Voice over Internet Protocol

Transkript

1 Management und Wissen Voice over Internet Protocol Während Voice over IP (VoIP) verspricht, Technik und Organisation zu vereinfachen, führt es gleichzeitig Dinge ein, um die sich Unternehmen bei klassischer Telefonie kaum Gedanken gemacht haben: Eine Vielzahl von gesetzlichen Verpflichtungen will beachtet werden. Von Matthias Lindner, Hamburg VoIP Compliance Rechtliche Aspekte von VoIP im Unternehmenseinsatz Wer Voice over Internet Protocol (VoIP) im Unternehmen umfassend einsetzen will, muss eine Menge teils unerwarteter gesetzlicher Regelungen beachten. Die meisten dieser Verpflichtungen gelten zwar unabhängig davon, ob Telekommunikationsdienste durch VoIP oder klassische Telefonanlagen verwirklicht werden. Allerdings verführen die neuen und kostengünstigen Möglichkeiten einerseits dazu, ein breiteres Angebot einzurichten, und zum anderen ist der Aufbau einer neuen Infrastruktur eine gute Gelegenheit, eventuelle frühere Versäumnisse nachzuholen. Als Fallbeispiel soll hier ein Unternehmen dienen, das die Internet-Telefonie in voller Breite als Ersatz beziehungsweise Ergänzung zur klassischen Telefonie nutzen will: Mitarbeiter sollen per VoIP nicht nur geschäftlich telefonieren, sondern dürfen dies auch zu privaten Zwecken tun. Dabei dient VoIP zudem nicht nur als Firmennetz, um mehrere Standorte zu verbinden, sondern auch für Verbindungen mit Dritten. Wie so oft hat bei VoIP die technische Entwicklung den Gesetzgeber überholt. Dennoch gibt es einige Normen und Gesetze, die VoIP-relevante Vorgaben oder Regelungen enthalten. Dazu gehören: das Telekommunikationsgesetz (TKG, [1]), speziell 88 (Fernmeldegeheimnis), das Bundesdatenschutzgesetz (BDSG, [2]), das Strafgesetzbuch (StGB), vor allem 206 (Verletzung des Fernmeldegeheimnisses, [3]) und die Strafprozessordnung (StPO), vor allem 100g (Anordnung an Telekommunikationsdienstleister zur Auskunft über Telekommunikationsverbindungsdaten, [4]). Anders verhält es sich mit dem unlängst verabschiedeten Telemediengesetz (TMG, [5]), das sowohl Tele- als auch Mediendienste nunmehr einheitlich unter dem Begriff Telemedien regelt. In der Gesetzes-Begründung heißt es jedoch: VoIP fällt nicht unter die Telemediendienste ist damit als reine TK-Dienstleistung anzusehen. Damit ergibt sich kein Einfluss des TMG auf die Internet-Telefonie. Telekommunikationsgesetz Das Telekommunikationsgesetz (TKG) gilt für Anbieter von Telekommunikationsdiensten. Dies ist jeder, der für Dritte geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. VoIP ist in diesem Sinne ein Kommunikationsdienst und im Beispielszenario gelten die privat telefonierenden Mitarbeiter dem Arbeitgeber als Dritte. Nach überwiegender Auffassung in der Literatur gelten Arbeitnehmer allerdings dann nicht als Dritte, wenn eine private Nutzung von VoIP ausdrücklich untersagt ist (und auch nicht geduldet wird). Unternehmen sollten daher genau überlegen, ob ein solches Verbot wünschenswert erscheint, um nicht als Telekommunikationsanbieter den Regelungen des TKG zu unterliegen. Für das Merkmal geschäftsmäßig reicht es laut TKG dabei aus, dass die Dienstleistung auf Dauer und nicht nur für den Einzelfall erbracht wird; eine Gewinnerzielungsabsicht ist nicht erforderlich. Damit müssen Unternehmen, die VoIP wie im beschriebenen Ausgangsszenario betreiben, als Diensteanbieter die Regelungen des TKG beachten. Das heißt: Das Unternehmen ist für die Telekommunikationsdaten und nahezu alles verantwortlich, was damit passiert. 12

2 Fernmeldegeheimnis wahren! Wichtig ist dabei vor allem die Einhaltung des Fernmeldegeheimnisses ( 88 TKG, siehe Kasten auf S. 17), da bei Verstößen strafrechtliche Konsequenzen drohen [3]. Dies gilt nicht nur für übertragene Kommunikationsinhalte und personenbezogene Daten, sondern sofern betroffen auch für die Verbindungsdaten juristischer Personen. Die Unternehmensleitung dürfte also ihre EDV- Abteilung nicht anweisen Auskunft darüber zu erteilen, wie oft ein bestimmter Anschluss von der eigenen Firma aus angerufen wurde. Nutzer und Teilnehmer Unser Beispielunternehmen unterliegt zudem gemäß 93 TKG gewissen Informations- und Auskunftspflichten. Hierbei unterscheidet der Gesetzgeber zwischen Nutzern und Teilnehmern : Nutzer sind alle Anrufer und auch Angerufenen ( 3 Nr. 14 TKG). Teilnehmer haben hingegen einen Vertrag mit dem Telekommunikationsdienstleister über eine zu erbringende Dienstleistung geschlossen (vgl. 3 Nr. 20 TKG). Daraus entstehen weiter gehende Rechte, zum Beispiel zu detaillierten Auskünften über gespeicherte Gesprächsdaten. Hat ein Unternehmen die private Nutzung mit seinen Mitarbeitern schriftlich vereinbart, so gelten diese ebenfalls als Teilnehmer. In jedem Fall ob mit Vertrag oder ohne muss ein Unternehmen alle VoIP-Nutzer darüber informieren, wenn personenbezogene Daten erhoben oder verwendet werden. Falls im Rahmen seines Internetauftrittes zum Beispiel ein Telefonverzeichnis mit Durchwahlen zu Ansprechpartnern existiert, so könnte es dort einen Link auf schon vorhandene, ergänzte oder neue Datenschutzhinweise einrichten. Auch in Schulungsunterlagen zur Nutzung der Internet-Telefone sollte man entsprechende Hinweise für die Mitarbeiter aufnehmen. Ist ein betrieblicher Datenschutzbeauftragter bestellt, so sollte auch dieser zurate gezogen werden. Dies gilt sowohl bei der Einführung von VoIP im Unternehmen als auch während des laufenden Betriebs beispielsweise bei Änderungen von Konfiguration oder Verfahren (etwa bei erweiterten Möglichkeiten der VoIP-Software aufgrund eines Updates). Freiwillige Rufnummernanzeige In 102 Absatz 1 regelt das TKG die Rufnummernanzeige: Demnach müssen Diensteanbieter, die ihre Services nicht nur geschlossenen Benutzergruppen anbieten, Anrufern und Angerufenen die Möglichkeit einräumen, die Rufnummernanzeige dauernd oder für jeden Anruf einzeln, einfach und unentgeltlich zu unterdrücken, sofern eine solche Anzeige technisch vorgesehen ist. Ebenso muss der Angerufene eingehende Telefonate mit Rufnummernunterdrückung unentgeltlich abweisen können. Sollte die eigene VoIP-Lösung die Anzeige des Anrufenden anbieten, so ist den Anforderungen des TKG Rechnung zu tragen. Auskunftspflichten über externe Anrufer Falls unser Beispielunternehmen die Nutzung von VoIP am Arbeitsplatz zu privaten Zwecken vertraglich fixiert und dadurch seinen Mitarbeitern als Teilnehmern gegenüber entsprechende Auskunftspflichten hat, so sind auch Pflichten bezüglich belästigender Anrufe zu beachten, die 101 TKG regelt. Danach hat die Unternehmensleitung als Diensteanbieter gegebenenfalls netz- 13

3 Management und Wissen Voice over Internet Protocol übergreifend betroffenen Mitarbeitern Auskunft über die Anschlüsse zu erteilen, von denen die beanstandeten Anrufe ausgehen. Auch umgekehrt wäre ein Unternehmen verpflichtet, andere Dienstleister bei der Aufklärung entsprechender Vorkommnisse zu unterstützen. Allerdings sind hierbei einige Formalien zu beachten: Vor allem muss ein entsprechender Antrag schriftlich erfolgen und begründet sein, Auskünfte dürfen sich nur auf Anrufe beziehen, die nach Antragstellung erfolgen und das angewandte Verfahren ist zu dokumentieren. Wegen der weiteren Besonderheiten ist ein sorgsamer Blick in 101 TKG ratsam (Auszüge siehe Kasten auf S. 17). Achtung bei Störungsbehebung! Störungen bei VoIP werden üblicherweise durch IT-Administratoren bearbeitet. Um hier den Anforderungen des 100 TKG Genüge zu leisten (vgl. Kasten), sind entsprechende schriftliche Anweisungen empfehlenswert. Heikel ist das Aufschalten auf eine bestehende VoIP-Verbindung im Rahmen der Störungsbeseitigung: Dies sollte nur nach vorheriger Genehmigung durch die Betriebsleitung zulässig sein. Die betroffenen Gesprächsteilnehmer müssen durch ausdrückliche Mitteilung und ein akustisches Signal informiert werden. Datenschutz und Störerhaftung Um Sicherheit und Datenschutz zu garantieren, benötigen Unternehmen als Telekommunikationsdiensteanbieter technische Schutzmaßnahmen (siehe auch Kasten zu den IT-Sicherheitsaspekten von VoIP). 109 TKG fordert hierbei angemessene technische Vorkehrungen oder sonstige Schutzmaßnahmen auch bezüglich der genutzten TK/IT-Systeme (vgl. Kasten auf S. 17). Angesichts neuester Urteile gewinnt die IT-Sicherheit von VoIP-Infrastruktur und -Verbindungen zusätzlich an Bedeutung: Dies gilt insbesondere für den Betrieb von Internet-Telefonie über drahtlose Netze (WLAN). So haben bereits die Landgerichte Hamburg (308 O 407/06) und Köln (Beschluss 28 O 364/06) Betreiber für den Missbrauch Dritter haftbar gemacht, weil sie ihre Internetzugänge nicht oder nur unzureichend gesichert hatten. Hier scheint sich eine entsprechende Tendenz abzuzeichnen! IT-Sicherheit bei VoIP Im Zusammenhang mit der vielbeschworenen Konvergenz der Netze versprechen sich viele Anwender durch Voice over Internet Protocol (VoIP) Vorteile durch Kosteneinsparungen und technisch einfachere Lösungen im Zusammenspiel der beiden Welten IT und TK. Dass viele der beworbenen neuen Features nicht wirklich neu in der TK-Welt sind, sei einmal dahingestellt. Viel schwerwiegender ist, dass bis heute kaum ein Anbieter von VoIP- Lösungen Sicherheitsbelange umfassend analysiert oder auch nur erwähnt. Spricht man solche Anbieter auf Sicherheitsthemen an, folgen höchstens Vorschläge zur Absicherung der Verfügbarkeit. Wen wundert es?! Immerhin sind in die neue Technik nur magere Ansätze in Richtung sicherer IP-Telefonie integriert. Bestehende Ansätze von dringend erforderlichen einheitlichen Standards werden von verschiedenen Anbietern unterschiedlich interpretiert und proprietär implementiert. Hier nur zwei Beispiele aus der Praxis: Herstellerabhängigkeit durch fehlende Interoperabilität: Eine Ende-zu-Ende-Verschlüsselung funktioniert allzu oft nur bei Endgeräten des gleichen Herstellers. Vermeintliche Sicherheit: Selbst wo die Endgeräteverschlüsselung tatsächlich realisiert ist, wird der Schlüssel unter Umständen offen übertragen. Diese Situation ist umso tragischer, da die Angriffsmöglichkeiten auf IP-basierte Datenpfade deutlich einfacher sind als bei konventionellen TK-Lösungen (vgl. [14]). Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Studie zur Sicherheit von VoIP festgestellt hat ( ist der ungesicherte Einsatz von VoIP-Technologie mit deutlich größeren Risiken verbunden. Denn die VoIP-Systeme erben die Sicherheitsrisiken der IP-Welt und darüber hinaus behalten sie die meisten aus der TK-Welt. Grundwerte der IT-Sicherheit wahren! Wenn schon die neue Technik also selbst keinen zuverlässigen Schutz bietet, dann sollte man zumindest diejenigen Sicherheitsmaßnahmen vorsehen, die in der IP-Welt üblich sind (vgl. [12,13]). Dazu gehört, die Internet- Telefonie gemäß der Grundwerte der IT-Sicherheit (Verfügbarkeit Vertraulichkeit Integrität) zu analysieren und in das unternehmensweite IT-Sicherheitskonzept zu integrieren. In diesem Zusammenhang sollte man zunächst die konkreten Einsatzszenarien für VoIP definieren: Handelt es sich um eine Ergänzung zu bestehenden TK-Anlagen oder einen kompletten Ersatz? Erfolgt der Einsatz ausschließlich im eigenen Unternehmen oder soll ein Verbund mit Geschäftspartnern gebildet werden? Wo sollen Schnittstellen zu öffentlichen Netzen eingerichtet werden? 14

4 Für die Internet-Telefonie könnte sich eine solche so genannte Störerhaftung zum Beispiel dadurch ergeben, dass Dritte über die nicht hinreichend gesicherte VoIP-Struktur eines Unternehmens automatisierte, massenhafte und unzulässige Werbeanrufe veranlassen. Staatliche Überwachung Bisher nicht abschließend geklärt ist die Frage nach der behördlichen Telekommunikationsüberwachung der Internet-Telefonie im Unternehmen. Unter bestimmten Voraussetzungen haben staatliche Organe Befugnisse, um in das ansonsten geschützte Fernmeldegeheimnis einzugreifen (z. B. aufgrund von Strafprozessordnung, Artikel- 10-Gesetz, Zollfahndungsdienstgesetz). Dafür haben bestimmte Telekommunikationsdiensteanbieter unter Umständen technische Vorkehrungen zu treffen oder sogar unentgeltlich vorzuhalten. Unabhängig von Art, Umfang und Kosten solcher Vorkehrungen und Einrichtungen, stellt sich zunächst die Frage, ob auch VoIP-betreibende Unternehmen in der beschriebenen Ausgangssituation zu diesen Maßnahmen verpflichtet sind. Grundsätzlich existieren Regelungen zur Überwachung im TKG und der Telekommunikationsüberwachungsverordnung (TKÜV, [6]). Nach 110 TKG umfasst der Kreis der verpflichteten Unternehmen alle, die eine Telekommunikationsanlage betreiben, mit der Telekommunikationsdienste für die Öffentlichkeit erbracht werden. Unklar bleibt dabei bis zu einem gewissen Grad, wann das Merkmal für die Öffentlichkeit erbracht erfüllt ist und daher auch, inwieweit diese Verpflichtungen Unternehmen mit VoIP-Nutzung tatsächlich betreffen. Die Bundesnetzagentur erläutert in ihrem Web-Angebot: Gewerblich in diesem Sinne ist jede Tätigkeit, die zumindest mit der Absicht der Kostendeckung der Öffentlichkeit angeboten wird. Öffentlichkeit ist jeder unbestimmte Personenkreis. [7] Das Erbringen von TK-Diensten für die Öffentlichkeit bedeutet übrigens auch über die TK- Überwachung hinaus eine erhebliche Menge weiterer Verpflichtungen, die bereits mit einer schriftlichen Meldepflicht der Aufnahme, Änderung und Beendigung entsprechender gewerblicher Tätigkeiten gegenüber der Regulierungsbehörde beginnen ( 6 TKG). Zur Umset- Die Durchführung einer Risikoanalyse ist unerlässlich. Da eine VoIP-Lösung ein Gesamtsystem aus den Komponenten Server, Client und Netzwerk darstellt, muss die Risikoanalyse auch alle diese Bereiche separat betrachten und anschließend konsolidieren. Sind die aktuellen Gefährdungen definiert, so ist in Abhängigkeit vom jeweiligen Einsatzszenario ein Katalog von Maßnahmen zu erstellen, die diesen Gefährdungen entgegenwirken. Nur so schafft man eine durchdachte Sicherheitsarchitektur Einzelmaßnahmen führen nicht zum Erfolg! Sicherheit für Clients, Server und Netzwerk Zu den Sicherheitsmaßnahmen im Client- und Serverbereich gehören allgemein übliche Maßnahmen wie die Härtung von Hardware und Betriebssystem, der Einsatz von Viren-Scannern, das regelmäßige Einspielen von Sicherheits-Patches und gegebenenfalls die Überwachung durch IDS/IPS. Im Client-Bereich bringen wie bei jedem normalen PC im Netzwerk Personal-/Desktop-Firewalls zusätzliche Sicherheit. Wo immer technisch möglich, sollte man zudem die in einige Endgeräte integrierten Funktionen zur Verschlüsselung und Unsichtbarkeits - Schaltung prüfen und gegebenenfalls im Gesamtkonzept berücksichtigen. Im Netzwerkbereich ist eine sinnvolle Trennung von Sprachdaten und normalen Daten zu realisieren (z. B. durch eine geeignete VLAN-Struktur). Die Regelwerke der Firewalls, über die der VoIP-Verkehr läuft, sind entsprechend anzupassen. Es muss zudem überprüft werden, ob die eingesetzten Firewalls auch VoIP-fähig sind. Dasselbe gilt für Netzkomponenten wie Router und Switches (Achtung: Kostenfaktor!). Zur Absicherung der Vertraulichkeit und Integrität der VoIP-Daten sind sinnvolle Maßnahmen zur Verschlüsselung der Datenübertragung im Netzwerk unabdingbar, wobei sowohl Signalisierungs- als auch Sprachdatenkanal zu berücksichtigen sind. Und nicht zuletzt ist eine VoIP-Lösung auch organisatorisch und technisch in das Konzept der Netzwerk-Authentifizierung und Benutzer-Identifikation einzubinden. Hilfe durch BSI Eine sinnvolle Unterstützung bei der Durchführung von VoIP-Risikoanalysen und der daraus resultierenden Definition von Sicherheitsmaßnahmen ist der seit Dezember 2006 verfügbare neue VoIP-Baustein des IT-Grundschutzkatalogs des BSI ( deutsch/baust/b04007.htm). Detaillierte Hinweise zu VoIP und IT-Grundschutz liefert zudem der gleichnamige Beitrag im BSI-Forum dieser Ausgabe auf Seite 52. Martin Steger ist Auditor für ISO und IT-Grundschutz sowie Senior Consultant IT-Sicherheit bei intersoft consulting services GmbH. 15

5 Management und Wissen Voice over Internet Protocol zung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation bei VoIP hat die Bundesnetzagentur bereits 2005 für den Kreis der Verpflichteten eine Übergangslösung [8] veröffentlicht, für den gegebenenfalls einzurichtenden IP-basierten Übergabepunkt müssen besondere Schutzerfordernisse [9] beachtet werden. Wer als Unternehmen möglicherweise in diesen Bereich fällt, sollte sich im Zweifel direkt bei der Bundesnetzagentur informieren und zudem aufmerksam weitere Verlautbarungen beobachten (die BNetzA stellt hierzu auch einen sog. RSS-Feed bereit [10]). Sicher ist jedoch, dass auch innerhalb des Kreises der verpflichteten Betreiber von TK-Diensten für die Öffentlichkeit derjenige keine spezifische Überwachungsschnittstelle vorab einrichten muss, der Telekommunikationsanlagen betreibt, an die nicht mehr als 1000 Teilnehmer oder sonstige Nutzungsberechtigte angeschlossen sind ( 3, Abs. 2 TKÜV). Dennoch müssen im Einzelfall beim Vorliegen einer entsprechenden Anordnung aber Kommunikationsinhalte bereitgestellt werden. Fazit Die folgenden Punkte fassen die Ergebnisse dieses Beitrags noch einmal zusammen: In Ermangelung eines speziellen Gesetzes gilt für VoIP im Wesentlichen das TKG, dessen Anwendbarkeit zu einer Vielzahl von Anforderungen über die Sicherheit hinaus führt. TKG und Haftungsrisiken gebieten die Absicherung des VoIP-Betriebes gegen unbefugte Einflussnahme. Datenschutz ist für natürliche und juristische Personen zu gewährleisten. VoIP wird vom neuen TMG nicht berührt. Wesentliche Fragen (TK-Überwachung) sind nicht abschließend geklärt die weitere Entwicklung ist daher aufmerksam zu beobachten. Matthias Lindner ist Rechtsanwalt, Wirtschaftsinformatiker und Consultant für Datenschutz und IT-Sicherheit bei der intersoft consulting services GmbH in Hamburg. Literatur [1] Telekommunikationsgesetz (TKG), [2] Bundesdatenschutzgesetz (BDSG), juris.de/bdsg_1990/ [3] Strafgesetzbuch (StGB), 206Verletzung des Postoder Fernmeldegeheimnisses, de/stgb/ 206.html [4] Strafprozessordnung (StPO), 100g zur Überwachung des Fernmeldeverkehrs, stpo/ 100g.html [5] Telemediengesetz (TMG) im Entwurf eines Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste (Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz ElGVG), Bundestagsdrucksache 16/3078, ( beschlossen vom Deutschen Bundestag in der Fassung der Drucksache 16/4078, de/btd/16/040/ pdf) [6] Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikationsüberwachungsverordnung, TKÜV), de/tk_v_2005/ [7] Bundesnetzagentur, Informationen zur Anzeigepflicht der Anbieter von Telekommunikationsdienstleistungen, [8] Übergangslösung zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation bei VoIP Ausgabe 2.0, Stand Juli 2005, [9] Informationen zum Schutz des IP-basierten Übergabepunktes nach TR TKÜ, Technische_Umsetzung_von_Ueberwachungsma_nahmen/Verfahren_zum_Schutz_des_IP-basierten_Uebergabepunkt_ka.html [10] Bundesnetzagentur, Aktuelles aus dem Bereich Telekommunikation, RSS-Feed, de/enid/rss/aktuelles_telekommunikation.rss [11] Bundesnetzagentur, Voice over IP, Voice_over_IP_am.html [12] Ralf Ackermann und Manuel Görtz, Voice over IP Security, <kes> 2005 # 5, S. 36 [13] Andrew Graydon, Protokollfragen, VoIP-Security bei SIP & Co., <kes> 2005 # 2, S. 55 [14] Frank Lutz, Wanze over IP, <kes> 2005 # 2, S

6 88 Fernmeldegeheimnis Auszüge aus dem TKG (1) Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. (2) Zur Wahrung des Fernmeldegeheimnisses ist jeder Diensteanbieter verpflichtet. Die Pflicht zur Geheimhaltung besteht auch nach dem Ende der Tätigkeit fort, durch die sie begründet worden ist. (3) Den nach Absatz 2 Verpflichteten ist es untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen Informationspflichten Diensteanbieter haben ihre Teilnehmer bei Vertragsabschluss über Art, Umfang, Ort und Zweck der Erhebung und Verwendung personenbezogener Daten so zu unterrichten, dass die Teilnehmer in allgemein verständlicher Form Kenntnis von den grundlegenden Verarbeitungstatbeständen der Daten erhalten. Dabei sind die Teilnehmer auch auf die zulässigen Wahl- und Gestaltungsmöglichkeiten hinzuweisen. Die Nutzer sind vom Diensteanbieter durch allgemein zugängliche Informationen über die Erhebung und Verwendung personenbezogener Daten zu unterrichten. Das Auskunftsrecht nach dem Bundesdatenschutzgesetz bleibt davon unberührt. 100 Störungen von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (1) Soweit erforderlich, darf der Diensteanbieter zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden. (2) Zur Durchführung von Umschaltungen sowie zum Erkennen und Eingrenzen von Störungen im Netz ist dem Betreiber der Telekommunikationsanlage oder seinem Beauftragten das Aufschalten auf bestehende Verbindungen erlaubt, soweit dies betrieblich erforderlich ist. Das Aufschalten muss den betroffenen Gesprächsteilnehmern durch ein akustisches Signal angezeigt und ausdrücklich mitgeteilt werden. (3) Soweit erforderlich, darf der Diensteanbieter bei Vorliegen zu dokumentierender tatsächlicher Anhaltspunkte die Bestandsdaten und Verkehrsdaten erheben und verwenden, die zum Aufdecken sowie Unterbinden von Leistungserschleichungen und sonstigen rechtswidrigen Inanspruchnahmen der Telekommunikationsnetze und -dienste erforderlich sind.... Die Regulierungsbehörde und der oder die Bundesbeauftragte für den Datenschutz sind über Einführung und Änderung eines Verfahrens nach Satz 1 unverzüglich in Kenntnis zu setzen. (4) Unter den Voraussetzungen des Absatzes 3 Satz 1 darf der Diensteanbieter im Einzelfall Steuersignale erheben und verwenden, soweit dies zum Aufklären und Unterbinden der dort genannten Handlungen unerlässlich ist. Die Erhebung und Verwendung von anderen Nachrichteninhalten ist unzulässig. Über Einzelmaßnahmen nach Satz 1 ist die Regulierungsbehörde in Kenntnis zu setzen. Die Betroffenen sind zu benachrichtigen, sobald dies ohne Gefährdung des Zwecks der Maßnahmen möglich ist. 101 Mitteilen ankommender Verbindungen (1) Trägt ein Teilnehmer in einem zu dokumentierenden Verfahren schlüssig vor, dass bei seinem Anschluss bedrohende oder belästigende Anrufe ankommen, hat der Diensteanbieter auf schriftlichen Antrag auch netzübergreifend Auskunft über die Inhaber der Anschlüsse zu erteilen, von denen die Anrufe ausgehen.... (2) Die Bekanntgabe nach Absatz 1 Satz 3 darf nur erfolgen, wenn der Teilnehmer zuvor die Verbindungen nach Datum, Uhrzeit oder anderen geeigneten Kriterien eingrenzt, soweit ein Missbrauch dieses Verfahrens nicht auf andere Weise ausgeschlossen werden kann. (3) Im Falle einer netzübergreifenden Auskunft sind die an der Verbindung mitwirkenden anderen Diensteanbieter verpflichtet, dem Diensteanbieter des bedrohten oder belästigten Teilnehmers die erforderlichen Auskünfte zu erteilen, sofern sie über diese Daten verfügen. (4) Der Inhaber des Anschlusses, von dem die festgestellten Verbindungen ausgegangen sind, ist zu unterrichten, dass über diese Auskunft erteilt wurde.... (5) Die Regulierungsbehörde sowie der oder die Bundesbeauftragte für den Datenschutz sind über die Einführung und Änderung des Verfahrens zur Sicherstellung der Absätze 1 bis 4 unverzüglich in Kenntnis zu setzen. 102 Rufnummernanzeige und -unterdrückung (1) Bietet der Diensteanbieter die Anzeige der Rufnummer der Anrufenden an, so müssen Anrufende und Angerufene die Möglichkeit haben, die Rufnummernanzeige dauernd oder für jeden Anruf einzeln auf einfache Weise und unentgeltlich zu unterdrücken. Angerufene müssen die Möglichkeit haben, eingehende Anrufe, bei denen die Rufnummernanzeige durch den Anrufenden unterdrückt wurde, auf einfache Weise und unentgeltlich abzuweisen. Die Sätze 1 und 2 gelten nicht für Diensteanbieter, die ihre Dienste nur den Teilnehmern geschlossener Benutzergruppen anbieten. (2) Auf Antrag des Teilnehmers muss der Diensteanbieter Anschlüsse bereitstellen, bei denen die Übermittlung der Rufnummer des Anschlusses, von dem der Anruf ausgeht, an den angerufenen Anschluss unentgeltlich ausgeschlossen ist.... (3) Hat der Teilnehmer die Eintragung in das Teilnehmerverzeichnis nicht nach 104 beantragt, unterbleibt die Anzeige seiner Rufnummer bei dem angerufenen Anschluss, es sei denn, dass der Teilnehmer die Übermittlung seiner Rufnummer ausdrücklich wünscht. (4) Wird die Anzeige der Rufnummer von Angerufenen angeboten, so müssen Angerufene die Möglichkeit haben, die Anzeige ihrer Rufnummer beim Anrufenden auf einfache Weise und unentgeltlich zu unterdrücken. Absatz 1 Satz 3 gilt entsprechend.... (6) Bei Verbindungen zu Anschlüssen mit der Rufnummer 112, den in der Rechtsverordnung nach 108 Abs. 2 festgelegten Rufnummern oder der Rufnummer , hat der Diensteanbieter sicherzustellen, dass nicht im Einzelfall oder dauernd die Anzeige von Nummern der Anrufenden ausgeschlossen wird. 109 Technische Schutzmaßnahmen (1) Jeder Diensteanbieter hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze 1. des Fernmeldegeheimnisses und personenbezogener Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen.... Bitte beachten Sie, dass hier in den Paragraphen der Übersicht halber Passagen ausgelassen wurden, die durchaus für den Einzelfall relevant sein können. Für eine abschließende Beurteilung etwaiger Verpflichtungen sollte unbedingt der vollständige Gesetzestext [1] betrachtet werden! 17