Authentifizierungsmechanismus beim Datenroaming
Der Verwaltungsgerichtshof (VwGH) hat mit Erkenntnis vom 26. Juni 2013 die Beschwerde der A1 Telekom Austria gegen den Bescheid der Telekom-Control-Kommission (TKK), mit welchem die A1 Telekom Austria verpflichtet wurde einen Authentifizieruntgsmechanismus einzuführen, der sicherstellt, dass nur der Kunde selbst die Datenroamingsperre ab Erreichen des Kostenlimits von EUR 50,- (exkl Ust) pro monatlichen Abrechnungszeitraum freischalten kann, als unbegründet abgewiesen. Dabei wurde die belangte Behörde nicht zur Gegenschrift aufgefordert.
Im Wesentlichen stützt sich der VwGH auf die EU-Roaming-Verordnung III (Verordnung des Europäischen Parlaments und Rates vom 13. Juni 2012 über das Roaming in öffentlichen Mobilfunknetzen in der Union, auch Roaming III-VO, VO (EG) 531/2012 ABl L 172/10; im Folgenden kurz RoamingVO). Das Inkrafttreten dieser Neufassung erfolgte am 1. Juli 2012. Der Anwendungsbereich bezieht sich auf die 28 Mitgliedstaaten der Europäischen Union (einschließlich Kroatien seit Juli 2013) und seit 7. Dezember 2012 auch auf die EWR-Staaten (Norwegen, Island und Liechtenstein), nach dessen innerstaatlicher Umsetzung.
Der persönliche Schutzbereich der RoamingVO erstreckt sich auf Jedermann, wobei folgende wesentliche sachliche Schutzbereiche zu berücksichtigen sind:
- Mobilfunkdienstleistungen im EU-Ausland
- Regulierung der Preise durch Zurverfügungstellung von Eurotarifen für SMS-, Sprach-, und Daten-Nutzung
- Kostenbegrenzungsfunktion bei Datenroaming (weltweit)
Diese Schutzinstrumente sind in Art 15 Abs 2 und 3 geregelt:
Art 15 Abs 2 sieht vor, dass der Roamingkunde mit einer automatischen Nachricht kostenlos darauf hingewiesen wird (per SMS, Pop-up oder E-Mail), dass er Roaming nutzt und erhält grundlegende personalisierte Tarifinformationen (Preis/MB) bei Einreise in einen EU-Mitgliedstaat oder in ein Drittland. Der Kunde kann auf Wunsch diese Informationsnachricht abbestellen bzw wiederbestellen.
Art 15 Abs 3 garantiert dem Kunden eine Funktion zur Kostenbeschränkung. Hierbei muss der Anbieter dem Kunden eine Funktion zur Verfügung stellen, die bei Überschreitung eines Höchstbetrages von EUR 50,- (exkl Ust) pro monatlichem Abrechnungszeitraum Datenroamingdienste sperrt. Der Anbieter hat darüberhinaus die Möglichkeit, zusätzliche Höchstbeträge anzubieten. Bei Erreichung von 80% des Limits muss der Kunde mittels SMS, Pop-up oder E-Mail über den bisherigen Verbrauch benachrichtigt werden. Bei Überschreitung des Höchstbetrags hat eine Meldung über die weitere Nutzung von Datendiensten und eine Aufklärung über die jeweiligen Tarife zu erfolgen. Die Möglichkeit der Aufhebung des Roaminglimits steht dem Kunden natürlich frei, wobei dies das größte Problem in der Praxis darstellt, wenn dies durch einen unberechtigten Dritten erfolgt (zB Aufhebung der Sperre durch Kinder des Anschlussinhabers oder einen Dieb).
Gemäß Art 15 Abs 3 darf lediglich der Roamingkunde die weitere oder erneute Erbringung der Dienste verlangen. Roamingkunde ist gem Art 2 Abs 2 lit g RoamingVO ein Kunde eines Anbieters von regulierten Roamingdiensten in einem terrestrischen öffentlichen Mobilfunknetz in der Union, dessen Vertrag oder Vereinbarung mit diesem Roaminganbieter unionsweites Roaming ermöglicht. Die RoamingVO verfolgt ua das Ziel der Kostenkontrolle: Es soll dem Kunden, welcher die Kosten zu tragen hat, ermöglicht werden, nicht nur die Höhe einzuschätzen und zu kontrollieren, sondern auch zu entscheiden, ob ein vorweg festgelegtes Limit überschritten werden darf (vgl Erwägungsgrund 87, „Vermeidung von ‚Rechnungsschocks'“).
Aufgrund dessen begründet der VwGH seine Entscheidung damit, dass das zu schützende Objekt des Art 15 Abs 3 RoamingVO der Roamingkunde ist. Der Roaminganbieter soll garantieren, dass die Gesamtausgaben ohne ausdrückliche Zustimmung des Kunden den Höchstbetrag nicht überschreiten, weshalb das bloße Senden einer SMS mit „OK“ vom mobilen Endgerät nicht den Anforderungen der RoamingVO genügt.
Bei Hutchison 3G und T-Mobile bedarf es für die Freischaltung der Datenroamingsperre die Eingabe des Kundenkennwortes, wohingegen bei A1 Telekom Austria bislang das Senden von „OK“ genügte. In Entsprechung des Bescheides der TKK hat A1 Telekom Austria bereits einen Authentifizierungsmechanismus eingeführt, denn seit 1 Juli 2013 bedarf es der Eingabe des Kundenkennworts oder des Geburtsdatums zur Aufhebung der Sperre des erreichten Kostenlimits. Fraglich hierbei ist, ob die Eingabe des Geburtsdatums des Kunden eine ausreichende Authentifizierung darstellt, da beispielsweise wie in den oben angesprochenen Praxisfällen das Kind des Anschlussinhabers mit hoher Wahrscheinlichkeit Kenntnis vom Geburtsdatum haben wird. Im Falle eines Diebstahls kommt es nicht selten vor, dass das Mobiltelefon in Verbindung mit der Brieftasche, samt Ausweis wie Führerschein oder E-Card gestohlen wird und der Dieb daher auch das Geburtsdatum des Kunden kennt. Daher würde ich stark die Eingabe des Kundenkennworts befürworten.
