Die §§ 113a und 113b werden durch die folgenden §§ 113a bis 113g ersetzt:
„§ 113a Verpflichtete; Entschädigung
(1) Die Verpflichtungen zur Speicherung von Verkehrsdaten, zur Verwendung der Daten und zur Datensicherheit nach den §§
113b bis 113g beziehen sich auf Erbringer öffentlich zugänglicher Telekommunikationsdienste für Endnutzer. Wer öffentlich zugängliche Telekommunikationsdienste für Endnutzer erbringt, aber nicht alle der nach Maßgabe der §§
113b bis 113g zu speichernden Daten selbst erzeugt oder verarbeitet, hat
- 1.
- sicherzustellen, dass die nicht von ihm selbst bei der Erbringung seines Dienstes erzeugten oder verarbeiteten Daten gemäß § 113b Absatz 1 gespeichert werden, und
- 2.
- der Bundesnetzagentur auf deren Verlangen unverzüglich mitzuteilen, wer diese Daten speichert.
(2) Für notwendige Aufwendungen, die den Verpflichteten durch die Umsetzung der Vorgaben aus den §§
113b,
113d bis 113g entstehen, ist eine angemessene Entschädigung zu zahlen, soweit dies zur Abwendung oder zum Ausgleich unbilliger Härten geboten erscheint. Für die Bemessung der Entschädigung sind die tatsächlich entstandenen Kosten maßgebend. Über Anträge auf Entschädigung entscheidet die Bundesnetzagentur.
§ 113b Pflichten zur Speicherung von Verkehrsdaten
(1) Die in §
113a Absatz 1 Genannten sind verpflichtet, Daten wie folgt im Inland zu speichern:
- 1.
- Daten nach den Absätzen 2 und 3 für zehn Wochen,
- 2.
- Standortdaten nach Absatz 4 für vier Wochen.
(2) Die Erbringer öffentlich zugänglicher Telefondienste speichern
- 1.
- die Rufnummer oder eine andere Kennung des anrufenden und des angerufenen Anschlusses sowie bei Um- oder Weiterschaltungen jedes weiteren beteiligten Anschlusses,
- 2.
- Datum und Uhrzeit von Beginn und Ende der Verbindung unter Angabe der zugrunde liegenden Zeitzone,
- 3.
- Angaben zu dem genutzten Dienst, wenn im Rahmen des Telefondienstes unterschiedliche Dienste genutzt werden können,
- 4.
- im Fall mobiler Telefondienste ferner
- a)
- die internationale Kennung mobiler Teilnehmer für den anrufenden und den angerufenen Anschluss,
- b)
- die internationale Kennung des anrufenden und des angerufenen Endgerätes,
- c)
- Datum und Uhrzeit der ersten Aktivierung des Dienstes unter Angabe der zugrunde liegenden Zeitzone, wenn Dienste im Voraus bezahlt wurden,
- 5.
- im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen.
Satz 1 gilt entsprechend
- 1.
- bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;
- 2.
- für unbeantwortete oder wegen eines Eingriffs des Netzwerkmanagements erfolglose Anrufe, soweit der Erbringer öffentlich zugänglicher Telefondienste die in Satz 1 genannten Verkehrsdaten für die in § 96 Absatz 1 Satz 2 genannten Zwecke speichert oder protokolliert.
(3) Die Erbringer öffentlich zugänglicher Internetzugangsdienste speichern
- 1.
- die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,
- 2.
- eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung,
- 3.
- Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse unter Angabe der zugrunde liegenden Zeitzone.
(4) Im Fall der Nutzung mobiler Telefondienste sind die Bezeichnungen der Funkzellen zu speichern, die durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzt wurden. Bei öffentlich zugänglichen Internetzugangsdiensten ist im Fall der mobilen Nutzung die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle zu speichern. Zusätzlich sind die Daten vorzuhalten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben.
(5) Der Inhalt der Kommunikation, Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post dürfen auf Grund dieser Vorschrift nicht gespeichert werden.
(6) Daten, die den in §
99 Absatz 2 genannten Verbindungen zugrunde liegen, dürfen auf Grund dieser Vorschrift nicht gespeichert werden. Dies gilt entsprechend für Telefonverbindungen, die von den in §
99 Absatz 2 genannten Stellen ausgehen. §
99 Absatz 2 Satz 2 bis 7 gilt entsprechend.
(7) Die Speicherung der Daten hat so zu erfolgen, dass Auskunftsersuchen der berechtigten Stellen unverzüglich beantwortet werden können.
(8) Der nach §
113a Absatz 1 Verpflichtete hat die auf Grund des Absatzes 1 gespeicherten Daten unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der Speicherfristen nach Absatz 1, irreversibel zu löschen oder die irreversible Löschung sicherzustellen.
§ 113c Verwendung der Daten
(1) Die auf Grund des §
113b gespeicherten Daten dürfen
- 1.
- an eine Strafverfolgungsbehörde übermittelt werden, soweit diese die Übermittlung unter Berufung auf eine gesetzliche Bestimmung, die ihr eine Erhebung der in § 113b genannten Daten zur Verfolgung besonders schwerer Straftaten erlaubt, verlangt;
- 2.
- an eine Gefahrenabwehrbehörde der Länder übermittelt werden, soweit diese die Übermittlung unter Berufung auf eine gesetzliche Bestimmung, die ihr eine Erhebung der in § 113b genannten Daten zur Abwehr einer konkreten Gefahr für Leib, Leben oder Freiheit einer Person oder für den Bestand des Bundes oder eines Landes erlaubt, verlangt;
- 3.
- durch den Erbringer öffentlich zugänglicher Telekommunikationsdienste für eine Auskunft nach § 113 Absatz 1 Satz 3 verwendet werden.
(2) Für andere Zwecke als die in Absatz 1 genannten dürfen die auf Grund des §
113b gespeicherten Daten von den nach §
113a Absatz 1 Verpflichteten nicht verwendet werden.
(3) Die Übermittlung der Daten erfolgt nach Maßgabe der Rechtsverordnung nach §
110 Absatz 2 und der Technischen Richtlinie nach §
110 Absatz 3. Die Daten sind so zu kennzeichnen, dass erkennbar ist, dass es sich um Daten handelt, die nach §
113b gespeichert waren. Nach Übermittlung an eine andere Stelle ist die Kennzeichnung durch diese aufrechtzuerhalten.
§ 113d Gewährleistung der Sicherheit der Daten
Der nach § 113a Absatz 1 Verpflichtete hat sicherzustellen, dass die auf Grund der Speicherpflicht nach § 113b Absatz 1 gespeicherten Daten durch technische und organisatorische Maßnahmen nach dem Stand der Technik gegen unbefugte Kenntnisnahme und Verwendung geschützt werden. Die Maßnahmen umfassen insbesondere
- 1.
- den Einsatz eines besonders sicheren Verschlüsselungsverfahrens,
- 2.
- die Speicherung in gesonderten, von den für die üblichen betrieblichen Aufgaben getrennten Speichereinrichtungen,
- 3.
- die Speicherung mit einem hohen Schutz vor dem Zugriff aus dem Internet auf vom Internet entkoppelten Datenverarbeitungssystemen,
- 4.
- die Beschränkung des Zutritts zu den Datenverarbeitungsanlagen auf Personen, die durch den Verpflichteten besonders ermächtigt sind, und
- 5.
- die notwendige Mitwirkung von mindestens zwei Personen beim Zugriff auf die Daten, die dazu durch den Verpflichteten besonders ermächtigt worden sind.
§ 113e Protokollierung
(1) Der nach §
113a Absatz 1 Verpflichtete hat sicherzustellen, dass für Zwecke der Datenschutzkontrolle jeder Zugriff, insbesondere das Lesen, Kopieren, Ändern, Löschen und Sperren der auf Grund der Speicherpflicht nach §
113b Absatz 1 gespeicherten Daten protokolliert wird. Zu protokollieren sind
- 1.
- der Zeitpunkt des Zugriffs,
- 2.
- die auf die Daten zugreifenden Personen,
- 3.
- Zweck und Art des Zugriffs.
(2) Für andere Zwecke als die der Datenschutzkontrolle dürfen die Protokolldaten nicht verwendet werden.
(3) Der nach §
113a Absatz 1 Verpflichtete hat sicherzustellen, dass die Protokolldaten nach einem Jahr gelöscht werden.
§ 113f Anforderungskatalog
(1) Bei der Umsetzung der Verpflichtungen gemäß den §§
113b bis 113e ist ein besonders hoher Standard der Datensicherheit und Datenqualität zu gewährleisten. Die Einhaltung dieses Standards wird vermutet, wenn alle Anforderungen des Katalogs der technischen Vorkehrungen und sonstigen Maßnahmen erfüllt werden, den die Bundesnetzagentur im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erstellt.
(2) Die Bundesnetzagentur überprüft fortlaufend die im Katalog nach Absatz 1 Satz 2 enthaltenen Anforderungen; hierbei berücksichtigt sie den Stand der Technik und der Fachdiskussion. Stellt die Bundesnetzagentur Änderungsbedarf fest, ist der Katalog im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unverzüglich anzupassen.
(3) §
109 Absatz 6 Satz 2 und 3 gilt entsprechend. §
109 Absatz 7 gilt mit der Maßgabe, dass an die Stelle der Anforderungen nach §
109 Absatz 1 bis 3 die Anforderungen nach Absatz 1 Satz 1, §
113b Absatz 7 und 8, §
113d und nach §
113e Absatz 1 und 3 treten.
§ 113g Sicherheitskonzept
Der nach § 113a Absatz 1 Verpflichtete hat in das Sicherheitskonzept nach § 109 Absatz 4 zusätzlich aufzunehmen,
- 1.
- welche Systeme zur Erfüllung der Verpflichtungen aus den §§ 113b bis 113e betrieben werden,
- 2.
- von welchen Gefährdungen für diese Systeme auszugehen ist und
- 3.
- welche technischen Vorkehrungen oder sonstigen Maßnahmen getroffen oder geplant sind, um diesen Gefährdungen entgegenzuwirken und die Verpflichtungen aus den §§ 113b bis 113e zu erfüllen.
Der nach § 113a Absatz 1 Verpflichtete hat der Bundesnetzagentur das Sicherheitskonzept unverzüglich nach dem Beginn der Speicherung nach § 113b und unverzüglich bei jeder Änderung des Konzepts vorzulegen. Bleibt das Sicherheitskonzept unverändert, hat der nach § 113a Absatz 1 Verpflichtete dies gegenüber der Bundesnetzagentur im Abstand von jeweils zwei Jahren schriftlich zu erklären."