Telekommunikationsgesetz §§ 172–174
TKG Bestandsdaten
Bestandsdaten sind die Kundenstammdaten, die Telekommunikationsanbieter erheben, speichern und auf Behördenanfragen herausgeben müssen. Was das konkret bedeutet – rechtlich und technisch.
Was sind Bestandsdaten nach TKG?
§ 172 TKG 2021 (in der Vorgängerfassung § 111 TKG alt) definiert Bestandsdaten als diejenigen Daten, die Anbieter öffentlicher Telekommunikationsdienste und -netze zur Begründung, inhaltlichen Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses erheben und verwenden dürfen. Es handelt sich um Vertragsstammdaten – also statische Informationen über den Anschlussinhaber.
Zu den Bestandsdaten zählen: Name und Anschrift des Kunden, Geburtsdatum, Rufnummern und sonstige Anschlusskennungen, IMSI-Nummern (SIM-Karten-Identifikation), Kennwörter und Zugangsdaten für das Kundenkonto sowie Bankverbindung und Kreditkartendaten für die Vertragsabwicklung. Bei Unternehmenskunden kommen Firma, Handelsregistereintrag und die Daten bevollmächtigter Ansprechpartner hinzu.
Entscheidend ist die Abgrenzung zu anderen Datenkategorien: Bestandsdaten beschreiben wer einen Anschluss hat – nicht was darüber kommuniziert wird. Verkehrsdaten (§ 9 TTDSG) erfassen Verbindungsmetadaten (wann, wie lange, mit welcher Gegenstelle); Inhaltsdaten sind die eigentlichen Kommunikationsinhalte. Für jede dieser Kategorien gelten unterschiedliche Rechtsgrundlagen, Speicheranforderungen und Auskunftsprozesse.
Bestandsdatenpflichten nach § 172 TKG
TK-Anbieter dürfen Bestandsdaten ausschließlich für die Zwecke erheben und verwenden, die unmittelbar mit dem Vertragsverhältnis zusammenhängen: Vertragsanbahnung, Rechnungsstellung, Bonitätsprüfung und technische Betriebsführung des Anschlusses. Eine zweckfremde Verwendung – etwa für Marketingzwecke ohne gesonderte Einwilligung – ist unzulässig.
Nach Beendigung des Vertragsverhältnisses sind Bestandsdaten grundsätzlich zu löschen, sofern keine andere Rechtsgrundlage (Handelsrecht, Steuerrecht) eine längere Aufbewahrung gebietet. TK-Anbieter müssen daher ein dokumentiertes Löschkonzept vorhalten, das die Fristen für jede Datenkategorie klar regelt.
Parallel gilt die DSGVO: Bestandsdaten sind personenbezogene Daten und unterliegen dem Grundsatz der Datensparsamkeit, der Zweckbindung und der Speicherbegrenzung (Art. 5 DSGVO). Das Verarbeitungsverzeichnis nach Art. 30 DSGVO muss die Bestandsdatenverarbeitung abbilden. Die TKG-Pflichten und die DSGVO-Anforderungen ergänzen sich; sie müssen in einer konsolidierten Dokumentation adressiert werden.
Auskunft über Bestandsdaten nach § 174 TKG
§ 174 TKG verpflichtet Telekommunikationsanbieter, bestimmten Behörden auf konkrete Anfrage unverzüglich Auskunft über gespeicherte Bestandsdaten zu erteilen. Auskunftsberechtigt sind Polizeibehörden des Bundes und der Länder, Staatsanwaltschaften, Verfassungsschutzbehörden, BND, MAD und das Zollkriminalamt. Die Behörde muss die rechtliche Grundlage der Anfrage benennen.
Die Bestandsdatenabfrage ist ausdrücklich von der Telekommunikationsüberwachung nach TKÜV zu trennen: Während die TKÜV die Echtzeit-Überwachung laufender Kommunikation betrifft, geht es bei der Bestandsdatenabfrage lediglich um statische Vertragsdaten – typischerweise die Frage, wer Inhaber einer bestimmten Rufnummer oder IP-Adresse zu einem bestimmten Zeitpunkt war.
TK-Anbieter müssen technische und organisatorische Einrichtungen für die Auskunftserteilung vorhalten (§ 174 Abs. 7 TKG). Das umfasst Systeme zur Abfrage der Bestandsdaten, sichere Übertragungswege für die Auskunft sowie interne Prozesse zur Bearbeitung von Behördenanfragen. Kritisch: Der Auskunftsprozess muss gegen Social-Engineering-Angriffe abgesichert sein – gefälschte Behördenanfragen sind ein bekanntes Angriffsmuster.
Technische Schutzanforderungen für Bestandsdaten
Bestandsdaten sind aus zwei Richtungen schützenswert: als personenbezogene Daten nach DSGVO und als sicherheitsrelevante Infrastrukturkomponente nach TKG. Angreifer haben ein erhebliches Interesse an Bestandsdatenbeständen: Rufnummer-zu-Name-Zuordnungen und Kontaktdaten ermöglichen gezielte Phishing- und Spear-Phishing-Angriffe sowie Identitätsdiebstahl.
Konkret erforderliche technische Maßnahmen: rollenbasierte Zugriffskontrollen nach dem Need-to-know-Prinzip mit regelmäßiger Rezertifizierung, Verschlüsselung der Datenbanken (at rest) und aller Übertragungswege (in transit), vollständige und manipulationssichere Protokollierung aller Datenbankzugriffe sowie physische Trennung von Bestandsdaten und Verkehrsdaten auf Systemebene.
Organisatorisch sind definierte Prozesse für interne Zugriffsanfragen und externe Behördenanfragen erforderlich: Wer darf Bestandsdaten abfragen? Unter welchen Bedingungen? Welches Vier-Augen-Prinzip gilt? Wie werden Behördenanfragen auf Echtheit geprüft? Diese Prozesse müssen dokumentiert, regelmäßig geübt und Bestandteil des Sicherheitskonzepts nach § 166 TKG sein.
Bestandsdaten im TKG §166 Sicherheitskonzept
Das Sicherheitskonzept nach § 166 TKG muss die Schutzziele Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit auch im Hinblick auf gespeicherte Kundendaten erfüllen. Die Bundesnetzagentur erwartet im Rahmen einer Konzeptprüfung einen nachvollziehbaren Nachweis, welche Systeme Bestandsdaten speichern und wie diese Systeme abgesichert sind.
Das Sicherheitskonzept sollte für den Bereich Bestandsdaten mindestens abdecken: Systemarchitektur der Bestandsdatenspeicherung (welche Systeme, welche Interfaces), Zugriffskontrollen und Identitätsmanagement für Datenbankzugriffe, Verschlüsselungsmaßnahmen, Protokollierungskonzept, Löschkonzept nach Vertragsende sowie den Prozess für Behördenauskunft inklusive Vier-Augen-Prinzip.
Blackfort Technology erstellt TKG §166-Sicherheitskonzepte, die den Bestandsdatenschutz vollständig integrieren – als Teil eines Konzepts, das gleichzeitig NIS2-konform ist und bei BNetzA-Prüfungen standhält. Der Bereich Datenschutz und Bestandsdaten ist ein häufiger Schwachpunkt in bestehenden Konzepten, die wir im Rahmen von Review-Projekten analysieren.
Überblick: Bestandsdaten nach TKG
- Rechtsgrundlage: §§ 172–174 TKG 2021
- Erhebung nur für Vertragszwecke (§ 172)
- Auskunftspflicht gegenüber Behörden (§ 174)
- Pflicht zur technischen Auskunftsinfrastruktur
- Löschpflicht nach Vertragsende
- DSGVO-Compliance parallel erforderlich
- Integration ins §166-Sicherheitskonzept
Datenkategorien im TKG
Bestandsdaten
§ 172 TKG – Vertragsstammdaten (Name, Adresse, Rufnummer)
Verkehrsdaten
§ 9 TTDSG – Verbindungsmetadaten (wann, mit wem)
Inhaltsdaten
Kommunikationsinhalt – höchster Schutz (TKÜV)
Verwandte Leistungen
TKG-Beratung anfragen
Bestandsdatenpflichten, §166-Sicherheitskonzept und NIS2 für Ihr Telekommunikationsunternehmen.
Beratungsgespräch vereinbarenVerweis
Bestandsdaten sind Teil des §166-Sicherheitskonzepts
Der Schutz von Bestandsdaten ist kein isoliertes DSGVO-Thema – er ist fester Bestandteil des Sicherheitskonzepts, das TK-Unternehmen nach § 166 TKG bei der Bundesnetzagentur einreichen müssen. Wir erstellen und prüfen diese Konzepte mit expliziter Berücksichtigung der Bestandsdatenpflichten.
Zum TKG §166 SicherheitskonzeptHäufige Fragen zu TKG Bestandsdaten
Was genau sind Bestandsdaten nach TKG und welche Daten fallen darunter?
Bestandsdaten nach § 172 TKG sind Daten, die Telekommunikationsanbieter zur Begründung, Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über TK-Dienste erheben und verwenden dürfen. Dazu gehören: Name und Anschrift, Geburtsdatum, Rufnummern und Anschlusskennungen, SIM-Kartennummern (IMSI), Kennwörter und PINs für das Kundenkonto sowie Zahlungsdaten. Bei juristischen Personen kommen Firma, Handelsregisternummer und bevollmächtigte Ansprechpartner hinzu.
Was unterscheidet Bestandsdaten von Verkehrsdaten?
Bestandsdaten (§ 172 TKG) sind statische Vertragsstammdaten: wer der Inhaber eines Anschlusses ist. Verkehrsdaten (§ 9 TTDSG) sind Verbindungsdaten, die bei der Nutzung entstehen: wann, mit wem und wie lange kommuniziert wurde. Inhaltsdaten sind der eigentliche Kommunikationsinhalt. Die Rechtsgrundlagen, Speicherpflichten und Auskunftsprozesse unterscheiden sich je nach Datenkategorie erheblich. Die Bestandsdatenabfrage nach § 174 TKG ist deutlich niedrigschwelliger als die Telekommunikationsüberwachung nach TKÜV.
Welche Behörden können nach § 174 TKG Auskunft über Bestandsdaten verlangen?
Auskunftsberechtigt sind: Polizeibehörden des Bundes und der Länder, Staatsanwaltschaften, Verfassungsschutzbehörden von Bund und Ländern, der Bundesnachrichtendienst (BND), der Militärische Abschirmdienst (MAD) sowie das Zollkriminalamt. Die Auskunft erfolgt auf konkrete schriftliche oder elektronische Anfrage; automatisierte Massenabrufe sind nicht vorgesehen. TK-Anbieter müssen technische und organisatorische Einrichtungen für die Auskunftserteilung vorhalten.
Welche Sicherheitsmaßnahmen müssen TK-Anbieter für Bestandsdaten umsetzen?
Bestandsdaten sind personenbezogene Daten nach DSGVO und erfordern angemessene technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO. Konkret: rollenbasierte Zugriffskontrollen nach dem Need-to-know-Prinzip, Verschlüsselung der Datenbankbestände und der Übertragungswege, vollständige Protokollierung aller Datenbankzugriffe für Audit-Zwecke, strikte Trennung von Bestandsdaten und Verkehrsdaten sowie gesicherte Prozesse für Behördenanfragen (Schutz vor Social-Engineering-Angriffen mit gefälschten Behördenanfragen). Diese Maßnahmen müssen auch im TKG §166 Sicherheitskonzept dokumentiert sein.
Wie müssen Bestandsdaten im TKG §166 Sicherheitskonzept berücksichtigt werden?
Das Sicherheitskonzept nach § 166 TKG muss die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit auch in Bezug auf gespeicherte Bestandsdaten erfüllen. Konkret bedeutet das: Dokumentation, welche Systeme Bestandsdaten speichern, Beschreibung der Zugriffskontrollen und Verschlüsselungsmaßnahmen, Nachweis der Protokollierungs- und Audit-Mechanismen sowie Löschkonzept nach Vertragsende. Die Bundesnetzagentur prüft im Rahmen von §166-Audits auch die Absicherung kundenbezogener Datenbestände.
Kontakt aufnehmen
TKG-konforme Bestandsdatenprozesse
Von der Dokumentation der Bestandsdatenpflichten über das §166-Sicherheitskonzept bis zur NIS2-Compliance – wir kennen die TKG-Anforderungen aus der Praxis.