allgemeinverfügung hinsichtlich des Verfahrens der Überprüfung durch Dritte vor Ort aufgehoben, weil diese nicht von der Ermächtigung zur Regelung „anderer geeigneter Verfahren“ in dem zugrundeliegenden Telekommunikationsgesetz umfasst sei. Vielmehr regele das Gesetz selbst schon die Identitätsüberprüfung unter Anwesenden und habe die Bundesnetzagentur darüber hinaus – nur – ermächtigt, Überprüfungsmöglichkeiten für die Fälle zu regeln, in denen mangels Anwesenheit des SIM-Karten-Erwerbers eine physische Vorlage des Ausweises nicht möglich sei.
Übermittlung von Ausweiskopien ist nicht rechtmäßig
Hinsichtlich der Regelung der Überprüfungsmöglichkeiten unter Abwesenden, wie z.B. mittels Post-Ident und Video-Chat, hat das VG Köln die Regelungen aufgehoben, die die Anfertigung und Übersendung von Ausweiskopien betreffen. Denn die von der Bundesnetzagentur vorgesehene Übermittlung einer Ausweiskopie an den Dienstanbieter verstoße gegen Bestimmungen des Personalausweisgesetzes und des Passgesetzes. Zudem überspanne die Doppelüberprüfungspflicht die Anforderungen des Gesetzes, das keine höchstpersönliche Überprüfungspflicht der Mobilfunkanbieter fordere. Um eine zuverlässige Kundendatenbank sicherzustellen sei eine Verifizierung der persönlichen Daten durch Dritte ausreichend.
Die (verbliebenen) Regelungen im Hinblick auf Einzelheiten zur Datenerhebung, etwa die Vorgaben dazu, dass die mit der Identitätsprüfung beauftragte Person sorgfältig ausgewählt und geschult wird und die Überprüfung dokumentieren muss, hat das Gericht demgegenüber nicht beanstandet, weil diese die Verifizierung der Nutzerdaten sicherstellen würden.
Gegen die Urteile können die Beteiligten einen Antrag auf Zulassung der Berufung stellen, über den das Oberverwaltungsgericht in Münster entscheiden würde.
Aufbewahrung von Ausweiskopien nur mit ausdrücklicher Einwilligung
Zu der Frage, ob ein Mobilfunkanbieter übersendete Ausweiskopien aufbewahren darf, hatte zuletzt der Europäische Gerichtshof (EuGH) zu entscheiden. Wie der EuGH mit Urteil vom 11.11.2020 feststellte, ist die Aufbewahrung von solchen Kopien nur nach ausdrücklicher Einwilligung des Betroffenen rechtmäßig (Az. C-61/19). Konkret ging es in dem Verfahren vor dem europäischen Gericht um einen rumänischen Telekommunikationsanbieter, der in seinen Vertragsformular das Kästchen zur Einwilligung des Kundens in die Archivierung seiner Ausweiskopien schon vor-angekreuzt hatte. Nach Einschätzung des Gerichtes ist diese Vorgehensweise nicht zulässig.
Quelle: Pressemitteilung des VG Köln vom 1. Dezember 2020