1. Home
  2. News
  3. Sind Anbieter von virtuellen Telefonanlagen Auftragsverarbeiter?
  • IT-Recht

Sind Anbieter von virtuellen Telefonanlagen Auftragsverarbeiter?

Virtuelle Telefonanlage

Virtuelle Telefonanlagen (auch Cloud -Telefonanlage genannt) sind softwarebasierte Telefonie-Lösungen, die sich im Rechenzentrum des Anbieters befinden. Die Telekommunikation findet über das Internet durch VoIP statt. VoIP ist der Übertragungsstandard, wodurch Sprache per Internetprotokoll in ein Rechenzentrum übertragen wird. Virtuelle Telefonanlagen haben den Vorteil, dass Unternehmen keine physischen TK-Anlagen mehr benötigen und so Platz sparen können. Es ist lediglich ein leistungsstarker Internetanschluss erforderlich.

Grundsatz

Ein Auftrags­verarbeitungs­vertrag ist grundsätzlich immer dann erforderlich, wenn der Auftraggeber weiterhin über Zweck und Mittel der Datenverarbeitung entscheidet und der Auftrags­verarbeiter personenbezogene Daten lediglich weisungsgebunden für den Auftraggeber verarbeitet.

Daneben gibt es noch die Konstellation, in der es sich bei der Datenweitergabe an ein Unternehmen um eine Übermittlung an einen Verantwortlichen handelt, bei dem jedes Unternehmen selbst über die Zwecke und Mittel der Verarbeitung entscheidet. In einem solchen Fall liegt weder eine Auftrags­verarbeitungs­situation noch eine gemeinsame Verantwortlichkeit vor.

Ausdrückliche oder implizierte Zuständigkeit

Ein Auftrags­verarbeitungs­vertrag ist jedoch dann nicht notwendig, wenn eine Verantwortung aufgrund einer ausdrücklichen oder implizierten Zuständigkeit vorliegt.

Dieser Fall ist immer dann gegeben, wenn die Fähigkeit zu entscheiden nicht ausdrücklich gesetzlich geregelt und auch keine direkte Folge konkreter gesetzlicher Bestimmungen ist, aber trotzdem aus allgemeinen gesetzlichen Bestimmungen oder geltender Rechtspraxis auf bestimmten Rechtsgebieten abzuleiten ist. Bei Tele­kommunikations­dienstleistungen ist eine Verantwortung aufgrund einer implizierten Zuständigkeit anerkannt (vgl. Art 29 Gruppe, WP 169, S. 12 -14). Das liegt daran, dass das Fernmeldegeheimnis nach Ar. 10 I GG verfassungs­rechtlich geschützt ist. Zur Wahrung des Fernmelde­geheimnisses unterliegen Anbieter von Tele­kommunikations­dienstleistungen besonders strengen Anforderungen im Hinblick auf Schutzmaßnahmen.

Anwendung des TKG

Fraglich ist, ob eine Cloud -Telefonanlage einen Tele­kommunikations­dienst nach § 3 Nr. 24 Tele­kommunikations­gesetz (TGK) darstellt, was zur Folge hat, dass ein Auftragsverarbeitungsvertrag nicht erforderlich ist.

„Tele­kommunikations­dienste“ sind in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Tele­kommunikations­netze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“ (§ 3 Nr. 24 TKG).

Problematisch ist hier insbesondere das Merkmal Signalübertragung. Mit der Signalübertragung ist die Transportleistung gemeint in Abgrenzung zur Inhaltsleistung (das Bereithalten von Inhalten in der Cloud). Der Dienst muss die Signale über ein Tele­kommunikations­netz an einen anderen Ort übertragen.

Entscheidend ist aber nicht eine rein technische Betrachtungsweise. Der Begriff des Tele­kommunikations­dienstes im TKG ist vielmehr einer funktional-wertenden Betrachtungsweise zugänglich (Bundesnetzagentur, SkypeOut-Entscheidung (C 142/18).

Bei der auch von der Bundesnetzagentur der Regulierungs­praxis zugrunde gelegten funktionalen Betrachtungsweise kommt es darauf an, ob die angebotenen Anwendungen oder Dienste eine eigene Funktionalität hinsichtlich der Signal­übertragung beinhalten, die Anbieter zugerechnet werden kann. Die Zurechnung erfolgt dabei über die Frage, ob der Dienst Elemente beinhaltet, die eine Kontrolle von Übertragungs­funktionen erfordern. Für die Kontrolle wiederum reicht dann eine logische Kontrolle von Transport­funktionen aus, auch wenn diese auf bestehenden Transportleistungen Dritter basiert.

Das bedeutet, dass zwischen der Speicherung der erforderlichen Daten in der Cloud und dem Transport der Daten unterschieden werden muss. Der VoIP – Dienst fällt unter das Merkmal Signalübertragung. Zwar setzt der Dienst einen Internetanschluss voraus, jedoch kontrolliert der Anbieter die Herstellung der VoIP – Anrufverbindung zu dem angerufenen Teilnehmer. Die dabei verarbeiteten Daten, wie Anrufer, Angerufener, Beginn und Ende des Gesprächs sind Verkehrsdaten im Sinne des § 3 Nr. 30 TKG.

Sonstige Daten, wie Adress- und Telefonbücher, Faxe oder auf der Mailbox gespeicherte Nachrichten stellen eine Inhaltsleistung dar und unterfallen mangels Signalübertragung nicht dem TKG.

Diese Signalübertragung muss nach § 3 Nr. 24 TKG ganz oder überwiegend Teil der Leistung sein. In der Regel wird nicht nur VoIP angeboten, sondern noch weitere Sprach­speicherdienste. Auch, wenn eine einheitliche Leistung angeboten wird, müssen die Leistungen rechtlich getrennt bewertet werden, um keine Wettbewerbs­verzerrung zu provozieren.

Rechtsprechung des EuGH

Mit der Frage, ob eine Signalübertragung vorliegt hat sich auch der EuGH beschäftigt (Urteil vom 13.06.2019, Az.: C-193/18). In dem Urteil hat das Gericht entschieden, dass Googles internetbasierter E-Mail-Dienst Gmail nach europäischem Recht nicht als elektronischer Kommunikationsdienst zu qualifizieren ist. Zwar nehme Google beim Versenden einer E-Mail auch eine Signalübertragung vor, es fehle jedoch an dem Merkmal „überwiegend“. Das liegt daran, dass Internetzugangs­anbieter und Netzbetreiber im Wesentlichen die Signalübertragung sicherstellen, Gmail dagegen nur die Inhaltsleistung anbietet.

Zukünftige Gesetzgebung

Aktuell wird in den zuständigen Ministerien an der Umsetzung des „Europäischen Kodex für elektronische Kommunikation“ (eine Richtlinie der EU) gearbeitet. In der Richtlinie wird die Definition des Telekommunikations­dienstes geändert, sodass in Zukunft Dienste wie Gmail, WhatsApp oder Telegram davon erfasst werden.

Folgen den Abschluss eines Auftrags­verarbeitungs­vertrags

Zusammengefasst ist für die Übertragung der Kommunikations­daten mittel VoIP eine Auftragsverarbeitung nicht erforderlich, denn es liegt ein Tele­kommunikations­dienst vor und somit eine Verantwortung aufgrund einer impliziten Zuständigkeit. Davon abzugrenzen ist jedoch die Speicherung der Daten in der Cloud (die nicht Verkehrsdaten sind). Da in der Regel verschiedene Leistungen angeboten werden, müssen alle auch einzeln bewertet werden im Hinblick auf die Erforderlichkeit eines Auftrags­verarbeitungs­vertrags.

Sollten Sie nicht sicher sein, ob Sie mit ihrem Telefonanbieter einen Auftrags­verarbeitungs­vertrag abschließen müssen, dann sprechen Sie uns an. Wir helfen Ihnen gerne.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo