DATENSCHUTZ - Verlag C. H. Beck

DATENSCHUTZ - Verlag C. H. Beck

23850 ZEITSCHRIFT FÜR ZD DATE N SC H UTZ Herausgeber: RA Prof. Dr. Jochen Schneider . Prof. Dr. Thomas Hoeren . Prof. Dr. Martin Selmayr . RA Dr. ...

3MB Sizes 0 Downloads 0 Views

Recommend Documents

datenschutz - Verlag C. H. Beck
veröffentlichung durch Personensuchmaschine 2011, 37. LG Augsburg, U. v. 19.8.2011 – 3 HK O 2827/11, Hinzuspeichern v

INHALT - Verlag C. H. Beck
davit im DAV - Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein eco - Verband ... Das Recht auf Vergessenwerden â€

INHALT - Verlag C. H. Beck
Bericht. Jürgen Herrlein. Die Rechtsprechung zur Wohnraummiete im zweiten Halbjahr 2015. 1282. Gerd Brudermüller / Walth

INHALT - Verlag C. H. Beck
Pflicht zur Eintragung in Tabelle trotz insolvenzrechtlicher Einwendungen. 1752. BGH 15.09. 16 – V ZB 136/14. Geringst

INHALT - Verlag C. H. Beck
für große Unsicherheit gesorgt und soll daher im Folgenden eingehend diskutiert werden. Zur Rechtsprechung. Carsten Sc

beck-online. - Verlag C. H. Beck
100 Treffer - Praxistipp: Sie können auch mit Phrasen recherchieren, die ein. → Stoppwort enthalten. Es ist z. B. mö

Das JuS-Tutorium - Verlag C. H. Beck
GSK. DER UNTERSCHIED. In Kooperation mit: Nabarro in Großbritannien, August ... Aus diesem Grund haben wir vor zwei Jah

Gerichtliche Kontrolle von - Verlag C. H. Beck
OVG für das Land Nordrhein-Westfalen,. Münster – Dr. Herbert Burkert, Wiss. Mitar- beiter GMD, St. Augustin – RA D

Monatsinformation zum anwaltlichen - Verlag C. H. Beck
AG Landstuhl: Regelgeschäftsgebühr ..... Das Amtsgericht Landstuhl hatte sich mit der Frage zu ... Landstuhl darauf hi

Jahresregister 2009 - Verlag C. H. Beck
Financial Literacy in Schweizer Audit Committees (Roffler). 245. Fair Values, zu Recht in der ... International Financia

23850

ZEITSCHRIFT FÜR

ZD

DATE N SC H UTZ

Herausgeber: RA Prof. Dr. Jochen Schneider . Prof. Dr. Thomas Hoeren . Prof. Dr. Martin Selmayr . RA Dr. Axel Spies . RA Tim Wybitul

AUS DEM INHALT

Arbeitnehmerdatenschutz

1 TIM WYBITUL

Beschäftigtendatenschutz: Warum wir dringend eine gesetzliche Neuregelung brauchen Überwachungssoftware

3 HENDRIK SKISTIMS/ALEXANDER ROßNAGEL

Rechtlicher Schutz vor Staatstrojanern? Nutzeridentifikation

8 PETER SCHMITZ

Der Vertragspartner ohne Daten Compliance vs. Datenschutz

12 PHILIP KEMPERMANN

Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails? Anspruch auf Steuerdaten

16 JENS M. SCHMITTMANN

Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz Bewegungsprofile

20 JULIA DREYER

Radio Frequency Identification – friend or foe? Speicherung von Browsereinstellungen

24 ANDREAS THÜRAUF

Cookie-Opt-in in Großbritannien – Zukunft der Cookies? IP-Daten

29 EuGH: Keine allgemeine Verpflichtung zur Überwachung

übermittelter Informationen m. Anm. MEYERDIERKS Datenübermittlung Informationsfreiheit Kreditscoring

www.zd-beck.de

33 EuGH: Verarbeitung personenbezogener Daten 37 BGH: Recht von Presseorganen auf Grundbucheinsicht 41 LG Berlin: Schufa-Negativeintrag

Seiten 1– 48 2. Jahrgang 4. Januar 2012 Verlag C.H.Beck München

1/2012 O8 5 0 2 0 1 2 0 1

//45RKPFNGT5EJWUVGT&CU4GEJVFGT'NGMVTQPKUEJGP/GFKGPWPF)QNC5EJQOGTWU$&5) FKGUGYKEJVKIGP5VCPFCTFYGTMGUVGJGP+JPGPCWEJQPNKPG\WT8GTHØIWPIsØDGTUKEJVNKEJCWHDGTGKVGVWPF \WIØPUVKIGP2TGKUGP&C\WXKGNGUYCUFKG#TDGKVKO/WNVKOGFKCTGEJVGTNGKEJVGTV4GEJVURTGEJWPI KP*ØNNGWPF(ØNNGUQTIHÀNVKICMVWCNKUKGTVG)GUGV\GUVGZVG2TQ\GUUHQTOWNCTGWPF/WUVGTXGTVTÀIG\WO +64GEJV&COKVOCEJVUKEJFKGUGUWOHCUUGPFG+PHQTOCVKQPURCMGVUEJPGNNDG\CJNV    UEJQPCDas/QPCV 

\\IN/Y5V/QPCVU#DQ

www.beck-online.de 9GKVGTG+PHQUWPVGTYYYDGEMQPNKPGFG



Multimedia PLUS

$KNFOQVKXRNCKPRKEVWTGDG[QPFD[)W[%CNKRJQVQITCRJ[

Multimediarecht PLUS

ZEITSCHRIFT FÜR DATENSCHUTZ

INHALT Arbeitnehmerdatenschutz

Überwachungssoftware

Nutzeridentifikation

Compliance vs. Datenschutz

Anspruch auf Steuerdaten

Bewegungsprofile

Speicherung von Browsereinstellungen

IP-Daten

Grenzüberschreitende Datenübermittlung

Öffentliches Informationsanliegen

Informationsfreiheit Bankgeheimnis

ZD 1/2012

Seiten 1–48

1 Editorial TIM WYBITUL Beschäftigtendatenschutz: Warum wir dringend eine gesetzliche Neuregelung brauchen 3 Beiträge HENDRIK SKISTIMS/ALEXANDER ROßNAGEL Rechtlicher Schutz vor Staatstrojanern? Verfassungsrechtliche Analyse einer Regierungs-Malware 8 PETER SCHMITZ Der Vertragspartner ohne Daten. Datenweitergabe an die Erbringer von telekommunikationsgestützten Diensten 12 PHILIP KEMPERMANN Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails? Rechtskonforme Lösungen zur Einhaltung von ComplianceMaßnahmen 16 JENS M. SCHMITTMANN Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz. Plädoyer für eine transparente Ermächtigungsgrundlage 20 JULIA DREYER Radio Frequency Identification – friend or foe? Neue Einsatzgebiete des RFID und deren Beurteilung nach dem BDSG 24 ANDREAS THÜRAUF Cookie-Opt-in in Großbritannien – Zukunft der Cookies? Überblick über die Änderungen und Auswirkungen 29 Rechtsprechung EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen Urteil vom 24.11.2011 – C-70/10 m. Anm. MEYERDIERKS 33 EuGH: Verarbeitung personenbezogener Daten und unmittelbare Wirkung des Art. 7 lit. f der DS-RL Urteil vom 24.11.2011 – verb. Rs. C-468/10 und C-469/10 35 BVerfG: Verfassungsrechtlicher Eilrechtsschutz gegen im Internet abrufbare ehrverletzende Äußerung des Dienstherrn Beschluss vom 12.9.2011 – 2 BvR 1206/11 37 BGH: Recht von Presseorganen auf Grundbucheinsicht Beschluss vom 17.8.2011 – V ZB 47/11 39 LG Magdeburg: Auskunftspflicht eines Kreditinstituts über Kontoinhaber bei Markenrechtsverletzung Urteil vom 28.9.2011 – 7 O 545/11

Herausgabeanspruch Kreditscoring Factoring Inkasso

Private Internetnutzung

Videoüberwachung

39 LG Köln: Herausgabe von Mitgliederlisten an Vereinsmitglied Urteil vom 27.9.2011 – 27 O 142/11 41 LG Berlin: Schufa-Negativeintrag durch Inkassounternehmen Urteil vom 27.4.2011 – 4 O 97/11 42 AG Bremen: Nichtigkeit einer Forderungsabtretung aus TK-Vertrag Urteil vom 20.10.2011 – 9 C 0430/11 42 AG Mannheim: Unwirksame Abtretung von Arztforderungen an Abrechnungsunternehmen Urteil vom 21.9.2011 – 10 C 102/11 44 OVG Lüneburg: Datenauswertung zum Nachweis unzulässiger privater Internetnutzung am Arbeitsplatz Beschluss vom 14.9.2011 – 18 LP 15/10 47 OVG Berlin-Brandenburg: Polizeiliche Videoaufnahmen bei Demonstrationen Beschluss vom 9.9.2011 – OVG 1 S 157.11 III-IV Inhalt IV-XVII ZD-Fokus XVIII Impressum

IV

ZD 1/2012

ZD FOKUS Axel Spies Neue Europäische Datenschutzverordnung: Kommissionsentwurf gibt tiefen Einblick in EU-Reformpläne

Seit

Zeitschrift für Datenschutz – ZD www.zd-beck.de Chefredakteurin Anke Zimmer-Helfrich Redaktion: Marianne Gerstmeyr Stefanie Martin Herausgeber: RA Prof. Dr. Jochen Schneider Prof. Dr. Thomas Hoeren Prof. Dr. Martin Selmayr RA Dr. Axel Spies RA Tim Wybitul Wissenschaftsbeirat: Isabell Conrad Dr. Oliver Draf Dr. Stefan Hanloser Dr. Helmut Hoffmann Prof. Dr. Gerrit Hornung Prof. Dr. Jacob Joussen Thomas Kranig Dr. Thomas Petri PD Dr. Andreas Popp Prof. Dr. Alexander Roßnagel Dr. Christian Schröder Dr. Jyn Schultze-Melling Prof. Paul M. Schwartz Thorsten Sörup Prof. Dr. Jürgen Taeger Florian Thoma Prof. Dr. Marie-Theres Tinnefeld ZD 1/2012

längerem ist bekannt, dass die grundlegende europäische DatenschutzRL 95/46/EG überarbeitet werden soll. Einen Entwurf wollte EU-Kommissarin Reding eigentlich erst am 25.1.2012 vorstellen. Nun ist ein aktueller Entwurf (http://blog.beck.de/2011/12/08/europa eische-datenschutzverordnung-kommis sionsentwurf-gibt-tiefen-einblick-in-eu-r eformplaene) einer Verordnung (nicht RL) der geplanten Neuregelung frisch aus der EU-Gesetzesküche aber schon im Internet aufgetaucht. Der umfangreiche Entwurf enthält viele Neuerungen gegenüber der bisherigen europäischen DS-RL. Allerdings handelt es sich bei dem Dokument um keinen offiziellen Entwurf der Verordnung und ist dementsprechend mit Vorsicht zu interpretieren. Einen solchen Entwurf will EUKommissarin Reding erst Ende Januar 2012 zum EU-Tag des Datenschutzes vorstellen. Bis dahin kann also noch mit Änderungen gerechnet werden. Man kann auch noch nicht absehen, wie der Vorschlag am Ende des legislativen Verfahrens, das sich über Jahre hinziehen könnte, aussehen wird. Viele der vorgeschlagenen Regelungen werden wohl unter Beschuss aus verschiedenen Richtungen geraten. Nachfolgend einige erste Beobachtungen aus internationaler Sicht: 1. Verordnung statt Richtlinie Zunächst soll es sich nicht mehr um eine Richtlinie, sondern um eine Verordnung handeln. Das bedeutet, dass die neuen Regeln unmittelbar in jedem EU-Mitgliedstaat gelten. Die Staaten hätten dann kaum noch Spielräume bei der Umsetzung, wodurch das Datenschutzrecht europaweit vereinheitlicht und die Umsetzung beschleunigt würde. 2. Das „Recht, vergessen zu werden“ („Right to be Forgotten“) Das viel diskutierte „Right to be Forgotten“ findet sich in Art. 15 des Entwurfs wieder. Demnach sollen Unternehmen, wie z.B. Facebook, explizit dazu verpflichtet werden, veröffentlichte Inhalte auf Wunsch der Nutzer wieder zu löschen, auch wenn diese erst kurz zuvor einer

Veröffentlichung ausdrücklich zugestimmt haben. Ein zumindest vergleichbarer Ansatz besteht bereits im deutschen Datenschutzrecht. So sind nach § 3a BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Daten an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu speichern. Das „Right to be Forgotten“ aus Art. 15 des Entwurfs geht jedoch wesentlich weiter. Nach Abs. 2 sollen Unternehmen, welche veröffentlichte Inhalte auf Wunsch der Nutzer gelöscht haben, auch sicherstellen, dass keine Links oder Kopien der gelöschten Information mehr öffentlich verfügbar sind. Allerdings ist fraglich, ob das „Right to be Forgotten“ in der Praxis umsetzbar ist. So könnte es z.B. zu Problemen im Zusammenhang mit dem US-Beweisermittlungsverfahren im Zivilprozess „Discovery“ kommen, für die häufig zwischen den Parteien Tausende von Dokumenten zur Sichtung in den USA angefordert werden. Ein „Right to be Forgotten“ könnte die Offenlegung prozessrelevanter Dokumente i.R.d. US-Discovery und für behördliche Verfahren im Inland verhindern, wenn die Daten auf Grund der neuen EU-Datenschutzverordnung gelöscht werden müssen. Für die Prozessparteien bestünde dann die Gefahr empfindlicher Strafen u.a. wegen Beweisvereitelung in den USA. Überdies sind Daten in den meisten Fällen nicht für immer gelöscht, sondern technisch wieder zu rekonstruieren, was die Umsetzung der Vorschrift schwierig machen dürfte. 3. Datenzugriff durch ausländische Behörden und Gerichte Abs. 1 des Art. 42 stellt klar, dass Datenanforderungen durch Gerichtsurteile oder richterliche Beschlüsse und Entscheidungen von Behörden außerhalb der EU nicht in der EU anerkannt und nicht durchgesetzt werden, es sei denn, es bestehen internationale Abkommen oder Verträge zwischen dem Drittstaat und dem Mitgliedstaat. Diese Vorschrift hat möglicherweise nur klarstellenden Charakter. Eine direkte Datenanforderung bei Auftragnehmer ZD Fokus V

ZD FOKUS oder bei der Verantwortlichen Stelle, d.h. beim Auftraggeber („data processor or data controller“) ohne Zwischenschaltung eines zuständigen nationalen Gerichts oder Behörde wäre schon aus völkerrechtlicher Hinsicht ausgeschlossen (so argumentiert jedenfalls Junker, Electronic Discovery gegen deutsche Unternehmen, 2008, Rdnr. 111 – der US-Supreme Court sieht das anders). Ob sich die Vorschrift sogar auf Schiedssprüche im Ausland bezieht, ist unklar, aber nach dem Wortlaut dieses Abs. 1 durchaus denkbar („tribunal“). Aus USSicht besteht die Gefahr, dass eine solche Vorschrift von den US-Gerichten als unbeachtliches „Blocking Statute“ eingestuft wird (s. hierzu Spies/Schröder MMR 2008, 275 ff.). Womöglich handelt es sich bei den Vorschriften des Art. 42 um eine Reaktion auf den Streit mit den USA, der sich um die Nutzung von Daten europäischer Bürger zu Terrorismusabwehr und anderen Zwecken nach US-Recht dreht. Microsoft hatte diesen Sommer i.R.e. Anhörung zugegeben, Daten aus der Cloud in Europa an US-Behörden nach dem US Patriot Act zu übermitteln. EU-Kommissarin Reding hatte sich in der Vergangenheit bereits mehrfach kritisch gegenüber dem Datenzugriff von US-Behörden auf Grundlage des US-Patriot Act positioniert – ebenso Abgeordnete des EU-Parlaments. Trotz dieses generellen Vollsteckungsverbots enthält der nachfolgende Abs. 2 dann doch eine Vorschrift mit Anforderungen für den Fall, dass die Justiz- und Strafverfolgungsbehörden in Drittstaaten doch auf in der EU belegene Daten zugreifen möchten. Nach dem Wortlaut dieses Abs. 2 ist ein solcher Zugriff nur mit Zustimmung der zuständigen Datenschutzbehörde zulässig. Dieses Erfordernis ist nicht ganz nachvollziehbar, da nach dem HaagBewÜK eigentlich keine Mitwirkung der Datenschutzbehörde bei der Beweisübermittlung ins Ausland vorgesehen ist; zuständig sind vielmehr (und das wohl ausschließlich) die „Zentralen Behörden“ (die Landesjustizministerien oder das zuständige OLG). Sinn und Zweck der Zwischenschaltung einer zuständigen Datenschutzbehörde werden sicherlich noch zu erörtern sein – ebenso die Vereinbarkeit der Norm mit dem Prozedere in internationalen Verträgen und Abkommen, wie dem genannten HaagBewÜK oder den Abkommen, welche die VI ZD Fokus

internationale Zusammenarbeit in Strafsachen regeln (MLATs). Der Abstimmungsprozess der Betroffenen mit diesen Behörden nach diesem Abs. 2 dürfte kompliziert und aus Mangel an Kapazitäten zeitraubend sein. Auf die Beweisermittlung i.R.d. US-Discovery wird die Neuregulierung aber wohl keinen Einfluss haben. In dem Entwurf heißt es in Art. 41 Abs. 1 (e) weiterhin: „A set of transfers of personal data to a third country or an international organisation may take place on condition that the transfer is necessary for the establishment, exercise or defence of legal claims.“ Diese bereits in der EU-DS-RL enthaltene Norm wurde im deutschen Recht in § 4c Abs. 1 Nr. 4 BDSG umgesetzt. Einer Dokumentenanforderung im Zivilprozess aus den USA (Discovery), die meistens direkt von der gegnerischen Partei ausgeht, dürfte demnach Art. 42 des Entwurfs nicht den Weg nach Europa abschneiden. 4. Datenschutzbeauftragte Für Unternehmen mit mehr als 250 Mitarbeitern soll es zudem verpflichtend sein, Datenschutzbeauftragte einzusetzen, wenn die Haupttätigkeit nicht mit personenbezogenen Daten direkt in Verbindung steht. Datenschutzbeauftragte sollen für mindestens zwei Jahre ernannt werden und einen hohen Kündigungsschutz genießen. In Deutschland ist nach § 4g BDSG ein solcher Datenschutzbeauftragter einzusetzen, wenn mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. In manchen anderen EUMitgliedstaaten gibt es solche Regelungen allerdings noch nicht, sodass die Zahl der Datenschutzbeauftragten in der EU wohl steigen wird. 5. Benachrichtigungspflicht bei Bruch der Datensicherheit Dies ist ebenfalls ein international wichtiges Thema (z.B. bei der Speicherung der Daten über die Grenze in einer Cloud). Nach Art. 28 soll eine generelle Benachrichtigungspflicht bei Bruch der Datensicherheit EU-weit eingeführt werden. Die Unternehmen sollen danach 24 Stunden Zeit bekommen, nach einem unbefugten Datenzugriff die zuständige Datenschutzbehörde zu benachrichtigen. Handelt es sich um Daten, bei denen ein un-

berechtigter Zugriff für die Betroffenen Folgen haben könnte, sollen die Unternehmen binnen 24 Stunden auch diese Betroffenen benachrichtigen müssen (Art. 29). Nach dem 2009 eingeführten § 42a BDSG sind unbefugte Datenzugriffe, bei denen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss danach unverzüglich erfolgen. Die Meldepflicht wird nach dem Verordnungsentwurf im Vergleich zur deutschen Vorschrift ausgeweitet. So sind unbefugte Datenzugriffe durch Dritte generell binnen 24 Stunden der zuständigen Datenschutzbehörde zu melden, unabhängig von der Intensität der möglichen Folgen für den Betroffenen. Hiervon sind nicht nur die Verantwortliche Stelle (data controller), sondern auch Auftragnehmer (data processors) betroffen. Der deutsche Datenschutz sieht eine solche Meldepflicht der Verantwortlichen Stelle nur im Falle schwerwiegender Beeinträchtigungen für den Betroffenen vor. 6. Einwilligung Ebenso werden die Anforderungen für eine Einwilligung des Betroffenen zur Datenverarbeitung erhöht. Nach Art. 7 des Verordnungsentwurfs muss die Daten verarbeitende Stelle nachweisen, dass der Betroffene in die Datenverarbeitung selbst sowie in den bestimmten Zweck der Verarbeitung eingewilligt hat. Die Einwilligung muss zudem freiwillig, eindeutig und ausdrücklich sowie nach vorheriger Aufklärung erfolgen. Art. 1 Abs. 3 spricht von „any freely given specific, informed and explicit indication of his or her wishes by which the data subject signifies agreement to personal data relating to them being processed.“ 7. Länderübergreifende Datenverarbeitung Neu scheint auch die Regelung zur grenzüberschreitenden Datenverarbeitung innerhalb der Union zu sein. So soll in einem solchen Fall nur eine einzelne Datenschutzbehörde zur Überwachung der Datenverarbeitung befugt sein. Dabei sollte es sich um die Datenschutzbehörde des Mitgliedstaats handeln, in welchem die Daten verarbeitende Stelle ihren ZD 1/2012

ZD FOKUS Hauptsitz hat (Erwägung 83 des Entwurfs).

Paul Voigt Facebook plant Verbesserungen im Umgang ZD-Aktuell 2011, 89 mit dem Datenschutz

8. Sanktionen Zudem könnten Unternehmen, die sich nicht an die Datenschutzregeln der EU halten, künftig mit hohen Strafen, je nach Schwere des Verstoßes, von bis zu fünf Prozent ihres weltweiten Umsatzes belangt werden. Dieser Strafmechanismus erinnert an die Sanktionen nach dem EU-Kartellrecht (z.B. die Paradefälle gegen Microsoft) – z.B., wenn gegen die Bedingungen zur Verarbeitung besonders sensibler Daten verstoßen wird, den Benachrichtigungspflichten bei Datenzugriff durch Dritte nicht nachgekommen wird oder unzulässigerweise Daten außerhalb der EU übertragen werden. Die in Art. 79 vorgeschlagenen Strafen sollen auf jeden Fall den finanziellen Vorteil des Verstoßes übersteigen. Damit wird eine Form des Strafschadensersatzes in diesem Sektor in der EU eingeführt.

as Betreiben eines sozialen Netzwerks führt zwangsläufig zu einer Sammlung von personenbezogenen Daten in erheblichem Umfang. Mit der Anzahl der Nutzer des sozialen Netzwerks steigen auch die datenschutzrechtlichen (Missbrauchs-)Risiken. Facebook steht daher in besonderer Art und Weise unter der Beobachtung der Datenschutzbehörden. Schließlich zählt das weltweit größte soziale Netzwerk inzwischen ca. 800 Mio. Nutzer. Die datenschutzrechtlichen Bedenken führten in letzter Zeit zu einer erheblichen Aktivität deutscher Datenschutzaufsichtsbehörden, die sich jedoch verstärkt auf kleinere „Nebenprodukte“ des Facebook-Dienstes konzentrierten. So drohte der Schleswig-Holsteinische Datenschutzbeauftragte Weichert an, gegen private und öffentliche Websei-

9. Erstes Fazit Es ist nicht klar, wer den öffentlich bekannt gewordenen Entwurf verfasst hat und wer was zu den einzelnen Artikeln beigetragen hat. Es scheint, dass die Kommission versucht, im Entwurf möglichst umfangreiche Vorschläge in den weiteren Beratungsprozess zur Diskussion zu stellen, um später Kompromisse mit den anderen beteiligten Gremien eingehen zu können. Praktische Bedenken könnten sich u.a. aus der Umsetzung der Vorschriften zu Rechten der Individuen beim Erstellen von Nutzerprofilen (Art. 18: Measures based on profiling) ergeben. Denkbar ist auch, dass der o.g. Art. 42 zum US Patriot Act in eine separate Gesetzesmaßnahme der EU ausgegliedert wird, um eine zügige Umsetzung der Vorschrift sicherzustellen. Aus US-Sicht ist ziemlich wahrscheinlich, dass die USRegierung und zahlreiche von den neuen Vorschriften betroffenen US-Unternehmen gegen die neuen Vorschriften im Entwurf Stellung beziehen werden. Dafür bedarf es allerdings erst noch einer ausführlichen Analyse des mehr als 100 Seiten langen Textes in einer offiziellen Fassung. Dr. Axel Spies ist Rechtsanwalt in der Kanzlei Bingham McCutchen LLP in Washington DC und Mitherausgeber der Zeitschrift ZD. ZD 1/2012

D

tenbetreiber mit Sitz in Schleswig-Holstein vorzugehen, wenn diese den sog. Facebook-„Like“-Button auf ihrer Webseite integriert haben (vgl. Gutachten des ULD Schleswig-Holstein, abrufbar unter: https://www.datenschutzzentrum.de/fac ebook/facebook-ap-20110819.pdf). Auch der Hamburgische Datenschutzbeauftragte beschäftigt sich intensiv mit der Datenverarbeitung bei Facebook (vgl. http://www.datenschutz-hamburg.de/ih r-recht-auf-datenschutz/internet/facebo ok.html). Auf diese Weise wird insbesondere aus norddeutschen Bundesländern versucht, das in den USA ansässige Facebook auf dem Umweg über die deutschen Webseitenbetreiber anzugreifen (vgl. zur Frage der Verantwortlichkeit deutscher Webseitenbetreiber für etwaige Datenschutzverstöße von Facebook Voigt/Alich, NJW 2011, 3541 ff.).

Rezensionen · Tagungsberichte · Termine · Rezensionen · Tagungsberichte ·

NEU AUF DER HOMEPAGE www.zd-beck.de Rezensionen ■

Prof. Dr. Marcus Helfrich Oliver Schonschek (Hrsg.), Das elektronische Datenschutzhandbuch, DVD, Kissing (WEKA Media) 2011, ISBN 978-3-8245-8246-4, a 148,–



Dr. Detlef Grimm Anja Woerz, Arbeitnehmerdatenschutz beim Betriebsübergang. Datenverarbeitung im privaten Bereich nach dem BDSG, Baden-Baden (Nomos Verlagsgesellschaft) 2011, ISBN 978-3-8329-6654-6, a 72,–



Florian Albrecht Anne Gudermann, Online-Durchsuchung im Lichte des Verfassungsrechts. Die Zulässigkeit eines informationstechnologischen Instruments moderner Sicherheitspolitik, Hamburg (Verlag Dr. Kovac) 2010, ISBN 978-3-8300-5004-9, a 88,–

Tagungsbericht ■

Christine Kammermeier/Beatrice Lederer/Alexandra Reinauer Kehrseite derselben Medaille: Offenheit und Datenschutz. Tagungsbericht über die Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) vom 10.–12.11.2011 in München

Termine + Termine + Termine + Termine + Termine + Termine + Termine ZD Fokus VII

ZD FOKUS Es war zwischenzeitlich sogar die Rede von Sonderregelungen für Nutzer des Landes Schleswig-Holstein, um der medienwirksamen Debatte mit Weichert zu entgehen. Auf Grund des international und somit auch in den USA zunehmenden Drucks auf Facebook wegen dessen umstrittenen Umgangs mit den Daten der Nutzer hat Facebook nun eine Vereinbarung mit der US-Wirtschaftsbehörde Federal Trade Commission (FTC) zur Stärkung der Datenschutzrechte der Nutzer geschlossen (http://www.ftc.gov/opa/2011/11/privac ysettlement.shtm). Die noch nicht in Kraft getretene und noch bis zum 30.12.2011 zur öffentlichen Diskussion gestellte Vereinbarung ist das Ergebnis eines Vergleich zwischen Facebook und der US-Behörde. Letztere führte bereits Ermittlungen gegen Facebook wegen des Vorwurfs des Bruchs von abgegebenen Zusicherungen im Datenschutzbereich. Facebook habe Informationen öffentlich gemacht, deren Geheimhaltung zunächst zugesagt worden sei. Im Rahmen der geschlossenen Vereinbarung soll Facebook nun der Datenschutzaufsicht der FTC unterstellt werden. Die Vereinbarung sieht eine Stärkung der Nutzerrechte und die Verbesserung der Transparenz bei Facebook vor. So sollen bestehende Datenschutzeinstellungen nur noch bei ausdrücklicher Einwilligung des Nutzers abgeändert werden können. Von Nutzern eingebrachter Inhalt soll ab dreißig Tagen nach deren Abmeldung aus dem Netzwerk nicht mehr für andere Mitglieder zugänglich sein. Facebook muss sich darüber hinaus ein umfassendes Datenschutzkonzept zulegen. Dieses bezweckt eine Überprüfung der bestehenden Datenschutzrisiken bei bereits angebotenen Diensten und soll etwaige Datenschutzprobleme bei zukünftigen Projekten frühzeitig aufzeigen. Das Datenschutzkonzept soll einer regelmäßigen Auditierung durch externe Anbieter unterliegen. Hierdurch soll die Einhaltung der Anforderungen der FTC und zumindest gewisser datenschutzrechtlicher Mindeststandards für Verbraucher nachgewiesen werden. Paul Voigt, Lic. en Derecho, ist Rechtsanwalt bei Taylor Wessing in Hamburg. VIII ZD Fokus

Sofia Pereira Filgueiras Speicherung und Übermittlung von TK-Daten: Aktueller Spionagefall beim portugiesiZD-Aktuell 2011, 86 schen Geheimdienst

Am 27.8.2011 berichtete die portugiesische Zeitung Expresso über einen Fall, der bis heute für großes Aufsehen sorgt: Das Handy eines Journalisten wurde vom portugiesischen Geheimdienst (SEID) ausspioniert (Expresso v. 27.8.2011, S. 3). 1. Der Fall „Nuno Simas“ Nach Angaben der Zeitung wurde der Einzelverbindungsnachweis von Nuno Simas zwischen dem 19.7. und 12.8.2010 dem Geheimdienst zur Verfügung gestellt (Expresso v. 27.8.2011, S. 3). Alle Verbindungsdaten der in diesem Zeitraum geführten Telefongespräche und abgeschickten SMS, also Empfänger (einige samt Namen), Zeitpunkt (Datum und Uhrzeit) und Dauer der Gespräche, konnten ermittelt werden. Am 3.9.2011 deckte Expresso auf, dass die Dokumente nicht die Rufnummern, sondern drei Handys nach Farbe identifizierten (Expresso v. 3.9.2011, S. 8 f.). Ein Handy hatte eine SIM-Karte vom Betreiber TMN (die persönliche Rufnummer des Journalisten), ein anderes eine SIM-Karte vom Betreiber Optimus (seine Dienstnummer) und das dritte Handy konnte mit beiden gleichzeitig arbeiten. Auch die IMEI (International Mobile Equipment Identity) und damit die Marken (zwei Samsung, ein Nokia) und Modelltypen der Handys wurden offenbart. Laut polizeilichen Angaben sind derartige Daten genauso oder noch wichtiger als abgehörte Gesprächsinhalte, denn anhand dieser Daten können Zusammenhänge zwischen Personen und Geschehnissen hergestellt werden (Sabado Nr. 383 v. 1-7.9.2011, ´ S. 49 f.). Da der betroffene Journalist Nuno Simas zum Zeitpunkt der Spionageaktion über den Geheimdienst und dessen angebliche internen Probleme für die Zeitung Publico ermittelte und berichtete, wird ´ spekuliert, dass der damalige Direktor des Geheimdiensts Jorge Silva Carvalho den Informanten von Simas herausfinden wollte (Expresso v. 27.8.2011, S. 3; Publi´ co v. 27.8.2011, v. 29.8.2011, S. 5 und v. 30.8.2011, S. 31). Aufgedeckt wurde der Fall inmitten des „Geheimdienst“-Skandals (der sog. Fall „Secretas“): Angeblich

hat der Direktor der Secretas Silva Carvalho dem Unternehmen Ongoing geheime Informationen verschafft (Publico v. ´ 29.7.2011, S. 6). Drei Wochen später trat er von seinem Posten beim Geheimdienst zurück, um daraufhin Berater von Ongoing zu werden (Publico v. 29.7.2011, S. 6). ´ Angesichts des ernsten Vorwurfs des Ausspähens hat die Staatsanwaltschaft sofort Ermittlungen eingeleitet und die Kriminalpolizei eingeschaltet (Sabado ´ Nr. 383, 1-7.9.2011, S. 49). In Frage stehen u.a. das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung des Betroffenen Simas, sowie der journalistische Quellenund Informantenschutz. Zusätzlich hat der Ministerpräsident Portugals Pedro Passos Coelho den Geheimdienst um eine interne Ermittlung gebeten (Sabado ´ Nr. 383, 1-7.9.2011, S. 48 f.). Es wurde zunächst befürchtet, dass die Ergebnisse dieser internen Ermittlung auf Grund des Staatsgeheimnisses, der Verschwiegenheitspflicht und der vertraulichen Inhalte der Öffentlichkeit verwehrt bleiben könnten (Publico v. 29.8.2011, S. 5). ´ Denn schon der genaue Inhalt der Ermittlungen des Geheimdienstes und dessen Aufsichtsrats im Fall „Secretas“ wurde aus besagten Gründen der Öffentlichkeit vorenthalten (Publico v. 27.8.2011, S. 6). ´ Diese Befürchtungen haben sich jedoch nicht bestätigt und das Endergebnis des erstellten Berichts (http://www.portugal. gov.pt/pt/GC19/PrimeiroMinistro/Notas/ Pages/20110922_PM_Com_SI.aspx), obwohl unschlüssig, liegt vor. Festgestellt wurde, dass es tatsächlich Anzeichen gibt, die auf eine Verarbeitung der in Frage stehenden Datenliste hindeuten. Dennoch konnten Beweise, die zu den Tätern führen und zur Aufklärung des Falls helfen könnten, nicht ermittelt werden, da die geführte Untersuchung lediglich administrativer Natur war. Parallel zu diesen Ermittlungen eröffnete auch das portugiesische National Komitee für Datenschutz (CNPD) im Rahmen seiner Befugnisse eine Untersuchung. 2. Rechtslage in Portugal Um sich deutlich von der PIDE – die Geheimpolizei der Salazar-Diktatur – zu disZD 1/2012

ZD FOKUS tanzieren, wird der portugiesische Geheimdienst ausdrücklich von der Polizei unterschieden und abgegrenzt. Der Geheimdienst darf nicht nur keine polizeilichen Aufgaben erfüllen (Art. 4 des Gesetzes Nr. 30/84 v. 15.9.1984), sondern ihm bleibt auch jegliche Erhebung, Verarbeitung und Verbreitung von Daten verwehrt, die die Grundrechte und Grundfreiheiten bedrohen (Art. 3 des besagten Rahmengesetzes des Geheimdienstes). Auch die portugiesische Verfassung verbietet jeglichen Eingriff der öffentlichen Instanzen in die Korrespondenz, die Telekommunikation und in die weiteren Kommunikationsmittel mit Ausnahme der im Strafprozess vorgesehenen Fällen (Art. 34 Nr. 4). Diese Ausnahme ist in Art. 187 des portugiesischen StPO formuliert, der die Überwachung von Telekommunikation von einer richterlichen Anordnung oder Genehmigung abhängig macht. Angesichts dieser Rechtslage und der Tatsache, dass weder eine richterliche Anordnung noch Genehmigung vorlag, durfte der Geheimdienst den Einzelverbindungsnachweis von Nuno Simas beim Betreiber Optimus nicht anfordern. Dank der Vereinheitlichung des Datenschutzrechts auf europäischem Niveau weist die portugiesische Rechtsordnung in diesem Bereich keine erheblichen Unterschiede zu Deutschland auf. Das Gesetz Nr. 67/98 v. 26.10.1998 ist das portugiesische Datenschutzgesetz und in Art. 6 wird der Erlaubnisvorbehalt verankert sowie fünf Ausnahmen geschildert. Das Gesetz Nr. 41/2004 v. 18.8.2004 setzt die DS-RL für elektronische Kommunikation um (RL 2002/58/EG). Die Unantastbarkeit der Telekommunikation wird in Art. 4 festgesetzt. Art. 6 regelt die Speicherung von Verkehrsdaten. Diese sind zu löschen oder zu anonymisieren, sobald sie nicht mehr für die Kommunikation notwendig sind (Art. 6 Nr. 1). Sie dürfen nur so lange gespeichert werden, bis die Abrechnung nicht mehr rechtlich angefochten oder die Auszahlung eingefordert werden kann (Art. 6 Nr. 3). Gespeichert werden dürfen die Kundennummer oder Identifizierung, die Adresse, die zu bezahlenden Einheiten, die Kommunikationsart und Dauer (mit Angabe der Anfangszeit), die übertragene Datenmenge, das Datum, die gewählte Rufnummer und andere Informationen bezüglich der Bezahlung wie Vorauszahlungen (Art. 6 Nr. 2). Im Unterschied zur ZD 1/2012

deutschen Rechtsordnung wurde die RL über die Vorratsdatenspeicherung (RL 2006/24/EG) in Portugal schon umgesetzt und zwar durch das Gesetz Nr. 32/ 2008 v. 17.7.2008. Wichtig für die Betreiber von TK-Netzen, die Daten auch zu diesem Zweck speichern, ist das in Art. 3 festgelegte Trennungsgebot, das eine getrennte Speicherung der Daten verlangt. Die Daten sollen für ein Jahr ab dem Ende der Kommunikation gespeichert werden (Art. 6) und müssen während der Speicherung blockiert sein (Art. 7 Nr. 2). Um den Zugang zu diesen Daten zu kontrollieren, soll die CNPD eine Liste der Personen pflegen, die Zugriff auf die Daten haben (Art. 8 Nr. 1). Zusätzlich bedarf die Übertragung der Daten einer gerichtlichen Anordnung gem. Art. 9 Nr. 1 und diese darf nur vom Staatsanwalt oder von der zuständigen Kriminalpolizei beantragt werden (Nr. 2). 3. Praxis Wie diese rechtlichen Rahmenbedingungen in der Praxis implementiert werden, offenbaren die ersten Ergebnisse der von der CNPD vorgenommenen Untersuchung. Im Rahmen dieses Verfahrens wurde geprüft, wie und unter welchen Umständen TK-Daten sowohl beim Mobilfunkanbieter TMN als auch bei Optimus gespeichert werden, und ob es möglicherweise ein Informationsleck gab, das erklären könnte, wie der Geheimdienst den Einzelverbindungsnachweis von Simas erhalten hat. Bis dato wurden nur die Ergebnisse der Untersuchung bei TMN bekannt gemacht. Laut des Berichts der CNPD (Deliberac¸ ao ˜ n.º 951/2011) speichert TMN TK-Daten in drei unterschiedlichen Datenbanken: eine für Kundenmanagement und Rechnungsstellung; eine andere für das Beschwerdemanagement, die Ermittlung von Betrugsfällen und das Bandbreitenmanagement und eine dritte für die Vorratsdatenspeicherung gem. Gesetz Nr. 32/2008 v. 17.7.2008 für die Ermittlung und Bekämpfung von schweren Straftaten. In der ersten Datenbank werden die in Art. 6 Nr. 2 des Gesetzes Nr. 41/2004 v. 18.8.2004 aufgelisteten Verkehrsdaten gespeichert. Wichtig dabei ist, dass die letzten fünf Ziffern der gewählten Nummern abgeschnitten werden, um die Anonymität der Anrufempfänger zu gewährleisten. Zusätzlich zu den Verkehrs-

daten werden auch verschiedene Bestandsdaten aufbewahrt: Identifikationsdaten und Adresse des Kunden, Art des Telefontarifs, IMEI-Nummer(n), die mit der SIM-Karte verbundene Nummer der IMSI (International Mobile Subscription Identifier), Marke und Handymodell, sofern es vom Anbieter gekauft wurde, und die Zellennummer, die Datum und Uhrzeit des ersten Netzzugangs registriert. Alle Daten werden für einen Zeitraum von sechs Monaten aufbewahrt und danach gelöscht. Der Zugang zu dieser Datenbank wird anhand von Access-Logs kontrolliert. Die zweite Datenbank, die dem Beschwerdemanagement, der Ermittlung von Betrugsfällen und dem Bandbreitenmanagement dient, enthält nicht nur die o.g. Verkehrsdaten sowie IMEI- und IMSINummern, sondern auch die Rufnummern der empfangenen Kommunikationen und Ortsdaten. Auch in diesem Fall bleiben die Daten für höchstens sechs Monate gespeichert und jeglicher Abruf der Daten wird in den Access-Logs protokolliert. Der Zugang zu dieser Datenbank ist jedoch stark beschränkt: nur 55 Mitarbeiter haben Akteneinsicht. Die Daten, die in der dritten Datenbank auf Vorrat gespeichert werden, berücksichtigen das Datum und die Uhrzeit sowie die Dauer der Kommunikation, die gewählten und empfangenen Rufnummern, die IMEI-Nummer, die Kommunikationsart (SMS, Roaming, etc.) und zuletzt die Ortung der Empfangszelle bei jeder Kommunikation. Wie bereits erwähnt, erfolgt die Speicherung für ein Jahr ab Ende der Kommunikation (Art. 6 des Gesetzes Nr. 32/2008 v. 17.7.2008). Jeglicher Abruf der Daten, der von den (lediglich) fünf autorisierten Mitarbeitern durchgeführt wird, wird in den AccessLogs aufgenommen. Die Kontrolle über den Zugang zu den Datenbanken wird durch periodische Analysen der AccessLogs, die TMN durchführt, verstärkt. Zudem werden Berichte über diese Analysen verfasst. In ihrem Gutachten stellte die CNPD fest, dass die von TMN ergriffenen Maßnahmen bezüglich der Datenverarbeitung rechtmäßig seien. Die CNPD kam ebenfalls zum Ergebnis, dass keine Daten von Simas in dem in Frage stehenden Zeitraum abgerufen und keine von den offenbarten Kommunikationen mit der SIMKarte von TMN durchgeführt wurden. ZD Fokus IX

ZD FOKUS 4. Weitere Entwicklungen im Fall „Simas“ Weder eine Einwilligung des Betroffenen Simas noch eine richterliche Anordnung, die die Übermittlung des Einzelverbindungsnachweises des Journalisten an den Geheimdienst legitimieren würden, liegen vor. Da der Geheimdienst die Daten dennoch in seinem Besitz hatte, ist es naheliegend, dass er wohl illegal gehandelt hat. Die Frage, die sich nun stellt, ist, wie der Geheimdienst an die Daten gekommen ist. Die Ermittlungen der CNPD beim Mobilfunkanbieter TMN ergaben, dass das Informationsleck nicht bei TMN liegt. Obwohl die Ergebnisse der Untersuchung der CNPD bei Optimus noch nicht vorliegen, haben die portugiesischen Medien inzwischen über weitere Entwicklungen im Fall „Simas“ berichtet. Es wurde bekannt gegeben, dass Optimus eine interne Untersuchung im Versuch vorgenommen hat, seine im Voraus beteuerte Unschuld zu bestätigen (Publico v. 3.9.2011, ´ und v. 27.8.2011). Die Ergebnisse wurden an die Staatsanwaltschaft weitergeleitet (Publico v. 21.9.2011, S. 8). Darauf´ hin erfolgte eine Razzia in den OptimusBüros, bei der eine Person festgenommen wurde (Publico v. 24.9.2011). Denn ´ anstatt seine Schuldlosigkeit nachzuweisen und trotz anscheinend ähnlicher Sicherheitsvorkehrungen bei der Datenspeicherung wie bei TMN (Publico v. ´ 21.9.2011, S. 8), entdeckte Optimus einen „Maulwurf“ unter seinen Mitarbeitern (Expresso v. 24.9.2011, S. 22 f.; Pu´

blico v. 24.9.2011). Anhand der AccessLogs, die die Namen der Benutzer und deren Passwörter registrieren, konnte festgestellt werden, dass die beschuldigte Mitarbeiterin die in Frage stehenden Daten zweimal abgerufen und dabei einmal ausgedruckt und weitergeleitet hat (Expresso v. 24.9.2011, S. 22; Publico v. ´ 24.9.2011). Später stellte sich heraus, dass diese Mitarbeiterin mit einem Spion des Geheimdienstes verheiratet ist (Correio da Manha˜ v. 1.10.2011). Leider ist dieser Fall nicht der einzige, in dem Daten missbraucht werden. In Frankreich bestätigte der Innenminister ein ähnliches Ausspähen des Handys eines Journalisten von Le Monde, der die Rolle von Sarkozys Finanzminister im Fall Bettencourt untersuchte (Publico v. ´ 3.9.2011, S. 12). Auch in diesem Fall hat der französische Geheimdienst den Einzelverbindungsnachweis von Gerard ´ Davet benutzt, um die Quellen des Journalisten herauszufinden. Es bleibt nur zu hoffen, dass die Wahrheit in solchen Fällen tatsächlich ans Licht gebracht wird. Dies ist jedoch nur möglich, wenn die Ergebnisse der verschiedenen Untersuchungen, u.a. der von CNPD bei Optimus, nicht als unschlüssig präsentiert oder als geheim unter Verschluss gehalten werden. Eine strengere und nicht mehr bloß administrative (vgl. Publico v. 30.8.2011, ´ S. 3) Kontrolle des Geheimdienstes sollte die Konsequenz sein. Sofia Pereira Filgueiras, LL.M. Eur. ist Doktorandin an der Ludwig-MaximiliansUniversität, München.

Flemming Moos / Marian Arning Aktueller Vorschlag der ICC zur Umsetzung der „Cookie-Richtlinie“ 2009

D

er deutsche Gesetzgeber tut sich mit der Umsetzung der neuen RichtlinienVorgaben für Cookies schwer: die Umsetzungsfrist ist seit Mai 2011 abgelaufen und einem entsprechenden Gesetzentwurf des Bundesrats (BR-Drs. 156/11) steht die Bundesregierung ablehnend gegenüber (Gegenäußerung der Bundesregierung v. 3.8.2011). Hilfreich könnte deshalb auch für den deutschen Gesetzgeber der Vorschlag sein, den die International Chamber of Commerce (ICC) UK zur Umsetzung des Cookie-Opt-ins, wie er von Art. 2 Ziff. 5 der RL 2009/136/EG X ZD Fokus

zur Änderung der RL 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation verlangt wird, präsentiert hat. In diesem Vorschlag beschäftigt sich die ICC insbesondere damit, wie ein WebsiteNutzer umfassend und effektiv über den Einsatz von Cookies auf einer Website informiert werden kann, bevor er seine Zustimmung zur Erhebung seiner Daten mittels Cookies erteilt. Denn nur wenn ein Website-Nutzer hinreichend detailliert, aber auch schnell und unkompliziert

über den Einsatz von Cookies informiert werden kann, so die ICC, sei die von der Richtlinie verlangte ausdrückliche Einwilligung des Website-Nutzers mit den wirtschaftlichen Anforderungen an eine komfortable Nutzung von Websites in Einklang zu bringen. Ausgangspunkt des Vorschlags ist die Annahme, dass der durchschnittliche Internetnutzer bei der bisherigen Gestaltung nicht ausreichend über den Einsatz und die Funktionsweise von Cookies informiert ist. Deshalb schlägt die ICC vor, für vier verschiedene Kategorien von Cookies unterschiedliche standardisierte grafische Icons auf der Website anzubringen und deren Bedeutung dann in darunter abrufbaren Texten detailliert zu erläutern. Die ICC schlägt vor, Cookies in vier verschiedene Kategorien einzuteilen: c unbedingt notwendige Cookies, c Leistungs-Cookies, c Funktionalitäts-/PersonalisierungsCookies und c Targeting und Third-Party-Cookies. Zu den unbedingt notwendigen Cookies zählen nach Auffassung der ICC diejenigen Cookies, die für die Erbringung des Website-Dienstes unbedingt notwendige Funktionen erfüllen und Daten zudem anonym erheben. Bei Leistungs-Cookies soll es sich um solche handeln, die dazu beitragen, die Leistungsfähigkeit der Website zu verbessern, also z.B. web analytics-Cookies zur Feststellung, welche Bereiche der Website am häufigsten benutzt werden. Funktionalitäts-/Personalisierungs-Cookies sind Cookies, die sich an den jeweiligen Nutzer „erinnern“ und die Nutzung der Website für ihn komfortabler machen sollen, z.B. dafür sorgen, dass die zuletzt eingestellte Sprache des Nutzers verwendet oder der lokale Wetterbericht angezeigt wird. Targeting und Third-Party-Cookies schließlich sind nach diesem Vorschlag Cookies, die sich daran „erinnern“, dass ein Nutzer eine bestimmte Website besucht hat und diese „Erinnerung“ mit Dritten teilt, insbesondere zu Zwecken des Behavioral Targetings/Advertisings. Für alle Kategorien von Cookies, die auf einer Website eingesetzt werden, soll der jeweilige Betreiber das entsprechende Icon gut sichtbar auf seiner Website platzieren müssen. Alternativ könne nach den Vorstellungen der ICC auch ein Popup-Fenster genutzt werden. Klickt ein ZD 1/2012

ZEITSCHRIFT FÜR DATENSCHUTZ

EDITORIAL

ZD 1/2012

Beschäftigtendatenschutz: Warum wir dringend eine gesetzliche Neuregelung brauchen

W

eder Unternehmen noch deren Mitarbeiter wissen derzeit, was beim Umgang mit Beschäftigtendaten erlaubt ist und was nicht. Bei Fehlern im Datenschutz drohen den Verantwortlichen unter anderem Rufschäden, Verlust von Kundenvertrauen, Bußgelder und die Abschöpfung von Gewinnen. Auch Beschäftigte haben in der betrieblichen Praxis wenig Chancen zu erkennen, ob und in welchem Umfang ihr Arbeitgeber ihre personenbezogenen Daten erheben oder verwenden darf. Diesen Missstand würde eine gesetzliche Regelung der einzelnen Probleme des Beschäftigtendatenschutzes beseitigen oder abschwächen. Sogar ein handwerklich verbesserungsfähiges Regelwerk würde in Bälde zu der notwendigen Rechtssicherheit und Rechtsklarheit beim Erheben und Verwenden von Beschäftigtendaten führen. Denn die zulässige Auslegung einer Neuregelung würde bald Gegenstand gerichtlicher Auseinandersetzungen sein. Es ist abzusehen, dass Arbeitsgerichte, Landesarbeitsgerichte und das BAG bald verbindliche und praxisgerechte Grundsätze aufstellen würden, an denen sich Beschäftigte, deren Interessenvertretungen und Arbeitgeber orientieren können.

Abs. 1 BDSG auch beim nicht-automatisierten Umgang mit personenbezogenen Daten anzuwenden ist, also etwa bei Taschenkontrollen, Befragungen oder dem Beobachten von Beschäftigten. Der Verweis auf die bisherige Rechtsprechung vor allem der Arbeitsgerichte stellt somit eine erste Anwendungshilfe zur Auslegung von § 32 BDSG dar. Hier ergeben sich in der Praxis allerdings einige Probleme. Zum einen muss man die gesamte einschlägige Rechtsprechung kennen, um die Regelung rechtssicher anzuwenden. Zum anderen kann man die bisherigen Entscheidungen des BAG und des BVerfG nicht eben als einheitlich bezeichnen. Daher steht der Rechtsanwender sogar dann, wenn er die maßgebliche Rechtsprechung gut kennt, bei der Auslegung von § 32 BDSG vor Problemen.

Die geplante Neuregelung des Beschäftigtendatenschutzes Auch der Gesetzgeber ist sich der unglücklichen Lage durchaus bewusst und verspricht Abhilfe. Schon am 26.10.2009 unterzeichneten die Regierungskoalitionen einen Koalitionsvertrag, der Eckdaten für ein eigenes Kapitel zum Arbeitnehmerdatenschutz im BDSG enthält. Die neue RegeProbleme des aktuell geltenden lung sollte Arbeitgebern eine verlässliche RegeBeschäftigtendatenschutzes Die heute maßgebliche Regelung zum Beschäflung für den Kampf gegen Korruption an die tigtendatenschutz trat am 1.9.2009 in Kraft. BeHand geben und Mitarbeiter vor Bespitzelungen reits damals stellte der Gesetzgeber klar, dass der am Arbeitsplatz schützen. Das gesamte BDSG Tim Wybitul derzeit anzuwendende § 32 BDSG als eher symsollte lesbarer und verständlicher werden. Jedenist Rechtsanwalt, Fachanbolisch gemeinte Übergangslösung gedacht war. falls dieses Ziel dürfte der derzeit diskutierte Entwalt für Arbeitsrecht und of Wank etwa formuliert dies zutreffend so: „Die wurf zur Regelung des BeschäftigtendatenschutCounsel im Frankfurter Büro Auslegung der Norm ist wohlwollend vorzunehzes eher verfehlen. von Hogan Lovells sowie In einem Punkt ist das Vorgehen des Gesetzgebers men, da es sich um einen gesetzgeberischen Mitherausgeber der ZD. aus Sicht des Datenschutz-Praktikers hingegen zu Schnellschuss handelt“ (ErfK, 12. Aufl. 2012, begrüßen. Denn der BDSG-Entwurf geht fallorien§ 32 BDSG Rdnr. 1). Die Regelung wurde vor altiert vor; er regelt einzelne Erhebungen und Verwendungen von lem auf Grund von Abgrenzungsschwierigkeiten kritisiert und Beschäftigtendaten in individuellen Vorschriften. Auch wenn dieweil sie keine praxisgerechten Kriterien zur Umsetzung der Vorse Vorschriften nicht leicht verständlich geschrieben sind, können gaben des Beschäftigtendatenschutzes bestimmt. Beschäftigte und Arbeitgeber künftig nachlesen, welcher UmBei der Anwendung der Norm behelfen sich Datenschützer oftgang mit Beschäftigtendaten unter welchen Voraussetzungen mals mit einem Kniff. Sie wenden die bisherigen Vorgaben der zulässig sein soll. Fachliteratur und Gerichte werden dann zeitArbeitsgerichte zu Kontrollen im Arbeitsverhältnis an. Nach der nah Handlungsempfehlungen und Leitsätze entwickeln, die die Gesetzesbegründung zu § 32 BDSG soll die Vorschrift die bisheUmsetzung der komplexen Vorschriften erleichtern. rige Rechtsprechung abbilden. Somit ist „erforderlich“ nach geltendem Datenschutzrecht das, was BAG und BVerfG in der Das bisherige Gesetzgebungsverfahren Vergangenheit als zulässig bewertet haben (LAG Köln ZD 2011, Am 25.8.2010 verständigte sich die Bundesregierung auf einen 183). Dabei kommt es nicht darauf an, ob die jeweilige EntscheiKabinettsentwurf zur Regelung des Beschäftigtendatenschutdung sich auf eine automatisierte Datenerhebung oder -verzes (BT-Drs. 17/4230). Ein neuer Unterabschnitt des BDSG soll in wendung bezog. Denn § 32 Abs. 2 BDSG schreibt vor, dass § 32 ZD 1/2012

Editorial 1

§§ 32 bis 32l BDSG-Entwurf den Umgang mit personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses regeln. An Stelle der Generalklausel von § 32 BDSG tritt eine Reihe von Einzelfallregelungen, die nicht nur zwischen dem Umgang mit Daten von Bewerbern und von bereits eingestellten Mitarbeitern unterscheiden, sondern auch zwischen dem Erheben und dem späteren Verwenden von Beschäftigtendaten. Hinzu kommen Sonderregelungen für den Umgang mit Beschäftigtendaten ohne Kenntnis des Beschäftigten, zu Datenabgleichen, für die offene Videoüberwachung, Kontrolle der IT-Nutzung, GPSOrtung und vieles mehr. Der BDSG-Entwurf sieht zudem 18 neue und bußgeldbewehrte Informationspflichten für Arbeitgeber vor. Insgesamt war diese Entwurfsfassung schwer lesbar und für Laien kaum verständlich. Dementsprechend deutlich fiel auch die Kritik vieler Fachleute an Sprache und Struktur des Entwurfs aus. So schloss § 32l Abs. 1 BDSG-Entwurf die Einwilligung im Beschäftigungsverhältnis als eigenständigen Erlaubnistatbestand grundsätzlich aus. § 4 Abs. 1 Satz 2 und § 32l Abs. 5 BDSG-Entwurf enthielten Vorgaben, die nicht klar erkennen ließen, ob Arbeitgeber und Betriebsrat einvernehmlich Betriebsvereinbarungen abschließen können sollten, auf deren Grundlage Abweichungen von den geplanten Vorschriften zum Beschäftigtendatenschutz möglich sein sollten. Eine weitere Schwäche des Entwurfs war, dass er keine Regelungen zur Übermittlung von Beschäftigtendaten in Konzernstrukturen vorsah. Arbeitgeberverbände kritisierten den BDSG-Entwurf als zu restriktiv. Die Gewerkschaften kritisierten dagegen einen ungenügenden Schutz der Persönlichkeitsrechte der Beschäftigten. Der Bundestag verhandelte am 25.2.2010 in erster Lesung kontrovers über den Gesetzentwurf. Sowohl die SPD-Fraktion als auch die Fraktion Bündnis 90/Die Grünen hatten eigene Gesetzentwürfe in den Bundestag eingebracht (BT-Drs. 17/69 und BTDrs. 17/4853), die aber auf Grund der Mehrheitsverhältnisse im Bundestag derzeit wenig Aussicht haben, verabschiedet zu werden. Bereits damals erkannten die Vertreter der Regierungsfraktionen die Notwendigkeit umfassender Änderungen des BDSGEntwurfs und kündigten an, diese im weiteren Gesetzgebungsverfahren auch umzusetzen. Am 23.5.2011 hörte der Innenausschuss eine Expertenrunde zum BDSG-Entwurf an. Auch hier bestand wenig Einigkeit über mögliche Einzelheiten einer künftigen Regelung. Die Aussagen der von den Regierungsfraktionen geladenen Sachverständigen ließen aber vermuten, dass der BDSG-Entwurf noch einmal überarbeitet werden sollte. Wie geht es weiter? Das Bundesinnenministerium stellte im September 2011 eine umfassend geänderte Fassung vor, die einige sprachliche Ungereimtheiten ausbesserte und einige inhaltliche Schwachstellen beseitigte. Die geänderte Fassung des BDSG-Entwurfs soll voraussichtlich 2012 im Innenausschuss diskutiert und dann als Änderungsantrag in das Gesetzgebungsverfahren eingebracht werden. Die Neufassung sieht unter anderem eine Regelung vor, die die angemessene Übermittlung von Beschäftigtendaten zwischen Konzernunternehmen erleichtert. Dieser Schritt ist sachgerecht und trägt dringenden Anforderungen der Praxis Rechnung. Zudem sollen Einwilligungen und Betriebsvereinbarungen als Er-

2 Editorial

laubnistatbestände nicht kategorisch, sondern lediglich für einzeln aufgezählte Datenerhebungen und -verwendungen im Beschäftigungsverhältnis ausgeschlossen werden. Auch die Vorschriften zur Erhebung öffentlich zugänglicher Bewerberdaten, zu Datenabgleichen oder zur Kontrolle betrieblicher E-Mails und vieles mehr wurden überarbeitet. Insgesamt sind viele der vorgeschlagenen Veränderungen zu begrüßen. Aber auch in seiner Neufassung ist der Gesetzentwurf noch schwer verständlich. Vielen Passagen merkt man an, dass sie das Ergebnis politischer Kompromisse sind, bei denen um viele Formulierungen lange gerungen wurde. Der richtige Schritt wäre nun, den Inhalt der im politischen Prozess ausgehandelten Übereinkünfte klar zu gliedern und in lesbares Deutsch zu übersetzen. Es scheint leider unwahrscheinlich, dass sich die Beteiligten noch auf eine in klarer Sprache geschriebene Fassung verständigen. Ausblick und Ergebnis Bei aller berechtigten Kritik am BDSG-Entwurf hat er auch seine Stärken. Beispielsweise betont die Neuregelung, dass der Umgang mit Beschäftigtendaten nach Art und Ausmaß im Hinblick auf den vom Arbeitgeber verfolgten Zweck verhältnismäßig sein muss. Das Erheben oder Verwenden von Beschäftigtendaten muss demnach geeignet sein, um eines der im BDSG-Entwurf genannten Ziele zu verwirklichen, und der Umgang mit Beschäftigtendaten muss von allen zur Verwirklichung dieses Ziels geeigneten und gleich effektiven Vorgehensweisen am wenigsten in die Persönlichkeitsrechte der Betroffenen eingreifen. Vor allem muss der Arbeitgeber stets sein eigenes Interesse an der Verwirklichung des von ihm verfolgten Zwecks mit den berechtigten Interessen der betroffenen Beschäftigten abwägen. Auch die Arbeitsgerichte haben ihre Entscheidungen zur Zulässigkeit von Eingriffen in die Persönlichkeitsrechte Beschäftigter durch Arbeitgeber in der Vergangenheit auf der Grundlage einer solchen Interessenabwägung getroffen. Insofern kann man dem BDSG-Entwurf auch nicht wirklich vorhalten, er benachteilige Arbeitnehmer oder Arbeitgeber. Denn die Aufsichtsbehörden für den Datenschutz werden dem unangemessenen Umgang mit Beschäftigtendaten mit einiger Sicherheit einen Riegel vorschieben. Zwar können die Aufsichtsbehörden nicht jedes Unternehmen beraten oder kontrollieren. Allerdings sind auch Gewerkschaften und Betriebsräte beim Beschäftigtendatenschutz mittlerweile zu Recht sensibilisiert. Zudem sind Betriebsräte nach § 80 Abs. 1 Nr. 1 BetrVG unter anderem dazu verpflichtet, darüber zu wachen, dass das BDSG und andere zu Gunsten der Arbeitnehmer geltende Gesetze eingehalten werden. Anders als in der Vergangenheit werden die Arbeitsgerichte künftig eine Vielzahl von datenschutzrechtlichen Fragen zu entscheiden haben, falls der Beschäftigtendatenschutz neu geregelt wird. Und man kann den Arbeitsgerichten durchaus zutrauen, handwerkliche Fehler des Gesetzgebers zu korrigieren. Zur Gewährleistung von Rechtssicherheit und einem angemessenen und vorhersehbaren Schutz des Rechts auf informationelle Selbstbestimmung im Beschäftigungsverhältnis kann man nur hoffen, dass der Gesetzgeber nun endlich eine Neuregelung zum Beschäftigtendatenschutz schafft. Es wäre mehr als wünschenswert, wenn diese Regelung klar, verständlich und ohne handwerkliche Mängel wäre – andernfalls sind Aufsichtsbehörden und Arbeitsgerichte gefordert.

ZD 1/2012

BEITRAGE HENDRIK SKISTIMS / ALEXANDER ROßNAGEL Überwachungssoftware Online-Durchsuchung Verschlüsselungsgefahr Quellen-TKÜ Computergrundrecht

Rechtlicher Schutz vor Staatstrojanern? Verfassungsrechtliche Analyse einer Regierungs-Malware c Am 8.10.2011 veröffentlichte der Chaos Computer Club (CCC) ein Dokument mit dem Namen „Analyse einer Regierungs-Malware“ (CCC-Analyse). Hierin wurden die Funktionen einer Software dargestellt, die laut CCC zu Ermittlungszwecken eingesetzt wurde. Sie ermöglicht es, Audiodaten von informationstechnischen Systemen zu erheben und an die Ermittler für eine weitere Auswertung zu übermitteln. Implementiert sind auch Screenshot- und Keylogging-Funktionen, die allerdings durch Nachladen entsprechender Codes aktiviert werden müssen. Im folgenden Beitrag wird beschrieben, wie die Software funktioniert, und untersucht, wie ihr Einsatz verfassungsrechtlich zu bewerten ist.

I. Der Einsatz einer Regierungs-Malware Die von Überwachungsbehörden von dem Unternehmen DigiTask gekaufte oder gemietete Überwachungssoftware wurde nach Presseinformationen durch brandenburgische, bayerische und baden-württembergische Polizeibehörden, das niedersächsische Landeskriminalamt sowie das Zollkriminalamt eingesetzt.1 Auch in Rheinland-Pfalz2 und Schleswig-Holstein3 ist eine Software mit entsprechenden Funktionen zum Einsatz gekommen.

1. Urteil des BVerfG von 2008 Der erste Versuch, eine Rechtsgrundlage für Online-Durchsuchungen zu schaffen, erfolgte durch die Einführung des § 5 Abs. 2 Nr. 11, 2. Alt. VSG-NRW a.F. und scheiterte mit der Feststellung der Nichtigkeit dieser Vorschrift durch Urteil des BVerfG zur Online-Durchsuchung am 27.2.2008.4 Der Versuch, eine Online-Durchsuchung in das Gesetz über den Verfassungsschutz in Nordrhein-Westfalen als Ermittlungsinstrument einzuführen, war maßgeblich der Überlegung geschuldet, dass die vermehrte Nutzung elektronischer oder digitaler Kommunikationsmittel und deren Vordringen in nahezu alle Lebensbereiche es der Verfassungsschutzbehörde erschwere, ihre Aufgaben c Diskutieren Sie dieses Thema auch in der ZD-Community unter: https://comm unity.beck.de 1 Spiegel 42/2011, S. 32 ff.; Spiegel-Online v. 10.10.2011, abrufbar unter: http://www.spiegel.de/netzwelt/netzpolitik/0,1518,790960,00.html; FAZ v. 10.10.2011, abrufbar unter: http://www.faz.net/aktuell/feuilleton/spionagesoftw are-erste-bundeslaender-gestehen-einsatz-des-staatstrojaners-11489076.html; SZ v. 12.10.2011, abrufbar unter: http://www.sueddeutsche.de/digital/spaeh-affa ere-zollbehoerden-setzten-trojaner-ein-1.1160868. 2 Spiegel-Online v. 10.10.2011, abrufbar unter: http://www.spiegel.de/netzwelt/ netzpolitik /0,1518,790960,00.html. 3 SZ v. 11.10.2011, abrufbar unter: http://www.sueddeutsche.de/digital/spaeh-af faere-wie-bayern-mit-dem-trojaner-kleinkriminelle-jagte-1.1159712-2. 4 BVerfGE 120, 274 = MMR 2008, 315 ff. m. Anm. Bär. 5 BVerfGE 120, 274, 319. 6 BVerfGE 120, 274, 279. 7 BVerfGE 120, 274, 325. 8 Eckert, IT-Sicherheit, Konzepte – Verfahren – Protokolle, 6. Aufl. 2009, S. 71. 9 Fox, DuD 2007, 827, 830. ZD 1/2012

c On October the 8th, 2011 the Chaos Computer Club (CCC) published a document, named „Analysis of a Governmental Malware“ (CCC-Analyse). The CCC herein describes the main functions of the malware and declares its use for criminal investigation purposes. The software allows to raise audio data from information technology systems and to send them to the investigators. Also screenshot and keylogging functions are available, after reloading adequate code. After explaining the basic functions of the software, its use will be evaluated, regarding constitutional law.

wirkungsvoll wahrzunehmen. Das Internet biete einen Raum zur Anbahnung und Pflege von Kontakten sowie zur Planung und Vorbereitung, aber auch zur Durchführung von Straftaten.5 Die Online-Durchsuchung hat gegenüber den herkömmlichen Maßnahmen von Strafverfolgungsbehörden besondere Vorteile. So ermöglicht sie die Beobachtung des Kommunikationsverhaltens oder das sonstige Nutzungsverhalten des Betroffenen über einen längeren Zeitraum. Hierdurch werden Informationen wahrnehmbar, die bei einer einmaligen Durchsicht des Systems nicht zu erlangen wären. Das ist sowohl technisch bedingt als auch der Heimlichkeit der Maßnahme geschuldet. Technisch ermöglicht die Online-Durchsuchung die Erhebung der Daten bei laufender Telekommunikation vor Verschlüsselung oder bei eingehender Telekommunikation nach Entschlüsselung durch das System.6 Die Heimlichkeit der Online-Durchsuchung verhindert wiederum die Einflussnahme des Betroffenen auf den Gang der Ermittlungen durch Änderung seines Verhaltens.7

2. Trojaner Grundlage der Online-Durchsuchung ist eine Trojaner-Software. In der Fachliteratur für Informatik wird ein Trojaner als ein Programm bezeichnet, dessen implementierte Ist-Funktionalität nicht mit der angegebenen Soll-Funktionalität übereinstimmt.8 Ein „Trojanisches Pferd“ besitzt damit verborgene Eigenschaften, um z.B. in ein System einzudringen und Daten aufzuzeichnen oder zu manipulieren. Dieser Zweck soll gerade verborgen werden, um den Erfolg der „Maßnahme“ nicht zu gefährden. So sah der für verfassungswidrig erklärte § 5 Abs. 2 Nr. 11 VSGNRW a.F. „die verdeckte Teilnahme an ... Kommunikationseinrichtungen bzw. die Suche nach ihnen, sowie de(n) heimliche(n) Zugriff auf informationstechnische Systeme auch mit Einsatz technischer Mittel“ vor. Damit die Daten aus dem informationstechnischen System des Betroffenen wahrgenommen werden können, muss eine Verbindung zwischen dem System des Betroffenen und einem Server hergestellt werden, auf den die Behörde zugreifen kann.9 Skistims/Roßnagel: Rechtlicher Schutz vor Staatstrojanern? 3

Eine solche, als „inside-out“ bezeichnete Attacke setzt voraus, dass ein entsprechendes Programm auf dem System des Betroffenen installiert ist.10 Ist die Installation erfolgt, gilt das System als „infiziert“ oder „infiltriert“.11 Die Ausführung der Installation kann auf verschiedenen Wegen stattfinden. Möglich ist sowohl die Fern-Installation über das Internet in automatisierter oder manueller Weise als auch die unmittelbare manuelle Installation.12 Letztere erfordert den physischen Zugriff auf das System. Das Aufspielen erfolgt dann z.B. über einen USB-Stick, eine CD-ROM oder ein anderes digitales Medium. Grundsätzlich muss die Software in der Lage sein, Befehle zu empfangen, zu verarbeiten und die Ergebnisse der Datenverarbeitung wiederum an den Server zu übermitteln.13 Je nachdem, welche konkreten Daten die Software erheben soll, muss sie unterschiedliche Funktionen beinhalten.14 Eine Aufzählung einzelner Funktionalitäten ist stets eine beispielhafte, spiegelt sie doch immer nur den aktuellen Stand der Technik wider. So beschränkte sich auch das BVerfG weitsichtig auf die Aussage, dass entsprechende Software einen „potentiell äußerst großen und aussagekräftigen Datenbestand“ erheben kann.15 Nur vereinzelt ging es auf einzelne Funktionen ein, wie z.B. die des „Keyloggers“, der die vollständige Protokollierung der Tastenanschläge ermöglicht.16 Grundsätzlich kann ein solches Programm jedoch, ist es entsprechend programmiert, nahezu alle denkbaren Daten vom Zielsystem erheben und übermitteln. Welche konkreten Funktionen ein entsprechendes Programm enthält, ist jedoch rechtlich relevant, wenn es nur für bestimmte Zwecke eingesetzt werden darf, wie z.B. für die Überwachung der Telekommunikation.17 Dabei ist nicht nur erheblich, ob das Programm bestimmte Funktionen besitzt, sondern auch, wie diese verwirklicht werden und welche weiteren unbeabsichtigten Folgen infolge der Infiltration eintreten können.

3. Der „Bundestrojaner“ Das vom CCC als „Bundestrojaner“ bezeichnete Programm hatte unterschiedliche Funktionen, mit denen es möglich war, Daten vom infizierten informationstechnischen System auf externe Server zu übertragen. Im Folgenden werden die vom CCC untersuchten Funktionen dargestellt. a) Verbindungsaufbau, Nachlade- und Ausführungsmechanismen Der CCC stellte fest, dass zur Steuerung des informationstechnischen Systems des Betroffenen verschiedene Kommunikationskanäle genutzt wurden. Sämtliche Kommunikation zwischen dem System des Betroffenen und der Behörde erfolgt über einen Dritten, den sog. „Command-and-Control-Server“ (externer Server). Dieser befindet sich in einem Rechenzentrum des kommerziellen Hosting-Anbieters „Web Intellects“ in Columbus, Ohio, USA.18 Das System der Behörde sandte Befehle an den externen Server. Nach erfolgreicher Authentisierung wurden die Befehle über einen weiteren Kommunikationskanal vom Server aus zum System des Betroffenen weitergeleitet. Dort führte das Infiltrationsprogramm die Befehle aus und sandte bei bestehender Internetverbindung angeforderte Daten an den externen Server. Hierzu dockte es sich an systeminterne Prozesse an und baute von dort aus eine Verbindung auf.19 Die Inhalte konnten nach Übermittlung durch die Behörde beim externen Server abgefragt werden. Über die Speicherdauer gab es keine Informationen. Auch ist es möglich, über den dargestellten Mechanismus Funktionalitäten oder schlichte Inhaltsdaten nachzuladen sowie bereits bestehende Informationen zu löschen, zu verschieben oder zu verändern.20 Nach erfolgreicher Installation ist es stets möglich, über entsprechende „Nachladefunktionen“ weitere Pro4 Skistims/Roßnagel: Rechtlicher Schutz vor Staatstrojanern?

grammteile oder ähnliche Software zu installieren.21 Hierdurch kann der Funktionsumfang des Programms nachträglich erheblich erweitert werden.22 Das untersuchte Programm enthielt Verschlüsselungsverfahren, um ausgehende Daten zu codieren. Hierbei wurde allerdings nur die Antwort der Software zum externen Server symmetrisch verschlüsselt, also die ausgehenden erhobenen Inhaltsdaten. Die Befehle an die Software waren hingegen unverschlüsselt. Laut der Analyse des CCC bestand durch die dargestellten Verfahren eine erhöhte Missbrauchsgefahr. Dadurch, dass die eingehenden Befehle an das Programm gänzlich unverschlüsselt waren, war der Schlüssel leicht extrahierbar. Ein Dritter konnte sich gegenüber der Software als externer Server ausgeben und in der Folge die Kontrolle über das Programm übernehmen. Hierdurch waren nicht nur sämtliche Funktionen, die das Programm aktuell zur Verfügung stellt, nutzbar, sondern es war auch einem Dritten möglich, zusätzliche Funktionen nachzuladen, um damit den Funktionsumfang zu erweitern.23 b) Screenshot-Aufnahmen Der CCC führte aus, dass über das Programm mittels verschiedener Wege Screenshots vom System des Betroffenen angefordert werden konnten. Dies erfolgte standardmäßig lediglich vom aktuell fokussierten Fenster.24 Grundsätzlich dienen entsprechende Funktionen der Erhebung und Übermittlung des aktuellen grafischen Bildschirminhalts.25 Je nach Voreinstellung des Browsers führt beispielsweise die Eingabe einer neuen Internetadresse zum Öffnen eines neuen Fensters. Dieses ist dann aktiv. Auch ist es möglich, Texte oder E-Mails, die über Textverarbeitungsprogramme geschrieben werden, zu erfassen. c) Audio-Aufzeichnungen und Keylogging-Funktionen In dem analysierten Programm war auch der notwendige Code vorhanden, um das Mikrofon des infizierten Computers einzuschalten und Audiodateien zu verarbeiten. Auch enthielt das Programm größere Teile einer nicht verwendeten KeyloggingFunktionalität. Zwar hätten entsprechende Funktionen nicht ohne weitere Zwischenschritte ausgeführt werden können, doch war das Nachladen eines Programms, das die Funktionen hätte ausführen können, möglich gewesen.26 Audio-Aufzeichnungen sind zur Überwachung von Internet-Telefonie notwendig. Bevor die Audiodateien auf dem System des Betroffenen verschlüsselt und über das Internet an den Empfänger gesendet werden, erhebt sie das Programm.27 Umgekehrt werden auch eingehende Audiodaten verarbeitet, nachdem diese durch das 10 Braun, K&R 2001, 681. 11 S. Volkmann, DVBl 2008, 590, 592. 12 S. hierzu ausf. Fox, DuD 2007, 827, 829; Möglichkeiten sind insb. das Zuspielen externer Speichermedien, die bei Vernetzung mit dem informationstechnischen System das Programm automatisch installieren, oder aber auch die Installation durch eine infizierte Website oder mittels eines manipulierten System-Updates. 13 CCC-Analyse, S. 3, 7, abrufbar unter: http://www.ccc.de/system/uploads/76/or iginal/staatstrojaner-report23.pdf 14 CCC-Analyse (o. Fußn. 13), S. 2. 15 BVerfGE 120, 274, 313. 16 BVerfGE 120, 274, 315; s. hierzu allg. Fox, DuD 2007, 827, 830. 17 S. LG Landshut MMR 2011, 690 m. Anm. Bär. 18 CCC-Analyse (o. Fußn. 13), S. 3; s.a. www.webintellects.com. 19 CCC-Analyse (o. Fußn. 13), S. 3. 20 CCC-Analyse (o. Fußn. 13), S. 12 ff. 21 Schröder/Schröder, Die Online-Durchsuchung: Rechtliche Grundlagen, Technik, Medienecho, 2008, S. 78. 22 S. Eckert (o. Fußn. 8), S. 72. 23 Zur Verschlüsselung vgl. CCC-Analyse (o. Fußn. 13), S. 4 ff. 24 CCC-Analyse (o. Fußn. 13), S. 9; das fokussierte Fenster ist das Fenster, welches die Tastatureingaben empfängt. Etwaige restliche Fenster sind inaktiv, können jedoch durch Anwahl aktiviert werden. 25 Fox, DuD 2007, 827, 830. 26 CCC-Analyse (o. Fußn. 13), S. 16 f. 27 Braun, K&R 2011, 681. ZD 1/2012

infiltrierte informationstechnische System entschlüsselt worden sind. Nach der Entschlüsselung werden die Informationen durch das Späh-Programm erhoben und übermittelt. Es kann mithin die gesamte Kommunikation des Betroffenen mit Dritten wahrgenommen werden. Das Keylogging ermöglicht hingegen die Protokollierung aller Tastenanschläge.28 Hierdurch ist es z.B. möglich, Passwörter zu erheben, um auf zugangsgeschützte Inhalte zuzugreifen oder aber auch Inhaltsdaten zu erheben, selbst wenn diese nicht dauerhaft gespeichert wurden.

4. Abgrenzung Quellen-TKÜ/OnlineDurchsuchung Für die rechtliche Einordnung ist es wichtig, die Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) und die OnlineDurchsuchung zu unterscheiden. Die Quellen-TKÜ bezweckt die Wahrnehmung einer Voice-over-IP(VoIP)-Kommunikation, die mittels des Internet-Protokolls (IP) erfolgt.29 Die Quellen-TKÜ dient ausschließlich der Überwachung der Daten aus einem laufenden TK-Vorgang.30 Nicht von der Quellen-TKÜ umfasst ist die Durchsuchung eines informationstechnischen Systems nach gespeicherten Dateien oder das Kopieren und Übertragen von Daten, die nicht die Telekommunikation des Betroffenen über das Internet mittels VoIP betreffen.31 Entsprechende Maßnahmen sind lediglich i.R.v. Online-Durchsuchungen zulässig. Die Online-Durchsuchung stellt insofern ein „Mehr“ gegenüber der reinen Quellen-TKÜ dar.32 Gemeinsam ist beiden Maßnahmen jedoch, dass sie ausschließlich über eine Infiltrationssoftware realisierbar sind. Im „Bundestrojaner“ waren u.a. Mechanismen zum Anfertigen von Screenshots implementiert. Soweit Screenshots von E-Mails generiert werden, ist die Erfassung von TK-Daten zumindest möglich. Das gilt jedoch nur so weit, wie aus den Screenshots auch eindeutig hervorgeht, dass entsprechende E-Mails oder sonstige Nachrichten abgesendet oder empfangen worden sind. Der Umstand, dass auch Screenshots erfasst werden, bei denen nicht sicher ist, ob die Texte versendet wurden und eine Kommunikation stattfand,33 schließt deren grundsätzliche Eignung als Mittel zur Kommunikationsüberwachung nicht aus. Hierfür ist es ausreichend, dass das Mittel fähig ist, den Zweck irgendwie zu fördern.34 Das ist im dargestellten Rahmen möglich. Zu beachten ist allerdings, dass durch die Screenshots auch Daten erhoben werden können, die über die bloße Erfassung von Kommunikation hinausgehen. So kann etwa die Abrufhäufigkeit bestimmter Dienste sowie der Inhalt angelegter Dateien im Offline-Modus erfasst werden. Ähnliches gilt auch für die Keylogging-Funktionen. Es kann damit nicht ausgeschlossen werden, dass Daten ohne Kommunikationsbezug mit erhoben werden. Damit darf die konkrete, vom CCC untersuchte Software

28 Fox, DuD 2007, 827, 830; BVerfGE 120, 274, 277. 29 BVerfG MMR 2008, 215, 218 m. Anm. Bär; s.a. Herrmann, Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, 2010, S. 33 Fußn. 27; Hoffmann-Riem, JZ 2008, 1009, 1021. 30 BVerfGE 120, 274, 309. 31 LG Landshut MMR 2011, 690 m. Anm. Bär. 32 Braun, K&R 2011, 681. 33 Vgl. CCC-Analyse (o. Fußn. 13), S. 10. 34 Zur Geeignetheit allg. BVerfGE 67, 157, 175 f.; 96, 10, 23; Dreier, in: Dreier (Hrsg.), GG, Bd. 1, 2. Aufl. 2004, Vorb., Rdnr. 147. 35 BVerfGE 54, 148, 153; 65, 1, 41; 118, 168, 183; 120, 274, 303; s.a. Roßnagel/ Schnabel, NJW 2008, 3534. 36 Hoffmann-Riem, JZ 2008, 1009, 1015 f. 37 BVerfGE 120, 274, 312 f. 38 BVerfGE 120, 274, 312 f. 39 Bäcker, in: Uerpmann-Wittzack, Das neue Computergrundrecht, 2009, S. 1, 9. 40 Volkmann, DVBl 2008, 590, 592. 41 BVerfGE 120, 274, 314. 42 BVerfGE 120, 274, 309. 43 Hoffmann-Riem, JZ 2008, 1009, 1021. ZD 1/2012

nur i.R.v. Online-Durchsuchungen, nicht hingegen für reine Quellen-TKÜ eingesetzt werden.

II. Verfassungsrechtlicher Rahmen Hat der Einsatz des Programms durch verschiedene Polizeibehörden, Landeskriminalämter und das Zollkriminalamt Verfassungsrecht verletzt?

1. Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Im Urteil zur Online-Durchsuchung erkannte das BVerfG das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme an (Computergrundrecht). Das allgemeine Persönlichkeitsrecht gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährleistet einen lückenschließenden Schutz vor Gefährdungen, zu denen es im Zuge wissenschaftlich technologischen Fortschritts und gewandelter Lebensverhältnisse kommen könnte.35 Ein solcher ist für das BVerfG jedoch mit den übrigen bei Online-Durchsuchungen in Betracht kommenden Grundrechten, wie die informationelle Selbstbestimmung, das Fernmeldegeheimnis und der Schutz der Wohnung, nicht zu erreichen.36 Dadurch, dass informationstechnische Systeme zunehmend zentraler Bestandteil der alltäglichen Lebensführung werden und der Einzelne immer stärker auf ihre Nutzung angewiesen ist, vertraut er dem System persönliche Daten an oder liefert sie ihm zwangsläufig schon allein durch seine Nutzung.37 Vom Schutzbereich des Grundrechts sind lediglich eigens genutzte komplexe informationstechnische Systeme umfasst. Komplexität besteht, wenn ein Angreifer sich bei einem Zugriff auf das System „einen potenziell äußerst großen und aussagekräftigen Datenbestand verschaffen“ kann, der in seinem „Gewicht für die Persönlichkeit des Betroffenen über einzelne Datenerhebungen weit hinaus(-geht)“.38 Anknüpfungspunkt für den Grundrechtsschutz ist damit das gesamte System, nicht das gespeicherte Datum.39 a) Eingriff Ein Eingriff in das Computergrundrecht liegt dann vor, wenn das informationstechnische System infiltriert, mithin eine SpähSoftware installiert ist.40 Die Integrität des geschützten Systems wird angetastet, wenn auf das System so zugegriffen wird, „dass dessen Leistungen, Funktionen und Speicherinhalte durch Dritte genutzt werden können.“ Dann ist die „entscheidende technische Hürde für eine Ausspähung, Überwachung oder Manipulation des Systems genommen“.41 Die untersuchte Software enthält Funktionen, die neben der Wahrnehmung der Kommunikation auch weitere Überwachungsmaßnahmen ermöglichen. Mit dem Zeitpunkt der Installation sind die Software und damit das informationstechnische System des Betroffenen von außen ansprechbar. Die Installation des „Bundestrojaners“ stellt demnach einen Eingriff in das Computergrundrecht dar. Etwas anderes kommt nur dann in Betracht, wenn die Infiltration ausschließlich für eine QuellenTKÜ stattfinden kann. Das BVerfG führte hierzu aus, dass Art. 10 Abs. 1 GG alleiniger Prüfungsmaßstab sei, wenn ausschließlich laufende TK-Daten erfasst werden.42 Dieses setze allerdings voraus, dass die Software technisch nicht in der Lage ist, auch Informationen zu erfassen, die keinen Bezug zur Telekommunikation haben.43 Das trifft jedoch für das untersuchte Programm nicht zu. Mit seiner Installation war in jedem Fall die Integrität des betroffenen informationstechnischen Systems angetastet. Die vom BVerfG entwickelten Maßstäbe zur Konkurrenz von Computergrundrecht und Fernmeldegeheimnis sind kritikwürdig, in jedem Fall jedoch für die Praxis unbrauchbar. Kritikwürdig Skistims/Roßnagel: Rechtlicher Schutz vor Staatstrojanern? 5

sind sie insofern, als auch bei einer reinen Quellen-TKÜ zuvor zwangsweise in die Integrität des Systems eingegriffen werden muss.44 Auch sie setzt nämlich die Infiltration des Systems mittels eines Späh-Programms voraus. Dass die Software nur Kommunikationsdaten erhebt, ändert daran nichts. Dieser Widerspruch lässt sich scheinbar lösen, wenn man annimmt, dass der Schutzbereich des Computergrundrechts zwar betroffen, jedoch auf Konkurrenzebene durch Art. 10 Abs. 1 GG verdrängt wird. Das BVerfG reduziert den Anwendungsbereich des Computergrundrechts vom Schutzzweck her dann, wenn technisch sichergestellt ist, dass das Gefahrenpotenzial für die „Integrität und Vertraulichkeit komplexer Informationstechnischer Systeme nicht aktiviert“ wird.45 Wenn jedoch eine Software, auch wenn diese nur fähig ist, TK-Daten zu erfassen, auf einem informationstechnischen System installiert wird, ist zumindest das Gefährdungspotenzial für die Integrität des Systems aktiviert. Wie der CCC in seiner Analyse dargestellt hat, ist die Missbrauchsgefahr durch Dritte bei „schlecht programmierter“ Software enorm. Hierdurch kann sich wiederum auch das Gefährdungspotenzial für die Vertraulichkeit des Systems verwirklichen. Praktisch sind die Kriterien obsolet, weil es schlichtweg keinen Anwendungsfall gibt und voraussichtlich auch nicht geben wird, bei dem eine Software ausschließlich TK-Daten erhebt.46 Nach den Kriterien des BVerfG läge bereits ein Eingriff in das Computergrundrecht vor, wenn das Programm allein die Funktion enthalten würde, mehr Daten als reine TK-Daten zu erfassen, ohne dass es auf die Nutzung der Funktion im konkreten Fall ankäme.47 So stellt sich auch die Frage, wie es sich verhält, wenn die Software zwar aktuell keine weiteren als Kommunikationsdaten erheben kann, entsprechende Funktionen jedoch nachladbar wären. Die Funktionen der vom CCC untersuchten Software waren jedoch durch nachträgliches Nachladen entsprechender Codes relativ leicht erweiterbar.48 Selbst wenn man das Nachladen technisch ausschließen kann, ist jedoch eine Auseinandersetzung mit komplexen Fragen der Informatik notwendig, um die Funktionen der Software in dieser Hinsicht festzustellen. Eine solche Vorgehensweise wird regelmäßig die fachlichen Kompetenzen von Ermittlungsbehörden an ihre Grenzen bringen und birgt daher die Gefahr erheblicher Rechtsunsicherheit in sich. Es bleibt festzuhalten, dass ein Eingriff in das Computergrundrecht durch die Installation des „Bundestrojaners“ vorliegt. b) Rechtfertigung Ist der Eingriff in das Computergrundrecht gerechtfertigt? Ein Eingriff ist grundsätzlich sowohl zu präventiven wie auch zu repressiven Zwecken nur auf Grund einer Rechtsgrundlage zulässig.49 Für Zwecke der Strafverfolgung existieren zum gegenwärtigen Zeitpunkt keine Rechtsgrundlagen.50 §§ 100a und 100b StPO ermächtigen ausschließlich zur TK-Überwachung und stellen keine Rechtsgrundlagen für Online-Durchsuchungen dar.51 Insofern war jede Nutzung des Bundestrojaners zur Strafverfolgung mangels Ermächtigungsgrundlage verfassungswidrig. Für den Einsatz zur Gefahrenabwehr kommen bislang § 20k Abs. 1 BKAG sowie Art. 34d Abs. 1 PAG Bayern und § 31c Abs. 1 POG Rheinland-Pfalz in Betracht. Alle anderen Bundesländer haben keine Ermächtigungsgrundlagen geschaffen, Thüringen verbietet sogar in § 34a Abs. 2 Satz 3 PAG explizit den Zugriff auf andere Daten als TK-Daten durch Programme, die auf das System aufgespielt werden. Die untersuchte Software durfte daher nur zur Gefahrenabwehr von Polizeibehörden in Bayern und Rheinland-Pfalz eingesetzt werden. Für den Verfassungsschutz gibt es nur in Art. 6e Abs. 1 Satz 1 BayVSG eine Rechtsgrundlage. Der Einsatz durch alle anderen Behörden – auch zur Gefahrenabwehr – war daher ebenfalls verfassungswidrig. 6 Skistims/Roßnagel: Rechtlicher Schutz vor Staatstrojanern?

Doch selbst für die Fälle, in denen eine Ermächtigungsgrundlage bestand, ist fraglich, ob durch den Einsatz der Grund-Funktionalitäten, wie Audio-Aufzeichnungen, Screenshots und Keylogging, ein unverhältnismäßiger Eingriff stattfand. Auch die Art und Weise, wie die Software diese Funktionen verwirklicht und welche Sicherheitslücken dabei entstehen, sind verfassungsrechtlich zu würdigen. Die Funktionen des Programms per se sind verfassungsrechtlich nicht zu beanstanden. Vielmehr betonte das BVerfG, dass durch die Online-Durchsuchung ein aussagekräftiger Datenbestand generierbar ist,52 der weitreichende Schlüsse auf die Persönlichkeit des Betroffenen bis hin zu einer Bildung von Verhaltens- und Kommunikationsprofilen ermöglicht.53 Auch die Umstände, die weitere Beeinträchtigungen beim Betroffenen hervorrufen, erörterte es. I.R.d. Angemessenheit stellte es fest, dass es einen „rein lesenden Zugriff infolge der Infiltration“ nicht gebe. Vielmehr sei zu beachten, dass auch Dritte „das Zugriffsprogramm missbrauchen“ können, indem Datenbestände durch gezielte Manipulationen gelöscht, verändert oder neu angelegt werden. „Dies kann den Betroffenen in vielfältiger Weise mit oder ohne Zusammenhang zu den Ermittlungen schädigen“.54 Es zog sogar die Möglichkeit in Betracht, dass unbeteiligte Dritte von der Maßnahme betroffen werden könnten, bei denen die Voraussetzungen für die Durchführung der Maßnahme gerade nicht vorliegen.55 Dem Gericht war die Möglichkeit eines rechtswidrigen Umgangs mit personenbezogenen Daten durch Dritte infolge der Infiltration demnach bewusst. Die hieraus resultierende hohe Eingriffsintensität und Streubreite von Online-Durchsuchungen war maßgeblich für die strengen Rechtfertigungsmaßstäbe des Computergrundrechts.56 Diese Risiken sind insoweit der Online-Durchsuchung systemimmanent und vom BVerfG akzeptiert worden. Allerdings ist auch beim Computergrundrecht das Prinzip der Erforderlichkeit zu beachten. Dieses besagt, dass unter mehreren, gleich wirksamen Maßnahmen diejenige auszuwählen ist, die den Betroffenen am wenigsten belastet.57 Wenn eine OnlineDurchsuchung durchgeführt wird, muss die Variante gewählt werden, die die geringstmöglichen Missbrauchsrisiken mit sich bringt. Diese Anforderung kann eine Software nicht erfüllen, die auf Grund unzureichender Verschlüsselungsverfahren durch unberechtigte Dritte nicht nur gesteuert, sondern auch in ihrem Funktionsumfang erweitert werden kann.58 Daher war auch der Einsatz der untersuchten Software in den Bundesländern, in denen eine Ermächtigungsgrundlage bestand, wegen Verstoßes gegen das Erforderlichkeitsprinzip verfassungswidrig. 44 S. unter II. 3.; vgl. auch Abate, DuD 2011, 122, 125. 45 Hoffmann-Riem, JZ 2008, 1009, 1021. 46 Dix, DuD 2007, 827, 834; ähnlich Hoffmann-Riem, JZ 2008, 1009, 1022; a.A. LG Hamburg MMR 2008, 423, 426 m. Anm. Bär, der davon ausgeht, dass es Software gäbe, die sich nur bei Gesprächen aktiviere und daher keinen Zugriff auf sonstige, sich auf dem Rechner des Betroffenen befindliche Daten ermögliche. 47 BVerfGE 120, 274, 309; vgl. auch Braun, K&R 2011, 682, 683. 48 S. Abschnitt II.2; im konkreten Fall ging es um die Funktion von Audioaufzeichnungen. 49 BVerfGE 120, 274, 326. 50 Braun, K&R 2011, 681, 683. 51 Umstritten ist, ob die Quellen-TKÜ auf §§ 100a und b StPO gestützt werden kann. Soweit durch die Quellen-TKÜ auch ein Eingriff in das Computergrundrecht erfolgt, ist dies abzulehnen. Für die untersuchte Software ist dies jedoch nicht von Relevanz, da sie über eine reine Quellen-TKÜ hinausgeht; s. hierzu grds. LG Landshut MMR 2011, 690 m. Anm. Bär; Hoffmann-Riem, JZ 2008, 1009, 1022 m.w.Nw. 52 BVerfGE 120, 274, 313. 53 BVerfGE 120, 274, 323. 54 BVerfGE 120, 274, 325. 55 BVerfGE 120, 274, 323, 326. 56 Hoffmann-Riem, FAZ v. 9.10.2011, abrufbar unter: http://www.faz.net/aktuell /politik/inland/im-gespraech-wolfgang-hoffmann-riem-der-staat-muss-risiken-ein es-missbrauchs-durch-infiltrierung-vorbeugen-11487843.html. 57 BVerfGE 120, 274, 321; Hornung, DuD 2007, 575, 580. 58 Abschnitt I. 2. a). ZD 1/2012

2. Fernmeldegeheimnis

3. Informationelle Selbstbestimmung

Auch ein Eingriff in das von Art. 10 Abs. 1 GG geschützte Fernmeldegeheimnis ist gegeben. Dieses schützt laufende Kommunikationsvorgänge. Hiervon umfasst sind die Vertraulichkeit des Kommunikationsvorgangs, die Kommunikationsinhalte, die Verbindungsdaten und die weiteren Umstände der Telekommunikation. Unerheblich für den Schutz ist die konkrete Ausdrucksform innerhalb der Kommunikation.59 Ausdrücklich sind auch internetbasierte Kommunikationsdienste erfasst.60

Das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG stellt die Befugnis dar, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.64 Grundsätzlich findet durch den Umgang mit personenbezogenen Daten ein Eingriff in die informationelle Selbstbestimmung statt, soweit Art. 10 Abs. 1 GG nicht als spezielleres Grundrecht eingreift.65 In Abgrenzung zum Computergrundrecht schützt das Recht auf informationelle Selbstbestimmung nur vor allen unzulässigen Datenerhebungs- oder Verwendungsvorgängen. Dagegen bietet das Computergrundrecht einen vorlaufenden Integritätsschutz, ohne dass es auf einen konkreten Umgang mit Daten ankäme.66

Das BVerfG stellte klar, dass Art. 10 Abs. 1 GG zwar keinen hinreichenden Schutz bei der Infiltration informationstechnischer Systeme gewährleistet, jedoch nicht in jedem Fall durch das Computergrundrecht verdrängt wird. Die untersuchte Software nimmt Screenshots wie auch Audio-Aufzeichnungen vor. Auch ist es möglich, durch die Keylogging-Funktion Passwörter zu erheben, mit denen auf geschützte Kommunikationsinhalte zugegriffen werden kann. Es werden dadurch u.a. Daten aus laufenden Kommunikationsvorgängen kopiert und an externe Server übermittelt.61 Somit findet ein Eingriff in Art. 10 Abs. 1 GG statt. Fraglich ist allerdings, ob Art. 10 Abs. 1 GG im Wege der Konkurrenz vom Computergrundrecht verdrängt wird. Zur Konkurrenz beider Grundrechte führte das BVerfG aus, dass Art. 10 Abs. 1 GG insbesondere anwendbar bleibt, soweit der Betroffene keine eigenen Schutzvorkehrungen treffen kann und die Daten nach Abschluss des Vorgangs nicht im Herrschaftsbereich eines Kommunikationsteilnehmers gespeichert werden.62 Beides ist für den konkreten Fall zu bejahen. Dadurch, dass sämtliche Informationen auf externen Server gespeichert werden, laufen alle Schutzvorkehrungen des Betroffenen auf dem eigenen System, ist es erst einmal infiltriert, ins Leere. Es können folglich mit großem zeitlichem Abstand und ohne sachlichen Zusammenhang weitere Datenverarbeitungsvorgänge stattfinden, ohne dass weitere Vertraulichkeits- oder Integritätsverletzungen des Systems notwendig wären. Art. 10 Abs. 1 GG wird daher beim Einsatz der Software nicht durch das Computergrundrecht verdrängt. Das Fernmeldegeheimnis wird verletzt, weil der Einsatz der Software gegen das Verhältnismäßigkeitsprinzip verstößt. Zum einen erfasst die Software mehr als nur reine TK-Daten und dürfte daher grundsätzlich nur i.R.v. Online-Durchsuchungen Anwendung finden.63 Zum anderen verstößt sie gegen das Erforderlichkeitsgebot, selbst wenn technisch sichergestellt werden könnte, dass sie nur TK-Daten erfasst. Durch sie werden Daten in einem externen Server in den USA gespeichert. Dadurch gelangen die Daten außerhalb der Geltung europäischen Rechts und sind den Eingriffen des Serverbetreibers, von US-Behörden und Dritten, denen der Zugang eröffnet wird, ausgesetzt. Außerdem kann der Betroffene dort seine Rechte nicht oder nur sehr erschwert geltend machen. Eine gleich wirksame, jedoch weniger belastende Maßnahme wäre die Speicherung der Daten in einem behördeninternen Server, wenigstens jedoch in Deutschland. Der Einsatz der Software verletzt daher in jedem Fall das Fernmeldegeheimnis. 59 BVerfG MMR 2003, 35; BVerfG MMR 2006, 217. 60 BVerfG MMR 2005, 674. 61 Vgl. unter I. 2. a); zum Eingriff in Art. 10 durch Keylogging vgl. Bäcker, in: Rensen/Brink, Linien der Rechtsprechung des BVerfG – erörtert von den wissenschaftlichen Mitarbeitern, 2009, S. 99, 108. 62 BVerfGE 120, 274, 307 f. 63 Vgl. unter I. 3. 64 BVerfGE 65, 1, 43; 84, 192, 194. 65 BVerfG MMR 2006, 217. 66 BVerfGE 120, 274, 313 f.; Härtel, NdsVBl. 2008, 276, 279; s.a. HoffmannRiem, JZ 2008, 1009, 1016. 67 Dies setzt natürlich voraus, dass verfassungsgemäße Rechtsgrundlagen existieren.

ZD 1/2012

In dem zu beurteilenden Fall wird jedoch das Recht auf informationelle Selbstbestimmung nicht vollständig durch das Computergrundrecht verdrängt.67 Bedingt durch die externe Speicherung der Daten ist ein über die Infiltration der Computer hinausgehender rechtswidriger Umgang durch Dritte möglich. Hier erscheint es sachgerechter, auf die informationelle Selbstbestimmung abzustellen. In jedem Fall sind jedoch auch die Aussagen zu Art. 10 Abs. 1 GG entsprechend zu beachten. Eine Speicherung personenbezogener Daten in den USA ist nicht erforderlich, wenn sie auch in Deutschland hätte stattfinden können. Hierdurch ist auch das Recht auf informationelle Selbstbestimmung verletzt.

III. Fazit Die vom CCC untersuchte Software enthält Funktionen, die über eine reine Quellen-TKÜ hinausgehen. Ein Einsatz wäre daher nur auf Grund von Rechtsgrundlagen zulässig, die zu einer OnlineDurchsuchung ermächtigen. Zur Strafverfolgung darf sie nach gegenwärtiger Rechtslage nicht eingesetzt werden. Für die Gefahrenabwehr gibt es vereinzelte Ermächtigungen, die einen Einsatz zur Online-Durchsuchung grundsätzlich erlauben würden. Die Sicherheitsschwächen der Software und die Speicherung auf externen Servern in den USA führen jedoch auch bei Anwendung dieser Erlaubnistatbestände zu einer Verletzung des Computergrundrechts, des Fernmeldegeheimnisses und des Rechts auf informationelle Selbstbestimmung. Die Analyse des CCC zeigt, dass in diesem für Grundrechtsschutz und Rechtsstaat höchst sensitiven Bereich der Überwachung zu wenig Kontrolle besteht. Der Richtervorbehalt, der wohl in all diesen verfassungswidrigen Überwachungsmaßnahmen beachtet worden ist, reicht hierfür nicht aus. Der Richter, wenn er überhaupt eine kritische Prüfung durchführt, kann nur die einzelfallbezogenen Argumente für das Vorliegen der Eingriffsvoraussetzungen überprüfen, nicht jedoch den Funktionsumfang der eingesetzten Software. Daher ist zu fordern, dass vor dem Einsatz solcher Software diese von einer unabhängigen Stelle zuverlässig kontrolliert und freigegeben wird. Hendrik Skistims ist Mitarbeiter in der Projektgruppe verfassungsrechtliche Technikgestaltung (provet) der Universität Kassel.

Prof. Dr. Alexander Roßnagel ist Professor für Öffentliches Recht an der Universität Kassel, Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) und Direktor des Forschungszentrums für Informationstechnik-Gestaltung sowie Mitglied des Wissenschaftsbeirats der ZD. Der Aufsatz entstand im Rahmen des Projekts „Gestaltung technischsozialer Vernetzung in situativen ubiquitären Systemen (VENUS)“.

Skistims/Roßnagel: Rechtlicher Schutz vor Staatstrojanern? 7

PETER SCHMITZ

Der Vertragspartner ohne Daten Datenweitergabe an die Erbringer von telekommunikationsgestützten Diensten c „Telefon-Premiumdienste“ bzw. sog. „tk-gestützte Dienste“ (z.B. unter 0900- oder 0137-Rufnummern) bieten bewährte Serviceleistungen und setzen mehr als a 2 Mrd. jährlich um, die im Regelfall komfortabel und sicher über die Telefonrechnung der Nutzer eingezogen werden. Da die Premiumdienste mit Hilfe der TK-Netzbetreiber kundenfreundlich ohne „Anmeldung“ und Identifikation der Nutzer durchgeführt werden, kennen nur diese TK-Anbieter Rufnummer und Name der Kunden. Die BNetzA verlangt nun, dass die TK-Anbieter aus vorgeblichen Gründen des Datenschutzes den Premiumdiensteanbietern noch nicht einmal die vollständige Rufnummer zu den einzelnen Geschäftsvorfällen mitteilen dürfen. Die Premiumdiensteanbieter würden folglich bei einer Leistung auf Rechnung und mit Forderungseinzug durch einen Dritten ein Vertragspartner und Forderungsinhaber ohne Kenntnis der Kundendaten oder der Rufnummer. Der „Vertragspartner ohne Daten“ – ist dies rechtmäßig zu fordern?

I. Ausgangslage und Anordnung der BNetzA Bevor zu untersuchen ist, ob die Untersagung der BNetzA rechtmäßig ist, sind die Ausgangslage und die Relevanz in der Praxis darzustellen. Über Premiumdienste werden Umsätze in Höhe von mehr als a 2 Mrd. jährlich generiert und im Regelfall über die Telefonrechnung der Nutzer durch ihren Teilnehmernetzbetreiber (TNB) abgerechnet. Es handelt sich folglich nicht etwa um „Bargeschäfte des täglichen Lebens“, die wie im Supermarkt bar bezahlt und dann „mitgenommen“ werden. Vielmehr ist der Anbieter vorleistungspflichtig und die Bezahlung erfolgt nach Rechnungsstellung. Es wäre gemessen an der sonst üblichen Praxis höchst erstaunlich, wenn das TKG tatsächlich verlangen würde, dass solche Umsätze für die Vertragspartner und Forderungsinhaber anonym bleiben müssen und sie ihre Vertragspartner und Schuldner nicht wenigstens anhand der Rufnummer „pseudonym“ kennen dürfen bzw. sogar kennen müssen.

1. Premiumdienste in der Praxis Premiumdiensteanbieter bieten vielfältige Dienste an, die in der Praxis über 0180-, 0137- oder 0900-Rufnummern erreichbar sind. Diese Dienste wurden und werden oftmals auch als Mehrwertdienste bezeichnet. Nach aktuellen Schätzungen setzen rund 400.000 Unternehmen in Deutschland diese Dienste im Rahmen ihrer Geschäftsprozesse ein, d.h. sie bieten zumindest einzelne ihrer Leistungen privaten oder geschäftlichen Nachfragern über Auskunfts- und Mehrwertdienste (AMWD) an. Das Gesamt-Marktvolumen für solche Dienste lag in Deutschland im Jahr 2009 nach Schätzungen von WIK-Consult bei etwa a 2,8 Mrd.1 Im Zusammenhang mit diesem Umsatz steht der Umsatz in nachgelagerten Branchen, wie z.B. im Versandhandel und bei Teleshopping. An der Erbringung der Dienste wirken rund 250.000 Mitarbeiter mit. Diese Wertschöpfung schätzt WIK auf etwa a 12 Mrd., wie aus einer Pressemitteilung des VATM sowie des DMTV2 hervorgeht. Die Rufnummern, unter denen die Premiumdienste erreichbar sind, werden entweder im Netz des TNB (beim sog. Online-Billing) oder im Netz des sog. Verbindungsnetzbetreibers (sog. 8 Schmitz: Der Vertragspartner ohne Daten

Premiumdiensteanbieter Nutzeridentifikation Datenübermittlung Inkasso Verkehrsdaten

c “Telephone premium services”, or so-called “telecommunication supported services” (e.g. 0900- or 0137- phone numbers) offer established services and generate more than a 2 billion annually which generally are comfortably invoiced via the user’s telephone bill. As the premium services can be implemented in a customer-friendly manner without “registration” and identification by the user via the telecommunications network providers, only these telecommunication service providers know the customers’ telephone numbers and names. The BNetzA now demands that the telecommunication providers – for alleged data protection reasons – may not even tell the premium service providers the complete telephone number for the individual business transactions. Thus, in the case of a service payable upon invoice and with the collection of debts by a third party, the premium service providers would become contractual partners and holders of the debts without knowledge of the customer data or the telephone number. The “contractual partner without data” – can this lawfully be demanded?

„Offline-Billing) geschaltet und bepreist. Der Premiumdiensteanbieter erbringt im Regelfall zwar die Service-Komponente des Dienstes. Die Leistungskomponente der TK-Dienstleistung erbringt hingegen der Anbieter, in dessen Netz die Rufnummer geschaltet ist, sowie mögliche weitere Zusammenschaltungspartner (im Folgenden: TK-Anbieter). Hierbei gibt es Unterschiede in der Leistungserbringung, je nachdem ob der Dienst im Netz des TNB oder des Verbindungsnetzbetreibers geschaltet ist. Da es vorliegend aber alleine darum geht, ob der TK-Anbieter, in dessen Netz die Rufnummer geschaltet und die Verbindung bepreist wird, dem Premiumdiensteanbieter die vollständige Rufnummer seiner Anrufer übermitteln darf, sind diese Unterschiede nicht von Belang. Entscheidend bei der üblichen technischen Abwicklung ist, dass der Premiumdiensteanbieter die Anrufer nicht persönlich identifiziert und auch nicht deren Namen oder Adressen aufnimmt. Vielmehr werden die Dienste im Regelfall „ohne Anmeldung“ genutzt, indem der Premiumdiensteanbieter darauf vertraut, dass der TK-Anbieter den Nutzer anhand dessen Telefonnummer identifiziert und dann die Forderung des Premiumdiensteanbieters über die Telefonrechnung des Nutzers fakturiert und einzieht. Die Abrechnung und die Inkassierung der entstehenden Forderungen erfolgt einheitlich mit der TK-Leistung und der Rechnung, die der TNB seinem Endkunden (Anrufer/Nutzer des Premiumdienstes) für alle genutzten TK-Dienste und Premiumdienste bzw. tk-gestützten Dienste stellt. Dieses Verfahren ist aus Gründen des sog. Kundenschutzes (Verbraucherschutzes) in § 45h Abs. 1 TKG vorgesehen und fördert Sicherheit und Leichtigkeit der Angebote sowohl für die Nutzer als auch die Anbieter. Die Premiumdiensteanbieter erteilen dem TK-Netzbetreiber im Regelfall – jedenfalls beim Offline-Billing – entweder eine Einzugsermächtigung oder Forderungsabtretung, damit der TK-

1 Gastbeitrag von Grützner, VATM, abrufbar unter: http://www.e-mobility-21.de/ nc/related-e-auto-news/artikel/42329-vatmwik-mehrwertdienste-generieren-ums atzvolumen-von-13-mrd-euro/187/. 2 Abrufbar unter: http://duesseldorf.business-on.de/medien-dvtm-verband-unter nehmen-verbrauchern-interessen-_id22673.html; vgl. hierzu auch o. Fußn. 1. ZD 1/2012

Anbieter die Forderung einziehen kann. Soweit der rechnungsstellende TNB nicht mit dem TK-Anbieter identisch ist, der die Service-Rufnummer realisiert, gibt es eine weitere Leistungsbzw. Fakturierungsbeziehung zwischen diesem TK-Anbieter und dem TNB.

2. Das Interesse an der Kenntnis der Rufnummer Da die Dienste „ohne Anmeldung“ genutzt werden, ist eine übliche Konstellation in der Praxis, dass (zunächst) nur der TK-Anbieter die Rufnummer des Anrufers kennt, da dieser den Anruf an das vom Premiumdiensteanbieter bestimmte Ziel terminiert. Nutzt der Anrufer für diesen Anruf die sog. Rufnummernunterdrückung „CLIR“3 (vgl. § 102 TKG), wird diese Rufnummer dem Premiumdiensteanbieter nicht angezeigt. Der Premiumdiensteanbieter schließt folglich durch die Annahme der Verbindung mit dem Anrufer einen Vertrag und begründet eine Forderung, ohne den Namen oder die Telefonnummer des Anrufers zu kennen und verlässt sich darauf, dass dieser durch den TK-Anbieter anhand der Telefonnummer sicher identifiziert wird und auf dieser Basis die Forderung durch den TK-Anbieter fakturiert und inkassiert wird. Dieses Verfahren funktioniert in der Praxis gut und kundenfreundlich. Gleichwohl hat der Premiumdiensteanbieter ein erkennbares Interesse zu erfahren, welche Anschlusskennung wann und wie oft die Dienste genutzt hat. Kennt er nicht wenigstens die Rufnummer des Anrufers, hat dies weitreichende Folgen: c Der Premiumdiensteanbieter wäre zwar Vertragspartner und Forderungsinhaber, dürfte den Inhalt der Forderung aber nicht kennen. Nur soweit er die einzelnen Rufnummern in Zusammenhang mit den Nutzungsfällen kennt, kann er die einzelnen Vertragspartner wenigstens „pseudonym“ hinsichtlich der Telefonnummern unterscheiden und einzelnen Geschäftsvorfällen zuordnen. c Nur wenn der Premiumdiensteanbieter die einzelnen Rufnummern im Zusammenhang mit der Inkassierung der Forderungen ausgewiesen erhält, kann er erkennen, welche Forderungen bezahlt wurden und von welchen (pseudonymen) Schuldnern. Nur soweit er alle Rufnummern im Zusammenhang mit den Forderungen erhält, kann er zudem anhand der ihm bekannten und „angezeigten“ Rufnummern eine Analyse machen, ob die Abrechnung des TK-Anbieters hinsichtlich der Inkassierung der Forderungen schlüssig ist. c Zudem kann der Premiumdiensteanbieter die Daten zu CRMMaßnahmen nutzen, soweit diese im Rahmen der Gesetze zulässig sind.

3. Die Untersagung der BNetzA Die BNetzA hat nun in Abstimmung mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen TK-Anbieter mittels einer Verfügung verpflichtet, nur noch in der Weise die Teilnehmernetzrufnummern der Anrufer an den Premiumdiensteanbieter zu übermitteln, dass „die Rufnummer der A-Teilnehmer um drei Stellen gekürzt werden“.4 Die BNetzA begründet diese Untersagung insbesondere damit, dass der Premiumdiensteanbieter kein Anbieter nach dem TKG sei, eine Datenübermittlung sei deshalb mangels einschlägigem gesetzlichen Erlaubnistatbestand unzulässig. Der Anbieter sei vielmehr nur Kunde des TK-Anbieters. Eine Übermittlung könne 3 Calling Line Restriction. 4 Die Verfügung ist unveröffentlicht, liegt dem Autor aber vor und ist von dem betroffenen Unternehmen mit einer Klage angegriffen worden. Der Autor vertritt das Unternehmen in diesem Verfahren. 5 BGH MMR 2005, 597 m. Anm. Ditscheid; BGH MMR 2006, 27; BGH MMR 2007, 179 m. Anm. Ditscheid; vgl. Schmitz/Eckhardt, CR 2007, 560 ff. 6 BGH MMR 2005, 597 m. Anm. Ditscheid. ZD 1/2012

allenfalls nur in entsprechender Anwendung des § 99 TKG gerechtfertigt werden, indem dem Premiumdiensteanbieter nur die um die letzten drei Stellen gekürzten Rufnummern übermittelt werden. Dies genüge für das erkennbare Interesse des Premiumdiensteanbieters, um die Abrechnung des TK-Anbieters zu prüfen. Aus der Stellung des Premiumdiensteanbieters als Forderungsinhaber folge nichts anderes, da das TKG insoweit eine vorrangige und abschließende Regelung treffe. Anzuerkennen ist, dass sich die BNetzA wenigstens um eine analoge Anwendung des § 99 TKG bemüht hat. Der in § 99 TKG geregelte Fall, dass dem Kunden des TK-Anbieters eine Prüfung der für ankommende (0800-)Verbindungen zu zahlenden Entgelte möglich sein soll, sei auch auf den Fall anzuwenden, dass der Kunde die Inkassierung der durch die eingehenden Verbindungen anzurechnenden Einnahmen kontrollieren kann.

II. Prüfung der Rechtmäßigkeit Die entscheidende Frage ist, ob es im TKG tatsächlich an einem Erlaubnistatbestand für die vollständige Weitergabe der Rufnummer vom TK-Anbieter an den Premiumdiensteanbieter fehlt und es deshalb einer Erlaubnis zur Weitergabe der anonymisierten (bzw. gekürzten) Rufnummer durch eine „analoge Anwendung“ des § 99 TKG bedarf. Denn vorliegend geht es nicht um die Abrechnung von „Kosten“, sondern von Entgelten zu Gunsten des Vertragspartners und Forderungsinhabers, der gleichzeitig Auftraggeber von Fakturierung und Inkassierung dieser Forderungen ist.

1. Premiumdiensteanbieter ist „Diensteanbieter“ Die Beurteilung, wer Diensteanbieter ist, muss von dem Lebensund Vertragssachverhalt bei der Erbringung von Premiumdiensten ausgehen, wie er vom BGH festgestellt ist. Nach ständiger Rechtsprechung des BGH5 wird (jedenfalls im Offline-Billing) nicht der TK-Anbieter, sondern der 0900- oder 0137-Anbieter (Premiumdiensteanbieter) Vertragspartner des Anrufers, und zwar sowohl hinsichtlich der Verbindungsnetzleistung als auch der Inhaltsleistung. Für diese Bestimmung ist nach dem BGH auf den objektiven Empfängerhorizont des Anrufers abzustellen, der neben seinem gewohnten TNB lediglich den Anbieter des Premiumdienstes wahrnimmt. Der BGH stellt eindeutig darauf ab, dass der Premiumdiensteanbieter seine Leistung selbst „im Telekommunikationsnetz“ anbietet, auch wenn er dieses Netz nicht selbst betreibt, vgl. BGH:6 „Ein Mehrwertdiensteanbieter gibt durch die Bereithaltung seiner Leistung im TK-Netz eine Realofferte ab. Diese nimmt der Anschlussnutzer regelmäßig zumindest schlüssig durch die Anwahl einer bestimmten – zumeist mit den Ziffernfolgen 0190 oder 0900 beginnenden – Nummer am Telefongerät oder am Computer an. Aus diesem Grund tritt neben den als Dauerschuldverhältnis zu qualifizierenden Telefondienstvertrag mit dem TNB ein weiteres Rechtsverhältnis mit dem Anbieter eines Mehrwertdienstes hinzu, wenn der Nutzer einen solchen Dienst anwählt.“ Der BGH führt zu diesem Vertragsverhältnis mit dem Premiumdiensteanbieter ausdrücklich aus, dass dieses auch die „Verbindungsleistung“ (und damit die TK-Dienstleistung i.S.v. § 3 Nr. 24 TKG) umfasst. Hierzu stellt der BGH zunächst klar, dass ein solcher Vertrag über die Verbindungsleistung nicht mit dem TK-Anbieter zu Stande kommt: „Ein Vertrag über die Erbringung von Verbindungsleistungen kommt jedoch, zumindest in Fallgestaltungen wie der vorliegenden, zwischen dem Anschlussnutzer (ggf. im Namen des Anschlussinhabers) und dem Verbindungsnetz- und Plattformbetreiber nicht zu Stande. Es dürfte bereits an der Abgabe einer Realofferte fehlen, wenn, wie hier, die Mitwirkung des Betreibers an der Herstellung der Schmitz: Der Vertragspartner ohne Daten 9

Verbindung zwischen dem Anschluss des Nutzers und dem Mehrwertdienst nach außen nicht deutlich wird.“ Direkt im Anschluss erklärt der BGH, dass ein solcher Vertrag über die Verbindungsleistung aber mit dem Premiumdiensteanbieter zu Stande kommt, indem er ausführt: „Jedenfalls ist der Anwahl einer Mehrwertdienstenummer nicht der objektive Erklärungswert zu entnehmen, dass der Nutzer nicht nur mit dem Mehrwertdiensteanbieter, sondern auch mit dem Verbindungsnetz- und Plattformbetreiber eine (entgeltliche) vertragliche Beziehung begründen will.“ Aus der Formulierung „nicht nur mit dem Mehrwertdiensteanbieter“ wird deutlich, dass mit diesem jedenfalls der Vertrag zu Stande kommt und dies – gemäß den vorstehend zitierten Ausführungen – auch die Verbindungsleistung umfasst. Der BGH stellt weiter ausdrücklich darauf ab, dass in dem Entgelt für den Mehrwertdienst einheitlich „das Entgelt für die Leistungen des Verbindungsnetz- und des Plattformbetreibers bereits enthalten ist.“ Es ist in der Literatur deshalb zu Recht anerkannt worden, dass die zitierte BGH-Rechtsprechung unzweifelhaft davon ausgeht, dass der Anrufer mit dem Anbieter des Mehrtwertdienstes einen einheitlichen Vertrag über die Verbindungs- und Inhaltsleistung abschließt.7 Aus der Feststellung des BGH, dass der Premiumdiensteanbieter unmittelbarerer Vertragspartner und Gläubiger des Nutzers wird, folgt unmittelbar die Wertung des TKG, dass er sowohl Anbieter des Premiumdiensts und eines tk-gestützten Diensts sowie „Diensteanbieter“ nach § 3 Nr. 6 TKG ist. Nach herrschender und nicht ernsthaft bestrittener Meinung stellen die vom BGH als „Mehrwertdienste“ bezeichneten Dienste unter 0900- oder (0)137er-Rufnummern Premiumdienste nach § 3 Nr. 17a TKG dar, „bei denen über die Telekommunikationsdienstleistung hinaus eine weitere Dienstleistung erbracht wird, die gegenüber dem Anrufer gemeinsam mit der Telekommunikationsdienstleistung abgerechnet wird ....“. Der historisch gebildete Begriff der „Mehrwertdienste“ wurde vom Gesetzgeber in den Begriff der „Premiumdienste“ überführt. Gleichzeitig bilden diese Dienste auf Grund ihrer einheitlichen Leistungserbringung und Abrechnung mit den TK-Diensten sog. tk-gestützte Dienste nach § 3 Nr. 25 TKG.8 „Telekomminikationsgestützte Dienste“ sind nach § 3 Nr. 25 TKG „Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Inhaltsleistung noch während der Telekommunikationsverbindung erfüllt wird“. Soweit ersichtlich erkennt auch die BNetzA an, dass es sich bei 0900- oder 0137-Diensten um tk-gestützte Dienste handelt, bei denen TK-Leistung und Inhaltsleistung i.R.d. TK-Verbindung erbracht und abgerechnet werden. Auch die BNetzA bestätigt damit, dass wie vom BGH festgestellt ein einheitliches Vertragsverhältnis über TK- und Verbindungsleistung zu Stande kommt und dieses (zumindest auch) beim Premiumdiensteanbieter liegt. Der Anbieter des Premiumdienstes bzw. des tk-gestützten Dienstes ist damit unstrittig sowohl Anbieter der „Inhaltsleistung“ als auch der TK-Leistung, die aus Sicht des Nutzers gemeinsam erbracht und einheitlich abgerechnet werden. Der Premiumdiensteanbieter gilt damit als „Diensteanbieter“ nach § 3 Nr. 6 TKG, da er „ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt“ (Alternative a) oder „an der Erbringung solcher Dienste mitwirkt“ (Alternative b). Gegen diese gesetzliche Wertung kann nicht eingewendet werden, dass der Premiumdiensteanbieter zwar der Vertragspartner und Gläubiger des Nutzers hinsichtlich der TK- und Inhaltsleistung wird, den TK-Dienst aber nicht selbst erbringt. Das Gesetz stellt in § 3 Nr. 6 TKG zwar darauf ab, wer den Dienst „erbringt“. Es ist allerdings nach ständiger Praxis und h.M. aner10 Schmitz: Der Vertragspartner ohne Daten

kannt, dass es insofern nicht auf die technische Erbringung, sondern das Vertrags- und Leistungsverhältnis zum Nutzer und damit das „Erbringen“ in vertraglicher Hinsicht ankommt. Hierzu ist seit dem TKG 1996 anerkannt und es entspricht der ständigen Verwaltungspraxis der BNetzA, dass auch ein sog. Reseller ohne eigene Netz- und Vermittlungseinrichtung als Wiederverkäufer der Leistungen eines anderen Anbieters Diensteanbieter i.S.v. § 3 Nr. 6 TKG ist. Dies ist z.B. für die sog. ServiceProvider im Mobilfunk anerkannt und völlig unstrittig. Da der Premiumdiensteanbieter ebenfalls zum Wiederverkäufer (sog. Reseller) der TK-Dienstleistung wird, unterscheidet sich seine Situation insofern nicht von der Situation der anerkannten Reseller im TK-Markt, wie z.B. der Service-Provider im Mobilfunk. Hiergegen kann die BNetzA nicht überzeugend einwenden, dass kein ausreichender oder überwiegender Bezug zu der TKDienstleitung vorliegt. Zum einen ist der Premiumdiensteanbieter durch die Erbringung seiner Leistung während der Verbindung noch viel stärker in die Leistungserbringung eingebunden als z.B. ein reiner Service-Provider im Mobilfunk. Der ServiceProvider ist nämlich anders als ein Premiumdiensteanbieter gar nicht an der Verbindung beteiligt und erfährt von dieser nachträglich nur durch die vom Mobilfunknetzbetreiber übermittelten Verkehrsdaten. Der Premiumdiensteanbieter ist hingegen schon bei der Verbindung beteiligt und erbringt den wesentlichen Teil des Dienstes, nämlich die Inhaltsleistung. Aus der vom BGH festgestellten Vertrags- und Forderungsbeziehung kann folglich nichts anderes durch das TKG geschlossen werden, als dass es sich bei dem Premiumdiensteanbieter um einen Diensteanbieter nach § 3 Nr. 6 TKG handelt. Zudem bestimmt das TKG, dass die Abrechnung der Premiumdienste wie bei einem Diensteanbieter zu erfolgen hat. § 3 Nr. 17a TKG bestimmt ausdrücklich, dass bei einem Premiumdienst, also z.B. bei 0137-Diensten, die „weitere Dienstleistung“ (der Inhalt) „dem Anrufer gemeinsam mit der Telekommunikationsdienstleistung abgerechnet wird.“ Das Gesetz stellt somit klar, dass die Abrechnung des Inhalts der Abrechnung der Telekommunikation folgt bzw. „gemeinsam“ mit dieser erfolgt. Es ist folglich der Mehrwertdienst wie eine TK-Dienstleistung abzurechnen. Das Gesetz bestimmt hierfür selbst den erforderlichen Bezug zur Telekommunikation.

2. Bestätigung durch TMG Auch im Hinblick auf die Anwendbarkeit des einschlägigen Gesetzes ergibt sich, dass der Anbieter von Premiumdiensten bzw. von tk-gestützten Diensten als Diensteanbieter nach § 3 Nr. 6 TKG gesehen werden muss. Der Gesetzgeber des TMG hat in Ansehung der Regelungen im TKG ausdrücklich bestimmt, dass sich tk-gestützte Dienste nur nach dem TKG und nicht nach dem TMG richten. Da wie ausgeführt § 3 Nr. 17a TKG ausdrücklich bestimmt, dass die „weitere Dienstleistung“ (der Inhalt) gemeinsam mit der TK-Komponente abgerechnet wird, hat der Bundesgesetzgeber bestimmt, dass für die Abrechnung des „Premiumdienstes“ die Bestimmungen des TKG für den TKDienst gelten.9 § 1 Abs. 1 Satz 1 TMG bestimmt wie folgt, dass das TMG nicht für tk-gestützte Dienste nach § 3 Nr. 25 TKG gilt: „Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des Telekommunikationsgesetzes, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des Telekommunikationsgesetzes oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind (Telemedien).“ 7 Vgl. Schmitz/Eckhardt, CR 2007, 560 ff. 8 Säcker, in: BerlKomm-TKG, § 3 Rdnr. 75. 9 Vgl. Schmitz, in: Hoeren/Sieber, Hdb. Multimedia-Recht, Teil 16.2., Rdnr. 72 ff. ZD 1/2012

Da das TMG ausdrücklich keine datenschutzrechtlichen Regelungen für tk-gestützte Dienste enthält und hierzu auf das TKG verweist, hat der Gesetzgeber von TKG und TMG ganz offenbar bewusst entschieden, diese Dienste nach dem TKG abzurechnen und die Anbieter als Diensteabieter nach § 3 Nr. 6 TKG anzusehen. Denn ein Verweis auf die Bestimmungen des TKG, ohne die Dienste dort geregelt zu sehen, ergibt keinen Sinn.

3. Erlaubnistatbestände nach § 97 Abs. 1 Satz 2 und § 97 Abs. 4 TKG Damit darf der TK-Anbieter dem Premiumdiensteanbieter die vollständigen Verkehrsdaten sowohl nach § 97 Abs. 1 Satz 2 TKG als auch nach § 97 Abs. 4 TKG übermitteln. Zum einen gilt der Premiumdiensteanbieter wie ausgeführt als „Diensteanbieter“ i.S.d. TKG. Zum anderen ist die „weitere Leistung“ des Premiumdiensteanbieters zusammen bzw. wie mit der TK-Dienstleistung abzurechnen. a) § 97 Abs. 1 Satz 2 TKG Die Verarbeitungserlaubnis ergibt sich schon alleine daraus, dass es sich sowohl bei dem TK-Unternehmen als auch dem Premiumdiensteanbieter um Diensteanbieter i.S.v. § 3 Nr. 6 TKG handelt, bzw. diese Leistung wie eine TK-Dienstleistung abzurechnen ist (vgl. unter II. 1.).10 Weiterhin erbringt der Premiumdiensteanbieter diese Dienste einschließlich des TK-Dienstes über das „öffentliche Telefonnetz“ des TK-Unternehmens. Das Gesetz bestimmt in diesem Falle, dass die Verkehrsdaten (vollständig) zwischen diesen Personen ausgetauscht werden dürfen. Dies ist wie gesagt auch in den vergleichbaren Fällen der Service-Provider im Mobilfunk anerkannt. b) § 97 Abs. 4 TKG Die Erlaubnis ergibt sich zudem auch aus § 97 Abs. 4 TKG, da der Austausch der Daten zur Abrechnung des Premiumdiensteanbieters mit dessen Kunden (Anrufer) erforderlich ist. Nach den zitierten BGH-Urteilen wird der Premiumdiensteanbieter der Vertragspartner und Gläubiger des Anrufers. Um über die Forderung korrekt Buch zu führen und diese mit dem Anrufer abrechnen zu können, muss er die Verkehrsdaten erhalten. Die Auffassung der BNetzA würde hingegen zu untragbaren und nicht gesetzeskonformen Ergebnissen führen. Ohne die Kenntnis der Verkehrsdaten kann der Gläubiger die Forderung nicht korrekt bestimmen und Buch führen.11 Nach den BGH-Urteilen muss er die Forderung zudem an die Beschwerdeführerin abtreten oder ihr eine Einzugsermächtigung erteilen. Die Auffassung der BNetzA würde verlangen, dass der Forderungsinhaber den Schuldner seiner Forderung nicht kennen darf.

4. Kontrollüberlegungen Anders als die Verarbeitungstatbestände der §§ 28 ff. BDSG kennt das TKG keine Rechtfertigung durch eine Abwägung des „berechtigten Interesses“ an der Datenverarbeitung gegen das entgegenstehende Interesse des Nutzers. Die Übermittlung der vollständigen Verkehrsdaten durch den TK-Anbieter an den Premiumdiensteanbieter kann deshalb nur nach dem TKG oder einer Erlaubnisnorm gerechtfertigt werden, die ausdrücklich die Verarbeitung von Daten der Telekommunikation erlaubt. Es ist zu beachten, dass die Erlaubnistatbestände des TKG als bereichsspezifische Spezialregelung grundsätzlich abschließend sind und damit nicht ergänzend auf andere allgemeine Erlaubnistatbestände zurückgegriffen werden kann. Dies ist nur möglich, soweit der Erlaubnistatbestand aus einem anderen Gesetz ausdrücklich die Verarbeitung von Daten der Telekommunika10 Vgl. § 3 Nr. 17a TKG. 11 § 147 AO und § 238 HGB. 12 Sog. „Zitiergebot“. ZD 1/2012

tion und damit den Eingriff in das grundrechtlich geschützte Fernmeldegeheimnis gestattet.12 Gleichwohl ist anhand einer Kontrollüberlegung zu ermitteln, ob das gefundene Ergebnis, dass das TKG in § 97 Abs. 1 und Abs. 4 eine solche ausdrückliche Erlaubnis vorsieht, sach- und praxisgerecht ist. Hierzu ist insbesondere zu prüfen, ob den Interessen der Anrufer und der Premiumdiensteanbieter genügt wird. Umgekehrt ist zu prüfen, wie es um diese Interessen unter Zugrundelegung der Rechtsauffassung der BNetzA bestellt ist. Die Interessen der Nutzer der Dienste erscheinen bei einer Übermittlung der A-Rufnummer an den Premiumdiensteanbieter nicht beeinträchtigt. Zwar unterliegen die Verkehrsdaten der Telekommunikation dem Fernmeldegeheimnis und diese Daten dürfen damit zu Recht nur innerhalb der streng normierten gesetzlichen Grenzen an einen Dritten übermittelt bzw. bekanntgegeben werden. Vorliegend ist allerdings zu berücksichtigen, dass der Premiumdiensteanbieter zwar im datenschutzrechtlichen Sinne „Dritter“ hinsichtlich des TK-Anbieters ist. Er ist jedoch genau der originäre Vertragspartner und Forderungsinhaber, den sich der Anrufer vertragsrechtlich und in tatsächlicher Hinsicht ausgesucht hat. Es ist kein entgegenstehendes anerkennenswertes Interesse des Anrufers erkennbar, dass er seinem Vertragspartner nicht einmal unter dem Pseudonym seiner Rufnummer bekannt wird. Dies gilt selbst dann, wenn der Anrufer mit dem Dienstemerkmal der sog. „Rufnummernunterdrückung“ den Dienst nutzt. Denn mit dieser Option hat der Anrufer nur die Möglichkeit, dass anderen Teilnehmern bzw. „Kunden“ bei einem Anruf die Rufnummer nicht automatisiert an das vom anderen Teilnehmer genutzte Endgerät signalisiert wird. Auf diese Weise sollen zwar „anonyme“ Anrufe an Empfänger ermöglicht werden. Dies gilt erkennbar aber nur für den Fall, dass es sich bei dem B-Teilnehmer ebenfalls um einen Endkunden handelt und keine weiteren Vertrags- oder Leistungsbeziehungen zu Stande kommen. Kein Vertragspartner geht im Allgemeinen davon aus, dass er bei der Begründung einer Forderung, die durch Rechnung fakturiert und durch einen Dritten beigetrieben wird, seinem Vertragspartner gegenüber tatsächlich in der Weise „anonym“ bleibt, dass dieser noch nicht einmal die genutzte Telefonnummer erfährt. Der Premiumdiensteanbieter hat hingegen das bereits unter I.2. beschriebene Interesse, die einzelnen Geschäftsvorfälle zu identifizieren und auseinanderhalten zu können, die Inkassierung der Forderungen zu prüfen sowie CRM-Maßnahmen durchführen zu können. Es wäre hingegen nicht nur ungewöhnlich, wenn der Forderungsinhaber bei einem Geschäft, welches Fakturierung und Inkassierung voraussetzt, nicht wenigstens seinen Vertragspartner anhand der Telefonnummer kennt. Hierbei wäre auch höchst fraglich, ob der Anbieter ohne Kenntnis der Rufnummern im Zusammenhang mit den einzelnen Forderungen bzw. Verbindungen überhaupt seiner Pflicht zur ordnungsgemäßen Buchführung genügen kann. Zu dieser Buchführung ist der Anbieter verpflichtet.

III. Zusammenfassung Die getroffene Anordnung der BNetzA ist rechtswidrig und verletzt die TK-Anbieter in ihren Rechten zur Verarbeitung der Daten nach § 97 Abs. 1 Satz 2 TKG sowie § 97 Abs. 4 TKG. Sowohl die TK-Anbieter als auch der Premiumdiensteanbieter sind Diensteanbieter nach § 3 Nr. 6 TKG. Damit gelten die genannten Erlaubnistatbestände. Die Eigenschaft als „Diensteanbieter“ nach § 3 Nr. 24 TKG ergibt sich nach ständiger BGH-Rechtsprechung daraus, dass er gegenüber dem Anrufer der Anbieter und Vertragspartner sowohl der Verbindungs- als auch der Inhaltsleistung ist. Schmitz: Der Vertragspartner ohne Daten 11

Hiergegen überzeugt die Begründung durch die BNetzA nicht, dass der BGH in den Urteilen nicht ausdrücklich zur Frage des Datenschutzes oder der Einordnung nach § 3 Nr. 6 TKG Stellung genommen hat. Die im TKG vorgesehenen Definitionen sind auf den vom BGH festgestellten Lebenssachverhalt und die vom BGH festgestellte Leistungsbeziehung anzuwenden. Der BGH hat festgestellt, dass der Premiumdiensteanbieter Vertragspartner und Gläubiger des Nutzers für die Erbringung des tk-gestützten Dienstes bestehend aus der TK-Verbindung und der Serviceleistung wird. Der Premiumdiensteanbieter ist damit „Diensteanbieter“, weil er die TK-Verbindung gegenüber dem Anrufer vertraglich anbietet. Für die Einordnung als Diensteanbieter ist es hierbei unerheblich, ob der Premiumdiensteanbieter selbst die erforderlichen Netzleistungen erbringt oder durch den TK-Anbieter erbringen lässt. Es ist seit dem TKG 1996 anerkannt, dass auch der reine Reseller oder Service-Provider ohne eigene Netz- oder Vermittlungseinrichtungen als Diensteanbieter i.S.d. TKG gilt, wenn er nur Vertragspartner der Kunden zur Erbringung dieser TK-Dienste über ein fremdes Netz ist. In diesem Fall regelt § 97 Abs. 1 Satz 2 TKG ausdrücklich das Recht zur vollständigen Übermittlung der Verkehrsdaten. Zudem regelt § 3 Nr. 17a TKG, dass das Entgelt für den Premiumdienst

mit der und damit auch wie die TK-Dienstleistung abzurechnen ist. Deshalb ist die Ansicht der BNetzA unzutreffend, dass die Übermittlung der Daten an die Erbringer von Mehrwertdiensten nur nach § 99 Abs. 1 Satz 7 TKG zu beurteilen sei und deshalb generell die Kürzung um die letzten drei Stellen angeordnet hat. Die Auffassung der BNetzA würde zudem dazu führen, dass der Vertragspartner und Forderungsinhaber nicht vollständig über das Entstehen seiner Forderung und den Geschäftsvorfall informiert werden darf. Damit wäre generell die Buchführungspflicht nach § 238 HGB und § 147 AO in Frage gestellt und eine Abtretung der Forderung an Dritte mangels Bestimmbarkeit in Frage gestellt. Hierbei ist zu berücksichtigen, dass die Dienste auf Rechnung (postpaid) erbracht und die Forderung erst nach der Leistungserbringung fakturiert und inkassiert wird. Es handelt sich deshalb nicht etwa um „Bargeschäfte“ mit beliebigen anonymen Personen. Dr. Peter Schmitz ist Rechtsanwalt und Partner der Sozietät JUCONOMY Rechtsanwälte in Düsseldorf.

PHILIP KEMPERMANN

Strafbarkeit nach § 206 StGB bei Kontrolle von MitarbeiterE-Mails?

Fernmeldegeheimnis E-Mail-Kontrollen Strafbarkeit nach § 206 StGB Einwilligung durch Arbeitnehmer Compliance Erlaubnis nach BDSG

Rechtskonforme Lösungen zur Einhaltung von Compliance-Maßnahmen c Die Zulässigkeit von Kontrollen der E-Mails von Beschäftigten durch den Arbeitgeber wird insbesondere vor dem Hintergrund der Anwendbarkeit tk-rechtlicher Bestimmungen noch stets heiß diskutiert. Während die Entwicklungen in der Rechtsprechung aus Unternehmenssicht begrüßenswert sind, bleibt bis zu einer höchstrichterlichen Klärung dieser Frage erhebliche Unklarheit, ob Unternehmen bei der erlaubten oder nicht verbotenen privaten Nutzung des dienstlichen E-MailAccounts unter Beachtung des geltenden Datenschutzrechts tatsächlich auf die E-Mails ihrer Mitarbeiter zugreifen können, ohne sich unter Umständen nach § 206 StGB strafbar zu machen. Dabei können viele gute Gründe bestehen, warum ein Zugriff auf die E-Mails der Beschäftigten durch die Arbeitgeber sinnvoll oder gar notwendig sein kann.

I. Problemstellung Ein komplettes Verbot der privaten Nutzung des dienstlichen E-Mail-Accounts ist bisher die sicherste Methode für Arbeitgeber, strafrechtliche Risiken bei der Kontrolle der E-Mails zu vermeiden. Verabschiedet der Arbeitgeber eine entsprechende betriebliche Regelung, so kommen unstreitig nicht die Vorschriften des TKG, sondern allein datenschutzrechtliche Normen zur Anwendung.1 Entsprechend ist auch der Anwendungsbereich von § 206 StGB bei einem Zugriff auf die E-Mails der Mitarbeiter nicht eröffnet. Jedoch lehrt die Erfahrung, dass ein komplettes Verbot der privaten Nutzung dienstlicher E-Mail-Accounts schon allein mit Blick auf den Betriebsfrieden und die Zufriedenheit der Beschäftigten nicht immer durchzusetzen ist. Vor allem jüngere Entscheidungen zweier Landesarbeitsgerichte2 haben 12 Kempermann: Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails?

c The permissibility of controls of employees’ emails by the employer is still a heated debate, in particular, in view of the applicability of telecommunications law provisions. From a company’s point of view, the developments in adjudication are welcomed; however, until a decision has been made by the highest courts, the question will remain whether in the case of permitted or non-forbidden use of business email accounts, companies may actually access their employees’ emails while adhering to the applicable data protection laws without possibly incurring a penalty pursuant to Sec. 206 StGB. There can be many good reasons why accessing the employees’ emails by the employer can be useful or even necessary.

der Diskussion neuen Auftrieb gegeben, indem sie sich gegen weite Teile der Literatur stellten und eine Diensteanbietereigenschaft i.S.v. § 3 Nr. 6 TKG des Arbeitgebers bei erlaubter bzw. nicht ausdrücklich verbotener privater Nutzung des dienstlichen E-Mail-Accounts abgelehnt haben.3 Darum sind die Arbeitgeber zunehmend daran interessiert, Lösungen zu finden, die einerseits den Betriebsfrieden nicht gec Diskutieren Sie dieses Thema auch in der ZD-Community unter: https://comm unity.beck.de 1 Behling, BB 2010, 895; vgl. auch unter VI. 2 LAG Niedersachsen MMR 2010, 639 ff. m. Anm. Tiedemann; LAG Berlin-Brandenburg ZD 2011, 43 ff. m. Anm. Tiedemann. 3 Zum Meinungsstand in der Lit. vgl. nur Wybitul, ZD 2011, 69 ff. ZD 1/2012

fährden, andererseits aber auch eine strafrechtliche Verantwortung nach § 206 StGB ausschließen. Der mögliche Handlungsspielraum kann nicht allein darin bestehen, dass der jeweilige Arbeitgeber auf eine höchstrichterliche Lösung des Problems durch die Rechtsprechung wartet. Plastisch lässt sich die Eilbedürftigkeit der Klärung dieser Frage daran aufzeigen, dass ein Unternehmen auf E-Mails der Mitarbeiter angewiesen sein kann, um einen Antrag auf Erlass der Geldbuße im Falle von Kartellverstößen (Kronzeugen- oder Bonusantrag) zu stellen. In solchen Fällen kommt es ganz erheblich auf Schnelligkeit der Antragstellung an und da wäre es höchst misslich, wenn das Unternehmen bzw. die Verantwortlichen Strafanzeigen durch Beteiligte zu befürchten hätten,4 weil auf die E-Mails nur unter Verletzung des Fernmeldegeheimnisses gem. § 88 TKG zugegriffen werden konnte. Ob in solchen Fällen eine Berufung auf allgemeine Rechtfertigungsgründe möglich ist, ist höchst umstritten und wird mit Blick auf § 88 Abs. 3 Satz 3 TKG eher ablehnend beurteilt.5

II. Beidseitiger Schutz durch das Fernmeldegeheimnis Es stellt sich daher die Frage, ob diese unbefriedigende Situation über Einwilligungen durch die Mitarbeiter der Unternehmen zu lösen wäre. Eine Einwilligung hätte den Vorteil, dass bereits der objektive Tatbestand des § 206 StGB ausgeschlossen wäre.6 Allerdings wird die Möglichkeit der Einwilligung durch die Mitarbeiter teilweise mit der Begründung bezweifelt, dass das Fernmeldegeheimnis nach § 88 TKG, als einfachgesetzliche Ausprägung des Art. 10 Abs. 1 GG, beide Seiten der Kommunikation schützt, also sowohl Absender als auch Empfänger.7 Der Empfänger könne eine Einwilligung nicht auch für den Absender erteilen.8 Die Einholung der Einwilligung durch den Absender ist für den Arbeitgeber aber meist nicht möglich und – selbst wenn sie es wäre – häufig nicht zweckmäßig. Soweit es bei internen Untersuchungen zu Rechtsverstößen auf Vertraulichkeit ankommt, wäre diese spätestens im Moment der Kontaktaufnahme zum Absender kompromittiert.

III. Jüngere Rechtsprechung zur Reichweite des Fernmeldegeheimnisses Es muss jedoch kritisch hinterfragt werden, ob diese Auffassung ohne weiteres auf Kontrollen von E-Mails durch den Arbeitgeber zu übertragen ist. Das wäre nur dann der Fall, wenn der Absender einer E-Mail noch immer den Schutz des Fernmeldegeheim4 Diese stünden aber u.U. zu befürchten, vgl. Behling, BB 2010, 895. 5 BeckOK-StGB/Weidemann, § 206 Rdnr. 28.1, Stand 15.8.2011; a.A. Behling, BB 2010, 895. 6 Vgl. Fischer, StGB, 58. Aufl. 2011, § 32 Rdnr. 3. 7 BeckTKG-Komm/Bock, 3. Aufl. 2006, § 88 Rdnr. 19; Eckhardt, in: Spindler/ Schuster, Recht der elektronischen Medien, 2. Aufl. 2011, § 88 TKG Rdnr. 15; Jarass, in: Jarass/Pieroth, GG, 10. Aufl. 2009, Art. 10 Rdnr. 3; Hanebeck/Neunhoeffer, K&R 2006, 112, 114. 8 Vgl. o. Fußn. 7. 9 OLG Karlsruhe MMR 2005, 178 ff. m. Anm. Heidrich. 10 Konkret hatte eine Universitätsleitung einem Universitätsmitarbeiter das „Privileg entzogen, die Kommunikationseinrichtungen (...) einschließlich E-Post“ zu benutzen. 11 BVerfG MMR 2006, 217 ff. 12 BVerfG MMR 2006, 217, 219 f. 13 BVerfG MMR 2006, 217, 219 f. 14 BVerfG MMR 2006, 217, 220. 15 BVerfG MMR 2006, 217, 220; dem folgend VGH Kassel MMR 2009, 714. 16 BVerfG MMR 2009, 673 ff. m. Anm. Krüger. 17 BVerfG MMR 2009, 673, 674 f. m. Anm. Krüger. 18 BVerfG MMR 2009, 673, 675 m. Anm. Krüger. 19 BGH MMR 2009, 391 ff. 20 VGH Kassel MMR 2009, 714. 21 In den meisten Unternehmensumgebungen dürfte dazu das Protokoll IMAP eingesetzt werden; zur technischen Funktion vgl. http://de.wikipedia.org/wiki/Imap. ZD 1/2012

nisses genösse, wenn die E-Mail auf dem E-Mail-Server des Empfängers eingetroffen ist. Ob ein solcher Fortbestand gegeben ist, muss anhand eines Blicks auf die bisher ergangenen relevanten Entscheidungen zum Thema Zugriff auf E-Mails beurteilt werden.

1. OLG Karlsruhe 2005 Eine erste Entscheidung zu § 206 StGB und E-Mails erging im Jahr 2005 durch das OLG Karlsruhe.9 Darin hatte das Gericht über die Unterdrückung von E-Mails durch den Betreiber eines E-Mail-Diensts zu entscheiden. Das Gericht sah ein strafbares Verhalten nach § 206 Nr. 2 StGB, da der Betreiber des E-MailServers sowohl für einen bestimmten Empfänger eingehende E-Mails nicht zustellte als auch von diesem Empfänger ausgehende E-Mails nicht annahm.10 Allerdings kontrollierte dieser E-Mail-Server-Betreiber nicht den Inhalt der E-Mails, sondern unterdrückte sie generell auf Grund spezifisch gesetzter Filter, sodass kein vergleichbarer Sachverhalt vorlag.

2. BVerfG 2006 Im Jahr 2006 hatte dann das BVerfG Gelegenheit, sich mit der Frage der Reichweite des Fernmeldegeheimnisses nach Art. 10 Abs. 1 GG auseinanderzusetzen.11 Gegenstand der Entscheidung war die Sicherstellung von E-Mails, die auf einem i.R.e. Wohnungsdurchsuchung gefundenen PC gespeichert waren. Das Gericht entschied, dass diese E-Mails nicht mehr dem Fernmeldegeheimnis nach Art. 10 Abs. 1 GG unterfielen, da sie nicht mehr Gegenstand eines laufenden Kommunikationsvorgangs waren; durch die Sicherstellung der E-Mails auf dem PC wurde nur das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verletzt.12 Das Fernmeldegeheimnis solle nämlich allein die spezifischen Gefahren der räumlich distanzierten Kommunikation berücksichtigen.13 Der durch Art. 10 Abs. 1 GG gewährte Schutz ende, wenn eine E-Mail beim Empfänger angekommen ist, da dieser dann eigene Schutzvorkehrungen treffen kann.14 Es bestünden ab diesem Zeitpunkt keine vereinfachten Zugriffsmöglichkeiten mehr, die aus der fehlenden Beherrschbarkeit und Überwachung des Kommunikationsvorgangs herrührten.15 Wann eine E-Mail als beim Empfänger eingegangen gilt, sagte das Gericht nicht.

3. BVerfG 2009 In einer weiteren Entscheidung aus dem Jahr 2009 ergänzte das BVerfG seine Beurteilung.16 Danach bestünde ein erweiterter Schutz der „ruhenden Kommunikation“ durch Art. 10 Abs. 1 GG vor dem Hintergrund der aktuellen technischen Ausgestaltung von E-Mail-Systemen. Diese mache es nötig, dass der Empfänger auch dann noch den Schutz nach Art. 10 Abs. 1 GG genießt, wenn eine E-Mail auf seinem E-Mail-Server zwischengespeichert ist.17 Selbst die Kenntnisnahme der E-Mail auf dem Server schade nicht, der Schutz ende erst, wenn der Empfänger die E-Mail endgültig vom Server entfernt.18 Auch der BGH19 und der VGH Kassel20 entschieden im Jahr 2009 Fälle, bei denen der Zugriff auf E-Mails eine Rolle spielte. Diese gingen jedoch dem Beschluss des BVerfG aus dem Jahr 2009 zeitlich vor und stehen daher für die weitere Betrachtung in ihrer Bedeutung zurück. Die Entscheidung des BVerfG von 2009 dagegen ist äußerst relevant für die bei den meisten Unternehmen eingesetzten E-MailSysteme und der sich daraus ergebenden Konsequenzen für die Kontrolle von E-Mails der Mitarbeiter. Anders als in der Anfangszeit von E-Mails wird heute die E-Mail nicht mehr grundsätzlich auf den Rechner eines Mitarbeiter heruntergeladen und vom Server gelöscht, sondern sie verbleibt auf dem E-Mail-Server, auf dem Rechner des Mitarbeiters befindet sich allenfalls eine Kopie.21 Daher ist, vorausgesetzt man folgt der noch h.M. in der LiKempermann: Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails? 13

teratur, dass Arbeitgeber bei erlaubter bzw. nicht ausdrücklich verbotener privater Nutzung des dienstlichen E-Mail-Accounts Diensteanbieter i.S.v. § 3 Nr. 6 TKG darstellen,22 der Zugriff auf die auf dem E-Mail-Server liegenden E-Mails des Arbeitnehmers durch den Arbeitgeber grundsätzlich strafbar nach § 206 StGB.23

IV. Keine Strafbarkeit mit Blick auf Absender der E-Mail Fraglich ist aber, ob dies auch mit Blick auf den Absender gilt. Den vorbeschriebenen Entscheidungen lässt sich eine Antwort auf diese Frage nicht entnehmen. Mit Ausnahme der Entscheidung des OLG Karlsruhe aus dem Jahr 2005 waren es stets Empfänger von E-Mails, die die Gerichte angestrengt haben. Die Entscheidung des OLG Karlsruhe von 2005 dagegen ist für die vorliegenden Fragen nicht relevant, da sie einen anderen Sachverhalt zum Gegenstand hatte. Es ist aber höchst zweifelhaft, dass der Schutz des Absenders durch das Fernmeldegeheimnis auch dann noch andauert, wenn seine E-Mail auf dem E-Mail-Server des Empfängers eingegangen ist. Das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG schützt grundsätzlich die unkörperliche Übermittlung von Informationen mit Fernmeldetechnik.24 Auch § 206 StGB als strafrechtliche Flankierung der einfachgesetzlichen Ausgestaltung des Fernmeldegeheimnisses in § 88 TKG schützt den Nachrichtenverkehr nur vor besonderen Gefahren durch mögliche Zugriffe Dritter während des Übertragungsvorgangs, nicht aber vor Indiskretionen auf Empfängerseite.25 Der Schutzbereich des Fernmeldegeheimnisses betrifft also klassischerweise die laufende Kommunikation, also den jeweiligen tatsächlichen Übertragungsvorgang. Dieser ist aber nach der Entscheidung des BVerfG aus dem Jahr 2006 mit Eintreffen der E-Mail auf dem Server des Empfängers grundsätzlich beendet.26 Lediglich für die Sondersituation, wenn sich der Empfänger einer erhöhten Risikosituation auf Grund der vom E-Mail-Serverbetreiber verwendeten Technik aussetzt, hat das Gericht 2009 die permanente Figur der „ruhenden Kommunikation“ geschaffen. Dies wird durch einen Blick auf die Definition der „Telekommunikation“ in § 3 Nr. 22 TKG bestätigt: Diese kennt eine „ruhende Kommunikation“ nicht. Sie unterwirft nur den technischen Vorgang des „Aussendens, Übermittelns und Empfangens“ den einschlägigen tk-rechtlichen Normen, also Elemente der „laufenden Kommunikation“. Für den Absender kann es daher nicht auf die Ausführungen des BVerfG aus dem Jahr 2009 zum Schutz der ruhenden Kommunikation ankommen. Für ihn besteht zunächst schon die besondere Risikosituation nicht. Er hat sich durch Versand der E-Mail freiwillig seines Schutzes begeben, sobald der Übertragungsvorgang zum Empfänger abgeschlossen war. Für den Absender ist es auch völlig unklar, ob es beim Empfänger überhaupt zu ruhender Kommunikation kommt. Er kennt nicht die technischen Möglichkeiten bzw. Mittel, die der Empfänger einsetzt. Er weiß nur, dass während des Übertragungsvorgangs die E-Mail, soweit diese nicht verschlüsselt ist, von Dritten auf den Übertragungswegen gelesen werden kann. Was auf Seiten des Empfängers geschieht, kann er nicht beurteilen. Dennoch verwendet er die Übermittlungstechnik E-Mail aus einer eigenen bewussten Entscheidung heraus und geht daher bewusst mit dieser Unbekannten um. Für ihn kommt es zusätzlich auch nur darauf an, dass die E-Mail bis zum E-Mail-Server des Empfängers übertragen wird. Dann ist der Transportauftrag, den er den an der Kommunikation beteiligten TK-Anbietern durch das Absenden seiner E-Mail gegeben hat, beendet. Es findet nach Eintreffen der E-Mail auf dem Empfängerserver aus seiner Sicht keine Telekommunikation i.S.v. § 3 14 Kempermann: Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails?

Nr. 22 TKG mehr statt. Aus seinem Horizont betrachtet sind jede Aussendung, Übertragung und der Empfang beendet. Für ihn ist daher hinsichtlich der Reichweite des Schutzes des Fernmeldegeheimnisses ausschließlich auf die Entscheidung des BVerfG aus dem Jahr 2006 abzustellen.27 Jedes andere Ergebnis wäre auch völlig vom Zufall abhängig und könnte keine verlässliche Konstante für den Absender ergeben. Er müsste wissen, welche Technik sein Gegenüber einsetzt. Selbst wenn er das wüsste, käme noch das weitere Zufallselement hinzu, ob im Unternehmen des Empfängers die private Kommunikation erlaubt ist oder nicht. Wenn sie nicht erlaubt wäre, wäre der Empfängerserver schon gar kein Server eines Dienstanbieters i.S.v. § 3 Nr. 6 TKG und so ebenfalls nicht mehr Gegenstand eines vom Fernmeldegeheimnis geschützten TKVorgangs. Daher ist die Rechtsprechung des BVerfG von 2009 zum Schutz der ruhenden Kommunikation allein für den Empfänger relevant, aber nicht für den Absender.

V. Zwischenergebnis Damit steht fest, dass eine Kontrolle von E-Mails auf dem Server des Arbeitgebers durch den Arbeitgeber nicht in das Fernmeldegeheimnis des Absenders einer E-Mail eingreift, da der Schutz durch dessen Fernmeldegeheimnis mit Eintreffen der E-Mail auf dem Server des Empfängers beendet ist. Aus diesem Grund greifen die Bedenken in der Literatur gegen eine Einwilligungslösung bei der privaten Nutzung von E-Mails in Unternehmen nicht. Arbeitgeber können sich von ihren Mitarbeitern die Einwilligung in die Kontrolle der E-Mails erteilen lassen, sodass eine Strafbarkeit nach § 206 StGB unter diesen Umständen ausgeschlossen ist. Auf die Frage der Wirkung dieser Einwilligung auch für den Absender der E-Mail kommt es nicht an. Dabei muss beachtet werden, dass eine entsprechende Einwilligung nur durch eine Individualvereinbarung erteilt werden kann, nicht aber durch Betriebsvereinbarung. Außerdem sollte bei der Ausgestaltung der Einwilligung auf die Persönlichkeitsrechte und die Datenschutzbestimmungen geachtet werden. Setzt der Arbeitgeber eine entsprechende Einwilligungslösung um, macht er sich nicht strafbar nach § 206 StGB; gleichwohl hat er, wenn er E-Mails seiner Mitarbeiter kontrolliert, die Grenzen des Datenschutzes bei dieser Kontrolle zu beachten.

VI. Datenschutzrechtliche Zulässigkeit der Kontrolle von E-Mails Die Kontrolle von E-Mails der Mitarbeiter i.R.d. Umsetzung von Compliance-Programmen oder zum Zwecke von internen Untersuchungen von möglichen Verstößen gegen Rechtsnormen hat in datenschutzrechtlich zulässiger Art und Weise zu erfolgen. Auch hier muss wieder zwischen der Zulässigkeit hinsichtlich der Verarbeitung personenbezogener Daten der eigenen Beschäftigten sowie der Absender der E-Mails differenziert werden.

1. Zulässigkeit hinsichtlich personenbezogener Daten der Beschäftigten Soweit nicht ohnehin schon die private Nutzung des dienstlichen E-Mail-Accounts nur nach vorheriger Einwilligung der Be-

22 Vgl. hierzu Wybitul, ZD 2011, 69 ff. 23 Behling, BB 2010, 895. 24 Jarass (o. Fußn. 7), Art. 10 Rdnr. 5; Leibholz/Rinck, GG, 53. EL, Art. 10 Rdnr. 31. 25 Vgl. Lenckner/Eisele, in: Schönke/Schröder, StGB-Komm., 28. Aufl. 2010, § 206 Rdnr. 6a. 26 BVerfG MMR 2006, 217, 220. 27 I.E. so auch Behling, BB 2010, 894 f. ZD 1/2012

schäftigten in Kontrollen durch den Arbeitgeber zulässig ist,28 kann die Kontrolle der E-Mails der Arbeitnehmer auf der Grundlage der Erlaubnisnormen des § 32 Abs. 1 BDSG erfolgen. § 32 Abs. 1 BDSG unterscheidet zwischen der zulässigen Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses, § 32 Abs. 1 Satz 1 BDSG, und der Datenverarbeitung zur Aufklärung von Straftaten, § 32 Abs. 1 Satz 2 BDSG. a) Datenverarbeitung zum Zwecke der Durchführung des Beschäftigungsverhältnisses Nach § 32 Abs. 1 Satz 1 BDSG ist es zulässig, personenbezogene Daten zu verarbeiten, soweit dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Zur Durchführung des Beschäftigungsverhältnisses gehört in diesem Zusammenhang auch die Einhaltung von Compliance-Regelungen im Unternehmen durch die Beschäftigten bzw. die Einhaltung allgemeiner rechtlicher Vorgaben.29 Die Kontrolle von E-Mails ist auch erforderlich für die Umsetzung von Compliance-Programmen, da nur so überprüft werden kann, ob sich die Beschäftigten rechtskonform verhalten.30 Daher ist der Arbeitgeber befugt, regelmäßige anlasslose Kontrollen der E-Mails auf der Grundlage von § 32 Abs. 1 Satz 1 BDSG durchzuführen. Auch bei allgemeinen Hinweisen, dass es zu Gesetzesverstößen im Unternehmen gekommen sei, kann der Arbeitgeber seine Untersuchungsmaßnahmen auf diese Erlaubnisnorm stützen. b) Datenverarbeitung zur Aufdeckung von Straftaten Stellt sich bei diesen Stichproben oder Untersuchungen heraus, dass Mitarbeiter unter Umständen tatsächlich Straftaten begangen haben, so können die weiteren Ermittlungen auf der Grundlage von § 32 Abs. 1 Satz 2 BDSG erfolgen. Dieser erlaubt die Datenverarbeitung zu Zwecken der Aufklärung von Straftaten31 mit Bezug zum Beschäftigungsverhältnis, soweit für diese Straftaten schon konkrete Anhaltspunkte bestehen und die Datenverarbeitung zur Aufklärung erforderlich ist. Außerdem darf kein schutzwürdiges Interesse des Beschäftigten bestehen, das das Interesse des Unternehmens an der Aufklärung der Straftat überwiegt. Die schutzwürdigen Interessen in diesem Zusammenhang sind recht weit zu verstehen: Neben dem Schutz der informationellen Selbstbestimmung und der Intim- und Privatsphäre zählen dazu auch ideelle und wirtschaftliche Interessen des Betroffenen;32 kein schutzwürdiges Interesse ist jedoch der Schutz vor Strafverfolgung. Es empfiehlt sich in diesem Zusammenhang, zunächst offensichtlich private Inhalte von der Kontrolle auszunehmen und diese erst dann weiter zu untersuchen, sollte sich der Vorwurf konkretisieren.33 28 Vgl. unter V. 29 Vgl. Gola/Schomerus, BDSG, 10. Aufl. 2010, § 32 Rdnr. 24; Zöll, in: Taeger/ Gabel (Hrsg.), Komm. zum BDSG, 2010, § 32 Rdnr. 40 ff. m.w.Nw. 30 Vgl. Gola/Wronka, Hdb. zum Arbeitnehmerdatenschutz, 5. Aufl. 2010, Rdnr. 850 ff. 31 Wichtig ist, dass die Straftat in diesem Zusammenhang weit zu verstehen ist, also auch Ordnungswidrigkeiten wie etwa Verstöße gegen § 1 GWB darunter zu verstehen sind. Teilweise wird auch vertreten, dass Aufklärungsarbeit für Ordnungswidrigkeiten nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG durchzuführen sind, vgl. Gola/ Schomerus (o. Fußn. 29), Rdnr. 29. I.E. macht dies aber keinen Unterschied, da auch nach dieser Auffassung die Grenzen der Zulässigkeit in den in § 32 Abs. 1 Satz 2 BDSG festgelegten Grundsätzen zu suchen sind. 32 Taeger, in: Taeger/Gabel (o. Fußn. 29), § 28 Rdnr. 74. 33 Ggf. kann dann auch eine Lösung über eine Einwilligung des Betroffenen erzielt werden. 34 Vgl. auch Zöll (o. Fußn. 29), Rdnr. 28.

ZD 1/2012

c) Zulässigkeit hinsichtlich personenbezogener Daten des Absenders Die Kontrolle von E-Mails i.R.v. Compliance-Maßnahmen oder internen Untersuchungen ist auch hinsichtlich der dabei erfolgenden Verarbeitung der personenbezogenen Daten des Absenders zulässig. Für diesen kommt als Erlaubnisnorm § 28 Abs. 1 Nr. 2 BDSG zur Anwendung. Dieser hat im Wesentlichen ähnliche Voraussetzungen wie § 32 Abs. 1 Satz 2 BDSG, nur dass er sich nicht auf die Aufklärung von Straftaten beschränkt, sondern allgemein die Datenverarbeitung zur Wahrnehmung berechtigter Interessen des Unternehmens erlaubt, soweit nicht schutzwürdige Interessen des Betroffenen diese überwiegen. Das berechtigte Interesse, das das Unternehmen anführen kann, ist in diesem Zusammenhang die Aufklärung von Straftaten. Im Übrigen gilt für die schutzwürdigen Interessen des Betroffenen das zuvor Gesagte. Damit ist die Kontrolle von E-Mails für die Durchführung von Compliance-Programmen und internen Untersuchungsmaßnahmen auf der Basis der §§ 32 Abs. 1, 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig.

VII. Datenschutzrechtliche Anforderungen an die Kontrolle von E-Mails Auch die Durchführung der Kontrolle der E-Mails muss im Einklang mit dem Datenschutzrecht geschehen. Wenn diese Kontrolle rein intern vorgenommen wird, so ist dabei darauf zu achten, dass die daran beteiligten Mitarbeiter nach § 5 BDSG auf das Datengeheimnis verpflichtet sind, soweit das bisher noch nicht geschehen ist. Soll für die technische Durchführung auf die Dienste von Dritten zurückgegriffen werden, so ist dies zulässig, bedarf aber einer schriftlichen Vereinbarung nach § 11 BDSG über die Auftragsdatenverarbeitung.34

VIII. Fazit Datenschutzrechtlich lässt sich die Kontrolle von E-Mails von Beschäftigten zum Zwecke der Einhaltung der Compliance und der Aufklärung von möglichen Gesetzesverstößen gesetzeskonform durchführen. Soweit im Betrieb die private Nutzung des dienstlichen E-Mail-Accounts durch die Beschäftigten zulässig ist oder nicht ausdrücklich verboten wurde, muss bis zu einer höchstrichterlichen Klärung der Frage der Dienstanbietereigenschaft des Arbeitgebers nach § 3 Nr. 6 TKG die Einwilligung des jeweiligen Arbeitnehmers eingeholt werden, um eine Strafbarkeit nach § 206 StGB zu vermeiden. Einer Einwilligung des Absenders einer E-Mail bedarf es nicht. Hinzuweisen sei des Weiteren darauf, dass der Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes weitergehende Regelungen zur Kontrolle von E-Mails vorsieht. Da sich in der Diskussion zu diesem Gesetz aber seit geraumer Zeit nichts getan hat, wird an dieser Stelle von einer Darstellung der Ausführungen abgesehen. Auch ist zu beachten, dass bei der Durchführung von entsprechenden Kontrollmaßnahmen ggf. der Betriebsrat zu beteiligen ist. Dr. Philip Kempermann, LL.M. ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek in Düsseldorf.

Kempermann: Strafbarkeit nach § 206 StGB bei Kontrolle von Mitarbeiter-E-Mails? 15

JENS M. SCHMITTMANN

Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz

Datenfernübertragung E-Bilanzdaten Außenprüfung von Datensätzen Anspruch auf Steuerdaten Offenlegungspflichten

Plädoyer für eine transparente Ermächtigungsgrundlage c Steuerliches Verfahrensrecht und Datenschutzrecht treffen insbesondere bei der steuerlichen Außenprüfung in Zusammenhang mit dem Datenzugriff der Finanzverwaltung sowie der Verpflichtung, Bilanzen und Gewinn- und Verlustrechnungen elektronisch an die Finanzverwaltung zu übermitteln, aufeinander. Der nachstehende Beitrag untersucht die Schnittstellen und analysiert dazu die Rechtsprechung des Bundesfinanzhofs und der Finanzgerichte, die zwar das Datenschutzrecht wahrnehmen, es allerdings im Verhältnis zum Steuerrecht als Parallelwelt ansehen und weitgehend von einer Nichtanwendbarkeit ausgehen.

I. Einführung Der Schutz der Daten hat im Rechtsstaat einen hohen Stellenwert. Während früher die Sicherheit der Daten – insbesondere für Techniker – im Vordergrund stand, geht es heute mindestens gleichrangig um die Verhinderung von Missbräuchen beim Umgang mit Daten.1 Gem. Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Diese Daten dürfen gem. Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen, gesetzlich geregelten, legitimen Grundlage verarbeitet werden. Jede Person hat gem. Art. 8 Abs. 2 Satz 2 der Charta der Grundrechte der Europäischen Union das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.2 Auf nationaler Ebene war Vorreiter das Hessische Datenschutzgesetz aus dem Jahre 1970, bevor im Jahre 1977 das BDSG folgte.3 Der verfassungsrechtliche Schutz wurde vom BVerfG im Volkszählungsurteil4 manifestiert, als das Gericht konstatierte, dass unter den Bedingungen der modernen Datenverarbeitung der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG umfasst sei. Das Grundrecht gewährleiste insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Bei den verfassungsrechtlichen Anforderungen an Einschränkungen des Rechts auf „informationelle Selbstbestimmung“ sei zwischen personenbezogenen Daten, die in individualisierter, nicht anonymer Form erhoben und verarbeitet werden, und solchen, die für statistische Zwecke bestimmt sind, zu unterscheiden.5 In der „Vorratsdatenspeicherung“-Entscheidung hat das BVerfG zur Gewährleistung einer hinreichenden Datensicherheit sowie zur Begrenzung der Verwendungszwecke der Daten Stellung bezogen.6 Eine sechsmonatige, vorsorgliche und anlasslose Speicherung von TK-Verkehrsdaten durch private Diensteanbieter, wie sie die RL 2006/24/EG des Europäischen Parla16 Schmittmann: Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz

c Tax procedural law and data protection law collide, in particular, in the case of independent tax audits in connection with the taxation authorities accessing data, as well as the obligation to transfer balance sheets and profit and loss statements to the tax authorities. The following article will examine intersecting points and analyze the adjudication on this matter by the Federal Fiscal Court and Fiscal Courts, which are aware of data protection laws, however, see them as a parallel world in regards to taxation law, and mainly assume non-applicability.

ments und des Rates v. 15.3.20067 vorsieht, sei mit Art. 10 GG nicht schlechthin unvereinbar. Der Grundsatz der Verhältnismäßigkeit verlange allerdings, dass die gesetzliche Ausgestaltung einer solchen Datenspeicherung dem besonderen Gewicht des mit der Speicherung verbundenen Grundrechtseingriffs angemessen Rechnung trage. Erforderlich seien hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit, der Datenverwendung, der Transparenz und des Datenschutzes.8 Umfassende Datensammlungen werden auch von der Finanzverwaltung über Steuerpflichtige geführt. Die Finanzverwaltung kann gem. § 147 Abs. 6 Satz 2 AO verlangen, dass der Steuerpflichtige von ihm gespeicherte Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger zur Verfügung stellt. Gem. § 5b Abs. 1 Satz 1 EStG sind der Inhalt der Bilanz sowie der Gewinn- und Verlustrechnung nach amtlich vorgeschriebenem Datensatz durch Datenfernübertragung an die Finanzverwaltung zu übermitteln.

II. Eingriffe durch die Finanzverwaltung Die Mitwirkungspflichten des Steuerpflichtigen im Besteuerungsverfahren, insbesondere in Zusammenhang mit der Führung von Büchern und Aufzeichnungen, §§ 140 ff. AO, aber auch die Verpflichtung, den Inhalt der Bilanz sowie der Gewinn- und Verlustrechnung durch Datenfernübertragung an die Finanzverwaltung zu übermitteln, § 5b Abs. 1 Satz 1 EStG, führen zur Anhäufung von Daten bei der Finanzverwaltung, was von vielen Steuerpflichtigen mit großer Besorgnis beobachtet wird.

1. Elektronischer Datenzugriff Gem. § 146 Abs. 5 Satz 1 AO dürfen die Bücher und die sonst erforderlichen Aufzeichnungen auf Datenträgern geführt wer1 Vgl. Conrad, in: Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch ITRecht, 2011, § 25 Rdnr. 1. 2 S. Charta der Grundrechte der Europäischen Union, ABl. C 364/1 v. 18.12.2000. 3 So Conrad (o. Fußn. 1), § 25 Rdnr. 10. 4 Vgl. Murswiek, in: Sachs, GG-Komm., 6. Aufl. 2011, Art. 2 Rdnr. 72. 5 So BVerfGE 65, 1 ff. 6 Vgl. Murswiek (o. Fußn. 4), Art. 2 Rdnr. 72. 7 ABl. L 105 v. 13.4.2006, S. 54. 8 So BVerfG MMR 2010, 356 ff. ZD 1/2012

den. Dabei muss sichergestellt sein, dass während der Dauer der Aufbewahrungsfrist die Daten jederzeit verfügbar sind und unverzüglich lesbar gemacht werden können. In diesen Fällen hat die Finanzbehörde i.R.e. Außenprüfung gem. § 147 Abs. 6 AO das Recht, Einsicht in die gespeicherten Daten zu nehmen und das Datenverarbeitungssystem zur Prüfung dieser Unterlagen zu nutzen. Sie kann i.R.e. Außenprüfung auch verlangen, dass die Daten nach ihren Vorgaben maschinell ausgewertet oder ihr die gespeicherten Unterlagen und Aufzeichnungen auf einem maschinell verwertbaren Datenträger auf Kosten des Steuerpflichtigen zur Verfügung gestellt werden.9 Zum Teil wird sogar ausdrücklich darauf hingewiesen, dass das Verlangen nach einem Datenträger und das Einlesen der Daten auf die Festplatte des Notebooks des Betriebsprüfers die sachgerechteste Art des Datenzugriffs sei.10 Dem steht allerdings entgegen, dass das Gesetz lediglich verlangt, dass der Finanzbehörde i.R.d. Außenprüfung ein Datenträger „zur Verfügung gestellt wird“. Dies bedeutet gerade nicht, dass der Datenträger der Finanzverwaltung zu überlassen ist.11 Insbesondere besteht – entgegen einer zu beobachtenden Praxis – kein Anspruch des Außenprüfers auf Übersendung eines Datenträgers zur Vorbereitung der Prüfung. Das Bundesministerium der Finanzen (BMF) hat in einem umfassenden Schreiben v. 16.7.2001 – IV D 2 – S 0316 – 136/0112 Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen veröffentlicht.13 Der Schutz von Steuerdaten hat einen hohen Stellenwert. Nach der Rechtsprechung des EuGH ist Art. 3 Abs. 1 RL 95/46 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr dahin auszulegen, dass eine Tätigkeit, bei der die Daten natürlicher Personen bezüglich ihres Einkommens aus Erwerbstätigkeit und Kapital und ihres Vermögens auf der Grundlage öffentlicher Dokumente von den Steuerbehörden erfasst und zum Zweck der Veröffentlichung verarbeitet werden, in einem Druckerzeugnis, in alphabethischer Reihenfolge und nach Einkommenskategorien aufgeführt, in Form umfassender, nach Gemeinden geordneter Listen veröffentlich werden, auf einer CD-ROM zur Verarbeitung zu kommerziellen Zwecken weitergegeben werden, i.R.e. Kurzmitteilungsdiensts verwendet werden, in dem Mobilfunkbenut-

9 Vgl. Schmittmann, in: Taeger, Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, 2010, S. 705, 706 f. 10 So Brinkmann, in: Pump/Leibner, AO-Komm., 63. EL, August 2007, § 147 Rdnr. 38. 11 S. Drüen, in: Tipke/Kruse, Abgabenordnung/Finanzgerichtsordnung – Komm., 125. EL, März 2010, § 147 Rdnr. 80a. 12 S. BStBl. I 2001, S. 415 ff. 13 Vgl. Härtl/Schieder, StBp 2011, 33 ff.; Goldshteyn/Thönnes, DStZ 2010, 416 ff.; Schmidt, BRZ 2010, 180 ff.; Schmittmann, StuB 2008, 43 f.; Apel, MPB 2007, 142 ff.; Georgius/Groß, Stbg 2006, 157 ff.; Harnischfeger, DSWR 2005, 173 ff.; Groß/Matheis, K&R 2004, 112 ff.; Kerssenbrock/Riedel/Strunk, StB 2002, 263 ff.; Nöcker, CR 2001, 864 ff.; Schmittmann, Die Wirtschaftsprüfung 2001, 1050 ff. 14 So EuGH MMR 2009, 175 ff. 15 So FG Rheinland-Pfalz DStRE 2005, 417 ff. = StuB 2005, 858 f. m. Anm. Maurer. 16 So FG Thüringen EFG 2005, 1406 ff. 17 So FG Nürnberg DStRE 2010, 758 ff. = EFG 2009, 1991 ff. m. Anm. Mattes; die Revision ist beim BFH anhängig unter dem Az. VIII R 44/09. 18 So FG Sachsen EFG 2010, 94 ff. m. Anm. Leitner; die Nichtzulassungsbeschwerde wurde vom BFH BFH/NV 2011, 193 f., als unbegründet zurückgewiesen. Dabei hat das Gericht klargestellt, dass die Finanzverwaltung sowohl bei der Entscheidung, auf elektronische Daten der Steuerpflichtigen zuzugreifen, als auch bei der Auswahl der Zugriffsmethode ein Ermessen i.S.v. § 5 AO hat. Ein Rangverhältnis der Zugriffsmethoden bestimme das Gesetz in § 147 Abs. 6 AO nicht. Bei der Ausübung des ihr zustehenden Ermessens habe die Finanzverwaltung den Grundsatz der Verhältnismäßigkeit aus Art. 20 Abs. 3 GG zu beachten. 19 So BFH BFH/NV 2011, 761 ff.; Schmittmann, in: Taeger, Die Welt im Netz – Folgen für Wirtschaft und Gesellschaft, 2011, S. 263, 266. ZD 1/2012

zer nach Versendung einer Kurzmitteilung mit dem Namen und dem Wohnort einer bestimmten Person an eine bestimmte Nummer als Antwort Daten über das Einkommen dieser Person aus Erwerbstätigkeit und Kapital sowie über deren Vermögen erhalten können, als „Verarbeitung personenbezogener Daten“ im Sinne dieser Vorschrift anzusehen ist.14 Während es in der Entscheidung des EuGH darum ging, dass die im Einzelnen genannten Steuerdaten der Allgemeinheit gegenüber offengelegt werden sollten, geht es i.R.v. §§ 146, 147 AO lediglich um die Offenbarung gegenüber der Finanzverwaltung. Schon früh hat die Rechtsprechung entschieden, dass es Sache des Steuerpflichtigen ist, seinen Datenbestand so zu organisieren, dass bei einer zulässigen Einsichtnahme in die steuerlich relevanten Datenbestände keine geschützten Bereiche tangiert werden.15 Der Steuerpflichtige hat darüber hinaus auch gegenüber der Finanzverwaltung kein Recht, die Überlassung des Datenträgers davon abhängig zu machen, dass er eine von dem Betriebsprüfer unterschriebene Bestätigung erhält, dass dieser den Datenträger so aufbewahren werde, dass er vor unbefugtem Zugriff geschützt ist, dass er ihn weder kopieren noch die auf ihm enthaltenen Daten in sonstiger Form vervielfältigen werde und ihn nach dem Ende der Prüfung zurückgeben werde. Die schützenswerten Interessen des Steuerpflichtigen seien durch das Steuergeheimnis hinreichend gewahrt.16 Das FG Nürnberg hat explizit ausgeführt, dass das Grundrecht auf informationelle Selbstbestimmung gegen den Datenzugriff der Außenprüfung keine wirksamen Schranken errichtet. Das Steuergeheimnis aus § 30 AO gelte uneingeschränkt für die auf Grund des Datenzugriffs gewonnenen Informationen.17 Der Weigerung des Steuerpflichtigen, einen Datenträger i.R.e. Außenprüfung zu überlassen, kann die Finanzverwaltung durch die Festsetzung eines Zwangsgelds begegnen, wobei ein Betrag i.H.v. a 5.000,– nicht ermessensfehlerhaft ist.18 Der BFH selbst hat im Jahre 2011 recht knapp zum Verhältnis zwischen dem Recht auf informationelle Selbstbestimmung und Außenprüfungen durch die Finanzverwaltung Stellung genommen. Der BFH hatte über einen Fall zu entscheiden, in dem das für die Steuerfestsetzung zuständige Finanzamt ein anderes Finanzamt mit Prüfungshandlungen beauftragt hatte. Darin liegt nach Auffassung des BFH kein Verstoß gegen das Recht auf informationelle Selbstbestimmung, insbesondere nicht gegen die Grundsätze der Datensparsamkeit und Datenvermeidung. Durch die Abgabenordnung sei bundesgesetzlich die Möglichkeit der Prüfungsbeauftragung ebenso geregelt wie das Steuergeheimnis, sodass Datenschutzbestimmungen den Regelungsgehalt dieser bundesgesetzlichen Norm nicht einschränken können. Die Regelung des § 195 Satz 2 AO, wonach Finanzbehörden andere Finanzbehörden mit der Außenprüfung beauftragen können, werde nicht durch allgemeine Prinzipien des Datenschutzrechts wie Datenvermeidung und Datensparsamkeit suspendiert.19 Es ist beachtlich, mit welch dürren Worten der BFH allein auf Grund der Regelung des § 1 Abs. 3 BDSG sämtliche datenschutzrechtlichen Bedenken gegen die Handhabung der Finanzverwaltung hinwegwischt. Ob es ausreichend ist, allein nach dem Grundsatz des lex specialis auf die Abgabenordnung zu verweisen, wird unter III. noch im Einzelnen überprüft werden.

2. E-Bilanz Durch die Bestimmung des § 5b Abs. 1 Satz 1 EStG muss der Steuerpflichtige, sofern der Gewinn nach §§ 4 Abs. 1, 5 oder 5a EStG ermittelt wird, den Inhalt der Bilanz sowie der Gewinn- und Verlustrechnung nach amtlich vorgeschriebenem Datensatz durch Datenfernübertragung übermitteln. Zunächst sollte die Schmittmann: Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz 17

Vorschrift erstmals auf Jahresabschlüsse für Wirtschaftsjahre angewendet werden, die nach dem 31.12.2010 beginnen. Durch § 52 Abs. 15a EStG i.V.m. § 1 Anwendungszeitpunktverschiebungsverordnung (AnwZpvV) v. 20.12.2010 wurde die Einführung der sog. „E-Bilanz“ allerdings auf Jahresabschlüsse für Wirtschaftsjahre, die nach dem 31.12.2011 beginnen, verschoben.

Abs. 1 HGB bezeichneten Rechnungslegungsunterlagen verfolgten, in erheblichem Allgemeininteresse liegenden Zwecke eines effektiven Schutzes des Wirtschaftsverkehrs durch Informationen der Marktteilnehmer und einer Kontrollmöglichkeit der betroffenen Gesellschaften vor dem Hintergrund deren nur beschränkter Haftung jedenfalls gerechtfertigt.30

Das BMF hat mit Schreiben v. 19.1.201020 für die Übermittlung des entsprechenden Datensatzes XBRL (eXtensible Business Reporting Language) als Übermittlungsformat einheitlich festgelegt. Darüber hinaus hat das BMF eine Taxonomie entwickelt, aus der im Einzelnen zu ersehen ist, welche Bestandteile die Datensätze haben müssen. Die Taxonomie wird regelmäßig auf notwendige Aktualisierungen geprüft und ggf. um branchenspezifische Spezialtaxonomien erweitert. Die Einführung der sog. E-Bilanz wurde von der Literatur kritisch begleitet.21

Da die Offenlegungspflicht gem. § 325 HGB lediglich Kapitalgesellschaften und haftungsbeschränkte Personenhandelsgesellschaften erfasst, ist eine Berufung auf die Schutzvorschriften des BDSG ohnehin unbehelflich. Der Schutz des allgemeinen Datenschutzrechts des BDSG erstreckt sich nämlich gem. § 3 Abs. 1 BDSG nur auf natürliche Personen.31 Aus dem Schutzbereich sind juristische Personen, Personenmehrheiten und -gruppen32 bewusst ausgenommen,33 auch wenn sie freilich auch grundrechtsberechtigt sind. Dies gilt auch für juristische Personen aus anderen Mitgliedstaaten der EU in Deutschland.34 Gleichwohl unterscheidet sich die juristische Person in ihren Existenz- und Funktionsbedingungen so grundsätzlich von einer natürlichen Person, dass sie zu Recht ausgespart bleibt.35

In einem Entwurfsschreiben v. 1.7.2011 hat das BMF einen überarbeiteten Entwurf eines Anwendungsschreibens zu § 5b EStG an die beteiligten Verbände übersandt22 und diese angehört.23 Die Endfassung wurde am 28.9.2011 veröffentlicht.24 Zum Gliederungsschema für Jahresabschlussdaten (Taxonomie) lässt das BMF wissen, dass diese im Internet zur Ansicht und zum Abruf bereitstehen (Rdnr. 10). Die elektronische Übermittlung der Inhalte der Bilanz und der Gewinn- und Verlustrechnung erfolgt grundsätzlich nach der Kerntaxonomie. Sie beinhaltet die Positionen für alle Rechtsformen, wobei im jeweiligen Einzelfall nur die Positionen zu befüllen sind, zu denen auch tatsächlich Geschäftsvorfälle vorliegen (Rdnr. 10). Abweichend hiervon wurden für bestimmte Geschäftszweige Branchentaxonomien erstellt, die in diesen Fällen für die Übermittlung der Datensätze zu verwenden sind. Das BMF unterscheidet Spezialtaxonomien, z.B. für Banken und Versicherungen, und Ergänzungstaxonomien, z.B. für die Wohnungswirtschaft, Verkehrsunternehmen, Land- und Forstwirtschaft, Krankenhäuser, Pflegeeinrichtungen und kommunale Eigenbetriebe. Grundsätzlich unzulässig ist eine individuelle Erweiterung von Taxonomien (Rdnr. 10).25 Durch die Verpflichtung der Unternehmen, die Bilanz elektronisch bei der Finanzverwaltung einzureichen, erhält diese nicht nur die Möglichkeit, die eingereichten Daten erleichtert weiterzubearbeiten, sondern insbesondere die Möglichkeit, die Bilanzen und darüber hinaus auch die – weitaus interessanteren – Gewinn- und Verlustrechnungen Zehntausender von Unternehmen in Sekundenschnelle miteinander vergleichen zu können.26 Die Verpflichtung aus § 5b Abs. 1 EStG erinnert an die Verpflichtung aus § 325 HGB, wonach die gesetzlichen Vertreter von Kapitalgesellschaften und haftungsbeschränkten Personenhandelsgesellschaften für diese den Jahresabschluss beim Betreiber des elektronischen Bundesanzeigers elektronisch bei Vermeidung der Festsetzung eines Ordnungsgelds gem. § 335 HGB einzureichen haben. Gegen diese Regelung, die auf der RL 90/ 605/EWG des Rates v. 8.11.1990 beruht,27 wurden u.a. auch datenschutzrechtliche Bedenken erhoben. Auf Vorlage des LG Essen28 entschied der EuGH, dass die seinerzeit in Deutschland noch gegenüber dem Handelsregister bestehende Offenlegungspflicht, die mit der Möglichkeit der Einsichtnahme ohne schutzbedürftiges Recht oder Interesse einherging, europarechtlich nicht zu beanstanden sei. Weder die Grundsätze der freien Berufsausübung und der Freiheit der Meinungsäußerung stünden der Offenlegungspflicht entgegen.29 Nach der Rechtsprechung des BVerfG bestehen grundsätzlich keine verfassungsrechtlichen Bedenken gegen die Offenlegungspflicht (§ 325 HGB) und deren Sanktionierung (§ 335 HGB). Es werde weder die Berufsausübungsfreiheit nach Art. 12 Abs. 1 GG noch das Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG verletzt. Mögliche Eingriffe in diese Grundrechte seien durch die mit der Offenlegung der in § 325 18 Schmittmann: Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz

Anders als § 325 HGB, der sich lediglich auf Kapitalgesellschaften und haftungsbeschränkte Personenhandelsgesellschaften bezieht, verlangt § 5b Abs. 1 EStG die elektronische Übertragung der Bilanzen, der Gewinn- und Verlustrechnungen rechtsformunabhängig, also auch von bilanzierenden natürlichen Personen, z.B. Einzelkaufleuten. Der Unterschied zu § 325 HGB liegt aber ganz offensichtlich darin, dass § 325 HGB eine Veröffentlichung im Internet nach sich zieht, während die elektronische Übertragung an die Finanzverwaltung lediglich dem Besteuerungsverfahren dient. Es wird zwar bei der Finanzverwaltung eine Unmenge an Daten gesammelt; diese Daten werden aber nach dem Grundsatz des Steuergeheimnisses gem. § 30 AO verwaltet und gerade nicht der Öffentlichkeit zugänglich gemacht.

III. Verhältnis zwischen Datenschutzrecht und Abgabenrecht 1. Abgabenordung als lex specialis Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwen20 So BStBl. I 2010, S. 47. 21 Vgl. Herzig/Briesemeister/Schäperclaus, DB 2011, 1 ff.; Rust/Hülshoff/Kolbe, BB 2011, 747 ff.; Schiffers, Stbg 2011, 7 ff.; Wenk/Jagosch/Strasser, DStR 2011, 586 ff.; Schumann/Arnold, DStZ 2011, 226 ff.; Richter/Kruczynski/Kurz, DB 2010, 1604 ff.; Koch/Nagel, NWB 2010, 1340 ff.; Koch/Nagel/Themanns, NWB 2010, 3780 ff.; Heinsen/Adrian, DStR 2010, 2591 ff. 22 Vgl. BMF, Schreiben v. 1.7.2011 – IV C 6 – S 2133-b/11/10009, abrufbar unter: www.bundesfinanzministerium.de; vgl. Jansen/Polka, DStR 2011, 1821 ff. 23 Vgl. BMF, Schreiben v. 25.8.2011 – IV C 6 – S 2133-b/11/10009; vgl. BMF DStR 2011, 1728 f.; vgl. Herrfurth, StuB 2011, 658 ff. 24 S. BMF, Schreiben v. 28.9.2011 – IV C 6 – S 2133-b/11/10009, abrufbar unter: http://www.bundesfinanzministerium.de/nn_92/DE/BMF__Startseite/Aktuelles/B MF__Schreiben/Veroffentlichungen__zu__Steuerarten/einkommensteuer/051__a ,templateId=raw,property=publicationFile.pdf; s.a. BMF DStR 2011, 1906 ff.; vgl. umfassend Geberth/Burlein, DStR 2011, 2013 ff. 25 Vgl. Schmittmann, K&R 1/2012, i.E. 26 S. Schmittmann, K&R 1/2012, i.E. 27 Vgl. Schmittmann, StuB 2004, 1063 ff. 28 Vgl. LG Essen ZIP 2003, 31. 29 So EuGH ZIP 2004, 2134 ff. 30 So BVerfG, B. v. 10.9.2009 – 1 BvR 1636/09; BVerfG DB 2011, 807 f.; vgl. Schlauß, DB 2011, 805 f. 31 So Helfrich, in: Hoeren/Sieber, Hdb. Multimedia-Recht, 28. EL, April 2011, Kap. 16.1 Rdnr. 29; Kühling/Seidel/Sivridis, Datenschutzrecht, 2008, S. 100. 32 S. Helfrich (o. Fußn. 31), Kap. 16.1 Rdnr. 30. 33 So OLG Karlsruhe CR 1988, 34, 35 m. Anm. Bischoff; OLG Karlsruhe WRP 1983, 287, 288. 34 So BVerfG ZIP 2011, 1809, 1812; offen gelassen noch bei BVerfG NJW 2004, 3031; BVerfG NVwZ 2008, 670. 35 So Dammann, in: Simitis, BDSG-Komm., 7. Aufl. 2011, § 3 Rdnr. 18. ZD 1/2012

den sind, gehen sie gem. § 1 Abs. 3 Satz 1 BDSG den Vorschriften dieses Gesetzes vor. Das Datenschutzrecht schützt nur lebende natürliche Personen, also nicht juristische Personen oder Personengesellschaften, sodass es Gesellschaften ohnehin nicht hilft. Im Gegensatz zu den Offenlegungspflichten gem. § 325 HGB sind die Vorschriften über die E-Bilanz auch auf natürliche Personen uneingeschränkt anzuwenden. Es stellt sich aber die Frage, ob das Steuergeheimnis aus § 30 AO eine „andere Rechtsvorschrift des Bundes“ i.S.d. § 1 Abs. 3 Satz 1 BDSG darstellt, die die Anwendung des BDSG ausschließt. Diese Frage wird in der Kommentarliteratur bejaht,36 allerdings ohne Begründung. Zu der Regelung des § 1 Abs. 3 Satz 2 BDSG, der die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- und besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt lässt, wird diskutiert, ob und ggf. in welchem Umfang ein Rechtsanwalt einem Datenschutzbeauftragten Auskünfte erteilen muss. Hier kommt schon im Hinblick auf die Strafvorschrift des § 203 Abs. 1 Nr. 3 StGB eine Auskunftserteilung durch den Rechtsanwalt gegenüber einer Datenschutzbehörde nicht in Betracht.37 Weder auf Grund des Vorrangs „anderer Rechtsvorschriften“ gem. § 1 Abs. 3 Satz 1 BDSG noch auf Grund der Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten gem. § 1 Abs. 3 Satz 2 BDSG kann davon ausgegangen werden, dass das Datenschutzrecht in vollem Umfang durch die Abgabenordnung verdrängt wird.

2. Abwehrmöglichkeiten des Steuerpflichtigen Es stellt sich die Frage, ob der Steuerpflichtige seinerseits Maßnahmen ergreifen darf, um den „Datenhunger“ der Finanzverwaltung in Grenzen zu halten. Dies betrifft zum einen die Beschränkung des Datenzugriffs in sachlichem Umfang. Der Zugriff umfasst nur die steuerlich relevanten Daten, also zuvörderst die Daten der Finanz-, Anlageund Lohnbuchhaltung. Während die Finanzbuchhaltung uneingeschränkt dem digitalen Datenzugriff unterliegt,38 sind Kosten- und Leistungsrechnung nur eingeschränkt zugänglich zu machen. Zum anderen ist zu erwägen, ob der Steuerpflichtige Maßnahmen ergreifen kann, die verhindern, das seine Daten kopiert und nach einem bestimmten Zeitpunkt noch verwendet werden können. Dabei ist stets zu berücksichtigen, dass der Datenzugriff durch die Finanzverwaltung einen Eingriff in einen grundrechtlich geschützten Bereich darstellt, der freilich durch das „Recht des Steuerstaates auf Informationsteilhabe zur Gewährung eines gleichmäßigen Belastungserfolges“ gerechtfertigt wird.39 Bei der elektronischen Betriebsprüfung geht es bereits heute darum, dass die Finanzverwaltung ihre eigenen Analyseprogramme auf die Daten anwenden will, um damit eine schnellere und effektivere Außenprüfung zu ermöglichen.40 Es ist daher richtig, wenn empfohlen wird, der Finanzverwaltung nur schreibge36 So Schmidt, in: Taeger/Gabel, Komm. zum BDSG, 2010, § 1 Rdnr. 35; Gola/ Schomerus, BDSG-Komm., 10. Aufl. 2010, § 1 Rdnr. 25; Dix, in: Simitis (o. Fußn. 35), § 1 Rdnr. 177. 37 S. KG MMR 2010, 864 ff.; vgl. auch Weichert, NJW 2009, 550 ff.; Härting, ITRB 2009, 138 f.; Härting, AnwBl. 2011, 511 f.; Dix (o. Fußn. 36), § 1 Rdnr. 175. 38 S. BFH DStR 2007, 2156 ff.; vgl. Schmittmann, StuB 2008, 43 ff. 39 So Drüen (o. Fußn. 11), § 147 Rdnr. 69. 40 Vgl. Drüen (o. Fußn. 11), § 147 Rdnr. 41c. 41 So Drüen (o. Fußn. 11), § 147 Rdnr. 80. 42 Vgl. Carle, ´ KÖSDI 2001, 13106, 13114; Hütt, AO-StB 2001, 154, 156. 43 So FG Thüringen EFG 2005, 1406. 44 Vgl. Drüen (o. Fußn. 11), § 147 Rdnr. 81; Carle, ´ KÖSDI 2001, 13112; Stahl/ Durst, Stbg 2009, 152. 45 So BVerfGE 65, 1, 46, 54. ZD 1/2012

schützte Datenträger, z.B. CD-ROM, zur Verfügung zu stellen und selbst eine Kopie zurückzuhalten. Weiterhin soll es zulässig sein, den Datenträger mit einem maschinellen Ablaufdatum zu versehen, wobei die Zeitspanne der Befristung auf die voraussichtliche Dauer der Außenprüfung und des anschließenden Festsetzungsverfahrens abzuschätzen ist.41 Diese Befristung muss allerdings technisch so gestaltet sein, dass sie fortwirkt, auch wenn die Daten auf ein anderes Medium übertragen worden sind, z.B. auf das Notebook des Außenprüfers oder den Server des Finanzamts. Selbst wenn in der Literatur verlangt wird, dass sich der Steuerpflichtige schriftlich bestätigen lassen soll, dass die Finanzverwaltung die Daten nicht kopiert oder zurückbehält,42 so erkennt die Rechtsprechung einen solchen Anspruch gerade nicht an.43 Es liegt aber auf der Hand, dass es nicht ausgeschlossen ist, dass die Finanzverwaltung die Daten zum Aufbau für Datensammlungen über Verrechnungspreise, Branchenkennzahlen etc. verwenden kann, auch wenn dafür eine Ermächtigungsgrundlage nicht ersichtlich ist.44 Die Löschungsverpflichtung ist i.Ü. verfassungsunmittelbar, was sich aus der Rechtsprechung des BVerfG zur Volkszählung ergibt.45

3. Erfordernis einer Ermächtigungsgrundlage Es ist zwar nicht von der Hand zu weisen, dass durch das Steuergeheimnis aus § 30 Abs. 1 AO („Amtsträger haben das Steuergeheimnis zu wahren“) ein erheblicher Schutz für die Steuerpflichtigen und ihre Daten geschaffen wird. Es greift allerdings zu kurz, wenn die Rechtsprechung allein darauf abstellt, dass das Steuergeheimnis lex specialis im Verhältnis zum BDSG ist. Während das Steuergeheimnis, das gem. § 355 StGB auch strafbewehrt ist, als „qualifiziertes Amtsgeheimnis“ anzusehen ist, schützt das Datenschutzrecht den Einzelnen davor, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG). Die Position, dass sich der Schutz personenbezogener Daten vorrangig nach § 30 AO und nicht nach den Datenschutzgesetzen bestimmt, ist zu überdenken. Während die Abgabenordnung mit § 30 AO sicherstellt, dass die Daten des Steuerpflichtigen nicht unbefugt offenbart werden, geht die Schutzrichtung des Datenschutzrechts dahin, die Rechte des Bürgers auch gegen staatliche Datenverarbeitung zu sichern. Gem. § 3a Satz 1 BDSG sind so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Indem der Steuerpflichtige gem. § 5b Abs. 1 EStG nunmehr verpflichtet ist, Bilanzen und Gewinn- und Verlustrechnungen elektronisch bei der Finanzverwaltung anzuliefern, besteht die nicht nur theoretische Möglichkeit, umfassende und maschinell auswertbare Vergleichsdatensammlungen zu erhalten. Hier liegt der Sachverhalt anders als bei der elektronischen Betriebsprüfung, bei der gerade keine dauerhafte Speicherung der Daten bei der Finanzverwaltung vorgesehen ist. Bei der E-Bilanz ist die dauerhafte Speicherung der Daten bei der Finanzverwaltung gerade nicht zufällig, sondern gewollt und zur Besteuerung erforderlich. Nutzt die Finanzverwaltung die Daten allerdings zum Aufbau von Vergleichsdatenbanken oder stellt sie Vergleiche zwischen Unternehmen an, so bedarf dies einer gesetzlichen Ermächtigungsgrundlage.

IV. Fazit Im Ergebnis bedarf die bisherige Rechtsprechung des BFH sowie der Finanzgerichte einer Konkretisierung. Der schlichte Hinweis, dass der Anwendungsbereich des § 195 Abs. 2 AO nicht durch allgemeine Prinzipien des Datenschutzrechts suspendiert werSchmittmann: Steuerrechtliche Mitwirkungspflichten im Spannungsfeld zum Datenschutz 19

de, wird dem verfassungsrechtlichen Wesensgehalt der informationellen Selbstbestimmung nicht gerecht.46 Es wird an dieser Stelle nicht dafür plädiert, die Anlage von Datenbanken mit Vergleichswerten von Unternehmen oder ähnliche Vorhaben zu untersagen. Im Hinblick auf die verfassungsrechtlich gebotene Gleichmäßigkeit und Gerechtigkeit der Besteuerung kann eine solche Datenbank sogar geboten sein. Es ist aber im Hinblick auf das „Grundrecht der informationellen Selbstbestimmung“ nach einer transparenten Ermächtigungsgrundlage zu verlangen. Der Gesetzgeber ist daher aufgerufen, eine solche zu schaffen, damit auch die gewonnenen Daten Ver-

wendung finden können, ohne dass das Damokles-Schwert eines Beweisverwertungsverbots über den Bemühungen der Finanzverwaltung schwebt. Prof. Dr. Jens M. Schmittmann ist Dekan des Fachbereichs Wirtschaftsrecht an der FOM Hochschule für Oekonomie und Management Essen. Daneben ist er als Rechtsanwalt, Fachanwalt für Insolvenzrecht, Fachanwalt für Handels- und Gesellschaftsrecht, Fachanwalt für Steuerrecht sowie Steuerberater Partner der überörtlichen Kanzlei STS Schulz Tegtmeyer Sozien in Essen. 46 So aber BFH BFH/NV 2011, 761, 762.

JULIA DREYER

Radio Frequency Identification – friend or foe?

Radio Frequency Identification Unbemerktes Auslesen Bewegungsprofile Angepasste Werbemaßnahmen Selbstverpflichtung der Industrie

Neue Einsatzgebiete des RFID und deren Beurteilung nach dem BDSG c Eine Technik, die im Zweiten Weltkrieg noch dazu diente, feindliche Flugzeuge und Panzer frühzeitig zu erkennen, ist längst selbst zum Feind der Datenschützer geworden. Diese befürchten den vollständigen Verlust der informationellen Selbstbestimmung sowie eine Kontaminierung mit erhobenen Daten durch die Radio Frequency Identification (RFID). Doch hat sich die Freigiebigkeit der Verbraucher hinsichtlich ihrer sensiblen Daten im Zeitalter der sozialen Netzwerke stark verändert. Dieser Aufsatz soll die heutigen Einsatzmöglichkeiten des RFID anhand einiger aktueller Fälle darstellen und untersuchen, ob diese einer Prüfung nach dem BDSG standhalten.

I. RFID – Was ist das? Das „Radio Frequency Identification“-System dient der automatischen und verbindungslosen Identifizierung von Gegenständen mittels Funktechnik. Der Chip sendet auf Anregung Funkwellen aus, die von einem Lesegerät mit Antenne empfangen und ausgewertet werden können.1 Je nach Frequenzbereich kann die Reichweite zwischen wenigen Zentimetern und mehreren Metern betragen.2

II. Geschichtliche Entwicklung der Einsatzgebiete Die Einsatzgebiete des RFID haben sich in den letzten Jahrzehnten verändert und vielseitige Formen angenommen. Primitive Vorläufer des RFID dienten dem Militär im Zweiten Weltkrieg dazu, feindliche Flugzeuge und Panzer von den eigenen zu unterscheiden, um einen versehentlichen Angriff auf eigene Einsatzmaschinen zu verhindern. Später entwickelte man das RFID weiter, um es zur Warensicherung mittels Barcodes einzusetzen, indem es z.B. an Supermarktkassen oder Bibliotheksausgängen bei nicht erfolgter Entsicherung und anschließendem Passieren der Ausleseschranken den Alarm auslöste. Die Chips wurden Nutztieren – und später i.R.d. Einführung des EU-Heimtierausweises – auch Haustieren unter die Haut verpflanzt. RFID dient dem schnellen Nachweis der Zugangsberechtigung, z.B. durch Clubkarten oder Skipässe.3 Im Straßenverkehr wird RFID für Wegfahrsperren oder Mautsysteme eingesetzt, im öffentlichen Nahverkehr zur Erkennung der Zugangsberechtigung zu Bussen 20 Dreyer: Radio Frequency Identification – friend or foe?

c A technology which in the Second World War was used for early detection of enemy airplanes and tanks has become an enemy of data protectors. They fear the total loss of informational self-determination, as well as a contamination with gathered data by the Radio Frequency Identification (RFID). However, the consumer’s liberality regarding their sensitive data has strongly changed in the age of social networks. This article will depict the application of the RFID by using several current cases and examine whether this would withstand a test pursuant to the BDSG.

und Bahnen (z.B. Londoner Oyster Card). RFID ermöglicht bargeldloses Zahlen und das Sammeln von Bonus- und Rabattpunkten mittels „DeutschlandCard“ oder „PaybackCard“. Ebenso findet sich die Technik seit 2005 in allen deutschen Reisepässen und seit 2010 auch in den neuen deutschen Personalausweisen, die auf dem Chip u.a. die Fingerabdrücke des Inhabers abspeichern und grenzüberschreitende Reisen oder digitales Ausweisen i.R.v. Einkäufen im Internet erleichtern sollen.4 RFID kann sich auch auf Eintrittskarten von Fußballstadien befinden. I.R.d. Fußball-Weltmeisterschaft 2006 in Deutschland sollten mit dem Chip versehene Eintrittskarten vor Fälschung der Tickets schützen und verhindern, dass sog. Hooligans die Stadien betreten.5 In den USA wurde der Einsatz des „VeriChip“ unter der Haut von Menschen bereits im Jahr 2002 genehmigt. Auf diese Weise sollen medizinisch notwendige Informationen im Notfall schnell verfügbar gemacht werden.6

1 http://www.rfid-journal.de/rfid.html. 2 Holznagel/Bonnekoh, MMR 2006, 17. 3 http://www.rfid-journal.de/rfid-geschichte.html. 4 http://www.bundesregierung.de/nn_774/Content/DE/Archiv16/Artikel/2005/1 0/2005-10-28-gesetzliche-neuregelungen-zum-1-november-2005.html; http:// www.bundesregierung.de/nn_774/Content/DE/Artikel/2010/06/2010-06-17-pers onalausweis.html. 5 http://de.fifa.com/aboutfifa/organisation/media/news/newsid=100740/; http:// www.heise.de/newsticker/meldung/Fussball-WM-2006-Nur-mit-RFID-ins-Stadion -91671.html. 6 http://www.pm-magazin.de/r/gute-frage/gibt-es-schon-gechipte-menschen. ZD 1/2012

Die Beispiele zeigen, dass die Technik des RFID in nahezu grenzenloser Weise und in jedem Bereich des gesellschaftlichen Lebens Anwendung finden kann. Hieraus ergeben sich viele Chancen, aber auch Gefahren.

III. Vorteile für die Wirtschaft Die RFID-Chips messen heutzutage zum Teil nur noch wenige Millimeter. Die geringe Größe der Chips hat für Unternehmen den Vorteil, dass diese leicht und ohne den Geschäftsbetrieb zu stören ausgelesen werden können und nur wenige Cent pro Stück in der Anschaffung kosten.7 Sie schützen die Unternehmen vor Diebstahl sowohl durch Kunden als auch durch Mitarbeiter und erleichtern bzw. verbessern die Überwachung des Personen- und Warenverkehrs. Die EZB sieht in der Technik sogar eine Chance zum Schutz vor Geldfälschung, indem Banknoten durch RFID gekennzeichnet werden können.8 Ebenso wie Banknoten können auch Markenartikel oder Medikamente mit dem RFID-Chip versehen und so vor Fälschung bewahrt werden.9

IV. Rechtlicher Überblick Das BVerfG hat in seinem ersten Urteil zur Volkszählung im Jahr 1983 das Grundrecht auf informationelle Selbstbestimmung als selbstständigen Teil des allgemeinen Persönlichkeitsrechts gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG entwickelt. Dieses gewährleistet das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner Daten zu bestimmen, sofern dem nicht überwiegende Allgemeininteressen gegenüberstehen. Den Staat trifft aus diesem Grundrecht eine Schutzpflicht hinsichtlich sensibler Daten der Bürger, bezüglich derer er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen hat.10 Dieser Pflicht kommt der Gesetzgeber mit dem Erlass des BDSG nach (vgl. § 1 Abs. 1 BDSG).11 Daten i.S.d. § 3 Abs. 1 BDSG sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener)“. Laut § 1 Abs. 2 Nr. 3 verpflichtet das BDSG auch nichtöffentliche Stellen i.S.d. § 2 Abs. 4 BDSG, d.h. nicht nur der Staat, sondern auch Private (Unternehmen) sind zur Einhaltung verpflichtet. Gemäß des Verbots mit gesetzlichem Erlaubnisvorbehalts12 in § 4 Abs. 1 BDSG bedarf die Datenerhebung, -verarbeitung und -nutzung einer Erlaubnis durch Rechtsvorschrift oder der Einwilligung des Betroffenen, wenn kein gesetzlicher Erlaubnistatbestand ersichtlich ist. Diese Einwilligung kann jedoch nicht allumfassend und pauschal für eine beliebige Verwendung der Daten 7 http://www.netzwelt.de/news/69937-rfid-neue-plastik-chips-entwickelt.html. 8 http://www.heise.de/newsticker/meldung/Euro-Banknoten-mit-Identifikationsc hips-79527.html; Kritiker sehen hier jedoch eine Gefährdung der notwendigen Anonymität des Bargeldverkehrs, da auf diese Weise jederzeit festgestellt werden könne, welcher Schein sich zu welcher Zeit an welchem Ort befindet (so Albrecht, RFID: Tracking everything, everywhere, abrufbar unter: http://www.michaeljournal .org/rfid.asp). 9 http://www.netzwelt.de/news/68161-rfid-funkchips-gegen-produktpiraten. html; http://www.info-rfid.de/gesellschaft/verbraucherschutz/index_ger.html. 10 BVerfG NJW 1984, 419; zu den Auswirkungen des Grundrechts auf Vertraulichkeit und Integrität informationstechnischer Systeme auf RFID-Chips vgl. auch Holznagel/Schumacher, MMR 2009, 3. 11 Gola/Schomerus, BDSG, 10. Aufl. 2010, Einl., Rdnr. 6; Simitis, in: Simitis (Hrsg.), BDSG, 6. Aufl. 2006, § 1 Rdnr. 28; Taeger, in: Taeger/Gabel, Komm. zum BDSG, 1. Aufl. 2010, Einf., Rdnr. 28. 12 Gola/Schomerus (o. Fußn. 11), § 4 Rdnr. 3; Walz, in: Simitis (o. Fußn. 11), § 4 Rdnr. 3; Taeger (o. Fußn. 11) § 4 Rdnr. 1. 13 Simitis (o. Fußn. 11), § 4a Rdnr. 77; Taeger (o. Fußn. 11), § 4 Rdnr. 45. 14 Simitis (o. Fußn. 11), § 14a Rdnr. 26; Taeger (o. Fußn. 11) § 4a Rdnr. 17. 15 Walz (o. Fußn. 12), § 4 Rdnr. 2; Taeger (o. Fußn. 11), § 4 Rdnr. 1. 16 Taeger (o. Fußn. 11) § 4 Rdnr. 3. 17 Holznagel/Bonnekoh, MMR 2006, 20. 18 Simitis (o. Fußn. 11), § 28 Rdnr. 22; Taeger (o. Fußn. 11), § 28 Rdnr. 31. 19 Taeger (o. Fußn. 11), § 28 Rdnr. 109. 20 Simitis (o. Fußn. 11), § 28 Rdnr. 205; Taeger (o. Fußn. 11), § 28 Rdnr. 113. 21 Taeger (o. Fußn. 11), § 28 Rdnr. 47. 22 Simitis (o. Fußn. 11), § 28 Rdnr. 133; Taeger (o. Fußn. 11), § 28 Rdnr. 54. ZD 1/2012

gegeben werden.13 § 4a Abs. 1 Satz 1 BDSG stellt die Wirksamkeit der Einwilligung des Betroffenen unter die Voraussetzung der freien Entscheidung und § 4a Abs. 1 Satz 2 BDSG verlangt ferner, dass der Betroffene über den Zweck der Erhebung, Verarbeitung oder Nutzung aufgeklärt wird. Durch eine solche Einwilligung des Betroffenen können jedoch wegen § 134 BGB nicht bereits durch Gesetz verbotene Vorgehensweisen umgangen und mittels Individualvereinbarung doch noch erlaubt werden.14 Eine ohne wirksame Einwilligung vorgenommene Verwendung von personenbezogenen Daten ist somit grundsätzlich unzulässig, soweit keine vorrangige gesetzliche Erlaubnis besteht.15 Ein Verstoß kann gem. § 42 Abs. 2 Nr. 1 BDSG eine Ordnungswidrigkeit oder gem. § 44 Abs. 1 BDSG eine Straftat darstellen.16 Zu bedenken ist bei der Behandlung der RFID-Technik allerdings auch ein mögliches Eingreifen der gesetzlichen Ausnahmetatbestände des § 28 Abs. 1 Satz 1 Nr. 1 oder Nr. 2 BDSG, welche erlaubende Rechtsvorschriften i.S.d. § 4 Abs. 1 BDSG darstellen.17 Hiernach ist das Erheben, Speichern, Verarbeiten, Übermitteln oder Nutzen von personenbezogenen Daten zur Förderung von eigenen Geschäftszwecken unter bestimmten Voraussetzungen zulässig, sofern Erhebung und Speicherung nicht alleiniger Zweck der Tätigkeit sind.18 Ergibt sich aus einer dieser Vorschriften die Zulässigkeit, so sind die Unternehmen an den ursprünglichen Zweck der Nutzung der Daten gebunden, sofern nicht ein Abweichen vom Zweckbindungsgrundsatz nach § 28 Abs. 2, 3, 5 oder 8 BDSG erlaubt ist.19 Eine nach § 28 Abs. 1 BDSG oder § 4a BDSG zulässige Vorgehensweise kann bei Änderung des Zwecks i.R.e. erneuten Übermittlung oder Nutzung (nicht Erhebung oder Speicherung) unter den weiteren Voraussetzungen des § 28 Abs. 2 BDSG zulässig sein.20 § 28 Abs. 1 Satz 1 Nr. 1 BDSG erlaubt die Erhebung, Speicherung, Veränderung oder Übermittlung personenbezogener Daten oder deren Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke, wenn es der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnissen mit dem Betroffenen dient. Die objektiv festzustellende Erforderlichkeit zur Abwicklung des Schuldverhältnisses indiziert die Zulässigkeit, sodass es i.R.d. Nr. 1 BDSG keiner Abwägung mit den Interessen des Betroffenen bedarf.21 Zum Zwecke der Abwicklung eines Vertrags kann es notwendig sein, dass die Ware oder Kundenkarte o.Ä. mit einem RFID-Chip versehen wird. So kann z.B. der Preis erkannt, die Ware vor Diebstahl gesichert oder der Warenbestand des Unternehmens kontrolliert werden. Das Verbleiben des Chips auf der Ware nach dem Kauf kann jedoch nicht mehr der Abwicklung des Vertrags dienen. Er darf folglich nicht nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG erneut ausgelesen oder mit anderen Daten durch Verwendung von Kundenkarten in Verbindung gebracht werden. Einen weiteren Erlaubnistatbestand stellt § 28 Abs. 1 Satz 1 Nr. 2 BDSG dar. Dieser erlaubt die Erhebung, Speicherung, Veränderung, Übermittlung oder Nutzung der Daten zur Erfüllung eigener Geschäftszwecke, soweit dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle (d.h. des Unternehmens) erforderlich ist oder kein schutzwürdiges Interesse des Betroffenen überwiegt, wobei an das Kriterium des berechtigten Interesses hohe Anforderungen zu stellen sind.22 Verbindet ein Unternehmen die Informationen des auf der Ware befindlichen Chips z.B. mit auf Kunden- oder Bonuskarten gespeicherten Informationen (Name, Adresse usw.), so können umfangreiche Bewegungs- und Konsumprofile einzelner Personen erstellt werden. Diese ermöglichen den Unternehmen selbst oder für die Informationen zahlenden Dritten, zielgerichtete und an die einzelne Person angepasste Werbe- und Marketingkampagnen zu schalten. Die Verwendung der erhobenen Daten zur Optimierung der eigenen Werbemaßnahmen ist kein von Dreyer: Radio Frequency Identification – friend or foe? 21

der Rechtsordnung missbilligtes Interesse23 und stellt daher ein berechtigtes Interesse der Unternehmen dar. Jedoch muss das Interesse bereits auf einen konkreten Nutzungszweck gerichtet sein.24 Dieser fehlt bei der bloßen Ansammlung von Daten für noch unbestimmte Werbemaßnahmen.25 Die Verwendung der erhobenen Daten zur Erstellung von Kundenprofilen, die der Optimierung von Werbemaßnahmen dienen soll, stellt eine Zweckänderung dar, an der das Unternehmen ein berechtigtes Interesse i.S.d. Nr. 2 BDSG hat.26 Die schutzwürdigen Interessen des Betroffenen werden jedoch das berechtigte Interesse der Unternehmen überwiegen. Bereits ein Widerspruch des Betroffenen gegenüber der Erhebung deutet schon auf die Ausübung des das Interesse des Unternehmens überwiegenden informationellen Selbstbestimmungsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG hin.27 In der Regel kann der Verbraucher zwar davon ausgehen, dass z.B. Bonus- und Treueaktionen gerade wegen der Datenerhebung zu Werbezwecken gestartet werden,28 wobei die Herausgabe der Daten an das Unternehmen dann mit Prämien oder Rabatten entlohnt wird. Dies betrifft jedoch nur die sog. Stammdaten wie Name und Anschrift. Mittels versteckter Auslesegeräte im Geschäft oder der Auswertung der Zeitspanne aller getätigten Einkäufe können die Konsum- und Bewegungsprofile verfeinert werden, sodass deren Erhebung und Auswertung eine zu tief in das Persönlichkeitsrecht eingreifende Maßnahme darstellt. Werbemaßnahmen können derart genau auf eine Person abgestimmt werden, dass kaum noch ein selbstbestimmtes und anonymes Kaufverhalten möglich wäre. Dass dies keine „Zukunftsmusik“ ist, zeigen die nachfolgenden Fälle aus der Praxis.

lesen der Daten mittels RFID-Chip nicht den Anforderungen an eine Direkterhebung i.S.d. § 4 Abs. 2 Satz 1 BSGD.33 Nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG bedarf es eines berechtigten Interesses des Unternehmens, welchem keine überragenden Interessen des Betroffenen gegenüberstehen dürfen. Durch bloßes Auslesen des Chips an der Ware können zwar keine Stammdaten wie Name oder Anschrift des Betroffenen erhoben werden, da zum Zeitpunkt der Anbringung des Chips auf der Ware noch nicht feststeht, wer diese kaufen wird. Ein Unternehmen, welches jedes einzelne Produkt mit einem jeweils individuellen Code versieht (sog. „Item-Tagging“), kann jedoch durch Aufstellen versteckter Auslesegeräte genau erkennen, wann sich welches Produkt an welcher Stelle im Geschäft befindet. Dass der Käufer für das Unternehmen dann lediglich den Namen eines mehrstelligen Strichcodes und nicht seinen eigenen trägt, kann z.B. durch die Verbindung mit Kunden- oder Bonuskarten beim Kauf überwunden werden, sodass personenbezogene Daten entstehen können.34 Die Verbindung dieser Daten hin zu Bewegungs- und Konsumprofilen einzelner Personen stellt einen erheblichen Eingriff in die informationelle Selbstbestimmung des Verbrauchers dar. Eine Lösung wäre die Schaffung einer ausdrücklichen gesetzlichen Pflicht der Unternehmen zur Heraustrennung jeglicher RFID-Chips spätestens an der Kasse, sodass kein „getaggtes“ Produkt in den Endkundenbereich gelangen kann. Einigen geht dies allerdings nicht weit genug, da eine bloße Zerstörung des Chips erst nach dem Kauf nicht verhindern könne, dass die Bewegungen des Kunden im Geschäft weiterhin verfolgt werden.35

2. BahnCard100 (Deutsche Bahn AG)

V. Aktuelle Fälle 1. Peuterey (Modeagentur „Thorsten Müller“) 2011 verlieh FoeBuD e.V. den alljährlichen Negativ-Preis „BigBrother Award“ in der Kategorie „Technik“ an die Modemarke „Peuterey“. Der FoeBuD rügte, dass jenes Unternehmen RFIDChips in den Bereich des Endkunden hatte gelangen lassen, indem es den Transponder in die Kleidung unter ein mit der Aufschrift „Don’t remove this label“ versehenes Etikett einnähte und beim Kauf an der Kasse weder entfernt noch den Verbraucher über den sog. „Schnüffelchip“ aufgeklärt hatte.29 Dadurch, dass der Chip in den Endkundenbereich gelangt, besteht die Gefahr des vom Verbraucher unbemerkten Auslesens und die Möglichkeit der Erstellung von umfangreichen Bewegungsprofilen, welche zu angepassten Marketing- und Werbezwecken verwendet werden können. Dem stehen die Vorteile für die Wirtschaft gegenüber: schnelleres Erkennen des Auffüllbedarfs in Regalen, schnelle Inventur, Einsparungen in Millionenhöhe. Diese Vorteile haben auch andere Unternehmen erkannt. In den USA haben u.a. die Ketten „Wal-Mart“ und „Bloomingdale’s“ begonnen, ihre Produkte mit den RFID-Chips auszustatten.30 Zwar besteht nach dem BDSG weder eine Pflicht zur Löschung der Daten, die sich auf einem Chip befinden,31 noch eine Unterrichtungspflicht gegenüber dem Verbraucher,32 jedoch bedarf ein erneutes Auslesen durch dasselbe oder ein anderes Unternehmen gem. § 4 Abs. 1 BDSG einer Erlaubnis durch Rechtsvorschrift oder der Einwilligung des Betroffenen. Allerdings ist der RFID-Transponder in die Ware integriert worden, ohne dass der Verbraucher dies überhaupt hätte bemerken können und somit auch nicht in das Auslesen des Chips einwilligen konnte. § 4a Abs. 1 Satz 2 BDSG verlangt ferner, dass der Betroffene über den Zweck der Erhebung, Verarbeitung oder Nutzung aufgeklärt wird. Dieser kann folglich nicht wirksam einwilligen, wenn die mittlerweile nur wenige Millimeter messenden Chips in der Kleidung für ihn gar nicht sichtbar sind und er auch nicht über deren Verwendung informiert wird. Ebenso entspricht das Aus22 Dreyer: Radio Frequency Identification – friend or foe?

Die Deutsche Bahn AG erhielt 2007 den „BigBrother Award“ in der Kategorie Wirtschaft, da – ohne den Kunden beim Kauf oder in den AGB darüber zu informieren – RFID-Chips in die BahnCard100 integriert wurden.36 In Verbindung mit den beim Kauf der Karte angegebenen Daten wie Name, Anschrift, Geburtsdatum und ggf. Foto könnten so mit entsprechenden Lesegeräten Einzelpersonen jederzeit innerhalb der Bahnhöfe und Züge lokalisiert und umfangreiche Bewegungsprofile erstellt werden. Auch hier stellt sich das Problem des § 4 Abs. 1 BDSG, welcher eine Einwilligung des Betroffenen fordert, die ohne dessen Aufklärung über den Einsatz nicht wirksam gegeben werden kann. Zwar fordere ein Fahrkartenautomat beim Ticketkauf den Kunden zum Einführen der Karte auf, jedoch sei dies zur Abwicklung des Kaufs und zur Einräumung des BahnCard-Rabatts nicht erforderlich und es könne unter schwer einsehbaren Bedingungen auch ohne Gebrauch der Karte fortgefahren werden, sodass der Einsatz des Chips in der Karte zur Abwicklung des Vertragsverhältnisses nicht erforderlich ist.37 Demnach scheidet auch der Erlaubnistatbe23 Gola/Schomerus (o. Fußn. 11), § 28 Rdnr. 24; Taeger (o. Fußn. 11), § 28 Rdnr. 55. 24 Simitis (o. Fußn. 11), § 28 Rdnr. 137; Taeger (o. Fußn. 11), § 28 Rdnr. 55. 25 Taeger (o. Fußn. 11), § 28 Rdnr. 57. 26 Holznagel/Bonnekoh, MMR 2006, 21 mit Verweis auf u.a. Schaffland/Wiltfang, Komm. BDSG, 2005, § 28 Rdnr. 85; Taeger/Gabel (o. Fußn. 11), § 28 Rdnr. 57. 27 Taeger (o. Fußn. 11), § 28 Rdnr. 63. 28 Holznagel/Bonnekoh, MMR 2006, 21 mit Verweis auf das Gutachten des ULD. 29 http://www.bigbrotherawards.de/2011/.tec. 30 http://online.wsj.com/article/SB10001424052748704421304575383213061 198090.html?mod=WSJ_hpp_LEFTTopStories. 31 Ein Unternehmen ist keine verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG; s.a. Holznagel/Bonnekoh, MMR 2006, 17. 32 Auf dem Chip sind keine personenbezogenen Daten gespeichert, § 6c Abs. 1 BDSG; s.a. Holznagel/Bonnekoh, MMR 2006, 17. 33 Sokol, in: Simitis (o. Fußn. 11), § 4 Rdnr. 23; Taeger (o. Fußn. 11), § 4 Rdnr. 59. 34 Dammann, in: Simitis (o. Fußn. 11), § 3 Rdnr. 70; Buchner, in: Taeger/Gabel (o. Fußn. 11), § 3 Rdnr. 18. 35 http://www.foebud.org/rfid/unsere-positionen#leitlinie. 36 http://www.bigbrotherawards.de/2007/.com. 37 https://www.bigbrotherawards.de/2007/.com. ZD 1/2012

stand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG aus. Ein berechtigtes Interesse der Deutschen Bahn AG i.S.d. § 28 Abs. 2 Satz 1 Nr. 2 BDSG könnte z.B. in der Abstimmung von Werbemaßnahmen anhand erstellter Bewegungsprofile liegen. Wird der Kunde jedoch nicht durch Informationen bei Vertragsschluss über die Verwendung des Chips aufgeklärt, so überwiegt dessen schutzwürdiges Interesse aus seinem informationellen Selbstbestimmungsrecht gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG an einer anonym möglichen Bewegung in Bahnhöfen und Zügen.

3. „Future Store Initiative“ (Metro AG) Auch die Metro AG wurde 2003 wegen ihrer „Future Store Initiative“ mit dem „BigBrother Award“ in der Kategorie „Verbraucherschutz“ ausgezeichnet. Grund für die Auszeichnung war der von der Metro in Rheinberg einberufene Test eines „Supermarkts der Zukunft“.38 Hier sollen neue Technologien getestet werden, die das Einkaufen zukünftig erleichtern könnten. Die RFID-Chips kommen hier z.B. beim Scannen der Ware an der Selbstbedienungskasse, als „persönliche Einkaufsberater“ in Form von Navigationsgeräten und im Bereich der Tiefkühltheken zum Einsatz.39 Die Wirtschaft verspricht sich hierdurch erhebliche Personaleinsparungen, da es keiner Kassierer mehr bedarf und das Nachfüllen der Regale zum großen Teil automatisiert und zentral überwacht werden kann. Die Schaffung und Nutzung von wirtschaftlichem Einsparungspotenzial stellt ein berechtigtes Interesse der Unternehmen i.S.d. § 28 Abs. 1 Satz 1 Nr. 2 BDSG dar. Die für den Verbraucher gebotenen Vorteile bestehen bei umfangreichem Einsatz der RFID-Technik in der einfachen und produktbezogenen Navigation durch den Supermarkt, also einer Förderung der Abwicklung des Vertragsverhältnisses i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Das hier entstehende Missbrauchsrisiko ist jedoch enorm, sodass auch hier die Interessen der Betroffenen überwiegen. Die an Einkaufswagen anzubringenden Navigationsgeräte könnten zum einen auf dem Bildschirm personalisierte Werbung schalten oder derart programmiert werden, dass der Verbraucher über Umwege geleitet wird, die ihn an Produkten vorbeiführen, von denen anhand seines bisherigen Einkaufsverhaltens vermutet werden kann, dass er auch diese kaufen wird. Solch personalisierte Werbung kann nur durch erhebliche Eingriffe in das Persönlichkeitsrecht des Verbrauchers entstehen und kann derart auf eine Einzelperson abgestimmt werden, dass kaum noch ein selbstbestimmtes Kaufverhalten möglich wäre. Das bloße Einkaufen in einem solchen „Supermarkt der Zukunft“ kann auch nicht als konkludente Einwilligung nach § 4 Abs. 1 BDSG gesehen werden. Eine solche bedarf gem. § 4a Satz 3 BDSG der Schriftform.40 Die Metro AG hält Kritikern entgegen, dass i.R.e. freiwilligen Selbstverpflichtung im Ausgangsbereich Geräte bereitgehalten werden, mittels derer dem Kunden die Möglichkeit eingeräumt wird, die RFID-Chips zu deaktivieren.41 Auf diese Weise kann je-

38 http://www.bigbrotherawards.de/2011/2003/.cop. 39 Broschüre “RFID Innovation Center“ der Metro Group; s.a. http://www.heise. de/newsticker/meldung/Metro-eroeffnet-Krefelder-Real-Future-Store-210583. html. 40 Simitis (o. Fußn. 11), § 34a Rdnr. 44. 41 http://www.future-store.org/fsi-internet/html/de/1674/index.html. 42 http://www.cnm.uni-hannover.de/nfc/index.php; Liste der aktuell mit NFC versehenen Smartphones, abrufbar unter: http://www.nfcworld.com/nfc-phones-list/ #available. 43 BT-Drs. 16/9452. 44 http://www.foebud.org/rfid/positionspapier, Anhang 2. 45 Sog. Kill-Befehl; Holznagel/Bonnekoh, MMR 2006, 23. 46 http://www.foebud.org/rfid/positionspapier, Anhang 2. 47 Sog. Blocker-Tags; Holznagel/Bonnekoh, MMR 2006, 23. 48 Holznagel/Bonnekoh, MMR 2006, 23. 49 http://www.foebud.org/rfid/positionspapier, Anhang 2. ZD 1/2012

denfalls verhindert werden, dass aktive RFID-Chips in den Endkundenbereich gelangen.

4. „Near Field Communication“ (NFC) auf den neuen Smartphones In einigen neueren Smartphones werden passive RFID-Tags zur „Near Field Communication“ eingesetzt, um eine einfache und schnelle Datenübertragung zu ermöglichen.42 So sollen Telefonnummern, Bilder, mp3- und andere Dateien schnell von einem Smartphone auf ein anderes übertragen werden können, ohne dass es einer Verbindung der Telefone mittels eines Kabels bedürfte. Ebenso ermöglicht diese Technik u.a. das bargeldlose Bezahlen oder die Zugangskontrolle per Handy. Grundsätzlich entstehen auch hier die gleichen Gefahren wie beim Einsatz des RFID auf Waren und Kundenkarten, wobei Nutzer jedoch auf Handys weitaus sensiblere Daten wie SMS, E-Mails, private Fotos und Videos bereithalten. Ist die Funktion des NFC im Handy nicht vom Werk als Voreinstellung und im Grundsatz deaktiviert, besteht die Möglichkeit des vom Nutzer ungewollten und unbemerkten Auslesens der Inhalte des Handys durch Unbefugte und somit eine erhebliche Gefahr nicht nur für die Privatsphäre des Nutzers, sondern – sofern das mit NFC ausgestattete Smartphone z.B. auch zum bargeldlosen Bezahlen verwendet wird – auch für dessen Ersparnisse. Ebenso wie bei der Technik des „Bluetooth“ hat es jeder Handynutzer selbst in der Hand, sich vor unbefugten Übergriffen auf eigene private Daten zu schützen, indem er die Funktion selbst deaktiviert. Es könnte allerdings zumindest eine gesetzliche Regelung geschaffen werden, welche die Hersteller zur Deaktivierung und sicheren Verschlüsselung des NFC als Werkvoreinstellung verpflichtet.

VI. Diskutierte Verbesserungsvorschläge 1. Deaktivierung oder Zerstörung? Wie dem Missbrauch der RFID-Technik an Waren und Kundenkarten entgegengewirkt werden kann, ist umstritten. Einerseits könnte – wie z.B. 2008 von der FDP-Fraktion gefordert – eine gesetzliche Regelung, welche die Unternehmen ausdrücklich verpflichtet, alle an der Ware befindlichen Chips vor der Weitergabe an den Kunden zu entfernen oder zu zerstören, notwendig sein.43 Gegen solche Vorschläge wird jedoch eingewendet, dass dies zum Schutz der Verbraucher nicht ausreicht, da auf diesem Wege nicht das Ausspähen des Chips innerhalb des Geschäfts vermieden werden könne.44 Andererseits könnte auch das Abbrechen des Energieflusses oder die Anonymisierung der Seriennummer des Chips genügen,45 wobei hier die Gefahr besteht, dass von „passiven Transpondern“ weiterhin Daten ausgelesen werden könnten.46

2. Störsender Eine weitere Möglichkeit wäre die Verwendung von Störsendern durch den Verbraucher.47 Trägt der Verbraucher einen solchen Sender, der die Frequenz des Chips stört und das Auslesen so verhindert, läuft er jedoch Gefahr, dass Unternehmen mit ihm keinen Vertrag abschließen oder er keinen Zutritt zu deren Geschäften erhält. Ferner könnte der Störsender vom Verbraucher unbeabsichtigt auch weitere RFID-Systeme in seiner Nähe stören.48 Weiterhin könnte dem Verbraucher, dem so die Bürde des Einschreitens gegen unerwünschtes Auslesen seiner Daten auferlegt wird, ein falsches Gefühl der Sicherheit suggeriert werden, während der Störsender möglicherweise gar nicht einwandfrei funktioniert.49

3. Selbstverpflichtung der Industrie oder Pflicht des Staates zum Tätigwerden? Zum Teil wird angenommen, dass eine Selbstverpflichtung der Industrie zur Einhaltung ausreichen könne. Im April 2011 wurde Dreyer: Radio Frequency Identification – friend or foe? 23

– in Umsetzung der RFID-Datenschutzempfehlung der EU-Kommission aus dem Jahr 2009 – eine solche i.R.d. „Privacy Impact Assessment Framework“ zwischen der EU und der Wirtschaft geschlossen.50 Die Unternehmen sollen im sog. „PIA Process“ vor dem Einsatz von RFID-Chips prüfen, ob und wie personenbezogene Daten der Verbraucher betroffen sein könnten.51 Inwieweit eine bloße Selbstverpflichtung der Industrie ausreicht, bleibt angesichts der großen Risiken des unbemerkten Auslesens der Chips abzuwarten. Gelingt es auf diese Weise nicht, den Schutz der Daten der Verbraucher zu garantieren, muss der Gesetzgeber tätig werden. Eine Pflicht des Staates könnte zumindest darin bestehen, der zunehmenden Standardisierung der RFID-Technik entgegenzuwirken. Je mehr die freie Wirtschaft die RFID-Technik international vereinheitlicht, desto größer ist die Gefahr der umfassenden Auslesung von Informationen auch durch verschiedenste Unternehmen. Daher fordert der Bundesrat gerade eine europaweite Standardisierung nicht im Bereich der RFID-Technik selbst, sondern in deren Kennzeichnung und Deaktivierungsmöglichkeiten, welche für den Verbraucher einfach und nachvollziehbar gestaltet werden sollen.52 Der Bundesrat verlangt weiter nach einer Regelung, welche besagt, dass auch umfassende Einwilligungen des Verbrauchers nicht zu Eingriffen in die Kernbereiche des Persönlichkeitsrechts führen dürfen.53

Maßstäbe gelten sollten. Zu beachten ist jedoch, dass der Nutzer in sozialen Netzwerken o.Ä. den Schutz seiner Daten insoweit selbst in der Hand hat, als er entscheiden kann, welche Daten er über sich preisgeben möchte und welche nicht. Bei Handys oder lebensnotwendigen Waren wie z.B. Nahrung und Medikamenten, die mit einem RFID-Chip versehen sind und ausgelesen werden können, ist der Nutzer zum Kauf und zum Zulassen der Datenerhebung wegen der Wichtigkeit der Waren gezwungen. Er hat keinen Einfluss darauf, welche von ihm benötigte und gekaufte Ware mit einem „Schnüffelchip“ versehen ist, mit den Daten einer mit einem RFID-Chip versehenen Kundenkarte in Verbindung gebracht und zu Marketing- und Werbezwecken verwendet werden kann. Ferner ist der Verbraucher oftmals nicht in der Lage, die Reichweite und die möglichen Gefahren seiner Freigiebigkeit bezüglich sensibler Daten zu erkennen. Eine genaue, verständliche und europa- oder bundesweit einheitliche Kennzeichnung der mit RFID-Chips versehenen Konsumgüter, Kundenkarten und anderen Waren anhand einer auf diese Technik abgestimmten gesetzlichen Grundlage i.V.m. strengen behördlichen Kontrollen scheint daher auf Dauer zum Schutz des Verbrauchers unumgänglich. Julia Dreyer ist cand. jur. mit Schwerpunkt Medienrecht an der WWU Münster.

VII. Stellungnahme Im Jahr 2004 sah die Bundesregierung im Rahmen ihrer Reaktion auf eine kleine Anfrage der FDP noch keine Notwendigkeit einer Anpassung des BDSG an die Möglichkeiten der RFID-Technik, sondern befand den Schutz durch die §§ 4, 6c, 9, 28 BDSG für ausreichend.54 Ordnet man RFID-Chips als mobile personenbezogene Speicher- und Verarbeitungsmedien, also als mobile Datenträger, ein oder werden sie mit solchen verbunden, so fallen diese tatsächlich unter die Informations- und Unterrichtungspflichten des § 6c BDSG.55 Man mag argumentieren, dass sich der Umgang der Nutzer mit ihren Daten in den letzten Jahren und Generationen verändert hat. Viele private Daten werden in sozialen Netzwerken freiwillig zugänglich gemacht und den Unternehmen gratis an die Hand gegeben, sodass sich die Frage stellt, warum für den Einsatz der RFID-Technik andere

50 http://www.enisa.europa.eu/media/news-items/signing-ceremony-of-the-priv acy-and-data-protection-impact-assessment-framework-for-radio-frequency-iden tification-rfid-applications; http://www.heise.de/newsticker/meldung/Neue-Daten schutz-Vorgaben-zum-Einsatz-von-RFID-Chips-in-Kraft-1223188.html. 51 Privacy and Data Protection Impact Assessment Framework for RFID Applications (12.1.2011). 52 BR-Drs. 48/1/11 v. 4.3.2011; dazu Spies, RFID-Chips: Bundesrat fordert Verbesserung des Datenschutzes für Verbraucher, abrufbar unter: http://blog.beck.de/20 11/03/21/rfid-chips-bundesrat-fordert-verbesserung-des-datenschutzes-fuer-verb raucher; http://www.heise.de/newsticker/meldung/Bundesrat-fordert-besseren-V erbraucherschutz-beim-RFID-Einsatz-1210599.html. 53 BR-Drs. 48/1/11 v. 4.3.2011; dazu Spies (o. Fußn. 52). 54 Gola/Schomerus (o. Fußn. 11), § 6c Rdnr. 5c mit Verweis auf BT-Drs. 15/3025. 55 Gola/Schomerus (o. Fußn. 11), § 6c Rdnr. 2a, 5a; Dix, in: Simitis (o. Fußn. 11), § 33 Rdnr. 22; Zscherpe, in: Taeger/Gabel (o. Fußn. 11), § 6c Rdnr. 24.

ANDREAS THÜRAUF

Cookie Opt-in in Großbritannien – Zukunft der Cookies?

Einwilligung von Nutzern Passworterkennung Speicherung bevorzugter Einstellungen Nutzungsbedingungen Browsereinstellung

Überblick über die Änderungen und Auswirkungen c Die Europäische Union hat mit der Vorschrift in RL 2009/ 136/EG für heftige Diskussionen unter den nationalen Gesetzgebern und den Betreibern von Internetseiten gesorgt. Die Vorschrift besagt, dass zum Platzieren von Cookies auf dem Endgerät eines Nutzers dessen Einwilligung nötig ist. Großbritannien hat diese Vorschrift am 25.5.2011 umgesetzt und mit der Konsultation des Information Commissioner’s Office (ICO) die bislang weitestgehende Initiative in der Europäischen Union zur Lösung des Problems der Einwilligung von Nutzern herausgegeben. Der folgende Beitrag stellt die britische Umsetzung der RL 2009/136/EG mit den Privacy and Electronic Communications Regulations (PECR) 2011, die Lösungsansätze des ICO zum Einholen einer wirksamen Einwilligung und die möglichen Auswirkungen dieser Regelung auf das Behavioural Advertising dar. 24 Thürauf: Cookie Opt-in in Großbritannien – Zukunft der Cookies?

c With the provision in Directive 2009/136/EC, the European Union has caused vigorous discussions among the national legislators and the Internet providers. The provision states that the user’s consent is required in order to place cookies on a user’s terminal device. Great Britain implemented this provision on May 25, 2011, and through its Consultation with the Information Commissioner’s Office (ICO) has issued the broadest initiative in the European Union to solve the problem of consent of users. The following article depicts the British implementation of the Directive 2009/136/EC with the Privacy and Electronic Communications Regulations (PECR) 2011, the problem solving approach of ICO to obtain a valid consent and the possible effects of this regulation on behavioral advertising.

ZD 1/2012

I. Einleitung Nach der am 25.11.2009 erlassenen RL 2009/136/EG, die die Datenschutzrichtlinie für elektronische Kommunikation 2002/58/ EG ergänzt, hätte gem. Art. 15a Abs. 1 der RL 2002/58/EG bis zum 26.5.2011 die RL 2009/136/EG in nationales Recht umgesetzt werden müssen. Ein wesentlicher Punkt der Änderung der Richtlinie ist, dass nun der Nutzer einer Internetseite dem Platzieren eines Cookies auf seinem Endgerät zustimmen muss (Opt-in). Als Cookie bezeichnet man ein kleines Datenpaket, bestehend aus einer Kombination von Buchstaben und Zahlen, das beim Besuch einer Internetseite auf dem Endgerät (z.B. ein Personal Computer, ein Tablet oder ein Smartphone) des Nutzers gespeichert wird und damit dem Betreiber der Website erlaubt, beim erneuten Aufrufen der Internetseite den Nutzer wiederzuerkennen.1 Es ist möglich, mittels eines Cookies Informationen über den Nutzer der Internetseite wie z.B. Namen, Adressen, E-MailAdressen, Passwörter und bevorzugte Einstellungen zu speichern. So wird der Nutzer beim erneuten Abrufen der Internetseite erkannt, seine bevorzugten Einstellungen werden geladen und Passwörter müssen nicht erneut eingegeben werden. Durch den Einsatz von Cookies wird z.B. die Nutzung des „1-Klick-Einkauf-Buttons“ von amazon.com ermöglicht.2 Der Begriff „Cookie“ umfasst auch dem Cookie ähnliche Technologien.3 Bislang haben nur wenige Mitgliedstaaten der Europäischen Union die RL 2009/136/EG vollständig in nationale Vorschriften übertragen.4 Großbritannien hat zwar am 26.5.2011 Vorschriften zur Umsetzung der Richtlinie erlassen, will aber den Betroffenen ein Jahr Zeit gewähren, ihre Internetseiten an die Umstellungen anzupassen.5 Bei der Umsetzung der Richtlinie will das Vereinigte Königreich eine Vorreiterrolle übernehmen und eine Musterlösung schaffen.6 Die vom ICO7 vorgeschlagenen und im Folgenden vorgestellten Lösungen zum Einholen einer wirksamen Einwilligung der Nutzer zum Platzieren von Cookies sind es wert, genauer betrachtet zu werden, da sie ein Szenario entwickeln, das auch in anderen von der Richtlinie betroffenen Staaten Wirklichkeit werden kann. Auch sind die technischen Möglichkeiten, eine wirksame Einwilligung der Nutzer einzuholen, begrenzt, weshalb ein Blick in das Vereinigte Königreich aufzeigt, wie auch in anderen Mitgliedstaaten künftig Internetseiten zu gestalten sind. c Diskutieren Sie dieses Thema auch in der ZD-Community unter: https://comm unity.beck.de 1 So das ICO, Changes to the rules on using cookies and similar technologies for storing information (Version 1), S. 1, abrufbar unter: http://www.ico.gov.uk/~/med ia/documents/library/Privacy_and_electronic/Practical_application/advice_on_the_ new_cookies_regulations.ashx. 2 Practical Law Company Practice Note: „Cookies: UK issues“, abrufbar unter: http://uk.practicallaw.com/7-506-2678?q=Cookies%20UK. 3 Beispiele für dem Cookie ähnliche Technologien sind „Flash Cookies“ (vgl. zur Thematik der „Flash Cookies“ auch Schröder, ZD 2011, 59) oder „Local Shared Objects (LSO)“, die wie Cookies eingesetzt werden, jedoch in anderer Weise auf dem Endgerät des Nutzers gespeichert werden und deshalb von den herkömmlichen Browsereinstellungen, Cookies nicht zuzulassen, nicht erfasst werden und lediglich über die Einstellungen des Adobe-Flash-Players gelöscht werden können. Vgl. dazu Soltani/Canty/Mayo/Thomas/Hoofnagle, „Flash Cookies“ and Privacy, 2009, abrufbar unter: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=144686. Für mehr Informationen zu Cookies und ähnlichen Technologien empfiehlt das ICO folgende Internetseite: http://www.allaboutcookies.org/. 4 Zurzeit sind das Dänemark, Estland, Finnland, Frankreich, Irland, Malta, Schweden und das Vereinigte Königreich. 5 Vgl. ICO, Enforcing the revised Privacy and Electronic Communications Regulations (PECR), S. 5, abrufbar unter: http://www.ico.gov.uk/~/media/documents/librar y/Privacy_and_electronic/Practical_application/enforcing_the_revised_privacy_an d_electronic_communication_regulations_v1.ashx. 6 So Treacy, Privacy and Data Protection, 2011, Volume 11, Issue 6. Auch ist dies ein erklärtes Ziel des ICO (o. Fußn. 5), S. 5. 7 Der Information Commissioner ist der von der Königin ernannte, von der Regierung unabhängige Datenschutzbeauftragte Großbritanniens. 8 So Vaizey, Secretary of the DCMS, in einem offenen Brief v. 24.5.2011, abrufbar unter: http://www.culture.gov.uk/images/publications/cookies_open_letter.pdf. ZD 1/2012

II. Ausgangssituation 1. RL 2009/139/EG und die Umsetzung in Großbritannien Die RL 2009/136/EG ändert Art. 5 Abs. 3 der RL 2002/58/EG dahingehend, dass zum Setzen eines Cookies auf dem Endgerät eines Nutzers oder zum Abrufen eines schon gesetzten Cookies nun die Zustimmung des Nutzers einzuholen ist. Bis zum 26.5.2011 war in Großbritannien in Art. 6 der Privacy and Electronic Communications (EC-Directive) Regulations 2003 (PECR 2003) vorgesehen, dass der Nutzer einer Internetseite klare und umfassende Informationen über Zweck, Art und Umfang der Verwendung von Cookies erhält und ihm die Möglichkeit gegeben wird, das Speichern von Cookies auf seinem Endgerät abzulehnen. In der Praxis waren diese Informationen häufig im Impressum der Internetseite zu finden. Nach der Änderung dieser Vorschrift durch die PECR 2011 lautet Art. 6 nun: „6 (1) Gemäß Absatz 4 dieser Vorschrift darf eine Person Informationen nicht auf dem Endgerät eines Teilnehmers speichern oder auf sie zugreifen, wenn die Anforderungen von Absatz 2 nicht erfüllt sind. (2) Die Anforderungen sind, dass der Teilnehmer oder Nutzer des Endgeräts: (a) klare und umfassende Informationen über die Zwecke der Speicherung von Informationen oder des Zugangs auf diese Informationen erhält und (b) seine Einwilligung erteilt hat. (3) In Fällen, in denen ein elektronisches Kommunikationsnetz von der selben Person dazu genutzt wird, mehrmals Informationen auf dem Endgerät eines Teilnehmers oder Nutzers zu speichern oder auf sie zuzugreifen, ist es zur Umsetzung dieser Vorschrift ausreichend, dass die Anforderungen des Absatz 2 dieser Vorschrift lediglich bei dem erstmaligen Speichern oder Zugang erfüllt werden. (3A) Den Anforderungen von Absatz 2 dieser Vorschrift genügt auch, dass ein Teilnehmer seine Einwilligung dadurch signalisiert, dass er den von ihm verwendeten Internet-Browser oder eine andere Applikation oder ein anderes Programm derart einstellt, dass es seine Einwilligung zum Ausdruck bringt. (4) Absatz 1 soll nicht für die technische Speicherung und den Zugang gelten, wenn: (a) der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder (b) wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.“ Auch nach Änderung der Vorschriften gilt weiterhin, dass dem Nutzer klare und umfassende Informationen hinsichtlich der verwendeten Cookies zur Verfügung gestellt werden müssen, jedoch muss nun der Nutzer, falls er mit dem Platzieren oder Abrufen von Cookies einverstanden ist, auf und von seinem Endgerät aus einwilligen. Bei der Umsetzung hat der britische Gesetzgeber den Wortlaut der Richtlinie zu großen Teilen übernommen und sich damit bewusst gegen ein sog. „gold-plating“, sprich das Hinausgehen über die i.R.d. Mindestharmonisierung geforderten Standards, entschieden.8 Neben den Regelungen der PECR 2003 gilt, falls Cookies persönliche Daten wie z.B. Nutzerprofile enthalten, der Data Protection Act 1998. Thürauf: Cookie Opt-in in Großbritannien – Zukunft der Cookies? 25

2. Anwendungsbereich der PECR 2003 Die Pflichten der PECR 2003, die vorherige Einwilligung zum Setzen und Lesen eines Cookies auf dem Endgerät eines Nutzers einzuholen, treffen momentan lediglich die Betreiber von Internetseiten, die in Großbritannien ein Angebot betreiben, das auf Nutzer in Großbritannien ausgerichtet ist. Davon sind alle Betreiber von Internetseiten unter der Top- und Second-Level Domain „.uk“ betroffen. Sofern durch Cookies persönliche Daten erhoben oder verarbeitet werden, findet der Data Protection Act 1998 Anwendung. Ein Beispiel hierfür ist das Platzieren eines Cookies auf einem in Großbritannien befindlichen Endgerät und das anschließende Auswerten der dadurch erhaltenen Daten.

III. Detailfragen zur britischen Gesetzgebung 1. Gilt das Opt-in-Erfordernis für alle Cookies? Der Betreiber einer Internetseite darf gem. Art. 6 Abs. 4(b) PECR 2003 Cookies auch ohne die Zustimmung des Nutzers verwenden, wenn der Einsatz eines Cookies für einen vom Nutzer gewünschten Dienst unbedingt notwendig („strictly necessary“) ist. Als Anwendungsfall sieht hier das ICO den Einsatz eines Cookies in einem Onlineshop, in dem der Kunde Artikel markiert, die er dem Warenkorb hinzufügen möchte; hier ermöglicht das zustimmmungsfreie Cookie, dass auch Artikel, die auf einer vorherigen Seite markiert wurden, „im Gedächtnis“ der Seite bleiben und bei einem erneuten Aufrufen immer noch als ausgewählt erscheinen.9 Die Ausnahmeregelung der Art. 6 Abs. 4(b) PECR 2003 soll laut ICO eng ausgelegt werden und auf eine geringe Zahl von Anwendungsfällen beschränkt bleiben; dabei ist vor allem zu beachten, dass der zustimmungsfreie Cookie im Zusammenhang mit dem vom Nutzer gewünschten Dienst stehen muss. Erwägungsgrund 66 der RL 2009/136/EG spricht in diesem Fall sogar davon, dass der Dienst vom Nutzer ausdrücklich angefordert („explicitly requested“) sein muss. Nur dann soll die Ausnahme gelten.10 Ein Anwendungsfall dieser Ausnahme ist sicherlich ein Cookie, das auf dem Endgerät eines Nutzers platziert wird, um dem Betreiber einer Internetseite anzuzeigen, dass der Nutzer nicht in das Platzieren von Cookies eingewilligt hat.

2. Umfang der Information Der Nutzer muss i.R.d. Einwilligung hinsichtlich des Platzierens von Cookies auf seinem Endgerät in klarer und umfassender Weise Informationen über die verwendeten Cookies erhalten. Darunter fällt u.a. die Identität der Parteien, die Cookies platzieren wollen, die Zwecke, zu denen Cookies platziert werden, die genaue Funktionsweise der Cookies (so z.B., dass Cookies einen Nutzer über mehrere Internetseiten hinweg erfassen können) und die Dauer, die Cookies auf dem Endgerät eines Nutzers aktiv sind. Auch sollte der Nutzer darüber informiert werden, dass er die Einwilligung in das Platzieren von Cookies jederzeit widerrufen kann und wie er von diesem Recht Gebrauch machen kann. Gemäß der Vorgabe in Erwägungsgrund 22 der RL 2009/136/ EG soll diese Information so nutzerfreundlich wie möglich gestaltet werden.

3. Definition von „consent“ und Zeitpunkt der Zustimmung Der Begriff „consent“ ist weder in den PECR 2003, den PECR 2011 noch dem Data Protection Act 1998 definiert. In der DS-RL 95/46/EG, auf deren Definitionen die RL 2002/48/EG in Art. 2 verweist, definiert Artikel 2(h) die „Einwilligung der betroffenen Person“ als „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden.“11 Da die Formulie26 Thürauf: Cookie Opt-in in Großbritannien – Zukunft der Cookies?

rung der PECR 2011 sich sehr nahe am Wortlaut der RL 2009/ 136/EG bewegt, liegt es mangels einer Definition in den nationalen Gesetzen nahe, diese Definition anzuwenden. Das ICO empfiehlt in seinen Richtlinien zur Umsetzung des Data Protection Act 1998, dass die Umstände jedes Einzelfalls abgewogen werden sollen, um zu entscheiden, ob die Einwilligung des Betroffenen vorliegt.12 Des Weiteren ist es laut ICO für eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten notwendig, dass zwischen den einzelnen Parteien Kommunikation stattfindet; Schweigen kann nicht als Einwilligung gedeutet werden.13 Auch müssen zur Annahme einer Einwilligung das Alter, die Geistesfähigkeiten des Individuums und die besonderen Umstände in Betracht gezogen werden.14 Diesbezüglich liegt kein Umsetzungsvorschlag des ICO vor, jedoch wird es sich hier möglicherweise an seine Richtlinien für an Kinder gerichtete Internetseiten anlehnen, worin für Kinder unter 12 Jahren die ausdrückliche und nachvollziehbare Einwilligung der Erziehungsberechtigten verlangt wird.15 Der Zeitpunkt, zu dem die Einwilligung des Nutzers erfolgen muss, ist zwischen dem Department for Culture Media and Sport (DCMS) und der Artikel 29-Datenschutzgruppe stark umstritten. In einem offenen Brief v. 24.5.2011 hält das DCMS fest, dass eine Einwilligung i.S.d. PECR 2011 nicht an einen bestimmten Zeitpunkt gebunden sei.16 Art. 5 der geänderten RL 2002/ 48/EG bestimmt nicht – im Gegensatz noch zum ersten Entwurf zur RL 2009/136/EG –, dass eine Einwilligung vor dem Setzen des Cookies erfolgen muss („prior consent“). In den Fällen, in denen ein „prior consent“ erforderlich sei, würde die RL 2002/ 48/EG dies ausdrücklich vorschreiben.17 Zwar erkennt das DCMS an, dass im natürlichen Sprachgebrauch „consent“ selten für eine Erlaubnis nach der Handlung, für die die Einwilligung bestimmt war, verwendet wird, doch steht dies nicht einem gesetzgeberischen Ansatz entgegen, der in Fällen, in denen es nicht möglich ist, eine vorherige Einwilligung einzuholen, eine nachträgliche Einwilligung anerkennt. Die Artikel 29-Datenschutzgruppe dagegen vertritt in ihrem Arbeitspapier 187 (v. 13.7.2011) die Auffassung, dass, obwohl die RL 2002/48/EG nicht von „prior consent“ spricht, es mehr als eindeutig sei, dass eine Einwilligung vor der Datenverarbeitung, also dem Setzen eines Cookies auf dem Endgerät eines Nutzers, eingeholt werden müsse.18 Wenn die Einwilligung nicht vor dem Setzen des Cookies eingeholt werde, wäre die Datenverarbeitung zwischen dem Setzen des Cookies und dem Einholen der Einwilligung mangels Rechtsgrund unzulässig; wenn sich der Nutzer gegen das Setzen eines Cookies entscheide, wäre sogar die gesamte Datenverarbeitung unzulässig.19 Daraus ergibt sich, dass nach Auffassung der Datenschutzgruppe der Begriff der Einwilligung immer die vorherige Einwilligung meint; nur 9 S. ICO (o. Fußn. 1), S. 3. 10 So etwa sollen die Ausnahmen nicht gelten, „just because you have decided that your website is more attractive if you remember users’ preferences or if you decide to use a cookie to collect statistical information about the use of your website“, vgl. ICO (o. Fußn. 1), S. 3. 11 Die maßgebliche englische Version definiert „the data subject’s consent“ als „any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.“ 12 Vgl. Treacy (o. Fußn. 6). 13 Vgl. Treacy (o. Fußn. 6). 14 Vgl. Treacy (o. Fußn. 6). 15 So das ICO in seinem Personal Information Online Code of Practice, S. 14, abrufbar unter: http://www.ico.gov.uk/upload/documents/library/data_protection/d etailed_specialist_guides/personal_information_online_cop.pdf. 16 Auch das DCMS (o. Fußn. 8) orientiert sich an der Definition von „consent“ in der DS-RL 95/48/EG. 17 So z.B. in Art. 6 RL 2002/48/EG. 18 Das Arbeitspapier ist abrufbar unter: http://ec.europa.eu/justice/policies/privac y/docs/wpdocs/2011/wp187_en.pdf, S. 30 f. 19 Art. 29-Datenschutzgruppe (o. Fußn. 18), S. 31, unter II. B. 3. ZD 1/2012

wenn die Richtlinie eine andere Grundlage zum Platzieren von Cookies anerkennt und anstelle von „consent“ dem Nutzer ein Recht zum Widerspruch bietet, ist das Platzieren eines Cookies ohne die vorherige Einwilligung erlaubt.20 Das ICO hat sich hinsichtlich des Zeitpunkts der Einwilligung noch nicht geäußert.

IV. Umsetzung und Durchsetzung der Opt-in-Lösung Das ICO gibt zur gesetzeskonformen Umsetzung der Opt-in-Anforderung den Betreibern britischer Internetseiten nützliche Hinweise. So sollten diese zuerst ermitteln, welche Arten von Cookies auf den Endgeräten der Nutzer installiert werden und aus welchem Grund dies geschieht. Dabei kann der Betreiber einer Internetseite auch feststellen, welche Cookies i.S.v. Art. 6 Abs. 4(b) PECR 2003 unbedingt notwendig sind und keiner Einwilligung bedürfen. Auch sollen die Betreiber ermitteln, wie stark die von ihnen verwendeten Cookies in die Privatsphäre des Nutzers eindringen. Besonderes Augenmerk muss der Internetseitenbetreiber auf Cookies, die den Weg eines Nutzers über mehrere Internetseiten hinweg verfolgen (Tracking Cookies), und auf Cookies von Dritten, die nicht Betreiber der (vom Nutzer) angewählten Internetseite sind (Third Party Cookies) legen. Er muss sich bemühen, hierfür eine rechtswirksame Einwilligung zu erhalten.

1. Möglichkeiten, eine wirksame Einwilligung zu erlangen Da laut ICO die Browsereinstellungen nicht oder nur in bestimmten Fällen als Zustimmung zum Platzieren von Cookies gesehen werden können, hält das ICO einen Maßnahmenkatalog zum Erlangen einer wirksamen Einwilligung der Nutzer bereit. Dabei ist es dem Betreiber einer Internetseite überlassen, für welche Lösung er sich entscheidet und welche Lösung sich nach seiner Auffassung am besten in das Design der Internetseite einfügt und darüber hinaus für den Nutzer am einfachsten zu bedienen ist. Zu beachten ist dabei, dass bei einmaliger Einwilligung hinsichtlich der Cookies einer bestimmten Internetseite bei erneutem Aufrufen dieser Internetseite keine weitere Einwilligung eingeholt werden muss. Die Einwilligung gilt, solange diese in dem Umfang und in der Dauer stattfindet, über die der Nutzer aufgeklärt wurde und eingewilligt hat. Die Möglichkeiten sind im Einzelnen:21 a) Pop-Ups und ähnliche Technologien Eine Möglichkeit ist, dass der Nutzer einer Website beim erstmaligen Aufrufen ein Pop-Up-Fenster vorfindet, das ihn direkt über die Nutzung von Cookies auf der betreffenden Internetseite informiert und durch eine vom Nutzer anzuklickende Box die Einwilligung einholt. Diese Lösung hat den Vorteil, dass sie den Nutzer über den Einsatz von Cookies am direktesten aufklärt und ihn sofort nach seiner Einwilligung fragt. Dagegen einzuwenden ist jedoch, dass derartige Pop-Ups den Besuch einer Website und das Design des Webauftritts stören können und den Nutzer durch den „Überfall“ mittels Pop-Up eventuell von einer weiteren Nutzung der Website abhalten. Das ICO gibt zu, dass die 20 Dies macht die Datenschutzgruppe am Beispiel des geänderten Art. 5 Abs. 3 der RL 2002/48/EG fest, der dem Nutzer einer Internetseite ein Widerspruchsrecht einräumte („right to refuse“), nun aber „consent“ verlangt, Art. 29-Datenschutzgruppe (o. Fußn. 18), S. 31. 21 Vgl. ICO (o. Fußn. 1), S. 6 ff. 22 S. Artikel 29-Datenschutzgruppe (o. Fußn. 18), S. 13 f. 23 S. Artikel 29-Datenschutzgruppe, Working Party Opinion 2/2010 on Behavioural Advertising, S. 6, abrufbar unter: http://ec.europa.eu/justice/policies/privacy/do cs/wpdocs/2010/wp171_en.pdf. 24 Vgl. DCMS (o. Fußn. 8). ZD 1/2012

Pop-Up-Lösung zwar die eindeutigste, jedoch nicht die eleganteste ist. b) Zustimmung in die Nutzungsbedingungen der Website Eine andere Lösung ist besonders für diejenigen Internetdienste interessant, bei denen der Nutzer bestimmten Nutzungsbedingungen zustimmt, wenn er sich für einen Internetdienst registriert. Hier ist es möglich, dass der Nutzer i.R.d. Nutzungsbedingungen auch über den Gebrauch von Cookies aufgeklärt wird und diesem zustimmt. Nutzer, die den alten Nutzungsbedingungen zugestimmt haben, müssen bei Änderung der Nutzungsbedingungen informiert werden und ihre Einwilligung erneut erklären. Die gesamte Einwilligung mittels Nutzungsbedingungen muss in einer klaren und eindeutigen Weise geschehen. c) Zustimmung im Wege der individuellen Einstellung der Internetseite Manche Cookies werden gesetzt, wenn der Nutzer bestimmte personalisierte Einstellungen an der Internetseite vornimmt oder wenn er bestimmte Funktionen einer Internetseite nutzen will. In solchen Fällen kann die Einwilligung i.R.d. Individualisierung eingeholt werden. d) Setzen analytischer Cookies Für den Fall, dass eine Internetseite Cookies einsetzt, um das Surfverhalten ihrer Nutzer auf der betreffenden Internetseite zu studieren, muss auch für diese eine Einwilligung eingeholt werden. Hier schlägt das ICO vor, dass der Nutzer in der Kopf- oder Fußzeile in einer auffälligen Art und Weise über diese Cookies aufgeklärt wird und in ihre Nutzung dort einwilligen kann. Dies ist die Lösung, die das ICO auf seiner eigenen Internetseite verwendet und als Musterbeispiel für die Umsetzung der neuen Regelung dient.

2. Ist die Umsetzung des Opt-in mittels Browsereinstellungen des Nutzers möglich? Seit Einführung der RL 2009/136/EG wurde diskutiert, ob die Einwilligung in das Setzen von Cookies mittels Browsereinstellungen als zulässig angesehen werden kann. Dabei kommt es darauf an, ob bereits die Voreinstellung des Browsers, Cookies zuzulassen, als Einwilligung gesehen werden kann. Da ein Internetnutzer oftmals nicht die genauen Einstellungen seines Browsers kennt oder keine Kenntnis davon hat, dass Cookies auf seinem Endgerät installiert werden, ist die Artikel 29Datenschutzgruppe der Auffassung, dass die Einwilligung mittels Browsereinstellungen zwar nicht völlig ausgeschlossen ist, jedoch nur unter engen Voraussetzungen Anwendung finden soll; ein Beispiel hierfür ist der Fall, dass die Standard-Einstellungen des Browsers jedes Cookie ablehnen und der Nutzer sich bewusst für das Zulassen von Cookies entscheidet.22 Neue Browsertechnologien erlauben zwar sog. „privates“ Surfen, jedoch werden dabei nach Schließen des Browsers alle Cookies zerstört; eine differenzierte Einstellung, ob und welche Cookies genau ein Nutzer zulassen will, ist bislang nicht möglich.23 Die RL 2009/136/EG besagt in Erwägungsgrund 66, dass die Einwilligung des Nutzers zum Setzen eines Cookies auf seinem Endgerät auch über die Browsereinstellungen erfolgen kann. Dieser Passus wurde jedoch nicht in den Wortlaut des Art. 5 Abs. 3 übernommen. Dadurch, so das DCMS, würde beim Lesen des Erwägungsgrunds aber der Eindruck entstehen, dass keine Änderungen nötig seien, da die bisherigen Browsereinstellungen das Zulassen oder Ablehnen von Cookies bereits ermöglichen.24 Der britische Gesetzgeber dagegen nimmt in Art. 6 Abs. 3A PECR 2003 die Möglichkeit der Einwilligung mittels BrowsereinThürauf: Cookie Opt-in in Großbritannien – Zukunft der Cookies? 27

stellungen auf. Dennoch sind DCMS und ICO der Auffassung, dass die meisten Browser hierfür technisch nicht ausgereift genug sind; dies führt dazu, dass die Betreiber von Internetseiten bei einer cookie-freundlichen Browsereinstellung nicht automatisch annehmen dürfen, dass der Nutzer dem Setzen von Cookies zugestimmt hätte. Die gesetzgeberische Regelung in Art. 6 Abs. 3A PECR umfasst damit bislang nur den Anwendungsbereich, wenn die anfänglichen Browsereinstellungen das Platzieren von Cookies ablehnen; die Regelung wird aber in Zukunft, wenn differenzierte Browsereinstellungen im Hinblick auf Cookies möglich sind, eine Einwilligung mittels Browsereinstellungen anerkennen. Die Regierung arbeitet nach Angaben des ICO mit den Browserherstellern zusammen, damit diese schnellstmöglich die zu einer wirksamen Einwilligung notwendigen Browsereinstellungen anbieten können.25 Die Mitgliedstaaten der Europäischen Union verfolgen hinsichtlich der Möglichkeit, eine wirksame Einwilligung mittels Browsereinstellungen zu erteilen, keine gemeinsame Linie; die Diskussionen zur Umsetzung der RL 2009/136/EG bzw. die nationalen Gesetze, welche die Richtlinie umsetzen, divergieren in diesem Punkt oder treffen dazu gar keine Aussage.26

3. Durchsetzung der Vorschriften Das ICO hat i.R.d. PECR 2011 neue Kompetenzen zur Durchsetzung der Vorschriften erhalten. So kann der Information Commissioner nun bei ernsthaften Verstößen gegen die PECR 2003 Geldstrafen in einer Höhe von bis zu GBP 500.000,– verhängen. Bezüglich der Durchsetzung des Cookie Opt-in haben das ICO und das DCMS den Betreibern von Internetseiten eine Schonfrist von einem Jahr eingeräumt, da die sofortige Umsetzung der Opt-in-Lösung viele Betreiber vor große Probleme gestellt hätte. Vor Ablauf dieser Frist im Mai 2012 erwartet das ICO nicht, dass technische Lösungen fertiggestellt sind und wird gegenüber Betreibern, die sich um die Umsetzung der PECR 2003 bemühen, keine Sanktionen verhängen. Falls jedoch beim ICO der Verdacht bestehen sollte, dass Betreiber von Internetseiten hinsichtlich der Opt-in-Lösung untätig bleiben, kann das ICO diese verwarnen. Das ICO hat schon vor Ablauf der Frist zur Umsetzung mehrere Betreiber von Internetseiten auf Beschwerden von Nutzern hin verwarnt und aufgefordert, Schritte zur Umsetzung der Neuregelung zu unternehmen.27

V. Third Party Cookies und mögliche Auswirkungen auf Behavioural Advertising Neben Cookies, die ein Betreiber auf dem Endgerät eines Nutzers beim Besuch der Internetseite platziert, ist es auch möglich, dass Dritte mit der Erlaubnis des Betreibers auf dem Endgerät Cookies installieren. Das ICO rät hier, den Nutzer ganz besonders intensiv und nachdrücklich über die Verwendung von Third Party Cookies aufzuklären.28 Hat jedoch der Nutzer dem Setzen eines bestimmten Cookies einmal zugestimmt, kann das Cookie so lange ausgelesen werden, bis der Nutzer diesem widerspricht oder die „Laufzeit“ des Cookies, die der Betreiber in der anfänglichen Information vorgegeben hat, endet. Das ICO ist der Ansicht, dass die Umsetzung der Richtlinie bei Cookies Dritter die größte Herausforderung darstellt.29 Es ist allgemein bekannt, dass ein großer Teil der Inhalte des Internet durch Werbung finanziert ist.30 Dies kann durch einfache und zufällig ausgewählte Bannerwerbung auf Internetseiten, durch Werbeanzeigen, die im Kontext zum Inhalt der Internetseite stehen, oder aber durch Werbung, die auf dem Surfverhalten des Nutzers basiert (Behavioural Advertising), geschehen.31 Beim Behavioural Advertising können Werbeagenturen mittels Third Party Cookies auf dem Endgerät eines Nutzers diesen über mehrere Internetseiten hinweg verfolgen, durch das Analysieren 28 Thürauf: Cookie Opt-in in Großbritannien – Zukunft der Cookies?

von verwendeten Suchbegriffen oder aufgesuchten Internetseiten die Interessen eines Nutzers erkennen und dann auf Internetseiten kooperierender Betreiber zielgerichtete Anzeigen einblenden. Dabei erstellt der Verwender solcher Cookies Nutzerprofile,32 anhand derer z.B. ein ungefähres Alter, das Geschlecht oder der Aufenthaltsort des Nutzers bestimmt werden kann. Da nun auch für solche Third Party Cookies die Einwilligung der Nutzer eingeholt werden muss, ist fraglich, ob in Zukunft Nutzer auch weiterhin solchen Cookies Dritter zustimmen werden. Ganz gleich, ob in Zukunft differenziertere Browsereinstellungen die Auswahl bestimmter Cookies erlauben oder ob der Nutzer mittels eines Pop-Up über das Setzen von Cookies von Werbeagenturen informiert wird, ist es wahrscheinlich, dass sich eine bedeutende Zahl von Internetnutzern gegen das Setzen solcher „Werbecookies“ auf ihren Endgeräten entscheiden wird. Die Begründung, dass ein Nutzer durch Behavioural Advertising nur Werbung erhält, die seine Interessen betrifft, dürfte in den meisten Fällen nicht als Motivation zur Zustimmung ausreichen. Die Anbieter von Third Party Cookies müssen deshalb neue Konzepte erdenken, wie Nutzer dazu veranlasst werden könnten, in Zukunft den zum Behavioural Advertising notwendigen Cookies zuzustimmen. Eine Möglichkeit wäre z.B., dass dem Nutzer, der dem Platzieren der Cookies zustimmt, bestimmte Sonderangebote und -aktionen unterbreitet werden, die ohne die Teilnahme am Werbenetzwerk nicht zugänglich wären.

VI. Fazit Die Konsultation des ICO ist die bislang weitestgehende Initiative in der Europäischen Union zur Lösung des Problems des Cookie Opt-in. Die Umsetzung der Vorgaben durch die PECR 2011 bewegt sich sehr nah am Wortlaut der RL 2009/136/EG und stellt den Betreibern von Webseiten damit keine über die Anforderungen der Richtlinie hinausgehenden Bedingungen. Es bleibt abzuwarten, wie und wann andere Staaten die Richtlinie in ihre nationalen Gesetze übertragen. Warten sie allerdings zu lange mit der Umsetzung, riskieren sie ein Vertragsverletzungsverfahren.33 In Deutschland soll die Umsetzung der RL 2009/ 136/EG i.R.d. Novelle des TKG erfolgen.34 Dabei sollen jedoch im Hinblick auf die Einwilligung zum Platzieren oder Abrufen von Cookies das Ergebnis der europäischen Diskussion und die weiteren Selbstregulierungsansätze der betroffenen Werbewirtschaft abgewartet werden.35 Die Hinweise, die das ICO gibt, sind aber sicherlich auch auf die Umsetzung der Richtlinie in anderen Mitgliedstaaten zu übertragen, da sie im ungünstigsten Fall die Mindestanforderungen 25 So das ICO (o. Fußn. 1), S. 6. 26 So erlaubt die französische Gesetzgebung die Einwilligung mittels Browsereinstellungen, ohne dabei näher auf die Anforderungen des Browsers einzugehen, vgl. dazu Art. 8 Ordonnance n s 2011-1012 du 24 aout ˆ 2011 relative aux communications electroniques. ´ 27 Vgl. Treacy (o. Fußn. 6), Issue 7. 28 S. ICO (o. Fußn. 1), S. 9 ff. 29 S. ICO (o. Fußn. 1), S. 9 ff. 30 S. Artikel 29-Datenschutzgruppe (o. Fußn. 18), S. 4; vgl. auch Brimsted/Smith, Privacy and Data Protection, 2010, Volume 11, Issue 2. 31 Vgl. dazu Artikel 29-Datenschutzgruppe (o. Fußn. 18), S. 4 ff.; s.a. Spies, MMR 11/2008, S. XII und Spies, MMR 8/2009, S. VIII. 32 S. Artikel 29-Datenschutzgruppe (o. Fußn. 18), S. 4. 33 S. dazu die Mahnung der Europäischen Kommission an die Mitgliedstaaten, welche die Richtlinie noch nicht umgesetzt haben, abrufbar unter: http://europa.eu /rapid/pressReleasesAction.do?reference=IP/11/905&format=PDF&aged=0&lang uage=DE&guiLanguage=en. 34 Der RegE zur TKG-Novelle ist abrufbar unter: http://dipbt.bundestag.de/dip21/ btd/17/057/1705707.pdf. 35 Vgl. dazu RegE zur TKG-Novelle (o. Fußn. 34), S. 2 f.; zur Selbstregulierung vgl. auch PM des Zentralverbands der deutschen Werbewirtschaft e.V. (ZAW) v. 27.10.2011, abrufbar unter: http://www.zaw.de/index.php?menuid=98&reporeid =761. ZD 1/2012

darstellen. Auch sind die technischen Möglichkeiten, wie sich ein Betreiber einer Internetseite die Zustimmung der Nutzer zum Speichern von Cookies auf den Endgeräten einholen kann, im Wesentlichen auf die vom ICO vorgegebenen Möglichkeiten begrenzt. Ein wesentlicher Punkt bei der Umsetzung der Richtlinie in anderen Mitgliedstaaten wird jedoch sein, ob diese entgegen der Ansicht der Artikel 29-Datenschutzgruppe einfache Browsereinstellungen ohne Differenzierungsmöglichkeiten als Einwilligung anerkennen werden. Folgt man der Auffassung des

britischen Gesetzgebers, wird die Umsetzung und Zulässigkeit der Einwilligung mittels Browsereinstellungen von der technischen Entwicklung der Browser abhängen. Andreas Thürauf ist cand. jur. an der Ludwig-Maximilians-Universität München.

RECHTSPRECHUNG EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen RL 2000/31/EG; RL 2001/29/EG; RL 2004/48/EG; RL 95/46/EG; RL 2002/58/EG Urteil vom 24.11.2011 – C-70/10 – Scarlet Extended SA/Societ ´ e´ belge des auteurs, compositeurs et editeurs SCRL (SABAM) ´ Leitsätze Die Richtlinien c 2000/31/EG des Europäischen Parlaments und des Rates v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr), c 2001/29/EG des Europäischen Parlaments und des Rates v. 22.5.2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft, c 2004/48/EG des Europäischen Parlaments und des Rates v. 29.4.2004 zur Durchsetzung der Rechte des geistigen Eigentums, c 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und c 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), in Verbindung miteinander und ausgelegt im Hinblick auf die sich aus dem Schutz der anwendbaren Grundrechte ergebenden Anforderungen, sind dahin auszulegen, dass sie der Anordnung an einen Anbieter von Internetzugangsdiensten entgegenstehen, ein System der Filterung c aller seine Dienste durchlaufenden elektronischen Kommunikationen insbesondere durch die Verwendung von „Peer-to-Peer“-Programmen, c das unterschiedslos auf alle seine Kunden anwendbar ist, c präventiv, c auf ausschließlich seine eigenen Kosten und c zeitlich unbegrenzt einzurichten, das in der Lage ist, im Netz dieses Anbieters den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalZD 1/2012

ten, an denen der Antragsteller Rechte zu haben behauptet, um die Übertragung von Dateien, deren Austausch gegen das Urheberrecht verstößt, zu sperren. Anm. d. Red.: Vgl. hierzu auch EuGH MMR 2011, 596 m. Anm. Hoeren; EuGH MMR 2008, 227 sowie Hawellek, ZD-Aktuell 2011, 129.

Sachverhalt Das Vorabentscheidungsersuchen betrifft die Auslegung der Richtlinien c 2000/31/EG des Europäischen Parlaments und des Rates v. 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insb. des elektronischen Geschäftsverkehrs, im Vertraulichkeit des Datenverkehrs Binnenmarkt (RL über den elektroni- Filesharing schen Geschäftsverkehr) (ABl. L 178, Personenbezogenes Datum IP-Adresse S. 1), Internet Service Provider c 2001/29/EG des Europäischen Parlaments und des Rates v. 22.5.2001 zur Harmonisierung bestimmter Aspekte des Urheberrechts und der verwandten Schutzrechte in der Informationsgesellschaft (ABl. L 167, S. 10), c 2004/48/EG des Europäischen Parlaments und des Rates v. 29.4.2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. L 157, S. 45, und Berichtigung ABl. L 195, S. 16), c 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) und c 2002/58/EG des Europäischen Parlaments und des Rates v. 12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (DS-RL für elektronische Kommunikation) (ABl. L 201, S. 37).

Dieses Ersuchen ergeht i.R.e. Rechtsstreits zwischen der Scarlet Extended SA (im Folgenden: Scarlet) und der Societ ´ e´ belge des auteurs, compositeurs et editeurs ´ SCRL (Belgische Gesellschaft der Autoren, Komponisten und Verleger, im Folgenden: SABAM) wegen der Weigerung der ersten Gesellschaft, ein System der Filterung elektronischer Kommunikationen durch Programme zum Austausch von Dateien (sog. „Peer-to-Peer“Programme) einzurichten, um den urheberrechtswidrigen Austausch von Dateien zu verhindern. SABAM ist eine Verwertungsgesellschaft, die Autoren, Komponisten und Herausgeber von Werken der Musik vertritt, indem sie die Verwendung von deren geschützten Werken durch Dritte genehmigt. Scarlet ist ein Anbieter eines Internetzugangsdiensts (Internet Service Provider, im Folgenden: Provider), der EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen 29

seinen Kunden Zugang zum Internet verschafft, ohne weitere Dienstleistungen wie Herunterladen oder Sharing von Dateien anzubieten. Im Jahr 2004 gelangte SABAM zu dem Ergebnis, dass Internetnutzer, die die Dienste von Scarlet in Anspruch nähmen, über das Internet – ohne Genehmigung und ohne Gebühren zu entrichten – zu ihrem Repertoire gehörende Werke über „Peer-to-Peer“-Netze herunterlüden, bei denen es sich um ein offenes, unabhängiges, dezentralisiertes und mit hochentwickelten Such- und Downloadfunktionen ausgestattetes Hilfsmittel zum Austausch von Inhalten handele. Mit Zustellungsurkunde v. 24.6.2004 verklagte sie Scarlet daher vor dem Präsidenten des Tribunal de premiere ` instance de Bruxelles und machte geltend, diese Gesellschaft sei als ISP ideal platziert, um Maßnahmen zur Abstellung der Urheberrechtsverletzungen zu treffen, die von ihren Kunden begangen würden. SABAM beantragte zunächst festzustellen, dass das Urheberrecht an den zu ihrem Repertoire gehörenden Werken der Musik, insb. das Recht der Vervielfältigung und das Recht der öffentlichen Wiedergabe, verletzt worden sei, und zwar durch den mit Hilfe von „Peer-to-Peer“-Programmen unzulässigen Austausch von Musikdateien, wobei diese Verletzungen mittels Inanspruchnahme der Dienste von Scarlet begangen worden seien. Sie beantragte sodann, Scarlet unter Androhung eines Zwangsgelds zu verurteilen, diese Verletzungen abzustellen, indem sie es ihren Kunden unmöglich mache, Dateien, die ein Werk der Musik ohne Zustimmung des Rechteinhabers enthielten, in irgendeiner Form mit Hilfe eines „Peer-to-Peer“-Programms zu senden oder zu empfangen, oder eine solche Möglichkeit blockiere. SABAM beantragte schließlich, Scarlet unter Androhung eines Zwangsgelds aufzugeben, ihr eine Aufstellung der Maßnahmen zukommen zu lassen, die sie zur Einhaltung des zu erlassenden Urteils treffen werde. Mit U. v. 26.11.2004 stellte der Präsident des Tribunal de premiere ` instance de Bruxelles fest, dass die von SABAM beanstandete Urheberrechtsverletzung vorliege, benannte jedoch vor einer Entscheidung über den Antrag auf Abstellung der Verletzungen einen Sachverständigen, der die Fragen, ob die von SABAM vorgeschlagenen technischen Lösungen technisch möglich seien, ob mit ihnen nur unzulässige Austausche von Dateien herausgefiltert werden könnten und ob es andere Systeme gebe, die die Verwendung von „Peer-to-Peer“-Programmen kontrollieren könnten, prüfen und die Kosten der in Betracht gezogenen Systeme feststellen sollte. In seinem Gutachten gelangte der benannte Experte zu dem Ergebnis, es sei trotz zahlreicher technischer Hindernisse nicht vollständig ausgeschlossen, dass ein unzulässiger Austausch von Dateien herausgefiltert und gesperrt werden könne. Mit U. v. 29.6.2007 verurteilte der Präsident des Tribunal de premiere ` instance de Bruxelles Scarlet unter Androhung eines Zwangsgelds, die in dem U. v. 26.11.2004 festgestellten Urheberrechtsverletzungen abzustellen, indem sie es ihren Kunden unmöglich mache, Dateien, die ein Werk der Musik aus dem Repertoire von SABAM enthielten, in irgendeiner Form mit Hilfe eines „Peer-to-Peer“-Programms zu senden oder zu empfangen. Scarlet legte gegen diese Entscheidung beim vorlegenden Gericht Berufung ein und machte zunächst geltend, dass es ihr unmöglich sei, dieser Anordnung nachzukommen, da die Effizienz und Dauerhaftigkeit von Sperroder Filtersystemen nicht erwiesen seien und da der Durchführung dieser Systeme viele praktische Hindernisse wie Probleme der Netzkapazität und der Auswirkung auf das Netz entgegenstünden. Zudem sei jeder Versuch, die fraglichen Dateien zu sperren, sehr bald zum Scheitern verurteilt, denn es existierten derzeit mehrere „Peer-to-Peer“-Programme, die die Kontrolle ihres Inhalts durch Dritte unmöglich machten. Scarlet machte weiter geltend, dass diese Anordnung nicht mit Art. 21 des Gesetzes vom 11.3.2003 über bestimmte rechtliche Aspekte der 30 EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen

Dienste der Informationsgesellschaft in Einklang stehe, mit dem Art. 15 der RL 2003/31 in nationales Recht umgesetzt werde, weil ihr mit der Anordnung de facto eine allgemeine Pflicht zur Überwachung der Kommunikationen in ihrem Netz auferlegt werde, denn jedes System zur Sperrung oder Filterung des „Peer-to-Peer“-Verkehrs setze notwendigerweise eine allgemeine Überwachung aller über dieses Netz laufenden Kommunikationen voraus. Schließlich war Scarlet der Auffassung, dass die Einführung eines Systems der Filterung gegen Vorschriften des Unionsrechts über den Schutz personenbezogener Daten und die Vertraulichkeit des Datenverkehrs verstoße, da eine solche Filterung die Verarbeitung von IP-Adressen voraussetze, bei denen es sich um personenbezogene Daten handele. Vor diesem Hintergrund war das vorlegende Gericht der Ansicht, dass vor einer Prüfung, ob ein System der Filterung und Sperrung von „Peer-to-Peer“-Dateien existiere und wirksam sein könne, sichergestellt sein müsse, dass die Pflichten, die Scarlet auferlegt werden könnten, mit dem Unionsrecht vereinbar seien. Aus den Gründen Zu den Vorlagefragen 29 Mit seinen Fragen möchte das vorlegende Gericht im Wesentlichen wissen, ob die Richtlinien 2000/31, 2001/29, 2004/ 48, 95/46 und 2002/58 – in Verbindung miteinander und ausgelegt im Hinblick auf die sich aus dem Schutz der anwendbaren Grundrechte ergebenden Anforderungen – dahin auszulegen sind, dass sie einer Anordnung an einen Provider entgegenstehen, ein System der Filterung c aller seine Dienste durchlaufenden elektronischen Kommunikationen insb. durch die Verwendung von „Peer-to-Peer“-Programmen, c das unterschiedslos auf alle seine Kunden anwendbar ist, c präventiv, c auf ausschließlich seine eigenen Kosten und c zeitlich unbegrenzt

einzurichten, das in der Lage ist, im Netz dieses Anbieters den Austausch von Dateien zu identifizieren, die ein Werk der Musik, ein Filmwerk oder audiovisuelles Werk enthalten, an denen der Ast. Rechte zu haben behauptet, um die Übertragung von Dateien, deren Austausch gegen das Urheberrecht verstößt, zu sperren (im Folgenden: streitiges Filtersystem). 30 Hierzu ist zunächst darauf hinzuweisen, dass nach Art. 8 Abs. 3 der RL 2001/29 und Art. 11 Satz 3 der RL 2004/48 die Inhaber von Rechten des geistigen Eigentums gerichtliche Anordnungen gegen Vermittler – wie die Provider – beantragen können, deren Dienste von einem Dritten zur Verletzung ihrer Rechte genutzt werden. 31 Sodann ergibt sich aus der Rspr. des Gerichtshofs, dass die den nationalen Gerichten nach diesen Bestimmungen zugewiesene Zuständigkeit ihnen ermöglichen muss, den Vermittlern Maßnahmen aufzugeben, die nicht nur mittels ihrer Dienste der Informationsgesellschaft bereits begangene Verletzungen an Rechten des geistigen Eigentums beenden, sondern auch neuen Verletzungen vorbeugen sollen (vgl. in diesem Sinne U. v. 12.7.2011 – C-324/09 [= MMR 2011, 596 m. Anm. Hoeren] Rdnr. 131 – L’Oreal ´ u.a.). 32 Schließlich ist dieser Rspr. auch zu entnehmen, dass die Modalitäten der Anordnungen, die die Mitgliedstaaten nach den genannten Art. 8 Abs. 3 und 11 Satz 3 vorzusehen haben, wie diejenigen der zu erfüllenden Voraussetzungen und des einzuhaltenden Verfahrens, Gegenstand der einzelstaatlichen Rechtsvorschriften sind (vgl. entsprechend Urteil L’Oreal ´ u.a., a.a.O., Rdnr. 135). ZD 1/2012

33 Demnach müssen die einzelstaatlichen Regelungen ebenso wie deren Anwendung durch die nationalen Gerichte die Beschränkungen beachten, die sich aus den RL 2001/29 und 2004/ 48 sowie aus Rechtsquellen ergeben, auf die diese Richtlinien Bezug nehmen (vgl. in diesem Sinne Urteil L’Oreal ´ u.a., a.a.O., Rdnr. 138).

42 Die im Ausgangsverfahren in Rede stehende Anordnung verfolgt das Ziel, den Schutz der Urheberrechte sicherzustellen, die Teil des Rechts am geistigen Eigentum sind und die durch die Art und den Inhalt bestimmter über das Netz des betreffenden Providers erfolgender elektronischer Kommunikationen verletzt werden können.

34 So berühren nach dem 16. Erwägungsgrund der RL 2001/29 und Art. 2 Abs. 3 lit. a der RL 2004/48 diese von den Mitgliedstaaten aufgestellten Regelungen nicht die Bestimmungen der RL 2000/31, insb. nicht deren Art. 12 bis 15.

43 Der Schutz des Rechts am geistigen Eigentum ist zwar in Art. 17 Abs. 2 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) verankert. Gleichwohl ergibt sich weder aus dieser Bestimmung selbst noch aus der Rspr. des Gerichtshofs, dass dieses Recht schrankenlos und sein Schutz daher bedingungslos zu gewährleisten wäre.

35 Folglich müssen diese Regelungen u.a. Art. 15 Abs. 1 der RL 2000/31 beachten, wonach es nationalen Stellen untersagt ist, Maßnahmen zu erlassen, die einen Diensteanbieter verpflichten würden, die von ihm in seinem Netz übermittelten Informationen allgemein zu überwachen. 36 Insoweit hat der Gerichtshof bereits entschieden, dass ein solches Verbot sich u.a. auf innerstaatliche Maßnahmen erstreckt, die einen vermittelnden Dienstleister wie einen Provider verpflichten würden, sämtliche Daten jedes Einzelnen seiner Kunden aktiv zu überwachen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. I.Ü. wäre eine solche allgemeine Überwachungspflicht nicht mit Art. 3 der RL 2004/48 zu vereinbaren, wonach die Maßnahmen im Sinne dieser Richtlinie gerecht und verhältnismäßig sein müssen und nicht übermäßig kostspielig sein dürfen (vgl. Urteil L’Oreal ´ u.a., Randnr. 139). 37 Unter diesen Umständen ist zu prüfen, ob sich die im Ausgangsverfahren in Rede stehende Anordnung, mit der dem Provider aufgegeben würde, das streitige Filtersystem einzurichten, diesen zu einer aktiven Überwachung sämtlicher Daten jedes Einzelnen seiner Kunden verpflichten würde, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. 38 In diesem Zusammenhang steht fest, dass die Einführung dieses Filtersystems bedeuten würde, c dass der Provider erstens in sämtlichen elektronischen Kommunikationen aller seiner Kunden die im „Peer-to-Peer“-Verkehr durchgeleiteten Dateien identifiziert, c dass er zweitens im Rahmen dieses Verkehrs die Dateien identifiziert, die Werke enthalten, an denen Inhaber von Rechten des geistigen Eigentums Rechte zu haben behaupten, c dass er drittens unter diesen Dateien diejenigen ermittelt, die unzulässigerweise ausgetauscht werden, und c dass er viertens jeden von ihm als unzulässig qualifizierten Austausch von Dateien sperrt.

39 Somit würde eine solche präventive Überwachung eine aktive Beobachtung sämtlicher elektronischen Kommunikationen im Netz des betreffenden Providers erfordern und mithin jede zu übermittelnde Information und jeden dieses Netz nutzenden Kunden erfassen. 40 Angesichts des Vorstehenden ist festzustellen, dass die dem betroffenen Provider auferlegte Anordnung, das streitige Filtersystem einzurichten, ihn verpflichten würde, eine aktive Überwachung sämtlicher Daten, die alle seine Kunden betreffen, vorzunehmen, um jeder künftigen Verletzung von Rechten des geistigen Eigentums vorzubeugen. Daraus folgt, dass diese Anordnung den Provider zu einer allgemeinen Überwachung verpflichten würde, die nach Art. 15 Abs. 1 der RL 2000/31 verboten ist. 41 Um zu beurteilen, ob diese Anordnung mit dem Unionsrecht in Einklang steht, ist zudem den Anforderungen Rechnung zu tragen, die sich aus dem Schutz der vom vorlegenden Gericht genannten anwendbaren Grundrechte ergeben. ZD 1/2012

44 Wie sich nämlich aus den Rdnr. 62–68 des U. v. 29.1.2008 (C-275/06 [= MMR 2008, 227] Slg. 2008, I-271 – Promusicae) ergibt, ist das Eigentumsrecht, unter das das Recht am geistigen Eigentum fällt, in ein Gleichgewicht mit anderen Grundrechten zu bringen. 45 Insb. Rdnr. 68 des genannten Urteils ist zu entnehmen, dass die nationalen Behörden und Gerichte i.R.d. zum Schutz der Inhaber von Urheberrechten erlassenen Maßnahmen ein angemessenes Gleichgewicht zwischen dem Schutz dieses Rechts und dem Schutz der Grundrechte von Personen, die durch solche Maßnahmen berührt werden, sicherzustellen haben. 46 Unter Umständen wie denen des Ausgangsverfahrens müssen die nationalen Behörden und Gerichte daher u.a. ein angemessenes Gleichgewicht zwischen dem Schutz des Rechts am geistigen Eigentum, das Inhaber von Urheberrechten genießen, und dem Schutz der unternehmerischen Freiheit, der Wirtschaftsteilnehmern wie den Providern nach Art. 16 der Charta zukommt, sicherstellen. 47 Im vorliegenden Fall bedeutet die Anordnung der Einrichtung des streitigen Filtersystems jedoch, dass im Interesse dieser Rechtsinhaber sämtliche elektronischen Kommunikationen im Netz des fraglichen Providers überwacht werden, wobei diese Überwachung zudem zeitlich unbegrenzt ist, sich auch auf jede künftige Beeinträchtigung bezieht und nicht nur bestehende Werke, sondern auch künftige Werke schützen soll, die zum Zeitpunkt der Einrichtung dieses Systems noch nicht geschaffen waren. 48 Deshalb würde eine solche Anordnung zu einer qualifizierten Beeinträchtigung der unternehmerischen Freiheit des Providers führen, da sie ihn verpflichten würde, ein kompliziertes, kostspieliges, auf Dauer angelegtes und allein auf seine Kosten betriebenes Informatiksystem einzurichten, was i.Ü. gegen die Voraussetzungen nach Art. 3 Abs. 1 der RL 2004/48 verstieße, wonach die Maßnahmen zur Durchsetzung der Rechte des geistigen Eigentums nicht unnötig kompliziert oder kostspielig sein dürfen. 49 Somit ist davon auszugehen, dass die Anordnung, das streitige Filtersystem einzurichten, das Erfordernis der Gewährleistung eines angemessenen Gleichgewichts zwischen dem Schutz des Rechts am geistigen Eigentum, das Inhaber von Urheberrechten genießen, und dem Schutz der unternehmerischen Freiheit, die Wirtschaftsteilnehmern wie den Providern zukommt, nicht beachtet. 50 Darüber hinaus würden sich die Wirkungen dieser Anordnung nicht auf den betroffenen Provider beschränken, weil das Filtersystem auch Grundrechte der Kunden dieses Providers beeinträchtigen kann, nämlich ihre durch die Art. 8 und 11 der Charta geschützten Rechte auf den Schutz personenbezogener Daten und auf freien Empfang oder freie Sendung von Informationen. EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen 31

51 Zum einen steht nämlich fest, dass die Anordnung, das streitige Filtersystem einzurichten, eine systematische Prüfung aller Inhalte sowie die Sammlung und Identifizierung der IP-Adressen der Nutzer bedeuten würde, die die Sendung unzulässiger Inhalte in diesem Netz veranlasst haben, wobei es sich bei diesen Adressen um personenbezogene Daten handelt, da sie die genaue Identifizierung der Nutzer ermöglichen. 52 Zum anderen könnte diese Anordnung die Informationsfreiheit beeinträchtigen, weil dieses System möglicherweise nicht hinreichend zwischen einem unzulässigen Inhalt und einem zulässigen Inhalt unterscheiden kann, sodass sein Einsatz zur Sperrung von Kommunikationen mit zulässigem Inhalt führen könnte. Denn es ist unbestritten, dass die Antwort auf die Frage der Zulässigkeit einer Übertragung auch von der Anwendung gesetzlicher Ausnahmen vom Urheberrecht abhängt, die von Mitgliedstaat zu Mitgliedstaat variieren. Ferner können bestimmte Werke in bestimmten Mitgliedstaaten gemeinfrei sein oder von den fraglichen Urhebern kostenlos ins Internet eingestellt worden sein. 53 Somit ist festzustellen, dass das fragliche nationale Gericht, erließe es die Anordnung, mit der der Provider zur Einrichtung des streitigen Filtersystems verpflichtet würde, nicht das Erfordernis beachten würde, ein angemessenes Gleichgewicht zwischen einerseits dem Recht am geistigen Eigentum und andererseits der unternehmerischen Freiheit, dem Recht auf den Schutz personenbezogener Daten und dem Recht auf freien Empfang oder freie Sendung der Informationen zu gewährleisten. 54 Unter Berücksichtigung des Vorstehenden ist auf die vorgelegten Fragen zu antworten, dass die RL 2000/31, 2001/29, 2004/48, 95/46 und 2002/58, in Verbindung miteinander und ausgelegt im Hinblick auf die sich aus dem Schutz der anwendbaren Grundrechte ergebenden Anforderungen, dahin auszulegen sind, dass sie der Anordnung an einen Provider entgegenstehen, ein System der Filterung wie das streitige Filtersystem einzurichten. ...

Anmerkung RA Per Meyerdierks, Hamburg Maßnahmen die zum Schutz des geistigen Eigentums im Internet ergriffen werden, geraten immer häufiger in Konflikt mit den unternehmerischen Freiheiten, dem Grundrecht auf informationelle Selbstbestimmung und der Informationsfreiheit. Im vorliegenden Fall prüft der EuGH bei der Betrachtung des streitgegenständlichen Filtersystems, ob dieses ein angemessenes Gleichgewicht zwischen dem Recht am geistigen Eigentum, der unternehmerischen Freiheit nach Art. 16 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta), dem Recht auf den Schutz personenbezogener Daten aus Art. 8 der Charta und dem Recht auf freien Empfang und freie Sendung von Informationen aus Art. 11 der Charta gewährleistet. Die Berufungskl. im Ausgangsverfahren ist Anbieterin von Internetzugangsleistungen (sog. Access-Provider). Der EuGH stellt fest, dass ein Access-Provider, der ein Filtersystem wie das streitgegenständliche in seinem eigenen Netz zu betreiben hätte, sämtliche elektronische Kommunikationen all seiner Kunden aktiv beobachten würde. Es käme zu einer systematischen Prüfung aller Kommunikationsinhalte sowie einer Sammlung und Identifizierung von IP-Adressen der Nutzer, welche die Sendung unzulässiger Inhalte im Netz des Access-Providers veranlasst haben. Sinn und Zweck des streitigen Filtersystems ist es, die Sendung und den Empfang von urheberrechtsverletzendem Material durch die Nutzer des Access-Providers zu unterbinden. Mit dem Filtersystem soll aber nicht der Zweck verfolgt werden, den Nutzer zu identifizieren. Wie auch von der Berufungskl. ver32 EuGH: Keine allgemeine Verpflichtung zur Überwachung übermittelter Informationen

treten, stellt der EuGH jedoch fest, dass die im Filtersystem zu verarbeitenden IP-Adressen die genaue Identifizierung der Nutzer ermöglichen würden und die für das Filtersystem erforderliche Datenverarbeitung durch die Berufungskl. daher eine Verarbeitung personenbezogener Daten umfasse. Mittlerweile genießt jede Aussage eines oberen Gerichts zum Personenbezug der IP-Adresse hohe Aufmerksamkeit, da um die Einordnung der IP-Adresse als personenbezogenes Datum seit langem ein lebhafter Streit besteht, der in der Praxis weitreichende Auswirkungen hat. Die vorliegende Entscheidung des EuGH dürfte für Fragen zur Haftung und zu den Pflichten von Anbietern von Diensten der Informationsgesellschaft bei Verletzungshandlungen der Nutzer dieser Dienste von weitreichender Bedeutung sein, da der EuGH nun festgestellt hat, dass eine Verpflichtung eines Access-Providers zur Filterung sämtlicher Inhalte zur Unterbindung der Übermittlung urheberrechtsverletzenden Materials gegen das in der E-Commerce-RL (2000/31/EG) verankerte Verbot allgemeiner Überwachungspflichten verstößt. Die Entscheidung bringt für den lange bestehenden Streit zur IP-Adresse jedoch nichts Neues. Denn die vorliegende Entscheidung des EuGH betrifft eine Situation, die diesen Streit nicht hervorbringt. Denn die Berufungskl. verlangt, so wie wohl jeder andere Access-Provider auch, von ihren Kunden bei Vertragsabschluss über den Internetzugang eine Reihe von Angaben, u.a. den Namen und die Postanschrift, das Geburtsdatum und die Bankverbindung (vgl. Registrierungsvorgang unter www.scarlet.be). Vergibt sie an einen Kunden als Teil der Internetzugangsleistung eine IP-Adresse, ist es ihr somit anhand der ihr zur Verfügung stehenden Registrierungsdaten ohne weiteres möglich, den Inhaber des Anschlusses genau zu bestimmen. Dies führt dazu, dass sie bei jedweder Verarbeitung einer von ihr bereitgestellten IP-Adresse ein Datum über eine für sie bestimmbare Person verarbeitet, welches beim regelmäßigen Vorliegen der übrigen Voraussetzungen aus § 3 Abs. 1 BDSG bzw. Art. 2 lit. a) 95/46/EG ein personenbezogenes Datum darstellt. Dass bei der Verarbeitung von IP-Adressen durch Access-Provider, die diese selbst vergeben, das Datenschutzrecht einschlägig ist, ist auch schon von obersten deutschen Gerichten (zuletzt BGH MMR 2011, 341 ff.) mehrfach festgestellt bzw. vorausgesetzt worden. Ebenso hatte der EuGH in einem früheren Verfahren, in dem es ebenfalls um Maßnahmen zum Schutz des geistigen Eigentums ging, bereits festgestellt, dass bei der Herausgabe von Name und Anschrift durch einen Access-Provider zu einer von ihm vergebenen IPAdresse personenbezogene Daten betroffen sind (EuGH MMR 2008, 227 ff. – Promusicae vs. Telefonica). ´ Völlig anders ist jedoch die Situation, in der nicht der Access-Provider, sondern ein Dritter – z.B. der Betreiber einer Webseite – eine solche IP-Adresse verarbeitet, da dieser nicht über die Registrierungsdaten des Access-Providers verfügt. Zu der Frage, ob der Dritte dabei ein personenbezogenes Datum verarbeitet, besteht schon länger ein lebhafter Streit (vgl. u.a. Meyerdierks, MMR 2009, 8 ff.; Krüger/Maucher, MMR 2011, 433 ff.). Zöge man die vorliegende Entscheidung des EuGH im Rahmen dieses Streits heran, würde man die wesentlichen Unterschiede zwischen der Verarbeitung von IP-Adressen durch den Access-Provider einerseits und der Verarbeitung durch Dritte wie z.B. Webseitenbetreiber andererseits übersehen. Man würde dem EuGH dabei aber auch unterstellen, dass er in einem einzigen Satz (Rdnr. 51) en passant eine Frage entscheidet, die von wesentlicher praktischer Bedeutung ist, zu der in Deutschland und in anderen Mitgliedstaaten der EU schon seit Jahren lebhaft gestritten wird und die schon mehrfach zu anderslautenden Entscheidungen oberer Gerichte geführt hat (vgl. High Court Ireland, U. v. 16.4.2010 – EMI Records & Ors vs. EirZD 1/2012

com Ltd; Cour d’appel de Paris, U. v. 24.4.2007 – Anthony G. vs. SCPP; OLG Hamburg MMR 2011, 281), ohne sich auch nur mit einem der im Rahmen dieses Streites vorgebrachten Argumente auseinanderzusetzen. Dass dennoch Gerichtsentscheidungen, die die Situation des Access-Providers betreffen, häufig falsch eingeordnet werden, indem sie für den bestehenden Streit um den Personenbezug von IP-Adressen bei Dritten herangezogen werden, und dass dies zumindest in diversen Newslettern auch mit dieser EuGHEntscheidung wieder geschieht, ist möglicherweise dem Umstand geschuldet, dass die Rollenverteilung bei der Verarbeitung von IP-Adressen nicht hinreichend bekannt ist. Es ist aber auch ein Beleg dafür, wie ungeduldig eine Entscheidung in dieser Frage erwartet wird.

EuGH: Verarbeitung personenbezogener Daten und unmittelbare Wirkung des Art. 7 lit. f der DS-RL RL 95/46/EG Art. 7 lit. f Urteil vom 24.11.2011 – verb. Rs. C-468/10 und C-469/10 – ASNEF/FECEMD Leitsätze 1. Art. 7 lit. f der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für die Verarbeitung personenbezogener Daten, die zur Verwirklichung eines berechtigten Interesses, das von dem für diese Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen diese Daten übermittelt werden, erforderlich ist, ohne Einwilligung der betroffenen Person nicht nur verlangt, dass deren Grundrechte und Grundfreiheiten nicht verletzt werden, sondern auch, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, und damit kategorisch und verallgemeinernd jede Verarbeitung von Daten ausschließt, die nicht in solchen Quellen enthalten sind. 2. Art. 7 lit. f der RL 95/46 hat unmittelbare Wirkung. Anm. d. Red.: Vgl. hierzu auch EuGH MMR 2009, 171; EuGH MMR 2004, 95 m. Anm. Roßnagel; EuGH MMR 2011, 122 m. Anm. Hornung sowie EuGH MMR 2008, 227.

Sachverhalt Die Vorabentscheidungsersuchen betreffen die Auslegung von Art. 7 lit. f der RL 95/46/EG des Europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31). Diese Ersuchen ergehen i.R.v. Rechtsstreitigkeiten zwischen der Vertraulichkeit Asociacion ´ Nacional de Establecigrenzüberschreitender mientos Financieros de Credito ´ Datenverkehr (ASNEF) und der Federacion ´ de CoDatenübermittlung mercio Electronico ´ y Marketing DirecSchutz der Privatsphäre to (FECEMD) auf der einen und der Administracion ´ del Estado auf der anderen Seite. Die ASNEF wie die FECEMD erhoben eine verwaltungsgerichtliche Klage gegen mehrere Artikel des Real Decreto 1720/2007. Zu den angefochtenen Bestimmungen zählt Art. 10 Abs. 2 lit. a erster Gedankenstrich und lit. b Unterabs. 1 des Real Decreto, der nach Ansicht der ASNEF und der FECEMD gegen Art. 7 lit. f der RL 95/46 verstößt. Die ASNEF und die FECEMD meinen insb., dass im spaZD 1/2012

nischen Recht zur Voraussetzung des berechtigten Interesses an der Verarbeitung von Daten ohne Einwilligung der betroffenen Person eine Voraussetzung hinzugefügt werde, die in der RL 95/ 46 nicht vorgesehen sei, nämlich dass die Daten in öffentlich zugänglichen Quellen enthalten sind. Nach Auffassung des Tribunal Supremo hängt die Begründetheit der jeweils von der ASNEF und der FECEMD erhobenen Klagen weitgehend von der Auslegung des Art. 7 lit. f der RL 95/46 durch den Gerichtshof ab. Käme der Gerichtshof zu dem Ergebnis, dass die Mitgliedstaaten neben den in dieser Bestimmung vorgesehenen keine zusätzlichen Voraussetzungen einführen dürften und dieser Bestimmung unmittelbare Wirkung zukomme, dürfte Art. 10 Abs. 2 lit. b des Real Decreto 1720/2007 nicht angewendet werden. Das Tribunal Supremo erläutert, dass das spanische Recht für die Verarbeitung personenbezogener Daten, die zur Verwirklichung eines berechtigten Interesses erforderlich sei, das von dem für diese Verarbeitung Verantwortlichen oder dem bzw. den Dritten, wahrgenommen werde, denen diese Daten übermittelt würden, bei Fehlen der Einwilligung der betroffenen Person nicht nur verlange, dass deren Grundrechte und Grundfreiheiten nicht verletzt würden, sondern auch, dass diese Daten in den in Art. 3 lit. j der Ley Organica 15/ ´ 1999 aufgelisteten Dateien enthalten seien. Dabei werde der Anwendungsbereich von Art. 7 lit. f der RL 95/46 durch dieses Gesetz und das Real Decreto 1720/2007 eingeschränkt. Nach Auffassung des Tribunal Supremo stellt diese Beschränkung ein Hindernis für den freien Verkehr personenbezogener Daten dar, das mit der RL 95/46 nur dann vereinbar sei, wenn es im Interesse der Grundrechte und Grundfreiheiten der betroffenen Person erforderlich sei. Daher bestehe die einzige Möglichkeit, einen Widerspruch zwischen dieser Richtlinie und dem spanischen Recht zu verhindern, darin, davon auszugehen, dass der freie Verkehr personenbezogener Daten, die in anderen als den in Art. 3 lit. j der Ley Organica 15/1999 aufgeführten Dateien ent´ halten seien, das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person beeinträchtige. Das Tribunal Supremo stellt sich jedoch die Frage, ob eine solche Auslegung dem Willen des Unionsgesetzgebers entspricht. Aus den Gründen Zur ersten Vorlagefrage 24 Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 7 lit. f der RL 95/46 dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, die für die Verarbeitung personenbezogener Daten, die zur Verwirklichung des berechtigten Interesses, das von dem für diese Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen diese Daten übermittelt werden, erforderlich ist, ohne Einwilligung der betroffenen Person nicht nur verlangt, dass deren Grundrechte und Grundfreiheiten nicht verletzt werden, sondern auch, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind. 25 Art. 1 der RL 95/46 verpflichtet die Mitgliedstaaten, den Schutz der Grundrechte und Grundfreiheiten und insb. den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. in diesem Sinne U. v. 16.12.2008 – C-524/06 [= MMR 2009, 171] Slg. 2008, I-9705 Rdnr. 47 – Huber). 26 Gemäß den Bestimmungen des Kapitels II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) der RL 95/46 muss jede Verarbeitung personenbezogener Daten – vorbehaltlich der in Art. 13 zugelassenen Ausnahmen – den in Art. 6 der RL aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und einem der sechs in Art. 7 der RL aufgeführten Grundsätze in Bezug auf die Zulässig-

EuGH: Verarbeitung personenbezogener Daten und unmittelbare Wirkung des Art. 7 lit. f der DS-RL 33

keit der Verarbeitung von Daten genügen (vgl. in diesem Sinne U. v. 20.5.2003 – C-465/00, C-138/01 und C-139/01, Slg. 2003, I-4989 Rdnr. 65 – Österreichischer Rundfunk u.a. sowie Urteil Huber, a.a.O., Rdnr. 48). 27 Aus dem siebten Erwägungsgrund der RL 95/46 ergibt sich, dass die Errichtung und das Funktionieren des Binnenmarkts durch die in den nationalen Regelungen über die Verarbeitung personenbezogener Daten bestehenden Unterschiede in schwerwiegender Weise beeinträchtigt werden können (vgl. U. v. 6.11.2003 – C-101/01 [= MMR 2004, 95 m. Anm. Roßnagel] Slg. 2003, I-12971 Rdnr. 79 – Lindqvist). 28 In diesem Zusammenhang ist darauf hinzuweisen, dass die RL 95/46, wie sich insb. aus ihrem achten Erwägungsgrund ergibt, bezweckt, in allen Mitgliedstaaten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten herzustellen. Der zehnte Erwägungsgrund der RL ergänzt, dass die Angleichung der nationalen Rechtsvorschriften in dem entsprechenden Bereich nicht zu einer Verringerung des durch diese Rechtsvorschriften garantierten Schutzes führen darf, sondern im Gegenteil darauf abzielen muss, in der Union ein hohes Schutzniveau sicherzustellen (vgl. in diesem Sinne Urteile Lindqvist, a.a.O., Rdnr. 95, und Huber, a.a.O., Rdnr. 50).

liche Bedingungen vorsehen, mit denen die Tragweite eines in Art. 7 der RL 95/46 enthaltenen Grundsatzes verändert wird, einerseits und nationalen Maßnahmen, die nur einen dieser Grundsätze näher bestimmen, andererseits zu unterscheiden. Die zuerst genannte Art von nationalen Maßnahmen ist verboten. Nur i.R.d. zweiten Art von nationalen Maßnahmen verfügen die Mitgliedstaaten nach Art. 5 der RL 95/46 über einen Ermessensspielraum. 36 Folglich dürfen die Mitgliedstaaten nach Art. 5 der RL 95/46 auch keine anderen Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten als die in Art. 7 dieser RL aufgezählten Grundsätze einführen, und auch nicht durch zusätzliche Bedingungen die Tragweite der sechs in diesem Art. 7 vorgesehenen Grundsätze verändern. 37 Im vorliegenden Fall sieht Art. 7 lit. f der RL 95/46 vor, dass die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie „erforderlich [ist] zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gem. Art. 1 Abs. 1 geschützt sind, [überwiegen]“.

29 So wurde entschieden, dass die Harmonisierung dieser nationalen Rechtsvorschriften nicht auf eine Mindestharmonisierung beschränkt ist, sondern zu einer grds. umfassenden Harmonisierung führt. Im Hinblick darauf will die RL 95/46 den freien Verkehr personenbezogener Daten sicherstellen, wobei sie zugleich ein hohes Niveau des Schutzes der Rechte und Interessen der von diesen Daten betroffenen Personen gewährleistet (vgl. Urteil Lindqvist, a.a.O., Rdnr. 96).

38 Dieser Art. 7 lit. f sieht zwei kumulative Voraussetzungen vor, damit eine Verarbeitung personenbezogener Daten rechtmäßig ist, nämlich zum einen, dass die Verarbeitung personenbezogener Daten zur Verwirklichung des berechtigten Interesses erforderlich ist, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, und zum anderen, dass nicht die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

30 Daher ergibt sich aus dem Ziel, ein gleichwertiges Schutzniveau in allen Mitgliedstaaten sicherzustellen, dass Art. 7 der RL 95/46 eine erschöpfende und abschließende Liste der Fälle vorsieht, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann.

39 Demnach steht Art. 7 lit. f der RL 95/46 hinsichtlich der Verarbeitung personenbezogener Daten jeder nationalen Regelung entgegen, die bei Fehlen der Einwilligung der betroffenen Person neben den beiden in der vorstehenden Rdnr. genannten kumulativen Voraussetzungen zusätzliche Erfordernisse aufstellt.

31 Diese Auslegung wird durch die Formulierung „lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist“ in Art. 7 der RL 95/46 bestätigt, die den erschöpfenden und abschließenden Charakter der in diesem Artikel enthaltenen Liste unterstreicht.

40 Jedoch ist zu berücksichtigen, dass die zweite dieser Voraussetzungen eine Abwägung der jeweiligen einander gegenüberstehenden Rechte und Interessen erfordert, die grds. von den konkreten Umständen des betreffenden Einzelfalls abhängt und in deren Rahmen die Person oder die Einrichtung, die die Abwägung vornimmt, die Bedeutung der Rechte der betroffenen Person, die sich aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) ergeben, zu berücksichtigen hat.

32 Folglich dürfen die Mitgliedstaaten weder neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 der RL 95/46 einführen, noch zusätzliche Bedingungen stellen, die die Tragweite eines der sechs in diesem Artikel vorgesehenen Grundsätze verändern würden. 33 Die vorstehende Auslegung wird auch durch Art. 5 der RL 95/ 46 nicht in Frage gestellt. Dieser Artikel erlaubt nämlich den Mitgliedstaaten lediglich, nach Maßgabe des Kapitels II und damit des Art. 7 dieser RL die Voraussetzungen näher zu bestimmen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. 34 Von dem Ermessen, über das die Mitgliedstaaten nach diesem Art. 5 verfügen, kann also nur im Einklang mit dem von der RL 95/46 verfolgten Ziel Gebrauch gemacht werden, ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren (vgl. Urteil Lindqvist, a.a.O., Rdnr. 97). 35 Die RL 95/46 enthält Vorschriften, die durch eine gewisse Flexibilität gekennzeichnet sind, und überlässt es in vielen Fällen den Mitgliedstaaten, die Einzelheiten zu regeln oder zwischen Optionen zu wählen (vgl. Urteil Lindqvist, a.a.O., Rdnr. 83). Es ist somit wichtig, zwischen nationalen Maßnahmen, die zusätz-

41 Gem. Art. 8 Abs. 1 der Charta hat „[j]ede Person ... das Recht auf Schutz der sie betreffenden personenbezogenen Daten“. Dieses Grundrecht steht in engem Zusammenhang mit dem in Art. 7 der Charta verankerten Recht auf Achtung des Privatlebens (U. v. 9.11.2010 – C-92/09 und C-93/09 [= MMR 2011, 122 m. Anm. Hornung] Rdnr. 47 – Volker und Markus Schecke und Eifert). 42 Nach der Rspr. des Gerichtshofs erstreckt sich die in den Art. 7 und 8 der Charta anerkannte Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten auf jede Information, die eine bestimmte oder bestimmbare natürliche Person betrifft (vgl. Urteil Volker und Markus Schecke und Eifert, a.a.O., Rdnr. 52). Allerdings geht aus den Art. 8 Abs. 2 und 52 Abs. 1 der Charta hervor, dass dieses Recht unter bestimmten Voraussetzungen Beschränkungen unterworfen werden kann. 43 Außerdem ist es Sache der Mitgliedstaaten, bei der Umsetzung der RL 95/46 darauf zu achten, dass sie sich auf eine Ausle-

34 EuGH: Verarbeitung personenbezogener Daten und unmittelbare Wirkung des Art. 7 lit. f der DS-RL

ZD 1/2012

gung derselben stützen, die es ihnen erlaubt, ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Unionsrechtsordnung geschützten Grundrechten und Grundfreiheiten sicherzustellen (vgl. entsprechend U. v. 29.1.2008 – C-275/06 [= MMR 2008, 227] Slg. 2008, I-271 Rdnr. 68 – Promusicae). 44 Bei der nach Art. 7 lit. f der RL 95/46 erforderlichen Abwägung kann berücksichtigt werden, dass die Grundrechte der betroffenen Person durch diese Datenverarbeitung unterschiedlich stark beeinträchtigt sein können, je nachdem, ob die in Rede stehenden Daten bereits in öffentlich zugänglichen Quellen enthalten sind oder nicht. 45 Denn im Unterschied zur Verarbeitung von Daten, die in öffentlich zugänglichen Quellen enthalten sind, impliziert die Verarbeitung von Daten aus nicht öffentlich zugänglichen Quellen zwangsläufig, dass der für die Verarbeitung Verantwortliche und ggf. der bzw. die Dritten, denen die Daten übermittelt werden, von Informationen über die Privatsphäre der betroffenen Person Kenntnis erlangen. Diese schwerere Beeinträchtigung der in den Art. 7 und 8 der Charta verbürgten Rechte der betroffenen Person ist gebührend zu berücksichtigen, indem sie gegen das berechtigte Interesse, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, abgewogen wird. 46 Insoweit ist darauf hinzuweisen, dass nichts dagegen spricht, dass die Mitgliedstaaten in der Ausübung ihres Ermessens nach Art. 5 der RL 95/46 Leitlinien für diese Abwägung aufstellen. 47 Es handelt sich jedoch nicht mehr um eine nähere Bestimmung im Sinne dieses Art. 5, wenn eine nationale Regelung die Verarbeitung bestimmter Kategorien personenbezogener Daten ausschließt, indem sie für diese Kategorien das Ergebnis der Abwägung der einander gegenüberstehenden Rechte und Interessen abschließend vorschreibt, ohne Raum für ein Ergebnis zu lassen, das auf Grund besonderer Umstände des Einzelfalls anders ausfällt. 48 Unbeschadet des Art. 8 der RL 95/46 über die Verarbeitung besonderer Kategorien personenbezogener Daten, der für den Rechtsstreit des Ausgangsverfahrens nicht einschlägig ist, verbietet daher Art. 7 lit. f der RL 95/46, dass ein Mitgliedstaat kategorisch und verallgemeinernd die Verarbeitung bestimmter Kategorien personenbezogener Daten ausschließt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen. 49 Auf Grund dieser Erwägungen ist auf die erste Vorlagefrage zu antworten, dass Art. 7 lit. f der RL 95/46 dahin auszulegen ist, dass er einer nationalen Regelung entgegensteht, die für die Verarbeitung personenbezogener Daten, die zur Verwirklichung des berechtigten Interesses, das von dem für diese Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen diese Daten übermittelt werden, erforderlich ist, ohne Einwilligung der betroffenen Person nicht nur verlangt, dass deren Grundrechte und Grundfreiheiten nicht verletzt werden, sondern auch, dass diese Daten in öffentlich zugänglichen Quellen enthalten sind, und damit kategorisch und verallgemeinernd jede Verarbeitung von Daten ausschließt, die nicht in solchen Quellen enthalten sind. Zur zweiten Vorlagefrage 50 Mit seiner zweiten Frage möchte das vorlegende Gericht wissen, ob Art. 7 lit. f der RL 95/46 unmittelbare Wirkung hat. 51 Insoweit ist zu beachten, dass sich nach st. Rspr. des Gerichtshofs der Einzelne in all den Fällen, in denen die Bestimmungen einer Richtlinie inhaltlich unbedingt und hinreichend genau sind, vor den nationalen Gerichten ggü. dem Staat auf diese BeZD 1/2012

stimmungen berufen kann, wenn der Staat die Richtlinie nicht fristgemäß oder unzulänglich in nationales Recht umgesetzt hat (vgl. U. v. 3.3.2011 – C-203/10 Rdnr. 61 – Auto Nikolovi). 52 Es ist festzustellen, dass Art. 7 lit. f der RL 95/46 so genau ist, dass sich ein Einzelner darauf berufen und ein nationales Gericht ihn anwenden kann. I.Ü., auch wenn die RL 95/46 den Mitgliedstaaten unbestreitbar ein mehr oder weniger großes Ermessen bei der Umsetzung einiger ihrer Bestimmungen einräumt, begründet Art. 7 lit. f eine unbedingte Verpflichtung (vgl. entsprechend Urteil Österreichischer Rundfunk u.a., a.a.O., Rdnr. 100). 53 Die Verwendung des Ausdrucks „sofern“ in Art. 7 lit. f der RL 95/46 reicht für sich nicht aus, um die Unbedingtheit dieser Bestimmung im Sinne dieser Rspr. in Frage zu stellen. 54 Dieser Ausdruck zielt nämlich auf das Vorliegen einer der beiden in Art. 7 lit. f der RL 95/46 vorgesehenen kumulativen Voraussetzungen ab, von deren Einhaltung die Möglichkeit abhängt, personenbezogene Daten ohne Einwilligung der betroffenen Person zu verarbeiten. Da dieses Element festgelegt ist, nimmt es Art. 7 lit. f nicht seine Genauigkeit und Unbedingtheit. 55 Daher ist auf die zweite Frage zu antworten, dass Art. 7 lit. f der RL 95/46 unmittelbare Wirkung hat. ...

BVerfG: Verfassungsrechtlicher Eilrechtsschutz gegen im Internet abrufbare ehrverletzende Äußerung des Dienstherrn GG Art. 19 Abs. 4, 33; VwGO § 123 Beschluss vom 12.9.2011 – 2 BvR 1206/11 Leitsätze der Redaktion 1. Verneint das Fachgericht im Eilverfahren einen Anspruch eines Beamten gegen den Dienstherrn auf Abgabe einer offiziellen Verlautbarung gegenüber den Medien zu seinen Gunsten, so ist hiergegen nach den Grundsätzen der Subsidiarität eine Verfassungsbeschwerde nicht zulässig. Denn es kann nicht davon ausgegangen werden, dass sich die Nachrichtenlage, so wie sie sich für den Internetnutzer darstellt, ändern wird, falls der Beamte mit seinem Anliegen Erfolg haben sollte. 2. Eine summarische Prüfung durch das Fachgericht im Eilverfahren in dem Sinne, dass die Prüfung im Hauptsacheverfahren eingehender sein und deshalb ein anderes Ergebnis haben kann, ist kennzeichnend für das Eilverfahren und verfassungsrechtlich grundsätzlich unbedenklich. 3. Die Möglichkeiten, berechtigten Informationsanliegen der Öffentlichkeit nachzukommen, würden gravierend beeinträchtigt, wenn im verwaltungsgerichtlichen Eilverfahren jede verbleibende Unsicherheit hinsichtlich des Wahrheitsgehalts einer staatlichen Äußerung zu Lasten der beteiligten staatlichen Stelle wirken würde. Anm. d. Red.: Die Entscheidung wurde mitgeteilt von RA Dr. Roman Götze, Leipzig.

Sachverhalt Die Vb betrifft den Anspruch des Beamten auf Schutz vor ansehensbeeinträchtigender Berichterstattung über seine Person in den Medien sowie die Durchsetzung dieses Anspruchs im Verfahren des vorläufigen Rechtsschutzes. Der Bf. war zunächst als Leiter einer Justizvollzugsanstalt tätig. Ende 2010 wurde er an eine Jugendanstalt abgeordnet. Im Ja-

BVerfG: Verfassungsrechtlicher Eilrechtsschutz gegen im Internet abrufbare ehrverletzende Äußerung des Dienstherrn 35

nuar 2011 erschienen in einer Zeitung zwei Artikel, in denen über eine „Versetzung“ des Bf. berichtet wurde. Die zuständige Ministerin für Justiz ließ sich zur Begründung dieser Personalmaßnahme mit den Worten zitieren, der Bf. habe „in einer Reihe von Fällen die Anordnungen der Strafvollstreckungskammern nicht umgesetzt“. Andere Medien griffen das Thema auf. Das Justizministerium lehnte es ab, die Äußerungen zurückzunehmen oder der Berichterstattung entgegenzutreten. In Reaktion auf eine direkte Frage der Presse habe die Ministerin umfassend, deutlich und ohne Beschönigung Stellung beziehen dürfen.

Grenzen der Berichterstattung Öffentliches Informationsanliegen Staatliche Äußerungen Wahrheitsgehalt

Im Verfahren des vorläufigen Rechtsschutzes erwirkte der Bf. erstinstanzlich eine einstweilige Anordnung, wonach das Justizministerium die Äußerungen zu korrigieren und der Berichterstattung entgegenzutreten habe. Das OVG änderte die Entscheidung und lehnte den Antrag ab. Da der Bf. durch die begehrte Regelungsanordnung faktisch und rechtlich dieselbe Stellung wie nach einem Obsiegen im Hauptsacheverfahren erlange, habe er darzulegen, dass der geltend gemachte Anspruch mit größter Wahrscheinlichkeit begründet sei und aller Voraussicht nach auch im Hauptsacheverfahren bestätigt werde. Dies sei ihm nicht gelungen. Der Bf. habe nicht glaubhaft gemacht, dass die ihm ggü. erhobenen Vorwürfe mit überwiegender Wahrscheinlichkeit unberechtigt seien. Das Gericht führte unter Verweis auf mehrere Strafvollstreckungssachen aus, dass sich das Verhalten des Bf. als eine Nichtumsetzung von Entscheidungen der Strafvollstreckungskammern werten lasse. Es sei auch nicht zu beanstanden, dass Medienvertretern hierzu eine Auskunft erteilt worden sei. Die Entscheidung des OVG wurde dem Prozessbevollmächtigten des Bf. am 20.4.2011 bekanntgegeben. Mit seiner Vb wendet sich der Bf. gegen den Beschluss des OVG. Aus den Gründen II. Die Vb ist nicht zur Entscheidung anzunehmen. Ein Annahmegrund nach § 93a Abs. 2 BVerfGG liegt nicht vor. Die Vb ist unzulässig, soweit eine Verletzung der Rechte aus Art. 33 Abs. 5 GG und Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gerügt wird. Hinsichtlich der gerügten Verletzung des Art. 19 Abs. 4 GG ist sie unbegründet. Einer Entscheidung über den Antrag auf Wiedereinsetzung in den vorigen Stand bedarf es somit nicht. 1. Der Zulässigkeit der Vb steht der Grundsatz der Subsidiarität entgegen, soweit der Bf. eine Verletzung des Art. 33 Abs. 5 GG und des Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geltend macht. ... [Der] Bf. [hat] den Rechtsweg in der Hauptsache zu erschöpfen. Mit seinem Vorbringen, er sei in seinen Rechten aus Art. 33 Abs. 5 GG und aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG verletzt, wendet sich der Bf. nicht gegen die Versagung vorläufigen Rechtsschutzes als solche. Die Rüge bezieht sich auf den auch in der Hauptsache ggü. dem Dienstherrn geltend zu machenden Anspruch. Dessen Bestehen und Umfang sind in einem Hauptsacheverfahren zu prüfen. Dieses bietet die Möglichkeit, der verfassungsrechtlichen Beschwer vollständig abzuhelfen (vgl. BVerfGE 77, 381, 402). Zudem bedarf es noch einer weiteren Aufklärung des Sachverhalts, die im Hauptsacheverfahren von den Fachgerichten zu leisten ist. Die Fachgerichte konnten im Ausgangsverfahren nicht auf einen im Wesentlichen unstreitigen Sachverhalt abstellen und sich somit auch nicht auf die Auseinandersetzung mit der Auslegung bestimmter Vorschriften des einfachen Rechts oder des Verfassungsrechts beschränken. Ob der Bf. Entscheidungen ... in Strafvollstreckungssachen nicht umgesetzt hat, wie die Justizministerin ihm vorgeworfen hat, haben die Gerichte bisher nicht sicher ermittelt. ...

Der Verweis auf das fachgerichtliche Hauptsacheverfahren zieht keinen schweren Nachteil für den Bf. nach sich, der ein Abrücken vom Grundsatz der Subsidiarität der Vb rechtfertigen könnte. Nachdem die Beteiligten des Ausgangsverfahrens das Verfahren hinsichtlich des anfangs ebenfalls geltend gemachten Unterlassungsantrags übereinstimmend für erledigt erklärt haben, ist eine Wiederholung der vom Bf. beanstandeten Äußerungen durch den Dienstherrn nicht zu besorgen. Einzig in Streit steht noch der Anspruch des Bf. gegen seinen Dienstherrn auf Abgabe einer offiziellen Verlautbarung ggü. den Medien zu seinen Gunsten. Einem Rehabilitationsinteresse des Bf. kann auch durch die Abgabe einer solchen Erklärung nach Abschluss eines Hauptsacheverfahrens in ausreichendem Maße Rechnung getragen werden. Der Umstand, dass derzeit Medienberichte im Internet auffindbar sind, die die beanstandeten Äußerungen des Dienstherrn enthalten, rechtfertigt keine abweichende Bewertung. Dies folgt schon daraus, dass nicht sicher davon ausgegangen werden kann, dass sich die Nachrichtenlage, so wie sie sich dem Internetnutzer darstellt, ändern wird, falls der Bf. mit seinem fachgerichtlich verfolgten Anliegen Erfolg haben sollte. Hinzu kommt, dass die Entscheidung über die Vb vor Erschöpfung des Hauptsacherechtswegs hier von einer eingehenden und umfangreichen Aufklärung in tatsächlicher Hinsicht abhängen würde (vgl. BVerfGE 8, 222, 226 f.; 86, 15, 26 f.; BVerfG NJW 2003, 1305, 1306). Solche Beweiserhebungen sind zumal im Verfahren der Vb grds. nicht Sache des BVerfG. 2. Soweit der Bf. eine Verletzung seines Grundrechts aus Art. 19 Abs. 4 GG rügt, ist seine Vb zwar zulässig, aber unbegründet. a) Die Notwendigkeit, vor Erhebung der Vb das Verfahren in der Hauptsache zu betreiben, fehlt, soweit die Verletzung von Grundrechten durch die Eilentscheidung selbst geltend gemacht wird, sie in diesem Sinne also eine selbstständige Beschwer enthält, die sich nicht mit jener im späteren Hauptsacheverfahren deckt (st. Rspr.; vgl. BVerfG NJW 2003, 1305). Dies ist hier der Fall, da sich der Bf. in seinem Grundrecht aus Art. 19 Abs. 4 GG dadurch verletzt sieht, dass das OVG die Anforderungen an die Glaubhaftmachung eines Anordnungsanspruchs überspannt habe. b) Die angegriffene Entscheidung genügt dem aus Art. 19 Abs. 4 GG folgenden Gebot, effektiven Rechtsschutz zu gewährleisten. Art. 19 Abs. 4 GG garantiert über das formelle Recht, die Gerichte anzurufen, hinaus die Effektivität des Rechtsschutzes (vgl. BVerfGE 35, 263, 274; st. Rspr.). Das gilt auch für den verwaltungsgerichtlichen Eilrechtsschutz. Die Auslegung und Anwendung des § 123 VwGO kann vom BVerfG aber nur daraufhin überprüft werden, ob sie Fehler erkennen lässt, die auf einer grds. unrichtigen Anschauung von der Bedeutung des Grundrechts des jeweiligen Ast. und seines Anspruchs auf effektiven Rechtsschutz beruhen (vgl. BVerfGE 79, 69, 74). Eine summarische Prüfung in dem Sinne, dass die Prüfung im Hauptsacheverfahren eingehender sein und deshalb ein anderes Ergebnis haben kann, ist kennzeichnend für das Eilverfahren und verfassungsrechtlich grds. unbedenklich. ... Art. 19 Abs. 4 GG fordert nicht, dass jede nach Durchführung des verwaltungsgerichtlichen Eilverfahrens verbleibende Unsicherheit hinsichtlich des Wahrheitsgehalts einer staatlichen Äußerung zu Lasten der beteiligten staatlichen Stelle wirkt (vgl. BVerfG NJW 2003, 1305, 1306). Die Möglichkeiten, berechtigten Informationsanliegen der Öffentlichkeit zeitnah nachzukommen, würden sonst gravierend beeinträchtigt. Verlangt der Ast. im Verfahren des vorläufigen Rechtsschutzes der Sache nach den Widerruf der staatlichen Äußerung, so zielt sein Begehren faktisch auf die endgültige Regelung eines Zustands. Ein der beanstandeten Äußerung kurzfristig nachfolgender Widerruf vermag eine Wirkung zu entfalten, die durch eine staatlicherseits erfol-

36 BVerfG: Verfassungsrechtlicher Eilrechtsschutz gegen im Internet abrufbare ehrverletzende Äußerung des Dienstherrn

ZD 1/2012

gende Richtigstellung nach einem Unterliegen des Ast. im Hauptsacheverfahren in der Regel nicht ausgeglichen werden kann. Dagegen ist es dem Ast. in der Regel zumutbar, im Rahmen seines Richtigstellungsbegehrens den Ausgang eines Hauptsacheverfahrens abzuwarten. Die bloße Auffindbarkeit der beanstandeten Äußerung im Internet oder in Medienarchiven bleibt in ihrer grundrechtsbeeinträchtigenden Wirkung hinter der fortdauernden aktiven Verbreitung der Äußerung durch die staatliche Stelle in erheblichem Maße zurück. ...

BGH: Recht von Presseorganen auf Grundbucheinsicht GBO §§ 12 Abs. 1 Satz 1, 78 Abs. 1, Abs. 3; GBV § 46 Abs. 1 Beschluss vom 17.8.2011 – V ZB 47/11 (OLG Celle, AG Burgwedel) Leitsatz der Redaktion Der Presse kann ein unbeschränktes Recht auf Einsicht in das Grundbuch und in die Grundakten zustehen, wenn es um eine Recherche wegen des Verdachts, dass der Grundstückskauf eines bekannten Politikers durch einen Unternehmer finanziert worden sei, geht. Anm. d. Red.: Vgl. auch BGH MMR 2011, 244 m. Anm. Hoeren.

Sachverhalt Die Ast. ist Herausgeberin eines Nachrichtenmagazins. Sie hat bei dem AG – Grundbuchamt – die Einsichtnahme in das Grundbuch und die Grundakten eines Grundstücks beantragt, welches im Eigentum eines bekannten Politikers und dessen Ehefrau steht. Zur Begründung beruft sie sich auf den Verdacht, den Eheleuten seien für den Erwerb des Grundbuch Grundstücks finanzielle VergünstiEinsichtsrecht gungen durch einen bekannten UnBerechtigtes Interesse ternehmer gewährt worden, und Presserechtlicher eine hierauf aufbauende journalistiInformationszugang sche Recherche. Das Grundbuchamt hat den Antrag zurückgewiesen. Auf die Beschwerde hat das OLG der Ast. unter Zurückweisung des weitergehenden Einsichtsgesuchs mitgeteilt, dass eine Eigentümergrundschuld im Grundbuch eingetragen sei und dass sämtliche in früherer Zeit an dem Grundstück eingetragenen Grundpfandrechte gelöscht seien; über die Höhe der Eigentümergrundschuld hat es keine Auskunft erteilt. Mit der Rechtsbeschwerde verfolgt die Ast. ihren Antrag auf (uneingeschränkte) Einsicht in das Grundbuch und die Grundakten weiter. Das Beschwerdegericht bejaht ein berechtigtes Interesse der Ast. an einer Grundbucheinsicht, weil schon der Verdacht, dass der Grundstückskauf eines bekannten Politikers durch einen Unternehmer finanziert worden sei, wegen der damit möglicherweise verbundenen Abhängigkeiten ein legitimes Informationsanliegen der Presse begründe. Es meint aber, dass diesem Interesse durch die erteilte Auskunft genügt sei. Der Gewährung uneingeschränkter Einsicht in das Grundbuch und die Grundakten stehe der Persönlichkeitsschutz der Eigentümer entgegen. Denn es sei nicht erkennbar, dass der Verdacht nur durch die beantragte Einsichtnahme aufgeklärt werden könne. Diese sei zur Befriedigung des Informationsinteresses der Ast. auch ungeeignet, da sie keine Kenntnis darüber verschaffe, ob und ggf. in welcher Höhe die Eigentümergrundschuld außerhalb des Grundbuchs zu Finanzierungszwecken abgetreten worden sei. Auf ein Informationsinteresse hinsichtlich weiterer durch unbeschränkte Grundbucheinsicht zu erlangender Daten, ZD 1/2012

etwa zu den Voreigentümern, den früheren Belastungen oder dem Kaufpreis, habe sich die Ast. nicht berufen. Aus den Gründen 4 III. Diese Erwägungen halten rechtlicher Nachprüfung nicht stand. 5 Die statthafte und auch i.Ü. zulässige Rechtsbeschwerde (§ 78 Abs. 1 u. 3 GBO; § 71 FamFG), über die im Allgemeinen – und zum Schutz der Gesamtrecherche der Ast. auch hier – ohne Beteiligung des eingetragenen Eigentümers zu entscheiden ist (vgl. BGHZ 80, 126, 128; BVerfG NJW 2001, 503, 506), hat Erfolg. Der Ast. ist auf der Grundlage von § 12 Abs. 1 Satz 1 GBO und § 46 Abs. 1 GBV die beantragte Einsicht in das Grundbuch und die Grundakten zu gestatten. 6 1. Das BVerfG hat bereits entschieden, dass – über den ursprünglichen, dem allgemeinen Rechtsverkehr mit Grundstücken dienenden Regelungszweck hinaus – auch ein schutzwürdiges Interesse der Presse daran, von den für ein bestimmtes Grundstück vorgenommenen Eintragungen Kenntnis zu erlangen, das nach § 12 Abs. 1 Satz 1 GBO für die Gestattung der Grundbucheinsicht erforderliche berechtigte Interesse zu begründen vermag (BVerfG NJW 2001, 503, 504; aus dem grundbuchrechtlichen Schrifttum zustimmend Demharter, GBO, 27. Aufl., § 12 Rdnr. 10; Wilsch, in: BeckOK-GBO, Stand: Februar 2010, § 12 Rdnr. 61; Schöner/Stöber, Grundbuchrecht, 14. Aufl., Rdnr. 526a; differenzierend Meikel/Böttcher, GBO, 10. Aufl., § 12 Rdnr. 46; a.A. Maaß, in: Bauer/von Oefele, GBO, 2. Aufl., § 12 Rdnr. 21; KEHE/Eickmann, GBO, 6. Aufl., § 12 Rdnr. 6, Stichwort „Presse“). Ein solches Interesse besteht hier, da das Einsichtsgesuch der Ast. auf die Beschaffung journalistisch verwertbarer Informationen im Zusammenhang mit dem Kauf des Grundstücks, für das Einsicht verlangt wird, zielt und somit der von dem Schutzbereich der Pressefreiheit (Art. 5 Abs. 1 Satz 2 GG) erfassten publizistischen Vorbereitungstätigkeit (BVerfGE 50, 234, 240) zuzuordnen ist. 7 2. Schutzwürdige Belange der im Grundbuch – sei es als (Vor-) Eigentümer, sei es als (ehemalige) dinglich Berechtigte – Eingetragenen stehen einer Einsichtnahme durch die Ast. nicht entgegen. Deren Rechtsposition genießt zwar ebenfalls grundrechtlichen Schutz, weil die Gestattung der Grundbucheinsicht durch einen Dritten auf Grund der im Grundbuch enthaltenen personenbezogenen Daten einen Eingriff in das durch Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützte Recht auf informationelle Selbstbestimmung darstellt (BVerfG NJW 2001, 503, 505). Das Interesse der Eingetragenen an der Geheimhaltung ihrer Daten tritt jedoch hinter das Informationsinteresse der Ast. zurück. 8 a) Das Interesse der Presse an der Kenntnisnahme des Grundbuchinhalts erweist sich als ggü. dem Persönlichkeitsrecht der Eingetragenen vorrangig, wenn es sich um eine Frage handelt, die die Öffentlichkeit wesentlich angeht – was vorliegend mit Blick auf die herausgehobene politische Stellung eines der Eigentümer der Fall ist – und wenn die Recherche der Aufbereitung einer ernsthaften und sachbezogenen Auseinandersetzung dient (BVerfG NJW 2001, 503, 506). Dafür, dass es sich hier anders verhält und die aus den Nachforschungen der Ast. möglicherweise resultierende Berichterstattung lediglich dazu diente, eine in der Öffentlichkeit vorhandene Neugierde und Sensationslust zu befriedigen (vgl. BVerfGE 101, 361, 391; KG NJW 2002, 223, 225), bestehen keine Anhaltspunkte. 9 b) Dass die Ast. – was das Grundbuchamt bei der Entscheidung über das Gesuch zu prüfen hat (BVerfG NJW 2001, 503, 506) – in unproblematischer Weise andere Mittel nutzen könnte, um die erwünschten Informationen unter geringerer Beeinträchtigung des Persönlichkeitsschutzes der Eingetragenen zu BGH: Recht von Presseorganen auf Grundbucheinsicht 37

erhalten, ist nicht ersichtlich. Dabei ist zu berücksichtigen, dass sich das Grundbuch in besonderer Weise als Informationsquelle für alle das Grundstück betreffenden rechtlichen und tatsächlichen Fragen anbietet. Denn der mit der Einrichtung des Grundbuchs verfolgte Zweck besteht gerade darin, das Grundeigentum und die an diesem bestehenden Rechte zu registrieren und die in Bezug auf ein Grundstück bestehenden Rechtsverhältnisse zu publizieren (BGHZ 80, 126, 128). Darauf, ob die Ast. zwingend auf die beantragte Einsichtnahme angewiesen ist, weil andere Möglichkeiten der Recherche von vornherein nicht erfolgversprechend erscheinen, kommt es für die Beurteilung der Erforderlichkeit einer Grundbucheinsicht nicht an. 10 3. Entgegen der Auffassung des Beschwerdegerichts ist das Einsichtsrecht nicht auf die an dem Grundstück bestellten Grundpfandrechte beschränkt. Das berechtigte Informationsanliegen der Ast. hat vielmehr zur Folge, dass ihr der gesamte Inhalt des Grundbuchs zugänglich zu machen ist. 11 a) Zwar mag dem gegenwärtigen Bestand an Grundpfandrechten für die Beantwortung der die Ast. interessierende Frage, ob der Erwerb des Grundstücks durch einen bekannten Unternehmer (mit-)finanziert wurde, eine größere Aussagekraft als dem übrigen Grundbuchinhalt zukommen. Das rechtfertigt es aber nicht, der Ast. lediglich die Möglichkeit zur Einsichtnahme in die dritte Abteilung (§ 11 GBV) zu eröffnen oder ihr lediglich eine – in § 12 GBO zudem nicht vorgesehene – Auskunft über die darin enthaltenen Eintragungen zu erteilen. Die anders lautende Auffassung des Beschwerdegerichts verkennt, dass auch die weiteren Eintragungen – wenn auch vielleicht nur „mosaiksteinartig“ in der Zusammenschau mit sonstigen Umständen (vgl. BVerfG NJW 2001, 503, 506) – den Verdacht einer Beteiligung des Unternehmers an der Grundstücksfinanzierung erhärten oder entkräften und damit für das Ziel der Recherche von Bedeutung sein können. 12 Vor allem aber obliegt es allein der Ast., die sich aus dem Grundbuch ergebenden Informationen unter Berücksichtigung des Gegenstands ihrer Nachforschungen einzuordnen und zu bewerten. Eine Beschränkung ihres Einsichtsrechts würde i.E. auf eine Vorauswahl des Grundbuchamts bzw. des Beschwerdegerichts hinsichtlich relevanter und nicht relevanter Eintragungen hinauslaufen. Zu einer solchen Beurteilung sind die Gerichte jedenfalls dann nicht befugt, wenn sich die journalistische Recherche nach dem Inhalt des Gesuchs auf einen Sachverhalt bezieht, der – wie hier – nicht durch eine unmittelbar aus dem Inhalt des Grundbuchs zu erzielende Information zu klären ist. In einem solchen Fall darf das Grundbuchamt der Presse nicht vorschreiben, welche Teile des nach § 12 Abs. 1 Satz 1 GBO in seiner Gesamtheit – wenn auch beschränkt durch das Erfordernis eines berechtigten Interesses – der Kenntnisnahme durch Dritte zugänglichen Grundbuchs für die Recherche von Nutzen sein können. Das gebietet neben dem von dem Grundbuchamt zu beachtenden Gebot staatlicher Inhaltsneutralität (vgl. BVerfG NJW 2001, 503, 506) die besondere Rolle, die der Presse in der freiheitlichen Demokratie zukommt und deren wirksame Wahrnehmung den prinzipiell ungehinderten Zugang zur Information voraussetzt (BVerfGE 50, 234, 240; BGH NJW 2011, 755 [= MMR 2011, 244 m. Anm. Hoeren] Rdnr. 8). 13 Aus demselben Grund kommt es entgegen der Auffassung des Beschwerdegerichts nicht darauf an, ob die Einsicht der Ast. die erhofften Informationen verschaffen wird. Das Grundbuchamt hat insoweit lediglich zu prüfen, ob das Rechercheinteresse in einem konkreten Bezug zu dem betreffenden Grundstück steht (BVerfG AfP 2000, 566, 567). Ist das – wie hier – der Fall, ist die Einsicht geeignet, um dem Informationsanliegen der Presse 38 BGH: Recht von Presseorganen auf Grundbucheinsicht

Rechnung zu tragen. Eine eigene Bewertung, welcher Erkenntniswert den einzelnen Eintragungen zukommt, ist dem Grundbuchamt verwehrt. 14 b) Der Umfang der zu gewährenden Einsicht ist auch nicht davon abhängig, ob in dem Gesuch die für die Recherche benötigten Informationen im Einzelnen benannt werden. Das Grundbuchamt darf von der Presse i.R.d. dieser nach § 12 Abs. 1 Satz 1 GBO in Bezug auf das berechtigte Interesse obliegenden Darlegungslast nur solche Konkretisierungen verlangen, die für die Prüfung, ob ein schutzwürdiges Informationsinteresse anzuerkennen ist, von Bedeutung sind (vgl. BVerfG NJW 2001, 503, 505 f.; AfP 2000, 566, 567). Erforderlich ist, dass der dem Einsichtsbegehren zu Grunde liegende – durch das Grundbuchamt inhaltlich nicht zu bewertende – Verdacht in dem Antrag mitgeteilt wird; außerdem muss für den Fall, dass sich die Vermutung als zutreffend erweist, eine publizistisch geeignete Information zu erwarten sein (BVerfG NJW 2001, 503, 506). Beide Voraussetzungen sind hier erfüllt. Einer zusätzlichen Mitteilung, welche Kenntnisse sich die Ast. durch die Einsicht verschaffen will, bedurfte es nicht. 15 c) Die in Rspr. und Schrifttum umstrittene Frage, ob auch bei einem „normalen“, den allgemeinen Rechtsverkehr betreffenden Einsichtsgesuch das Grundbuchblatt vollständig eingesehen werden kann (vgl. Meikel/Böttcher, a.a.O., § 12 Rdnr. 67; anders aber Rdnr. 71 für die Grundakten; KEHE/Eickmann, a.a.O., § 12 Rdnr. 7) oder ob sich das Einsichtsrecht nur auf diejenigen Abteilungen oder Eintragungen erstreckt, auf die sich das berechtigte Interesse i.S.v. § 12 Abs. 1 Satz 1 GBO bezieht (vgl. BayObLG NJW 1993, 1142, 1143; Demharter, a.a.O., § 12 Rdnr. 18; Maaß, a.a.O., § 12 Rdnr. 58; Güthe/Triebel, GBO, 6. Aufl., § 12 Rdnr. 19; Schöner/Stöber, a.a.O., Rdnr. 529; Böhringer, Rpfleger 1989, 309, 310; Melchers, Rpfleger 1993, 309, 314; Schreiner, Rpfleger 1980, 51, 53), bedarf auf Grund der hier bestehenden Besonderheiten keiner Entscheidung. 16 4. Das Einsichtsrecht der Ast. erstreckt sich auch auf den Inhalt der Grundakten. 17 a) Die Kenntnisnahme der Grundakten durch Dritte ist nach § 46 Abs. 1 GBV unter denselben Voraussetzungen zulässig wie diejenige des Grundbuchinhalts. Folglich ist der Presse die Einsicht zu gestatten, wenn ein berechtigtes Informationsinteresse an dem Inhalt der Urkunden besteht, auf die sich eine Eintragung gründet oder Bezug nimmt (§ 10 GBO, § 24 Abs. 1 GBV). Das ist hier aus denselben Gründen anzunehmen, die eine Einsicht in das Grundbuch rechtfertigen. Insb. ist dem Grundbuchamt auch insoweit eine eigene Bewertung der für das Informationsanliegen der Presse relevanten Angaben versagt. 18 b) Dass die Grundakten häufig die den Eintragungen zu Grunde liegenden schuldrechtlichen Vereinbarungen enthalten und diese regelmäßig in größerem Umfang als das Grundbuch selbst Angaben zu persönlichen, familiären, sozialen, wirtschaftlichen oder finanziellen Verhältnissen der Betroffenen enthalten (vgl. OLG Dresden NJW-RR 2010, 1175; Meikel/Böttcher, a.a.O., § 46 GBV Rdnr. 2; Schreiner, Rpfleger 1980, 51, 53), rechtfertigt keine andere Beurteilung. Da die schuldrechtlichen Vereinbarungen nicht zu den für den Vollzug eines Eintragungsantrags erforderlichen grundbuchrechtlichen Erklärungen (§§ 19, 20 GBO) zählen und somit nicht notwendig zu den Grundakten zu reichen sind (vgl. § 10 Abs. 1 Satz 1 GBO, § 24a GBV), haben es die Betroffenen weitgehend selbst in der Hand, welche personenbezogenen Daten sie (zusätzlich) preisgeben (vgl. Demharter, FGPrax 2001, 53). Ein ggü. dem Informationsinteresse der Presse vorrangiges Interesse an der Geheimhaltung dieser Daten ist daher nicht anzuerkennen. ... ZD 1/2012

LG Magdeburg: Auskunftspflicht eines Kreditinstituts über Kontoinhaber bei Markenrechtsverletzung MarkenG §§ 19 Abs. 2, 30 Abs. 3; RL 2004/48/EG Art. 8 Abs. 3 lit. d; ZPO § 383 Abs. 1 Nr. 6 Urteil vom 28.9.2011 – 7 O 545/11; nicht rechtskräftig Leitsatz der Redaktion Das Bereitstellen eines Kontos durch ein Kreditinstitut stellt eine Dienstleistung i.S.d. Markenrechts dar. Im Falle von offensichtlichen Rechtsverletzungen hat der Inhaber des Markenrechts einen Auskunftsanspruch hinsichtlich des Inhabers eines für Online-Auktionen verwendeten Kontos, wobei dem Kreditinstitut kein Zeugnisverweigerungsrechts wegen des Bankgeheimnisses zusteht. Sachverhalt Die Kl. stellt als exklusive Lizenznehmerin das Parfum der Marke D her und vertreibt dieses. Laut Lizenzvertrag hat sie der Markeninhaber Z D SA berechtigt, Markenrechte geltend zu machen. Im Rahmen ihrer Marktbeobachtung wurde die Kl. auf das Angebot eines Verkäufers mit dem Synonym „S“ aufmerksam. Als Inhaber des X-Mitglieds-Kontos Bankgeheimnis wurde ihr S, J-Straße ..., M mitgeteilt. Online-Auktion In einer anderen ZahlungsinformaZeugnisverweigerung tion tauchte die Adresse [email protected] auf. Geschäftsgeheimnis Die Zahlung sollte auf das im Auskunftsantrag benannte Konto der Stadtsparkasse in M erfolgen. Die Kl. erwarb am 14.1.2011 über X das Parfum D Hot Water 100 ml EdT. Versandt wurde das Päckchen unter dem Nachnamen H. Das Parfum erwies sich als eine sogar für Laien offensichtliche Fälschung. Eine Umsatzanalyse v. 4.1.2011 ergab hinsichtlich des Verkäufers „S“ zwischen dem 12.12.2010 und 14.1.2011 einen Gesamtumsatz von a 10.956,63. Mit Schreiben v. 14.3.2011 forderte die Kl. die Bekl. auf, Auskunft über Name und Anschrift des Kontoinhabers zu erteilen, was die Bekl. zurückwies. Die Bekl. ist der Ansicht, dass das Zurverfügungstellen eines Kontos bereits begrifflich keine Tätigkeit ist, die für die Markenrechtsverletzung genutzt wird, und meint, sich auf ein Zeugnisverweigerungsrecht berufen zu können. Aus den Gründen ... Die Klage ist begründet. Der Kl. steht gegen die Bekl. ein Auskunftsanspruch aus § 19 Abs. 2 Nr. 3, Abs. 3 MarkenG zu. Die Kl. ist auf Grund des Lizenzvertrags nach § 30 Abs. 3 MarkenG berechtigt, Klage zu erheben. Es liegt eine offensichtliche Rechtsverletzung i.S.d. § 19 Abs. 2 MarkenG vor, da nach dem nachvollziehbaren und unwidersprochenen Vortrag der Kl. die Fälschung auch für Laien sofort ersichtlich ist. Die Bekl. erbringt in Form der Bereitstellung eines Kontos eine Dienstleistung, die für die Markenrechtsverletzung genutzt wird. Auch die den Zahlungsverkehr abwickelnde Bank wird als Dienstleister im Sinne dieser Vorschrift verstanden (Ingerl/Rohnke, MarkenG, 3. Aufl., Rdnr. 20 zu § 19). Entgegen der Auffassung der Bekl. hält die Kammer die Dienstleistung der Bekl. für eine Tätigkeit, die zur rechtsverletzenden Tätigkeit genutzt wird. Die verletzende Tätigkeit ist die Benutzung einer zu Gunsten der Kl. geschützten Marke im geschäftlichen Verkehr. Die Markenrechtsverletzung nach § 14 Abs. 2 Nr. 1 MarkenG beginnt mit der Anpreisung des gefälschten Artikels im Internet zum Verkauf. Voraussetzung hierfür ist die Angabe einer Kontoverbindung, denn schließlich erfolgt der Versand nur bei vorheriZD 1/2012

ger Zahlung des Kaufpreises. Über die Herkunft der widerrechtlich gekennzeichneten Ware geben Name und die Anschrift des Kontoinhabers Auskunft, weil davon auszugehen ist, dass der Kontoinhaber auch diejenige Person ist, die den wirtschaftlichen Vorteil aus der Markenrechtsverletzung zieht. Die Bekl. unterfällt nicht dem Personenkreis, der zur Zeugnisverweigerung berechtigt ist. Insb. steht ihr ein Zeugnisverweigerungsrecht nach § 383 Abs. 1 Nr. 6 ZPO nicht zu. Nach dieser Vorschrift können sich Personen, denen kraft ihres Gewerbes Tatsachen anvertraut sind, deren Geheimhaltung durch ihre Natur oder durch gesetzliche Vorschrift geboten ist, diesbezüglich auf ein Zeugnisverweigerungsrecht berufen. Die im Vertrag übernommene Verpflichtung der Bekl., das Bankgeheimnis zu wahren, reicht hierfür jedoch nicht aus. Denn schließlich können nach Sinn und Zweck des § 19 Abs. 2 MarkenG nur Geschäftsgeheimnisse in den Schutzbereich fallen, die sich nicht auf den Verletzungsvorwurf beziehen (so auch: Ingerl/Rohnke, a.a.O., Rdnr. 26 zu § 19 MarkenG). Wenn bereits die rechtsgeschäftliche Vereinbarung einer Verschwiegenheitsverpflichtung ausreichen würde, um ein Zeugnisverweigerungsrecht zu begründen, könnte der Verletzer selbst durch Vereinbarung mit dem Dienstleister eine Durchbrechung der Auskunftspflicht nach § 19 Abs. 2 MarkenG herbeiführen. Auch die richtlinienkonforme Auslegung des auf Grund der DurchsetzungsRL 2004/48/EG eingeführten § 19 Abs. 2 MarkenG führt zu dem Ergebnis, dass das vertraglich vereinbarte Bankgeheimnis kein Zeugnisverweigerungsrecht bietet. Art. 8 Abs. 3 d) der RL gestattete nämlich dem Gesetzgeber nur „die Verweigerung von Auskünften zulassen, mit denen die ... Person gezwungen würde, ihre Beteiligung oder die Beteiligung enger Verwandter an einer Verletzung eines Rechts des geistigen Eigentums zuzugeben“. ...

LG Köln: Herausgabe von Mitgliederlisten an Vereinsmitglied BGB § 37; BDSG § 28 Abs. 6 Nr. 3, Abs. 8 Urteil vom 27.9.2011 – 27 O 142/11; nicht rechtskräftig Leitsatz der Redaktion Ein berechtigtes Interesse eines Vereinsmitglieds, Kenntnis von Namen und Anschriften der übrigen Mitglieder zu erhalten, kann auch außerhalb des unmittelbaren Anwendungsbereichs des § 37 BGB bestehen, wenn das Mitglied nach den Umständen des konkreten Falls die in der Mitgliederliste enthaltenen Informationen ausnahmsweise benötigt, um das sich aus seiner Mitgliedschaft ergebende Recht auf Mitwirkung an der Willensbildung im Verein wirkungsvoll ausüben zu können. Vereinsmitglieder müssen sich auch nicht darauf verweisen lassen, mit anderen Mitgliedern über Internetforen oder die Mitgliederzeitung in Kontakt zu treten. Anm. d. Red.: Die Berufung ist beim OLG Köln unter dem Az. 14 U 28/11 anhängig. Vgl. hierzu auch BGH MMR 2011, 206.

Sachverhalt Der Kl. nimmt den Bekl., einen überregional bekannten Sportverein mit mehr als 50.000 Mitgliedern, unter Hinweis auf die Entscheidung des BGH, B. v. 21.6.2010 – II ZR 219/09 [= MMR 2011, 206], auf Herausgabe aller Mitgliederdaten in Anspruch. Der Kl. ist seit dem 1.12.2001 Mitglied des Bekl. Nach der letzten Mitgliederversammlung des Bekl. v. 17.11.2010, bei der 3119 Mitglieder anwesend waren, bildete sich unter Beteiligung auch des Kl. eine „Mitgliederinitiative FC-Reloaded“. Der Kl. und die Initiative streben eine umfassende Änderung der SatLG Köln: Herausgabe von Mitgliederlisten an Vereinsmitglied 39

Datenschutz im Verein Mitgliederdaten Herausgabeanspruch Berechtigtes Auskunftsinteresse

zung des Bekl. an. Zu diesem Zweck streben der Kl. und die „Mitgliederinitiative FC-Reloaded“ die Einberufung einer außerordentlichen Mitgliederversammlung an.

Mit Schreiben v. 10.1.2011 forderte der Kl. den Bekl. auf, dem durch den Kl. benannten Treuhänder Herrn RA N. die vollständige Mitgliederliste herauszugeben, um entsprechend für die Einberufung einer außerordentlichen Mitgliederversammlung und die Satzungsänderung werbend an die Mitglieder herantreten zu können. Mit der Herausgabe der Mitgliederliste erklärte sich der Bekl. mit Schreiben v. 17.1.2011 grds. einverstanden, jedoch sollte die Weitergabe nur an einen von dem Bekl. oder dem Präsidenten des OLG Köln zu benennenden Treuhänder erfolgen, der sich verpflichtet, die Daten vertraulich und ausschließlich zur Abwicklung des Minderheitsbegehrens zu verwenden und die von dem Kl. verfassten Mitteilungen vor dem Versand auf werbenden, abwerbenden oder strafrechtlich relevanten Inhalt zu prüfen. Mit Schreiben v. 21.1. und 4.2.2011 forderte der Bekl. seine Mitglieder auf, mitzuteilen, ob sie der geplanten Übermittlung der Mitgliederdaten jeweils widersprechen. Von dieser Möglichkeit machten bisher rund 14.000 Mitglieder Gebrauch. Eine Übermittlung der Mitgliederdaten an den Kl. ist bisher nicht erfolgt. Der Kl. ist der Ansicht, dass er als Ausfluss seines Mitgliedschaftsrechts einen Anspruch auf Herausgabe der vollständigen Mitgliederliste des Bekl. an sich selbst habe. Der Bekl. habe auch kein Mitspracherecht bei der Auswahl und der Ausgestaltung der Beauftragung eines Treuhänders, wenn man nur einen Anspruch auf Herausgabe an einen Treuhänder annehme. Ein etwaiger Widerspruch von Vereinsmitgliedern gegen die Weitergabe der Daten sei unbeachtlich. Aus den Gründen Die ... Klage ist im Wesentlichen begründet. ... Der Kl. hat Anspruch auf Herausgabe der Mitgliederdaten, allerdings nur soweit die Mitglieder stimmberechtigt sind. Dem Mitglied eines Vereins steht ein Anspruch auf Offenbarung der Namen und Anschriften der Mitglieder des Vereins zu, wenn es ein berechtigtes Interesse darlegen kann, dem kein überwiegendes Interesse des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen. Ein berechtigtes Interesse eines Vereinsmitglieds, Kenntnis von Namen und Anschriften der übrigen Mitglieder zu erhalten, kann auch außerhalb des unmittelbaren Anwendungsbereichs des § 37 BGB bestehen, wenn das Mitglied nach dem Umständen des konkreten Falls die in der Mitgliederliste enthaltenen Informationen ausnahmsweise benötigt, um das sich aus seiner Mitgliedschaft ergebende Recht auf Mitwirkung an der Willensbildung im Verein wirkungsvoll ausüben zu können. Vereinsmitglieder müssen sich auch nicht darauf verweisen lassen, mit anderen Mitgliedern über Internetforen oder die Mitgliederzeitung in Kontakt zu treten ... Vielmehr muss es dem Mitglied überlassen bleiben, auf welchem Weg und an welche Mitglieder es herantreten will, um – aus seiner Sicht – Erfolg versprechend auf die vereinsrechtliche Willensbildung Einfluss nehmen zu können. Sind die Informationen, die sich das Mitglied durch Einsicht in die Unterlagen des Vereins beschaffen kann, in einer Datenverarbeitungsanlage gespeichert, kann es zum Zwecke der Unterrichtung einen Ausdruck der geforderten Informationen oder auch deren Übermittlung in elektronischer Form verlangen (BGH, a.a.O.; zustimmend Schöpflin, in: BeckOKBGB, Stand: 1.3.2011, § 38 BGB Rdnr. 19; zweifelnd: LG Köln, B. v. 21.1.2011 – 13 S 294/10, n.v.). Dabei ist es den Mitgliedern eines Vereins grds. nicht verwehrt, auch selbst Einsicht in die Mitgliederliste zu nehmen bzw. die Übermittlung der dort enthaltenen Informationen in elektroni40 LG Köln: Herausgabe von Mitgliederlisten an Vereinsmitglied

scher Form an sich selbst zu verlangen, sofern sie ein berechtigtes Interesse darlegen und ihrem Interesse nicht überwiegende Interessen des Vereins oder berechtigte Belange der Vereinsmitglieder entgegenstehen (BGH, a.a.O.). Die Voraussetzungen des Herausgabeanspruchs liegen hier vor. Der Kl. kann seine Mitgliedschaftsrechte, hier seine Anregungen zu einer Satzungsänderung in einer (außerordentlichen) Mitgliederversammlung, angesichts der Mitgliederstruktur des Bekl. nur effektiv wahrnehmen, wenn er den Mitgliedern außerhalb der Mitgliederversammlung seine Anliegen bekannt machen kann. Dies ergibt sich aus der großen Zahl der Mitglieder i.V.m. den in der Satzung vorgesehenen Mitgliederquoren. Der Antrag auf Satzungsänderung kann gem. § 15 Abs. 2 neben dem Vorstand, dem Verwaltungsrat oder dem Vereinsbeirat nur von zwei Zehnteln der stimmberechtigten Mitglieder gestellt werden; er muss zudem so rechtzeitig gestellt werden, dass er mit der Tagesordnung der Mitgliederversammlung bekannt gemacht werden kann, und muss im Wortlaut bei Einberufung der Mitgliederversammlung bekanntgegeben werden. Dies bedeutet tatsächlich, dass ein Vereinsmitglied für eine Satzungsänderung außerhalb der Mitgliederversammlung die Zustimmung von mehreren Tausend der stimmberechtigten Vereinsmitglieder gewinnen muss, um überhaupt eine Befassung der Mitgliederversammlung ohne Unterstützung durch ein Vereinsorgan erreichen zu können. Damit ist die entscheidende Hürde für Satzungsänderungen benannt, die aus dem Kreis der Mitglieder initiiert werden sollen. Um dieses Mitgliederquorum erreichen zu können, ist der Kl. darauf angewiesen, an die stimmberechtigten Mitglieder außerhalb der Mitgliederversammlung gezielt herantreten zu können. Um sein Mitwirkungsrecht an der vereinsinternen Willensbildung wirkungsvoll ausüben zu können, bedarf der Kl. hier daher der Kenntnis von Namen und Anschriften der anderen Vereinsmitglieder. Daneben kommt dem für Satzungsänderungen gem. § 18 Abs. 1 Satz 2 der Satzung bestehenden Mehrheitserfordernis von drei Vierteln der abgegebenen Stimmen keine zusätzliche Bedeutung zu. Ebenfalls keiner Prüfung bedarf, ob die Anliegen des Kl. eilbedürftig sind und die Einberufung einer außerordentlichen Mitgliederversammlung erfordern, die nur von zwei Zehnteln der Mitglieder verlangt werden kann. Die Geltendmachung des Auskunftsanspruchs ist nicht rechtsmissbräuchlich. Die angestrebten Satzungsänderungen, die im Kern auf eine stärkere Beteiligung der anderen Vereinsorgane neben dem Vorstand zielen, verfolgen keinen sitten- oder gesetzeswidrigen Zweck. Ob die Satzungsänderungen sinnvoll oder gar notwendig sind, ist nicht Voraussetzung des Auskunftsanspruchs, der gerade eine Diskussion der Vereinsmitglieder über Sinn und Notwendigkeit ermöglichen soll, und bedarf daher keiner Prüfung. Aus den genannten Grundlagen des Auskunftsanspruchs, der eine wirksame Wahrnehmung der Mitgliedschaftsrechte ermöglichen soll, folgt zugleich seine Beschränkung auf die Daten derjenigen Mitglieder, die zur Mitwirkung an der Entscheidungsfindung berechtigt sind. Gem. § 9 Abs. 2 Satz 2 der Satzung haben jugendliche Mitglieder kein Stimmrecht; dies sind gem. § 7 Abs. 2 der Satzung solche, die das 18. Lebensjahr noch nicht vollendet haben. Sie können also bei einer Satzungsänderung nicht abstimmen. Minderjährige können zudem gem. § 12 Abs. 3 der Satzung nicht den Organen des Bekl. angehören. Der Herausgabe der Daten an den Kl. selbst stehen auch Gesichtspunkte des Datenschutzes nicht entgegen. Solche schützenswerten Belange sind nicht erst dann ausreichend gewahrt, wenn die Herausgabe der Mitgliederliste an einen zur Verschwiegenheit verpflichteten Treuhänder erfolgt, das Mitglied selbst also keinen Einblick in die Liste erhält. Dementsprechend ZD 1/2012

hält etwa der Landesbeauftragte für Datenschutz und Informationsfreiheit im „Faltblatt zum Datenschutz im Verein“, herausgegeben von den Landesbeauftragten für den Datenschutz der Länder Bemen, Hamburg, Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein, Stand: Februar 2002, die Herausgabe einer Mitgliederliste oder eines Mitgliederverzeichnisses regelmäßig für im Vereinsinteresse erforderlich. Die Vereinsmitglieder sind mit ihrem Beitritt zum Bekl., der einen bestimmten Zweck verfolgt, in eine gewollte Rechtsgemeinschaft zu den anderen, ihnen weitgehend unbekannten Mitgliedern des Bekl. getreten. Die anderen Vereinsmitglieder haben es deshalb jedenfalls hinzunehmen, dass andere Vereinsmitglieder in berechtigter Verfolgung vereinspolitischer Ziele an sie herantreten. Die Übermittlung der Daten an ein Vereinsmitglied ist für den Bekl. gem. § 28 Abs. 8 BDSG i.V.m. § 28 Abs. 6 Nr. 3 BDSG auch ohne Einwilligung der Mitglieder zulässig. Ein Widerspruchsrecht sieht § 28 BDSG nur in Abs. 4 im Falle der Weitergabe für Zwecke der Werbung oder der Markt- und Meinungsforschung vor. Dabei ist der Auskunftsanspruch nicht auf die Herausgabe an einen auf Grund seines Amtes, etwa als Rechtsanwalt oder Notar, zur Amtsverschwiegenheit verpflichteten Treuhänder beschränkt; der Schutz der Daten wird vielmehr dadurch ausreichend gewährleistet, dass das Vereinsmitglied die Mitgliederdaten nur ihm Rahmen seines berechtigten Auskunftsinteresses nutzen darf, wie sich aus § 28 Abs. 5 BDSG ergibt und durch den Ordnungswidrigkeitentatbestand des § 43 Abs. 1 Nr. 4 BDSG sanktioniert wird. Im Zivilrecht besteht kein Anlass, durch praeter legem zu entwickelnde Konstruktionen einen vermeintlich höheren Datenschutzstandard zu sichern, als ihn der Gesetzgeber des BDSG für erforderlich gehalten hat. ...

LG Berlin: Schufa-Negativeintrag durch Inkassounternehmen BGB §§ 823 Abs. 1, 1004 Abs. 1; BDSG §§ 4 Abs. 1, 28a Abs. 1 Urteil vom 27.4.2011 – 4 O 97/11 Leitsatz der Redaktion Eine Negativmeldung an die Schufa durch ein Inkassounternehmen verletzt in rechtswidriger Weise das allgemeine Persönlichkeitsrecht des Betroffenen, wenn es um die Forderung eines Dritten geht und/oder die Forderung wegen eines Teilzahlungsvergleichs nicht fällig ist. Anm. d. Red.: Vgl. auch OLG Frankfurt/M. ZD 2011, 35; BGH MMR 2011, 409; LG Düsseldorf MMR 2011, 415; VG Darmstadt MMR 2011, 416; LG Wiesbaden MMR 2011, 348; AG Wiesbaden MMR 2011, 283; OLG München MMR 2011, 209; OLG Frankfurt/M. MMR 2010, 792; OLG Koblenz MMR 2010, 277.

Sachverhalt Am 24.1.2010 mietete der Verfügungskl. bei der XY Autovermietung einen PKW und vereinbarte mit der Autovermieterin eine Haftungsbeschränkung mit einem Selbstbehalt von a 950,–. Es kam zu einem Verkehrsunfall. Mit Schreiben v. 1.2.2010 nahm die XY Autovermietung den Kl. auf Zahlung von a 950,– in Anspruch. Nach Einleitung des gerichtlichen Mahnverfahrens Negativauskünfte schloss der Verfügungskl. mit der anLöschungsverpflichtung waltlich vertretenen Verfügungsbekl. Kreditscoring einen Teilzahlungsvergleich. Danach Persönlichkeitsrecht erkannte er den Anspruch von nunmehr a 1.456,06 zzgl. Zinsen an und verpflichtete sich, den Betrag in monatlichen Raten a` a 50,– zurückzuzahlen. Gleichzeitig nahm er den Widerspruch in dem Mahnverfahren zurück und ließ gegen sich einen Vollstreckungsbescheid über einen Betrag von über a 1.400,– ergehen. ZD 1/2012

Am 15.9.2011 meldete die Verfügungsbekl. den Verfügungskl. mit einem Negativeintrag, nämlich der Fälligkeit einer Forderung von a 1.462,– bei der Schufa Holding AG. Am 17.2.2011 widersprach der Verfügungskl. ggü. der Schufa Holding AG hinsichtlich der Eintragung der Negativmeldung. Unter dem 22.2.2011 forderte der nunmehr anwaltlich vertretene Verfügungskl. die Verfügungsbekl. auf, bis zum 28.2.2011 die streitgegenständliche Negativeintragung zu widerrufen und sich zu verpflichten, in der Angelegenheit keinen neuen Negativeintrag vorzunehmen, solange der Verfügungskl. die Ratenzahlungsvereinbarung ordnungsgemäß erfüllt. Mit Telefax bat die Verfügungsbekl. die Schufa Holding AG, die Negativmeldung zu Lasten des Verfügungskl. vollständig zu löschen. Dies erledigte die Schufa Holding AG. Der Verfügungskl. nimmt die Verfügungsbekl. im Zusammenhang mit der Negativeintragung in Anspruch. Aus den Gründen Soweit sich die einstweilige Verfügung auf Grund der Löschung der zu Lasten des Verfügungskl. am 15.9.2010 eingetragenen Negativmerkmale durch die Schufa Holding AG erledigt hat, handelt es sich um eine im Hinblick auf § 264 Nr. 2 ZPO zulässige Umstellung des Klageantrags auf Feststellung. Das Feststellungsinteresse folgt daraus, dass die Verfügungsbekl. weiterhin nicht einräumt, dass sie zu Unrecht den Verfügungskl. mit einer Negativmeldung belastet hat. I.Ü. ist die einstweilige Verfügung zu bestätigen. Ihr Grund für ihren Erlass besteht weiterhin fort. Die Verfügungsbekl. ist aus §§ 823 Abs. 1, 1004 Abs. 1 BGB verpflichtet, umgehend alles zu unternehmen, damit der Verfügungskl. nicht weiterhin mit zu Unrecht niedrigen Scorewerten bei der Schufa Holding AG in der Öffentlichkeit belastet wird. Die Verfügungsbekl. verletzte mit ihrer Negativmitteilung v. 15.9.2011 den Verfügungskl. in dessen allgemeinem Persönlichkeitsrecht, welches durch § 823 Abs. 1 BGB als sonstiges Recht geschützt wird, ohne hierfür eine Rechtfertigung zu haben. Im heutigen Wirtschaftsleben haben Negativeintragungen bei der Schufa Holding AG für die Betroffenen eine große Auswirkung, die sie in ihrer Lebensgestaltung empfindlich treffen können. Banken, Versicherungen, Telefonunternehmen und weitere Wirtschaftsunternehmen verlassen sich hinsichtlich der Beurteilung von zukünftigen Vertragspartnern häufig auf die Negativauskünfte. Mithin hätte die Verfügungsbekl. nach § 4 Abs. 1 i.V.m. § 28a Abs. 1 die personenbezogenen Daten zu Lasten des Verfügungskl. nur an die Schufa Holding AG übermitteln dürfen, wenn sie ein berechtigtes Interesse daran gehabt hätte. Ein derartiges Interesse ist nicht ersichtlich. Zum einen hat die Verfügungsbekl. nicht einlassungsfähig dargelegt, aus welchen Gründen sie berechtigt sein soll, aus einem Vergleich und einem Vollstreckungsbescheid zu Gunsten der XY Autovermietung einen Anspruch gegen den Verfügungskl. zu haben. Allenfalls ist der Verfügungskl. der XY Autovermietung zur Zahlung dieses Betrags verpflichtet. Hinzu kommt zum anderen, dass die der XY Autovermietung zustehende Forderung derzeit nicht fällig ist. Sie ist schon deshalb nicht fällig, weil der Verfügungskl. weiterhin unbestritten seine Verpflichtungen aus dem Ratenzahlungsvergleich v. 19.8.2010 erfüllt. Weitere Rechtsfertigungsgründe für den Eingriff der Verfügungsbekl. in das Persönlichkeitsrecht sind nicht ersichtlich. Darüber hinaus ist entsprechend § 1004 Abs. 1 Satz 2 BGB zu besorgen, dass die Verfügungsbekl. weiterhin durch Negativmeldungen das Persönlichkeitsrecht des Verfügungskl. beeinträchtigt. Dies folgt schon daraus, dass sie es bisher unterlassen hat, eine uneingeschränkte Unterlassungserklärung für die Zukunft abzugeben. Darüber hinaus steht [dem] Verfügungskl. ein Verfügungsgrund zum Erlass der einstweiligen Verfügung zur Seite. Gem. § 940 LG Berlin: Schufa-Negativeintrag durch Inkassounternehmen 41

ZPO war nämlich der Erlass der einstweiligen Verfügung zur Abwendung wesentlicher Nachteile nötig. Im Hinblick auf die große Verbreitung und Marktgängigkeit der Eintragung bei der Schufa Holding AG ist in diesem Bereich schneller Rechtsschutz von Nöten. Hinsichtlich der mittlerweile erfolgten Löschung des Negativeintrags hat sich der Rechtsstreit in der Hauptsache erledigt. Die Löschung durch die Schufa Holding AG erfolgte am 1.3.2011. ...

AG Bremen: Nichtigkeit einer Forderungsabtretung aus TK-Vertrag TKG §§ 88, 97 Abs. 1 Satz 3; BGB § 134; StGB § 206 Abs. 1 Urteil vom 20.10.2011 – 9 C 0430/11 Leitsatz Die Abtretung der aus einem TK-Vertrag resultierenden Ansprüche ist zumindest dann wegen Verstoßes gegen das Fernmeldegeheimnis unwirksam, wenn dem Zessionar auch die entsprechenden Leistungsdaten übermittelt werden; § 97 Abs. 1 Satz 3 TKG begründet lediglich für den Forderungseinzug einen Erlaubnistatbestand. Anm. d. Red.: Vgl. hierzu auch AG Hamburg-Altona MMR 2006, 834; OLG München MMR 1998, 56 (Ls.) sowie LG Frankfurt/Oder MMR 2002, 249 m. Anm. Struck.

Aus den Gründen Die zulässige Klage ist nicht begründet. Die Kl. ist nicht aktivlegitimiert. Der Kl. stehen keine Ansprüche aus abgetretenem Recht zu, wobei dahinstehen kann, ob es zwischen der Bekl. und der t. AG tatsächlich zum Abschluss von Auskunftsdienstverträgen bzw. zur Leistung von Mehrwertdiensten gekommen ist. Fernmeldegeheimnis Factoring Leistungsdaten Verbindungsdaten Unkontrollierte Datenweitergabe

Der zwischen der t. AG und der Kl. in § 3 des Vertrags v. 5./6.3.2001 ... geregelte Abtretungsvertrag (§ 398 BGB) ist wegen Verstoßes gegen das Fernmeldegeheimnis gem. § 134 BGB i.V.m. § 206 Abs. 1 StGB i.V.m. § 88 TKG nichtig (so auch: Palandt-Ellenberger, 69. Aufl., § 134 Rdnr. 22a). Insofern muss nicht entschieden werden, ob die – zukünftige Ansprüche betreffende – Abtretungserklärung nach § 3 des Vertrags i.V.m. § 1 der Anlage zum Vertrag auch unter dem Gesichtspunkt der auflösenden Bedingung gem. § 7 der Anlage hinreichend bestimmt ist. ... Die Kl. erhielt von der Zedentin ungeschwärzte Einzelverbindungsnachweise, aus denen sich ergeben soll, wann die Bekl. welche Rufnummern angerufen habe. Insofern liegt ein Verstoß gegen das speziell geregelte Fernmeldegeheimnis vor. Dieser wird durch die allgemeine Auskunftspflicht nach § 402 BGB nicht gerechtfertigt. § 97 Abs. 1 Satz 3 TKG stellt nach Ansicht des erkennenden Gerichts keinen Erlaubnistatbestand zur Übermittlung der Daten an den Zessionar dar ... § 97 Abs. 1 Satz 3 TKG bezieht sich nach seinem eindeutigen Wortlaut ausschließlich auf solche Verträge, die der Dienstanbieter mit einem Dritten „zum Einzug des Entgelts“, also zur Geltendmachung eigener Forderungen, abschließt und nicht auf Verträge, durch welche die Forderungen abgetreten werden (AG Hamburg-Altona CR 2007, 238 [= MMR 2006, 834]). Durch Neufassung des § 97 Abs. 1 Satz 3 TKG wurde der Forderungseinzug für Dienstanbieter nicht erleichtert; denn die Vorschrift hat den gleichen Wortlaut wie die Vorläufernorm nach § 7 Abs. 1 TDSV. Zu dieser Norm führte der Verordnungsgeber aus,

dass durch die Vorschrift kein eigenständiges Recht für den Dienstanbieter begründet werden sollte, die Forderung an ein Inkassounternehmen abzutreten mit der Folge, dass dieses die Forderung ggü. dem Kunden als eigene Forderung geltend machen kann. Vom Willen des Verordnungsgebers war somit die Ermöglichung der Abtretbarkeit von Forderungen ohne Zustimmung des jeweiligen Kunden nicht umfasst (AG HamburgAltona, a.a.O. m.w.Nw.). Eine analoge Anwendung des Erlaubnistatbestands nach § 97 Abs. 1 Satz 3 TKG scheidet mangels vergleichbarer Interessenlage aus. Sofern man die Abtretung für zulässig erachtete, könnten Ansprüche aus einem TK-Vertrag, inklusive der insofern bedeutsamen Daten, beliebig oft an Dritte abgetreten werden. Die u.U. sensiblen Kundendaten würden also einer theoretisch unbegrenzten Vielzahl von Unternehmen in die Hände gespielt. Anders liegt der Fall beim Einzug des Entgelts durch einen Dritten. Hier bleibt der – von den staatlichen Behörden kontrollierbare – Anbieter der TK-Dienstleistung Forderungsinhaber; die Daten werden lediglich an ein weiteres und weisungsverpflichtetes Unternehmen und nur, „soweit es zum Einzug des Entgelts und der Erstellung einer detaillierten Rechnung erforderlich ist“ weitergegeben. Einer unkontrollierten Datenweitergabe sind somit klare Grenzen gesteckt. Der Datenschutz genießt den besonderen Schutz nach Art. 10 Abs. 1 GG. Insofern ist eine restriktive, sich streng am Wortlaut der Norm orientierende, Auslegung des § 97 Abs. 1 Satz 3 TKG von Verfassungs wegen geboten. Letztendlich geht es beim Factoring lediglich um die wirtschaftliche (Reste-)Verwertung einer schwer eintreibbaren bzw. vollstreckbaren Forderung. Unter Berücksichtigung der maßgeblichen Wahrung des Fernmeldegeheimnisses ist insofern eine Datenweitergabe an Dritte im Wege der Abtretung niemals „erforderlich“. Dem Anbieter bleibt es unbenommen, seine Rechte selbst einzuklagen. Im vorliegenden Fall wurden der Kl. die einzelnen Verbindungsdaten vollständig übermittelt. Bereits aus diesem Grunde ist die Abtretung unwirksam (so: OLG München NJW-RR 1998, 758 [= MMR 1998, 56 (Ls.)], im Palandt, a.a.O., fehlerhaft als a.A. kommentiert; vgl. auch LG Frankfurt/Oder, U. v. 14.12.2001 – 6 (b) S 76/01 [= MMR 2002, 249 m. Anm. Struck] für anders gelagerten Sachverhalt: vertraglicher Ausschluss der Übermittlung der Verbindungsdaten entgegen § 402 BGB). ...

AG Mannheim: Unwirksame Abtretung von Arztforderungen an Abrechnungsunternehmen StGB § 203 Abs. 1 Nr. 1; BGB §§ 134, 398, 402, 611; BDSG §§ 4, 4a Urteil vom 21.9.2011 – 10 C 102/11 Leitsätze 1. Bei der Abtretung der Forderung aus einer Arztrechnung an ein Abrechnungsunternehmen muss sich die Einwilligung des Patienten zu der Weitergabe seiner Patientendaten auch – jedenfalls für diesen erkennbar – darauf beziehen, dass im Falle der Weiterabtretung an die refinanzierende Bank die Patientenunterlagen und Behandlungsdaten an diese weitergegeben werden können, weshalb der Verstoß hiergegen gem. §§ 4, 4a BDSG, 134 BGB i.V.m. § 203 Abs. 1 Nr. 1 StGB zur Unwirksamkeit der in der Urkunde enthaltenen Erklärungen insgesamt führt.

42 AG Mannheim: Unwirksame Abtretung von Arztforderungen an Abrechnungsunternehmen

ZD 1/2012

2. Auf den Umstand, dass das Abrechnungsunternehmen tatsächlich die Forderung nicht an das refinanzierende Institut weiter abgetreten hat, kommt es deshalb entscheidungserheblich nicht an (so auch OLGR Karlsruhe 1999, 85; OLG Zweibrücken, B. v. 29.11.2006 – 5 U 10/07; LG Frankenthal, U. v. 29.11.2006 – 4 O 298/05; AG Viersen, U. v. 6.2.2007 – 32 C 102/04).

Den oben dargelegten Anforderungen genügt dann allerdings nicht mehr die in der linken Spalte unter dem zweiten Absatz enthaltene Entbindungserklärung von der ärztlichen Schweigepflicht samt Zustimmung zu der Forderungsabtretung. Erstere beinhaltet dem Wortlaut und auch inhaltlich nach ausdrücklich nur eine Entbindung im Umfang des im vorhergehenden Absatz erklärten Einverständnisses hinsichtlich der Weitergabe der Patientendaten an die Kl.

Sachverhalt Die Kl. fordert von der Bekl. die Zahlung zahnärztlicher Behandlungskosten. Die Bekl. war in der Zeit v. 14.8.2007 bis 13.9.2007 in Behandlung bei Dr. V. in M. Am 13.8.2007 unterzeichnete die Bekl. eine vorformulierte Abtretungserklärung zu Gunsten der Kl. Auf Grundlage einer zwischen den Parteien geschlossenen Vergütungsvereinbarung rechnete Abtretung der Zahnarzt über die bis zum AbÄrztlicher Honoraranspruch bruch der Behandlung durch die Bekl. Weiterabtretungsklausel erbrachten Leistungen samt LaborarInkassounternehmen beiten am 12.10.2007 ab. Die Kl. ist der Ansicht, die von der Bekl. unterzeichnete, von ihr angenommene Abtretungserklärung hinsichtlich des mit Dr. V. abgeschlossenen Behandlungsvertrags sei wirksam.

Was die weitere Abtretung an das refinanzierende Institut angeht, fehlt es aber nicht nur an einer entsprechenden ausdrücklichen Entbindungserklärung. Im Zusammenhang der i.Ü. äußerst detaillierten Erklärungen und Informationen zu dem Umfang der Offenlegung seiner Daten ggü. Dritten ergibt sich für den Patienten gerade nicht, dass die sensiblen Patientendaten und Unterlagen zum Zwecke der Forderungsbeitreibung auch an die Bank weitergegeben werden können. Im Gegenteil: Angesichts der ansonsten umfassenden und detaillierten Erklärungen, was die Weitergabe in welchem Umfang an Dritte angeht, wird für den nicht rechtskundigen Bürger entgegen § 402 BGB der Anschein erweckt, dass lediglich die Kl. in den Besitz seiner sensiblen, patientenbezogenen Daten kommen könne. Dies ist auch vor dem Hintergrund zu sehen, dass die nach dem Datenschutzgesetz erteilte Einwilligung sich ausdrücklich auch nur auf die Weitergabe der Behandlungsdaten an den Zahnarzt und die Kl. beschränkt. Von einer mit der Weiterabtretung verbundenen Offenlegung dieser Daten und Unterlagen ist auch hier gerade nicht die Rede. Im Gegenteil: Mit der Regelung unter Abs. 3 der „Einwilligung zur Abtretung“ wird bei dem Patienten wieder die falsche Vorstellung geweckt, dass nach Abtretung der Honorarforderung ihm ggü. lediglich die Kl. als Forderungsinhaber auftreten und (nur) diese sich hierbei auf die „aus der Behandlung und Krankengeschichte ergebenden“ Patientendaten stützen kann. Dass dieses in gleichem Umfang bei der Weiterabtretung an das refinanzierende Institut die Folge ist, wird sowohl bei einer Betrachtung der einzelnen Textabschnitte wie auf Grund deren funktionellen Zusammenhangs dem durchschnittlichen Patienten nicht hinreichend deutlich. Im Gegenteil: Es wird diesem in der Gesamtschau suggeriert, der Eingriff in seine Privatsphäre beschränke sich auf die Weitergabe der Daten an die Kl.

Aus den Gründen Die ... Klage ist unbegründet. Die Kl. ist nicht aktiv gem. §§ 611, 398 BGB legitimiert. Die vorliegende Abtretungserklärung ist sowohl in ihrem verpflichtenden als auch in ihrem verfügenden Teil gem. § 134 BGB unwirksam, da der Arzt mit der Abtretung gegen das Gebot der ärztlichen Verschwiegenheit gem. § 203 Abs. 1 Nr. 1 StGB verstoßen hat, weil die Bekl. ihn nicht wirksam von seiner Verschwiegenheitspflicht befreit hat (vgl. hierzu OLGR Karlsruhe 1999, 85). Ein wirksames Einverständnis i.S.v. § 203 Abs. 1 Nr. 1 StGB setzt nach BGH NJW 1992, 2348 voraus, dass der Einwilligende eine im Wesentlichen zutreffende Vorstellung davon hat, worin er einwilligt und Bedeutung und Tragweite seiner Entscheidung zu überblicken vermag. Er muss deshalb wissen, aus welchem Anlass und mit welcher Zielsetzung er welche Personen von ihrer Schweigepflicht entbindet. Auch muss er über Art und Umfang der Einschaltung Dritter unterrichtet sein (OLG Frankfurt/M. NJW 1988, 2488). Für den Patienten macht es in der Regel einen Unterschied aus, ob externe und durch den Arzt nicht kontrollierbare Dritte eingeschaltet werden. Es muss für ihn eindeutig und zweifelsfrei zu entnehmen sein, dass dem Zessionar zu diesem Zweck sämtliche zur Erstellung der Abrechnung erforderlichen Behandlungsdaten vom behandelnden Arzt zu überlassen sind, also den Umfang der Datenübermittlung, zu der sich der behandelnde Arzt auf Grund des mit der Kl. geschlossenen Vertrags verpflichtete. Zu einer im Wesentlichen zutreffenden Vorstellung von der Tragweite der Einwilligung hätte nach der oben zit. Entscheidung des BGH schließlich gehört, dass der Bekl. die nach dem Abrechnungs- und Vorfinanzierungssystem vorgesehene Weitergabe von Patientendaten durch die Kl. an Finanzierungsinstitute erkennbar gewesen wäre. Der Kl. ist zwar dahin Recht zu geben, als die unter „Einwilligung zur Abtretung“ im ersten Absatz enthaltene Erklärung bzgl. der Kl. diesen Ansprüchen genügt. Dem entspricht auch die auf der rechten Spalte unter „Einwilligung nach Datenschutzgesetz“ vorgesehene weitere Einverständniserklärung. Die dort enthaltenen Informationen über die mit der Abtretung verbundenen Folgen, insb. der Zugriff der Kl. auf die Patientendaten, sind umfassend und detailliert. Auch wird im zweiten [Absatz] der „Einwilligung zur Abtretung“ die refinanzierende Bank benannt und ein Einverständnis mit einer Weiterabtretung durch die Kl. an diese erklärt. ZD 1/2012

Dabei ist aber gerade der Vertrauensschutz hinsichtlich der sensiblen Patientendaten von überragender Bedeutung. Es ist zu berücksichtigen, dass bereits die Weitergabe der Daten an die Kl. einen massiven Eingriff in das Grundrecht der Bekl. auf informationelle Selbstbestimmung bedeutet. Dies gilt umso mehr, als es sich bei der Kl. um eine Institution mit zahlreichen Angestellten handelt. Jeder Mitarbeiter, der mit der Bearbeitung der Abrechnungsangelegenheit zu tun hat, hat demnach auch – zumindest potenziell – Zugriff auf die Patientendaten der Bekl., damit auch auf Einzelheiten aus der Vorgeschichte und der Behandlung, was einem Patienten grds. nicht zumutbar ist (vgl. hierzu BGH, a.a.O.) Bei der Abtretung an eine refinanzierende Bank erweitert sich dieser Personenkreis erheblich, wobei i.Ü. auch Bedenken bestehen, ob bei einer Handelsgeschäfte finanzierenden Bank auch die hinreichende Sensibilität sicher gewährleistet ist zum Schutz der Patientendaten. Dazu kommt, dass mit der Weitergabe dieser Daten auch von vornherein die Möglichkeit eines missbräuchlichen Zugriffs Dritter gesteigert ist. Die Patienten- und Rechnungsdaten werden EDV-mäßig erfasst und verwaltet. Damit besteht dann aber auch die Gefahr eines unbefugten Zugriffs Dritter. Gerade in den letzten Jahren sind – auf Grund laufender Berichterstattung in Presse und Fernsehen allgemein bekannt – nicht nur immer wieder gravierende Pannen und Lecks bei der Datenverwaltung zu verzeichnen, sondern – häufig auch erfolgreiche – Angriffe von Hackern auf sensible Daten mit Erfolg durchgeführt oder versucht

AG Mannheim: Unwirksame Abtretung von Arztforderungen an Abrechnungsunternehmen 43

worden. Gerade Banken sind dabei immer wieder Objekt derartiger Angriffe, wie die in den letzten Monaten zu verzeichnenden Diebstähle von Konto- und Kreditkartendaten belegen. Dieses Risiko wird bei einer Weitergabe der Patientendaten über den „medizinischen“ Bereich hinaus an eine refinanzierende Bank evident gesteigert. Die vorliegende Abtretungserklärung ist damit unwirksam, da sie der Bekl. nicht hinreichend deutlich Umfang und Folgen der von ihr abgegebenen Erklärung verdeutlicht, im Gegensatz die damit verbundenen Konsequenzen verharmlost. Auf den Umstand, dass die Kl. tatsächlich die Forderung nicht an das refinanzierende Institut weiter abgetreten hat, kommt es entscheidungserheblich nicht an (so auch OLG Karlsruhe, a.a.O.; OLG Zweibrücken, B. v. 29.11.2006 – 5 U 10/07; LG Frankenthal, U. v. 29.11.2006 – 4 O 298/05; AG Viersen, U. v. 6.2.2007 – 32 C 102/04). Die Erklärungen hinsichtlich der Abtretung und der Einwilligung stehen in einem rechtlich und inhaltlich untrennbaren Zusammenhang, weshalb die Verstöße gegen §§ 4, 4a BDSG, 134 BGB i.V.m. § 203 Abs. 1 Nr. 1 StGB zur Unwirksamkeit der in der Urkunde enthaltenen Erklärungen insgesamt führt. ...

eingesetzt, der daneben auch Aufgaben im Hauptverwaltungsgebäude der Region H. versah. In der Schule befindet sich neben dem Haupteingang die Hausmeisterloge, in der auch ein PC mit Internetzugang („Hausmeister-PC“) aufgestellt ist. Auf Grund von Hinweisen des Schulleiters, es bestehe der Verdacht einer unzulässigen privaten Nutzung des Internet während des Diensts über den Hausmeister-PC, wurden über einen Zeitraum von sieben Wochen (4.1.2010 bis 19.2.2010) entsprechende Ermittlungen durchgeführt. Die Ermittlungen ergaben, dass der Beteiligte zu 1. in diesem Zeitraum an zwölf Tagen das Internet privat genutzt haben soll; dabei soll er an fünf Tagen Internetseiten mit pornografischem Inhalt aufgerufen haben. Am 10.3.2010 – nachdem er von den gegen den Beteiligten zu 1. gerichteten Ermittlungen Kenntnis erlangt hatte – offenbarte Herr P. ggü. dem Schulleiter, dass er selbst in erheblichem Umfang im letzten sowie im laufenden Jahr während seines Diensts das Internet privat genutzt und dabei auch Seiten mit pornografischem Inhalt aufgerufen habe. Das Arbeitsverhältnis mit Herrn P. wurde daraufhin zur Vermeidung einer außerordentlichen Kündigung zum 31.3.2010 einvernehmlich beendet.

OVG Lüneburg: Datenauswertung zum Nachweis unzulässiger privater Internetnutzung am Arbeitsplatz

Mit Schreiben v. 29.4.2010 beantragte der Personalleiter der Region H. bei dem Beteiligten zu 2. die Zustimmung zur außerordentlichen Kündigung des Beteiligten zu 1. Unter dem 4.5.2010 verweigerte der Beteiligte zu 2. die Zustimmung zur außerordentlichen Kündigung. Am 7.5.2010 hat der Ast. das personalvertretungsrechtliche Beschlussverfahren mit dem Ziel der gerichtlichen Ersetzung der Zustimmung eingeleitet. Das VG hat mit dem angegriffenen Beschluss die Zustimmung zur außerordentlichen Kündigung ersetzt.

NdsPersVG § 41 Abs. 4; BGB § 626 Abs. 1; BDSG § 32 Abs. 1 Satz 1; NdsDSG §§ 9, 10 Beschluss vom 14.9.2011 – 18 LP 15/10 (VG Hannover); rechtskräftig

Aus den Gründen II. Die Beschwerde hat Erfolg. Das VG hat die Zustimmung des Beteiligten zu 2. zur außerordentlichen Kündigung des Beteiligten zu 1. zu Unrecht ersetzt. ...

Leitsatz der Redaktion 1. Es spricht Überwiegendes dafür, ein eigenständiges „betriebsverfassungsrechtliches Beweisverwertungsverbot“ bezüglich derjenigen Daten, die i.R.d. Internetnutzung am Arbeitsplatz angefallen sind, zu verneinen. 2. Arbeitsvertraglich verbotene Internetnutzungen eines Hausmeisters stellen Pflichtverletzungen dar. Diese können jedoch als nicht sehr gravierend eingestuft werden, wenn sie in „Leerphasen“ zwischen den zu verrichtenden Hausmeistertätigkeiten erfolgt sind. In solchen Fällen ist eine außerordentliche Kündigung ohne vorherige Abmahnung nicht gerechtfertigt. 3. Soweit den Beschäftigten die Internetnutzung zu privaten Zwecken untersagt ist, scheidet eine Eigenschaft des Arbeitgebers als Diensteanbieter i.S.d. TK- und Telemedienrechts aus.

Gem. § 626 Abs. 1 BGB kann das Arbeitsverhältnis aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist gekündigt werden, wenn Tatsachen vorliegen, auf Grund derer dem Kündigenden unter Berücksichtigung aller Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile die Fortsetzung des Arbeitsverhältnisses bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. Das Gesetz kennt keine „absoluten“ Kündigungsgründe, vielmehr ist jeder Sachverhalt einer Einzelbeurteilung zu unterziehen. Die erforderliche Überprüfung, ob ein gegebener Lebenssachverhalt die Voraussetzungen des § 626 Abs. 1 BGB erfüllt, ist zweistufig vorzunehmen. Auf der ersten Stufe ist zunächst zu prüfen, ob ein bestimmter Sachverhalt ohne die besonderen Umstände des Einzelfalls als wichtiger Kündigungsgrund „an sich“, d.h. typischerweise geeignet ist. Liegt ein solcher Sachverhalt vor, bedarf es auf der zweiten Stufe der weiteren Prüfung, ob die Fortsetzung des Arbeitsverhältnisses dem Kündigenden unter Berücksichtigung der konkreten Umstände des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile – jedenfalls bis zum Ablauf der Kündigungsfrist – zumutbar ist oder nicht (BAG, U. v. 10.6.2010 – 2 AZR 541/09 – Emmely; LAG Hamburg, B. v. 26.11.2010 – 3 TaBV 5/10).

Anm. d. Red.: Vgl. auch BAG MMR 2007, 782 sowie BAG MMR 2006, 94.

Sachverhalt Der Ast. begehrt die Ersetzung der Zustimmung des Beteiligten zu 2. zu der beabsichtigten außerordentlichen Kündigung des Beteiligten zu 1., die wegen privater Nutzung des Internet an einem Arbeitsplatzcomputer ausgesprochen werden soll. Der 1966 geborene Beteiligte zu 1. ist seit 1997 als Schulhausmeister beschäftigt. Seit August 2008 ist er als Mitglied des Personalrats zu 50% von seiner dienstlichen Tätigkeit freigestellt. Er ist stellvertretender Personalratsvorsitzender der Stammdienststelle. Auf Grund der Freistellung wurde in der Schule zusätzlich Herr O. P. als Hausmeister

Verbotswidrige Internetnutzung Privates Surfen am Büro-PC Unbefugter Download Exzessive private Nutzung

1. Bereits auf der ersten Stufe der Prüfung kann vorliegend ein wichtiger Grund „an sich“ für eine außerordentliche Kündigung nicht angenommen werden. Ein wichtiger Grund kann nicht in einer einfachen – auch wiederholten – verbotswidrigen Internetnutzung zu privaten Zwecken als solcher erblickt werden. ... a) Zur Frage, wann bei einer vom Arbeitgeber nicht erlaubten Nutzung eines Arbeitsplatzcomputers zum privaten Surfen im Internet eine „kündigungsrelevante Verletzung der arbeitsvertraglichen Pflichten“ vorliegt, sind in der Rspr. des BAG sowohl

44 OVG Lüneburg: Datenauswertung zum Nachweis unzulässiger privater Internetnutzung am Arbeitsplatz

ZD 1/2012

im Zusammenhang mit ordentlichen als auch mit außerordentlichen Kündigungen verschiedene Kriterien skizziert worden (BAG, U. v. 31.5.2007 – 2 AZR 200/06 [= MMR 2007, 782]): c Das Herunterladen einer erheblichen Menge von Daten aus dem Internet auf betriebliche Datensysteme („unbefugter Download“), insb. wenn damit einerseits die Gefahr möglicher Vireninfizierungen oder anderer Störungen des – betrieblichen – Systems verbunden sein können oder andererseits von solchen Daten, bei deren Rückverfolgung es zu möglichen Rufschädigungen des Arbeitgebers kommen kann, z.B., weil strafbare oder pornografische Darstellungen heruntergeladen werden; c die private Nutzung des vom Arbeitgeber zur Verfügung gestellten Internetanschlusses als solche, weil durch sie dem Arbeitgeber möglicherweise – zusätzliche – Kosten entstehen können und der Arbeitnehmer jedenfalls die Betriebsmittel – unberechtigterweise – in Anspruch genommen hat; c die private Nutzung des vom Arbeitgeber zur Verfügung gestellten Internet oder anderer Arbeitsmittel während der Arbeitszeit, weil der Arbeitnehmer während des Surfens im Internet oder einer intensiven Betrachtung von Videofilmen oder -spielen zu privaten Zwecken seine arbeitsvertraglich geschuldete Arbeitsleistung nicht erbringt und dadurch seiner Arbeitspflicht nicht nachkommt und sie verletzt.

b) Ob ein Verstoß gegen ein Verbot der privaten Internetnutzung schon für sich genommen ohne Hinzutreten der unter a) genannten Kriterien als ausreichend für die Annahme eines wichtigen Grundes i.S.d. § 626 Abs. 1 BGB anzusehen ist, ist in der bislang vorliegenden höchstrichterlichen Rspr. zum Arbeitsrecht noch nicht eindeutig entschieden worden. ... Zu einer fast täglich zwischen ca. einer Viertelstunde und knapp drei Stunden erfolgten privaten Nutzung über einen Zeitraum von mehr als zwei Monaten hat das BAG regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung als gerechtfertigt angesehen, gleichzeitig aber weitere Feststellungen zu den vorstehend unter a) genannten Kriterien für die Annahme eines wichtigen Grundes „an sich“ eingefordert (U. v. 27.4.2006 – 2 AZR 386/05). c) Darauf aufbauend leitet der Senat folgenden Maßstab für die Beantwortung der Frage ab, ob bei einer verbotswidrigen Internetnutzung zugleich ein wichtiger Grund „an sich“ für eine außerordentliche Kündigung abgeleitet werden kann: aa) Ein „einfacher“ – auch wiederholter – Verstoß ausschließlich gegen ein Verbot des Arbeitgebers zur privaten Nutzung des Internet, der nicht durch die unter a) genannten oder dem vergleichbare Kriterien qualifiziert wird, stellt typischerweise noch keinen wichtigen Grund für eine außerordentliche Kündigung nach § 626 Abs. 1 BGB dar. Eine Nutzung des Internet am Arbeitsplatzrechner zu privaten Zwecken – etwa der kurze tägliche Blick in den Wetterbericht oder den Internetauftritt einer Tageszeitung während der Mittagspause im Büro – kann zwar bei einem Verstoß gegen das Verbot der privaten Nutzung eine kündigungsrelevante Verletzung der arbeitsvertraglichen Pflichten darstellen, welcher der Arbeitgeber zur Durchsetzung seines Verbots ggf. mit einer Abmahnung und im Wiederholungsfalle mit einer ordentlichen verhaltensbedingten Kündigung begegnen können mag, allerdings stellt dieses im Grundsatz noch als sozialadäquat zu beurteilende Verhalten ersichtlich noch keine gravierende Pflichtverletzung dar, durch die sogleich ein wichtiger Grund für eine außerordentliche Kündigung verwirklicht werden könnte. Es müssen dafür vielmehr kumulativ weitere „qualifizierende“ Merkmale von nicht nur unerheblichem Gewicht hinzutreten. Welche Merkmale einen „qualifizierten“ Verstoß gegen ein Verbot des Arbeitgebers zur privaten Nutzung des Internet begründen können, lässt sich typisierend nicht abschließend umschreiben. Sie können sich aber nach Einschätzung des Senats neben einer nicht nur unerheblichen VerwirkliZD 1/2012

chung der unter a) genannten Kriterien typischerweise aus der Art und Weise der Internetnutzung, dem Umfang derselben („exzessive“ bzw. „ausschweifende“ Nutzung), der beruflichen Qualifikation und Stellung des Arbeitnehmers z.B. in Vertrauensbereichen und schließlich aus bestimmten Arbeitsplatzsituationen ergeben. Hinsichtlich der Art und Weise der Internetnutzung ist ein wichtiger Grund umso eher anzunehmen, soweit sich diese von allgemein als sozialadäquat betrachteten Verhaltensweisen entfernt. So überschreitet nach Auffassung des Senats bereits eine umfangreiche Nutzung von Internetseiten mit pornografischen Inhalten die Schwelle zu einem wichtigen Grund „an sich“, ohne dass sie zugleich als „exzessive“ Nutzung zu bewerten sein müsste. Hinsichtlich der Arbeitsplatzsituationen dürfte es etwa – bezogen auf den vorliegenden Fall an einer Schule – typisierend einen Unterschied machen, ob sich eine unmittelbar mit Erziehungsaufgaben betraute Lehrkraft oder ein Hausmeister mit bestimmten verfänglichen Internetinhalten an einem Arbeitsplatzcomputer befasst und ob in diese Aktivitäten Schüler involviert werden könnten oder ob dies von vornherein ausgeschlossen ist. Diese Differenzierung – nicht schon bei „einfachen“ Verstößen, sondern erst aus „qualifizierten“ Verstößen gegen das Verbot der privaten Nutzung die Annahme des Vorliegens eines wichtigen Grundes zu folgern – hält der Senat wegen der gebotenen Abgrenzung der Anwendungsbereiche der außerordentlichen Kündigung einerseits und der ordentlichen verhaltensbedingten Kündigung andererseits schon bei der typisierenden Prüfung auf der „ersten Stufe“ und nicht erst bei der mehr einzelfallbezogenen Interessenabwägung auf der „zweiten Stufe“ für geboten. bb) Jedenfalls sind stets auch bei Überschreitung der Schwelle zu einem wichtigen Grund „an sich“ durch ein einziges qualifizierendes Merkmal gleichwohl weitere Feststellungen zur nicht nur unerheblichen Verwirklichung der unter a) genannten oder vergleichbaren qualifizierenden Merkmalen geboten, weil spätestens bei der Abwägung auf der „zweiten Stufe“ ohnehin relevant ist, ob die durch einen (fortgesetzten) Verstoß gegen ein Verbot begründete Pflichtverletzung durch weitere („tateinheitlich“ begangene) Pflichtverletzungen mehrfach qualifiziert wird. Die Darlegungs- und Beweislast hinsichtlich einer Pflichtverletzung durch einen „einfachen“ Verstoß gegen das Verbot der Privatnutzung des Internet wie auch hinsichtlich der „qualifizierenden“ Merkmale trägt jeweils der die Kündigung aussprechende – bzw. im Zustimmungsersetzungsverfahren dies beabsichtigende – Arbeitgeber (vgl. zu den Grundsätzen der Beweislastverteilung etwa Palandt, BGB-Komm., 70. Aufl. 2011, § 626 Rdnr. 6). d) Gemessen an diesen Maßstäben lässt sich hinsichtlich des Beteiligten zu 1. eine fortgesetzte verbotswidrige private Nutzung des Internet am Arbeitsplatzcomputer – also ein „einfacher“ Verstoß zweifellos feststellen. Eine gleichzeitige („tateinheitliche“) Verwirklichung der unter a) genannten qualifizierenden Merkmale von einigem Gewicht ist hingegen fraglich. Dies gilt sowohl hinsichtlich der dem Beteiligten zu 1. vorgeworfenen „exzessiven“ privaten Nutzung des Internet während der Arbeitszeit als auch hinsichtlich der Frage einer etwaigen Qualifizierung der Pflichtverletzung durch eine umfangreiche Nutzung von Internetseiten mit pornografischen Inhalten. ... bb) Der Beteiligte zu 1. hat ... gegen das Verbot der privaten Internetnutzung verstoßen. An seinem bisherigen Vorbringen, den Internetanschluss am Hausmeister-PC überhaupt nicht privat genutzt zu haben, hat er zuletzt nicht mehr festgehalten. Im Anhörungstermin hat er dem Grunde nach eingeräumt, das Internet zu privaten Zwecken genutzt zu haben. Dabei könne es auch vorgekommen sein, dass er sich auf eine Seite mit sexuellen Inhalten begeben habe. Sowohl die allgemeine Nutzung des

OVG Lüneburg: Datenauswertung zum Nachweis unzulässiger privater Internetnutzung am Arbeitsplatz 45

Internet als auch die Nutzung von Seiten mit sexuellen Inhalten sei aber keinesfalls stundenlang bzw. exzessiv erfolgt. Dies sieht der Ast. unter Rückgriff auf die vom Schulserver erstellten Protokolldateien aus dem siebenwöchigen Überprüfungszeitraum anders. Diese Dateien dürften auch verwertbar sein. Es spricht Überwiegendes dafür, dass entgegen der Auffassung der Beteiligten zu 1. und 2. kein Verwertungsverbot hinsichtlich der vom Ast. vorgelegten Protokolle der Internetnutzung besteht. Unter dem Gesichtspunkt des Datenschutzrechts (vgl. §§ 9 und 10 NDSG sowie insb. die sich aus § 32 Abs. 1 Satz 1 BDSG für Datenverarbeitung im Zusammenhang mit Beschäftigungsverhältnissen ergebenden Wertungen) ist eine Erforderlichkeit der mit der durchgeführten Internetnutzungskontrolle verbundenen Datenerhebung und -nutzung nach Auffassung des Senats ohne weiteres gegeben. Andere Möglichkeiten zur Überprüfung, ob das Verbot der privaten Internetnutzung beachtet wird, hatte der Arbeitgeber nicht. Die Verwertung der Protokolle unterliegt damit datenschutzrechtlich keinen Bedenken. Soweit den Beschäftigten die Internetnutzung zu privaten Zwecken untersagt ist, scheidet nach Einschätzung des Senats auch eine Eigenschaft des Arbeitgebers als Diensteanbieter i.S.d. TK- oder Telemedienrechts und die Anwendbarkeit der sich daraus ergebenden Spezialregelungen aus. Auch aus personalvertretungsrechtlichem Blickwinkel spricht Überwiegendes gegen ein Verbot der Verwertung der Protokolle. Selbst wenn ... die Überwachung der Internetnutzung bzw. die Auswertung der Protokolldateien (entgegen § 67 Abs. 1 Nr. 2 NPersVG) ohne Personalratsbeteiligung erfolgt wäre, würde daraus unter Zugrundelegung der arbeitsgerichtlichen Rspr. kein Verwertungsverbot folgen. In der arbeitsgerichtlichen Rspr. wird vertreten, dass aus der Verletzung des Mitbestimmungstatbestands des § 87 Abs. 1 Nr. 6 BetrVG oder der Verletzung der Regelungen einer Dienstvereinbarung kein eigenständiges „betriebsverfassungsrechtliches Beweisverwertungsverbot“ folgt, weil in einem solchen Fall kollektivrechtliche Sanktionen vorgesehen sind (§ 23 Abs. 3 BetrVG, der in § 63 NPersVG seine personalvertretungsrechtliche Entsprechung findet) und der Schutzzweck dieser Bestimmungen sich nicht zugleich auf die individual-prozessrechtliche Situation des Arbeitnehmers erstreckt (vgl. ArbG Düsseldorf, B. v. 29.4.2011 – 9 BV 183/10). Dieser Erwägung dürfte auch für die prozessuale Konstellation des personalvertretungsrechtlichen Zustimmungsersetzungsverfahrens zu folgen sein, weil ungeachtet der spezifischen prozessualen Einkleidung materieller Prüfungsgegenstand gerade der individualrechtliche Aspekt des Vorliegens der Voraussetzungen des § 626 Abs. 1 BGB ist. Demgegenüber dürfte der kollektivrechtliche Aspekt des Zustimmungsersetzungsverfahrens, nämlich dass Anlass des Verfahrens gerade die Verweigerung der Zustimmung durch den Personalrat ist und die Schutzvorschrift des § 41 Abs. 4 NPersVG auch die Arbeitsfähigkeit des Personalrats im Blick hat, zurücktreten. cc) Die Frage nach einem personalvertretungsrechtlichen Verwertungsverbot kann aber letztlich genauso offen bleiben, wie die Frage etwaiger Verwertungsverbote auf Grund anderer Rechtsvorschriften. Selbst unter uneingeschränkter Zugrundelegung der vom Ast. in das Verfahren eingeführten Protokolle ist der Verstoß gegen das Verbot der privaten Internetnutzung nach der Überzeugung des Senats nicht als so schwerwiegend anzusehen, dass dadurch bereits die Schwelle für einen wichtigen Grund i.S.d. § 626 Abs. 1 BGB überschritten worden wäre: ... (2) Gleichwohl wird dem Beteiligten zu 1. entgegen der Auffassung des VG nach der vom Ast. ins Verfahren eingebrachten Tatsachenlage noch keine „exzessive“ bzw. „ausschweifende“ private Nutzung des Internet vorgeworfen werden können. Es geht zunächst nicht etwa um eine (fast) tägliche verbotswidrige Nut-

zung des Internet. Die Vorwürfe als solche betreffen lediglich insgesamt zwölf Tage in einem Zeitraum von sieben Wochen bei Einsätzen auch an Sonnabenden alle zwei Wochen, also an zwölf von ca. 38 Tagen. Anders gewendet: An fast 70% der Arbeitstage gab es zu dem allein verfahrensgegenständlichen siebenwöchigen Prüfungszeitraum v. 4.1.2010 bis zum 19.2.2010 keine Auffälligkeiten, die dem Beteiligten zu 1. vorgeworfen werden. Die zeitliche Intensität der privaten Internetnutzung an den in Rede stehenden zwölf Tagen vermag der Senat den vorgelegten Protokollen nicht mit abschließender Sicherheit zu entnehmen. ... (3) „Nur“ an fünf Tagen von den zwölf ihm vorgeworfenen Tagen (von 38 Tagen des gesamten siebenwöchigen Prüfungszeitraums) geht es um den Vorwurf der Nutzung von Seiten mit sexuellen bzw. pornografischen Inhalten. Selbst wenn die Vorwürfe in Bezug auf diese Tage vollständig zutreffen würden, kann insoweit in zeitlicher Hinsicht noch nicht von einer umfangreichen oder gar exzessiven bzw. ausschweifenden Nutzung während der Arbeitszeit gesprochen werden. Betrachtet man hinsichtlich der Nutzung pornografischer Internetinhalte die unter a) genannten qualifizierenden Merkmale, scheiden die Gesichtspunkte des unbefugten Downloads erheblicher Datenmengen auf betriebliche Dateisysteme sowie die (mögliche) Verursachung zusätzlicher Kosten von vornherein aus; dass es dazu gekommen ist, ist weder behauptet worden noch sonst ersichtlich. Ein Dateidownload etwa von pornografischen Filmen, die dann auf dem Computer abgespeichert wurden, ist ersichtlich ebenfalls nicht erfolgt. Die dem Beteiligten zu 1. vorgeworfene Nutzung von „Pornoseiten“ nimmt vielmehr einen schon hinsichtlich der protokollierten Zeitfenster geringen Umfang ein: ... Hinsichtlich des verbleibenden Vorwurfs der privaten Nutzung während der Arbeitszeit als möglicher Qualifizierungsgrund für die Annahme einer gravierenden Pflichtverletzung i.S.d. § 626 Abs. 1 BGB ist zu relativieren: Die dem Beteiligten zu 1. vorgeworfene Nutzung von pornografischen Inhalten fiel im Wesentlichen (jedenfalls an drei der fünf Tage) in „Leerphasen“ zwischen Schließdiensten oder in Zeiten, zu denen er noch gar nicht oder nicht mehr dienstplanmäßig eingesetzt war. ... 3. Selbst wenn man demgegenüber auf Grund der feststellbaren verbotenen privaten Internetnutzung das Überschreiten der Schwelle zu einem wichtigen Grund „an sich“ i.S.d. § 626 Abs. 1 BGB annehmen wollte, kann nicht davon ausgegangen werden, dass dem Ast. die Fortsetzung des Arbeitsverhältnisses mit dem Beteiligten zu 1. unter Berücksichtigung der konkreten Umstände des Einzelfalls unter Abwägung der Interessen beider Vertragsteile bis zum Ablauf der Kündigungsfrist nicht zumutbar ist. Die beabsichtigte Kündigung nach § 626 Abs. 1 BGB hält der Senat i.E. nicht für gerechtfertigt, weil es zum einen einer vorherigen Abmahnung bedurft hätte und zum anderen die vom Ast. in das Verfahren eingebrachten Pflichtverletzungen des Beteiligten zu 1. nur eine ordentliche (verhaltensbedingte) Kündigung tragen könnten. a) Bei der Prüfung, ob dem Arbeitgeber eine Weiterbeschäftigung des Arbeitnehmers trotz Vorliegens einer erheblichen Pflichtverletzung jedenfalls bis zum Ablauf der Kündigungsfrist zumutbar ist, ist in einer Gesamtwürdigung das Interesse des Arbeitgebers an der sofortigen Beendigung des Arbeitsverhältnisses gegen das Interesse des Arbeitnehmers an dessen Fortbestand abzuwägen. ... b) Nur dann, wenn weder eine – auch bei Personalratsmitgliedern mögliche – Abmahnung noch eine – bei Personalratsmitgliedern nicht mögliche und daher fiktive – ordentliche verhaltensbedingte Kündigung dem Arbeitgeber als mildere Reaktionsmöglichkeiten unzumutbar sind, darf eine außerordent-

46 OVG Lüneburg: Datenauswertung zum Nachweis unzulässiger privater Internetnutzung am Arbeitsplatz

ZD 1/2012

liche Kündigung nach § 626 Abs. 1 BGB erfolgen bzw. die Zustimmung des Personalrats im Verfahren nach § 41 Abs. 4 Satz 2 NPersVG ersetzt werden. ... bb) Hinsichtlich einer Abmahnung als in Betracht zu ziehende mildere Reaktionsmöglichkeit gilt Folgendes: (1) Allgemein ist jedenfalls bei Störungen im Leistungsbereich, etwa bei mangelhaften Arbeitsleistungen, auch vor einer beabsichtigten außerordentlichen Kündigung eine vorherige Abmahnung regelmäßig erforderlich (Palandt, a.a.O., § 626 Rdnr. 18; Dembowski/Ladwig/Sellmann, Personalvertretung Niedersachsen, Lsbl., Stand: April 2011, § 75 Rdnr. 14). Bei Störungen im Vertrauensbereich bedarf es einer Abmahnung, wenn der Arbeitnehmer mit vertretbaren Gründen annehmen konnte, sein Verhalten sei nicht vertragswidrig oder werde vom Arbeitgeber zumindest nicht als ein erhebliches, den Bestand des Arbeitsverhältnisses gefährdendes Fehlverhalten angesehen (BAG, U. v. 7.7.2005 – 2 AZR 581/04 [= MMR 2006, 94]) bzw. nicht als wichtiger Kündigungsgrund gewertet (Palandt, a.a.O., § 626 Rdnr. 18 m.w.Nw.). In der neueren Rspr. des BAG ist der Verhältnismäßigkeitsgrundsatz in Anbetracht der gesetzlichen Regelung des § 314 Abs. 2 BGB besonders hervorgehoben worden ... (BAG, a.a.O. – Emmely). ... (3) Der Senat hält ... bei einer beabsichtigten außerordentlichen Kündigung zum einen für erforderlich, dass eine schwere – bzw. i.S.d. oben unter 1. genannten Kriterien „qualifizierte“ – Pflichtverletzung vorliegt bzw. festgestellt werden kann, bei der weiterhin für den Arbeitnehmer die Rechtswidrigkeit seines Verhaltens genauso offensichtlich erkennbar ist wie der Umstand, dass der Arbeitgeber dieses Verhalten keinesfalls hinnehmen wird. Ansonsten muss der Arbeitgeber als milderes Mittel eine ordentliche Kündigung oder eine Abmahnung wählen. Der Verhältnismäßigkeitsgrundsatz hat gerade im Bereich des öffentlichen Diensts, in dem in einer Dienststelle zugleich Beamte als auch Angestellte arbeiten, besonderes Gewicht. Das folgt daraus, dass Pflichtverletzungen, die bei einem Beamten nach den differenzierten Möglichkeiten des Disziplinarrechts nicht zu einer Entfernung aus dem Dienst, sondern ggf. nur zu einer Kürzung der Bezüge führen, im Arbeitsrecht nicht sogleich dem Kündigungsbereich zugeordnet werden dürfen, weil es „abgestufte“ Sanktionsmöglichkeiten nicht gibt. c) Gemessen an diesen Kriterien erscheint eine außerordentliche Kündigung vorliegend auch dann als unverhältnismäßig, wenn man eine verbotswidrige Internetnutzung sowohl hinsichtlich pornografischer als auch sonstiger Internetseiten annimmt, die die Schwelle zu einem „wichtigen Grund“ überschreitet. Der Ast. hätte den Beteiligten zu 1. vielmehr zunächst abmahnen müssen: Eine „exzessive“ bzw. „ausschweifende“ Nutzung des Internet zu privaten Zwecken während der Arbeitszeit, die eine Abmahnung entbehrlich machen könnte, lässt sich – wie sich aus den Ausführungen unter 1. ergibt – gerade nicht zu Lasten des Beteiligten zu 1. feststellen. Jedenfalls musste der Beteiligte zu 1. aber noch nicht davon ausgehen, dass der Ast. seine in die Arbeitszeit fallende Internetnutzung ohne Vorwarnung sogleich als ein erhebliches, den Bestand des Arbeitsverhältnisses gefährdendes Fehlverhalten ansehen würde. Insoweit ist auch in Rechnung zu stellen, dass die Dienstvereinbarung über die private Internetnutzung Raum für subjektive Missverständnisse lässt. Ein Arbeitnehmer wird sich vorstellen können, dass bei Ermöglichung privater Internetnutzung unter bestimmten Voraussetzungen eine Nutzung ohne Erfüllung dieser Voraussetzungen jedenfalls schon nicht als „so schlimm“ angesehen wird, dass damit sogleich der Bestand des Arbeitsverhältnisses in Gefahr geraten würde. Dies gilt allerdings nur, soweit es nicht um porZD 1/2012

nografische Internetseiten geht, weil deren Besuch auch bei nach der Dienstvereinbarung ermöglichter privater Nutzung ausgeschlossen ist. Davon abgesehen kann sich der Senat ohne weiteres ... vorstellen, dass die Hausmeistertätigkeit gerade auch in der vorliegenden Ausprägung mit festen Kernarbeitszeiten nach Dienstplan bei (wohl) weitgehend freier Pausenplanung nebst abendlichen Schließdiensten zumindest an einzelnen Tagen auch durch einigen „Leerlauf“ geprägt ist, der dann mit der Nutzung des Internet ausgefüllt worden ist und dies in ein etwas milderes Licht rückt. Hinzu kommt, dass der private Zugriff auf das Internet vom Hausmeister-PC in der Zeit vor Geltung der Dienstvereinbarung nicht ernsthaft kontrolliert wurde, sodass sich ein bestimmtes Verhalten erst „einschleifen“ konnte. Zu Gunsten des Beteiligten zu 1. spricht weiterhin dessen lange Zugehörigkeit zur Region H. als Schulhausmeister bei ansonsten offenbar nicht zu beanstandendem dienstlichen Verhalten. Auch bestand nach dem Vortrag des Ast. offenbar nicht die Gefahr, dass Schüler bei der Betrachtung verfänglicher Inhalte hätten involviert werden können. Unter dem Aspekt einer Wiederholungsgefahr ist zu berücksichtigen, dass der Beteiligte zu 1. die private Internetnutzung letztlich – wenn auch spät – eingeräumt und damit Einsicht gezeigt hat. Der Senat geht davon aus, dass sich der Beteiligte zu 1. das gerichtliche Zustimmungsersetzungsverfahren, in dem er um seinen Arbeitsplatz und damit seine berufliche Existenz bangen musste, zur Warnung gereichen lässt und es in Zukunft nicht mehr zu Unregelmäßigkeiten kommt. Im Wiederholungsfalle würde der Ast. zu Recht auf eine außerordentliche Kündigung zurückgreifen können. ...

OVG Berlin-Brandenburg: Polizeiliche Videoaufnahmen bei Demonstrationen GG Art. 1 Abs. 1 und 3, 2 Abs. 1, 8 Abs. 1, 19 Abs. 4, 20 Abs. 3; VersG §§ 12a, 19a Beschluss vom 9.9.2011 – OVG 1 S 157.11 (VG Berlin); rechtskräftig Leitsatz der Redaktion Enthält der Einsatzbefehl der Bereitschaftspolizei für eine erwartete Großdemonstration, dass eine Bild-, Video- und Tondokumentation nur anlassbezogen aus polizeilichen Gründen und zur gerichtsfesten Beweissicherung im Zusammenhang mit strafprozessualen Einsatzmaßnahmen erfolgt, so besteht kein Anlass für eine verwaltungsgerichtliche, auf das Verbot solcher Aufzeichnungen gerichtete Eilentscheidung. Anm. d. Red.: Zur polizeilichen Videoüberwachung im öffentlichen Raum vgl. VG Hannover ZD 2011, 92.

Sachverhalt Der Ast. begehrt den Erlass einer einstweiligen Anordnung, mit der dem Ag. untersagt werden soll, ihn auf der für den 10.9.2011 unter freiem Himmel geplanten Versammlung des Arbeitskreises Vorratsdatenspeicherung unter dem Motto „Freiheit statt Angst – Stoppt den Überwachungswahn“ zu filmen, zu fotografieren oder akustisch aufzuzeichnen oder eine Kamera auf ihn Anlassbezogene Datenerhebung richten zu lassen, solange nicht tat- Übersichtaufnahmen sächliche Anhaltspunkte dafür vorlie- Versammlungsgesetz gen, dass er oder in seinem unmittel- Videoüberwachung baren Umfeld befindliche Personen, Tiere oder Sachen die öffentliche Sicherheit und Ordnung in erheblicher Weise gefährden, hilfsweise, eine dem äußeren Anschein nach zur dauerhaften Aufzeichnung geeignete Kamera OVG Berlin-Brandenburg: Polizeiliche Videoaufnahmen bei Demonstrationen 47

auf ihn zu richten oder richten zu lassen, solange nicht tatsächliche Anhaltspunkte dafür vorliegen, dass der Ast. oder in dessen unmittelbarem räumlichen Umfeld befindliche Personen, Tiere oder Sachen die öffentliche Sicherheit und Ordnung in erheblicher Weise gefährden und dem Ag. für jeden Fall der Zuwiderhandlung unter Ausschluss der Einrede des Fortsetzungszusammenhangs Zwangsgeld bis a 10.000,– anzudrohen. Der Ag. hat auf den Antrag erwidert, dass für den Erlass der einstweiligen Anordnung kein Grund gegeben sei, weil der Ag. generell geregelt habe, dass Bildaufzeichnungen während einer Versammlung nur dann erfolgten, wenn eine erhebliche Gefahrenlage für die öffentliche Sicherheit und Ordnung gem. § 12a und 19a Versammlungsgesetz – VersG – dazu Anlass gäben. Das VG hat darauf den Antrag nach Anhörung des Ast. mangels glaubhaft gemachten Anordnungsgrunds abgelehnt. Mit seiner Beschwerde macht der Ast. geltend, dass die im Verfahren abgegebene Erklärung des Ag. nicht ausreiche, um zu sichern, dass sich ein Eingriff in die Rechte des Ast. wie im Vorjahr nicht wiederholen werde. Der Ag. hat mit der Beschwerdeerwiderung darauf hingewiesen, dass seine Erklärung auf eine dem Senat vorgelegte allgemeine Anweisung des Polizeipräsidenten v. 3.8.2010 gestützt sei, keine Videoüberwachung von Versammlungen mehr vorzunehmen, und er hat erläutert, dass im Kooperationsgespräch die Beschränkung von Aufnahmen nur bei Vorliegen der rechtlichen Voraussetzungen zugesagt und erklärt worden sei, woran zu erkennen sei, dass die Kameras nicht in Betrieb seien. Schließlich ist der Einsatzbefehl der Bereitschaftspolizei für die morgige Veranstaltung auszugsweise vorgelegt worden; danach erfolgt eine Bild-, Video- und Tondokumentation nur anlassbezogen bei polizeilichem, rechtserheblichem Einschreiten und zur gerichtsfesten Beweissicherung im Zusammenhang mit strafprozessualen Einsatzmaßnahmen. Aus den Gründen Zwar ist der Beschwerde zuzugeben, dass die Begründung des VG insoweit der Schlüssigkeit entbehrt, als dem Ag. im Zeitpunkt der Vorjahresversammlung das am 27.7.2010 zugestellte Urteil des VG in dem Verfahren VG 1 K 905.09 bei Abgabe seiner Erklärungen für den 11.9.2010 bereits bekannt war. Das allein reicht aber nicht aus, um die Erforderlichkeit des Erlasses der einstweiligen Anordnung zur Sicherung der Rechte des Ast. zu begründen. Der Ag. hat in dem vom Kl. im Nachgang zu der Versammlung am 12.9.2009 anhängig gemachten Klageverfahren (VG 1 K 818.09) die Anfertigung sog. Übersichtsaufnahmen bei der Vorjahresveranstaltung, also eine Beobachtung ohne Aufzeichnung, eingeräumt; i.Ü. ist streitig, ob und wie der Ast. gefilmt wurde. Daraus allein kann eine Wiederholungsgefahr nicht abgeleitet werden. Vielmehr ist die durch die Beschwerdeerwiderung zusätzlich untersetzte Erklärung des Ag., die sich ausdrücklich auch auf solche lediglich beobachtenden Maßnahmen bezieht, wie sie Gegenstand des verwaltungsgerichtlichen U. v. 5.7.2010 waren, ernst zu nehmen. Der Ag. unterliegt auch anders als private Personen der unmittelbaren Grundrechtsbindung (Art. 1 Abs. 3 GG); das Handeln der vollziehenden Gewalt unterliegt dem Gesetzesvorbehalt (Art. 20 Abs. 3 GG). Seine Amtsträger sind an die vorgelegte interne Weisung des Polizeipräsidenten gebunden und setzten sich bei ihrer Missachtung der Gefahr disziplinärer Ahndung aus. Der Ag. kann sich auch einer Überprüfung der Rechtmäßigkeit seines Handelns nicht entziehen (Art. 19 Abs. 4 GG); bei denkbaren Eingriffen der vorliegenden Art ist ein effektiver Rechtsschutz auch nachträglich durch die Fortsetzungsfeststellungsklage gewährleistet. Ange-

48 OVG Berlin-Brandenburg: Polizeiliche Videoaufnahmen bei Demonstrationen

sichts dieser rechtlichen Bindungen und der Möglichkeiten zu ihrer Kontrolle, aber auch vor dem Hintergrund, dass die Handlungsfähigkeit des Staats als Träger des Gewaltmonopols in jeder Lage, also auch etwa der eines polizeilichen Notstands, gewährleistet bleiben muss, darf der lagebezogene Handlungsspielraum des polizeilichen Einsatzleiters bei rechtlich schwierigen Abgrenzungsfragen nicht von vornherein eingeschränkt werden. Eine Strafbewehrung der Unterlassungserklärung des Ag. – dessen tatsächliches Verhalten freilich für künftige Anwendungsfälle zu berücksichtigen sein wird – ist deshalb nicht erforderlich. Der Senat weist i.Ü. darauf hin, dass das U. v. 5.7.2010 noch nicht rechtskräftig ist, sondern der Antrag über die Zulassung der Berufung (OVG 1 N 88.10) noch schwebt, mithin über die Rechtsfrage, ob und unter welchen Umständen eine KameraMonitor-Überwachung im Zusammenhang mit Aufzügen unter freiem Himmel auf welcher Rechtsgrundlage zulässig ist, nicht abschließend i.S.d. Ast. entschieden ist, sodass auch der Anordnungsanspruch nicht mit der erforderlichen überwiegenden Wahrscheinlichkeit des Obsiegens in der Hauptsache glaubhaft gemacht ist. Angesichts der noch ausstehenden Klärung hat die auch vom BVerfG in der Entscheidung zum Bayerischen Versammlungsgesetz angeführte Erwägung, dass möglichen Einschüchterungseffekten für die Versammlungsteilnehmer durch die Präsenz einer Kamera, die das Geschehen an eine andere, nicht übersehbare Stelle überträgt, nur dann Durchschlagskraft zukommt, wenn eine durch Übersichtsaufnahmen zentralisierte Lenkung und Leitung des Polizeieinsatzes den jeweiligen Umständen nach von vornherein nicht erforderlich ist (vgl. BVerfGE 122, 342 Rdnr. 135), auch im vorliegenden Verfahren Bedeutung. Die Aufzüge, an denen der Kl. in der Vergangenheit teilgenommen hat, waren mit einer Teilnehmerzahl von um die 10.000 Teilnehmer von einer nicht mehr nur unbedeutenden Größenordnung, bei der nicht von vornherein angenommen werden kann, dass der Einsatz technischer Hilfsmittel bei der Durchführung des (auch den Schutz der Versammlung und ihrer Teilnehmer bezweckenden) begleitenden Polizeieinsatzes nicht als von vornherein unnötig angesehen werden kann. Für die geplante Veranstaltung am morgigen Tag ist nach dem Kooperationsgespräch wiederum mit einer Teilnehmerzahl in einer Größenordnung von etwa 5.000 Teilnehmern zu rechnen. Auch unter Berücksichtigung der außerordentlichen Bedeutung des Grundrechts der Versammlungsfreiheit, der kollektiven Meinungsäußerungsfreiheit und des Rechts auf informationelle Selbstbestimmung können Maßnahmen, die sich aus polizeilichen Anforderungen der Begleitung eines größeren Aufzugs in einer Großstadt ergeben und deren Erforderlichkeit nicht durchweg in allen Einzelheiten vorhergesehen werden kann, hinzunehmen sein, wenn sie mit Rücksicht auf den Wertgehalt der genannten grundrechtlichen Positionen, unter Beachtung des Vorrangs der versammlungsrechtlichen Ermächtigungen und unter Wahrung des Verhältnismäßigkeitsgrundsatzes erfolgen. Vor dem Hintergrund der noch nicht abschließend geklärten Rechtslage kann deshalb i.R.d. hier zu treffenden Eilentscheidung auch nicht festgestellt werden, dass die dem Ast. ohne den Erlass der einstweiligen Anordnung konkret drohenden Nachteile solches Gewicht haben, dass ihm nicht zugemutet werden kann, an der Versammlung ohne eine Unterlassungsverpflichtung des Ag. teilzunehmen. Bislang ist jedenfalls nicht festzustellen, dass den Ast. die von ihm geäußerten Befürchtungen von der Teilnahme an den Versammlungen und auch exponierter kollektiver Meinungsäußerung abgehalten hätten. ...

ZD 1/2012

ZD FOKUS Nutzer dann auf dieses Icon, solle zu der jeweiligen Kategorie ein standardisierter allgemein verständlicher Text erscheinen, in dem sowohl die verwendeten Cookies aufgeführt als auch die technische Funktionsweise des Cookies, der Cookie-Anbieter (ggf. auch Links zu deren Homepage) sowie eine rechtlich ausreichend formulierte Einwilligungserklärung enthalten sind. Auf Basis dieser Information soll der Nutzer dann seine Einwilligung erteilen können. Die mit diesem Vorschlag verfolgte Absicht besteht letztlich darin, den i.R.e. Einwilligung notwendigen Informationsprozess zu beschleunigen, zu standardisieren und damit zu vereinfachen. Dies soll dadurch erreicht werden, dass möglichst auf allen Websites dieselben grafischen Icons und dieselben Informationstexte

verwendet werden, sodass die Nutzer an deren Verwendung gewöhnt werden und den Informationsgehalt schneller erfassen können. Dazu soll auch eine konzertierte Aufklärungskampagne der Website-Betreiber beitragen. So sei es nach Auffassung der ICC möglich, den Informationsprozess der Website-Nutzer soweit zu beschleunigen, dass auch nach Umsetzung der „Cookie-Richtlinie“ eine Verwendung von Cookies überhaupt noch praktikabel und wirtschaftlich sinnvoll sei. Dr. Flemming Moos ist Rechtsanwalt bei Norton Rose Germany LLP, Hamburg. Marian Arning, LL.M. ist Rechtsanwalt bei Norton Rose Germany LLP, Hamburg.

Stefan Hanloser Bericht aus der ZD-Community

D

as Gruppen-Portal des Verlags C.H. Beck wurde im November umstrukturiert, sodass der Bericht aus der ZD-Community in diesem Heft entfallen muss. Stattdessen soll aus dem beck-blog über die Diskussion zum EuGH-Urteil v. 24.11.2011 – C-468/10 (ASNEF/ FECEMD; ZD 2012, 33 – in diesem Heft) berichtet werden. In der Entscheidung hatte der EuGH eine datenschutzrechtliche Verordnung der spanischen Regierung für europarechtswidrig erklärt, weil der Datenumgang auf der Grundlage einer Interessenabwägung entsprechend Art. 7 lit. f der DS-RL 95/46 nur für personenbezogene Daten aus öffentlich zugänglichen Quellen erlaubt war. Der Umgang mit Daten aus Quellen, die nicht jedermann offen stehen, konnte nach der Verordnung nicht auf eine Interessenabwägung gestützt werden. Der EuGH entschied, dass „(...) Art. 7 lit. f der RL 95/46 [verbietet], dass ein Mitgliedstaat kategorisch und verallgemeinernd die Verarbeitung bestimmter Kategorien personenbezogener Daten ausschließt, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen“. Den Begriff „Kategorien personenbezogener Daten“ versteht der EuGH also nicht nur thematisch-inhaltlich (z.B. Datenkategorie „Gesundheitsdaten“); ZD 1/2012

den Mitgliedstaaten verbietet der EuGH auch, eine bestimmte Datenherkunft bzw. bestimmte Datenquellen kategorisch – d.h. ohne legitimierende Interessenabwägung – auszuschließen (hier die Datenkategorie „Daten aus nicht öffentlich zugänglichen Quellen“). Im beck-blog wurde die Bedeutung des ASNEF/FECEMD-Urteils für den immer noch im Raum stehenden Regierungsentwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (BT-Drs. 17/ 4230 v. 15.12.2010) mit seinen verschiedenen kategorischen Erhebungsverbo-

ten diskutiert. So wurde zutreffend darauf hingewiesen, dass die „lex facebook“ in § 32 Abs. 6 Satz 3 BDSG-E, die die Datenerhebung aus sozialen Netzwerken, die nicht zur Darstellung der beruflichen Qualifikation ihrer Mitglieder bestimmt sind, kategorisch verbietet, am Maßstab des ASNEF/FECEMD-Urteils gemessen europarechtswidrig ist. Auch wurde vertreten, dass das Urteil konsequent nicht nur den kategorischen Ausschluss bestimmter Datenquellen, sondern auch den kategorischen Ausschluss bestimmter Datenerhebungsmethoden ohne den Vorbehalt einer legitimierenden Interessenabwägung erfasst; danach wäre auch das strikte Verbot der verdeckten Videoüberwachung nach § 32e Abs. 4 Ziff. 3 BDSG europarechtswidrig. Perspektivisch wird man das ASNEF/FECEMD-Urteil vor dem Hintergrund einer künftigen EU-Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Allgemeine Datenschutz-Verordnung – ADV) lesen müssen. Art. 82 des vorläufigen Kommissionsentwurfs erlaubt es den Mitgliedstaaten, konkrete Regeln zum Schutz von Beschäftigtendaten „im Rahmen der ADV“ zu erlassen. Sollte es bei dieser Regelung bleiben, wird uns der datenschutzrechtliche Gestaltungsspielraum der nationalen Gesetzgeber zumindest für den bereichsspezifischen Beschäftigtendatenschutz auch künftig erhalten bleiben. Dr. Stefan Hanloser ist Rechtsanwalt in München und Mitglied des Wissenschaftsbeirats der ZD.

BVerfG: Neuregelung zur TK-Überwachung gebilligt ZD-Aktuell zd01, 01

Das BVerfG hat (B. v. 12.10.2011 – 2 BvR 236/08; ZD wird die Entscheidung demnächst veröffentlichen) entschieden, dass die Neuregelung bzw. Änderung einzelner Vorschriften der StPO durch Art. 1 und 2 des Gesetzes zur Neuregelung der Tk-Überwachung v. 21.12.2007 mit dem GG im Einklang steht. Der Zweite Senat entschied u.a., dass das Gesetz nicht gegen das Zitiergebot nach Art. 19 Abs. 1 Satz 2 GG verstoße, da die Neuregelung in § 101 Abs. 6 Satz 3 StPO nur eine unerhebliche Gesetzesänderung im Vergleich zur Vorgängerregelung be-

gründe, noch verletzten die angegriffenen strafprozessualen Vorschriften die Bf. in ihren Grundrechten. Gegen die Erweiterung des Straftatenkatalogs in § 100a Abs. 2 StPO bestünden keine verfassungsrechtlichen Bedenken. Auch die durch § 100a Abs. 4 StPO geschaffenen Vorkehrungen zum Schutz des Kernbereichs privater Lebensgestaltung bei der TK-Überwachung und die Ausgestaltung der Benachrichtigungspflichten in § 101 Abs. 4 bis 6 StPO genügten den verfassungsrechtlichen Anforderungen. c Vgl. hierzu auch BVerfG MMR 2009, 36. ZD Fokus XI

ZD FOKUS Beitrags- und Rechtsprechungsübersicht 2011 I. Verfasser- und Beitragsverzeichnis Aßmus, Ubbo, Kontrolle des Betriebsrats durch den betriebSchneider, Jochen, Die Datensicherheit – eine vergessene lichen Datenschutzbeauftragten? Unabhängigkeit der Kontrolle Regelungsmaterie? Ein Plädoyer für Aufwertung, stärkere Inteund Alternativen zur bestehenden Rechtslage 27 gration und Modernisierung des § 9 BDSG 6 Conrad, Isabell/Schneider, Jochen, Einsatz von „privater IT“ im Unternehmen. Kein privater USB-Stick, aber „Bring your own device“ (BYOD)? 153

Schneider, Jochen/Härting, Niko, Warum wir ein neues BDSG brauchen. Kritischer Bezug zum BDSG und dessen Defiziten 63

Finger, Manuela, Neue datenschutzrechtliche Pflichten für Diensteanbieter im Internet. Kritische Anmerkungen zum Entwurf zur Änderung des TMG 109

Schröder, Christian/Haag, Nils Christian, Neue Anforderungen an Cloud Computing für die Praxis. Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“ 147

Hoeren, Thomas, Google Analytics – datenschutzrechtlich un- Schröder, Markus, Datenschutzrechtliche Fragen beim Einsatz bedenklich? Verwendbarkeit von Webtracking-Tools nach BDSG von Flash-Cookies. Ist ein rechtssicherer Einsatz von Cookies vor und TMG 3 dem Hintergrund der EU-Privacy-Richtlinie möglich? 59 Hornung, Gerrit, Datenschutz durch Technik in Europa. Die Spies, Axel, USA: Neue Datenschutzvorschriften auf dem PrüfReform der Richtlinie als Chance für ein modernes Datenschutz- stand. Mehr Schutz für die Privacy der Bürger per Gesetz oder recht 51 durch Selbstverpflichtung der Industrie? 12 Jandt, Silke/Roßnagel, Alexander, Datenschutz in Social Networks. Kollektive Verantwortlichkeit für die Datenverarbeitung 160

Stadler, Thomas, Verstoßen Facebook und Google Plus gegen deutsches Recht? Ausschluss von Pseudonymen auf SocialMedia-Plattformen 57

Jandt, Silke/Roßnagel, Alexander/Volland, Bernd, Datenschutz für Smart Meter. Spezifische Neuregelungen im EnWG 99

Venzke, Sven, Die Personenbezogenheit der IP-Adresse. Lange diskutiert und immer noch umstritten? 114

Knierim, Antonie, Kumulation von Datensammlungen auf Vorrat. Vorratsspeicherung von TK- und Fluggastdaten und das Verbot umfassender Überwachung 17

Weber, Marc Philipp/Voigt, Paul, Internationale Auftragsdatenverarbeitung. Praxisempfehlung für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardklauseln 74

Petri, Thomas/Dorfner, Claudia, E-Justiz und Datenschutz. Ausgewählte Rechtsfragen 122

Wendt, Tilo, Informationsfreiheitsgesetze (IFG) und geistiges Eigentum. Versperrt geistiges Eigentum in der Praxis den Zugang zu behördlichen Informationen? 166

Robrecht, Bettina, Überblick über wesentliche Neuerungen Wybitul, Tim, Neue Spielregeln bei E-Mail-Kontrollen durch der BDSG-Novelle II. Weiterhin viele offene Fragen in der prakti- den Arbeitgeber. Überblick über den aktuellen Meinungsstand schen Umsetzung 23 und die Folgen für die Praxis 69 Schmitz, Peter, Telefonanlagenfunktionen „im Netz“ des TK-Providers. Vertragsgestaltung unter einer datenschutzrechtlichen Gemengelage nach TKG, TMG und BDSG 104

Wybitul, Tim, „Whistleblowing“ – datenschutzkonformer Einsatz von Hinweisgebersystemen? Für und Wider zum rechtskonformen Betrieb 118

II. Editorial Hoeren, Thomas, Wenn Sterne kollabieren, entsteht ein schwarzes Loch – Gedanken zum Ende des Datenschutzes 145

Schaar, Peter, Steuer-ID darf kein allgemeines Personenkennzeichen werden! 49

Reding, Viviane, Herausforderungen an den Datenschutz bis 2020: Eine europäische Perspektive 1

Schwartz, Paul M., „Personenbezogene Daten“ aus internationaler Perspektive 97

III. Entscheidungsanmerkungen US Court of Appeals for the Seventh Circuit, E. v. 24.1.2011 – Nos. 09–2838, 10–2639 (Wittmann) 173

LAG Berlin-Brandenburg, U. v. 16.2.2011 – 4 Sa 2132/10 (Tiedemann) 43

OLG Hamburg, U. v. 2.8.2011 – 7 U 134/10 (Arning) 138

ArbG Bielefeld, B. v. 26.1.2011 – 6 BV 46/10 (Kirsch) 86

BAG, U. v. 24.3.2011 – 2 AZR 170/10 (Grimm/Strauf) 132

ArbG Düsseldorf, U. v. 3.5.2011 – 11 Ca 7326/10 (Grimm/ Strauf) 185

BAG, U. v. 24.3.2011 – 2 AZR 282/10 (Tiedemann) 128 XII ZD Fokus

ZD 1/2012

ZD FOKUS IV. Entscheidungsregister – zeitlich geordnet A. Internationale Gerichte EuGH, U. v. 5.5.2011 – C-543/09, Herausgabepflicht von Teilnehmerdaten 79

US Court of Appeals for the Seventh Circuit, E. v. 24.1.2011 – Nos. 09–2838, 10–2639, US-Discovery auch für Prozesse vor deutschen Gerichten möglich 173

EuGH, U. v. 28.7.2011 – C-71/10, Zugang der Öffentlichkeit zu Umweltinformationen 176

Schweiz. BVGer, U. v. 30.3.2011 – A-7040/2009 (Ls.), Absolute Unkenntlichmachung von Personen bei Google Street View 48

B. Verfassungsgerichte Bundesverfassungsgericht BVerfG, B. v. 20.5.2011 – 2 BvR 2072/10, Beweisverwertungsverbot von Videoaufzeichnungen bei Unterschreitung des Sicherheitsabstands im Straßenverkehr 177 C. Ordentliche Gerichte 1. Bundesgerichtshof BGH, U. v. 7.6.2011 – VI ZR 108/10, Verbreitung eines identifizierenden Fotos aus einer Hauptverhandlung

31

2. Oberlandesgerichte OLG Frankfurt/M., U. v. 16.3.2011 – 19 U 291/10, Datenübermittlung an SCHUFA nach gekündigtem Kreditvertrag 35

OLG München, U. v. 21.7.2011 – 6 U 4039/10, Datenschutzerklärung in Sky-AGB 180

OLG Köln, U. v. 17.6.2011 – 6 U 8/11, Einwilligungsklausel mit Befreiung vom Bankgeheimnis 34

OLG Hamburg, U. v. 2.8.2011 – 7 U 134/10, Personenbezogene Daten auf Servern in den USA 138

OLG München, B. v. 4.7.2011 – 6 W 496/11, Auskunftsgestattung bei illegalem Film-Download 182

OLG Hamm, Hinweisbeschluss v. 3.8.2011 – I-3 U 196/10, Auskunftsanspruch des Betroffenen gegen den Betreiber eines Berufsbewertungsportals 179

3. Landgerichte LG Lüneburg, B. v. 28.3.2011 – 26 Qs 45/11, Strafbare Anbringung eines GPS-Senders an einem fremden Kfz 39

LG Köln, U. v. 22.6.2011 – 28 O 819/10, Einwilligung in die Fotoveröffentlichung durch Personensuchmaschine 37

4. Amtsgerichte AG Bonn, U. v. 8.2.2011 – 104 C 593/10, Auskunft über den Inhaber einer Mobilfunknummer zur Ermittlung des leiblichen Vaters 40 D. Verwaltungsgerichte 1. Oberverwaltungsgerichte OVG NRW, U. v. 1.3.2011 – 8 A 2861/07, Informationsanspruch OVG NRW, U. v. 15.6.2011 – 8 A 1150/10, Steuerliche bei Agrarsubventionszahlungen 89 Auskünfte nach dem IFG 141 2. Verwaltungsgerichte VG Berlin, U. v. 7.4.2011 – VG 2 K 39.10, Zugang zum Terminkalender der Bundeskanzlerin 94

VG Düsseldorf, U. v. 13.9.2011 – 10 K 2776/11, Dienstrechtliche Ermahnung wegen Aufgabenüberschreitung eines IT-Betreuers 191

VG Hannover, U. v. 14.7.2011 – 10 A 5452/10, Polizeiliche Videoüberwachung im öffentlichen Raum 92

VG Freiburg, U. v. 21.9.2011 – 1 K 734/10, Auskunftsanspruch des Insolvenzverwalters gegen Sozialversicherungsträger nach dem IFG 189

ZD 1/2012

ZD Fokus XIII

ZD FOKUS E. Arbeitsgerichte BAG, U. v. 23.3.2011 – 10 AZR 562/09, Abberufung eines betrieblichen Datenschutzbeauftragten 82

LAG Niedersachsen, B. v. 24.5.2011 – 1 TaBV 55/09, Zuständigkeit des Konzernbetriebsrats bei konzernweitem SAP-System? 84

BAG, U. v. 24.3.2011 – 2 AZR 170/10, Betriebliches Eingliederungsmanagement 132

LAG Köln, B. v. 28.6.2011 – 12 TaBV 1/11, Einsichtsrecht des Betriebsrats in Gleitzeitlisten 183

BAG, U. v. 24.3.2011 – 2 AZR 282/10, Kündigung wegen LAG Köln, U. v. 18.11.2010 – 6 Sa 817/10, Verwertbarkeit Speicherung privater Dateien auf Firmen-Laptop und unterneh- heimlicher Videoaufnahmen 47 mensbezogener Dateien auf privater Festplatte 128 LAG Berlin-Brandenburg, U. v. 16.2.2011 – 4 Sa 2132/10, Öffnung des E-Mail-Accounts durch Arbeitgeber während Erkrankung des Arbeitnehmers 43

ArbG Bielefeld, B. v. 26.1.2011 – 6 BV 46/10, Datenmissbrauch durch Betriebsratsvorsitzenden 86

LAG Berlin-Brandenburg, B. v. 4.3.2011 – 10 TaBV 1984/10, Datenschutz am Betriebsrats-PC 41

ArbG Düsseldorf, U. v. 3.5.2011 – 11 Ca 7326/10, Beweisverwertungsverbot bei heimlicher Videoüberwachung 185

F. Sonstige Spruchkörper LSG Sachsen-Anhalt, B. v. 8.7.2011 – L 4 P 44/10 B ER, Veröffentlichung des Transparenzberichts in ambulantem Pflegedienst 135

Johannes Wasmuth Anspruch auf Zugang zu amtlichen Informationen auch gegenüber Regierungstätigkeit des ZD-Aktuell 2011, 60 Bundesministeriums der Justiz

I

mmer wieder haben Bundesministerien Ansprüche auf Zugang zu amtlichen Informationen nach § 1 Abs. 1 Satz 1 IFG mit der Begründung versagt, diese bezögen sich auf eine Regierungstätigkeit, die vom Anwendungsbereich des Informationsfreiheitsgesetzes (IFG) ausgeschlossen sei. Dies war auch die zentrale Argumentation des Bundesministerium der Justiz (BMJ) während der mündlichen Verhandlung vom 3.11.2011 vor dem 7. Senat des BVerwG (Az. 7 C 4.11; ZD wird die Entscheidung in einer der nächsten Ausgaben veröffentlichen). Streitgegenstand in diesem Revisionsverfahren war die nach Maßgabe des IFG geschuldete Herausgabe zweier Stellungnahmen des BMJ gegenüber dem Petitionsausschuss des Deutschen Bundestags, der von Betroffenen der sog. Boden- und Wirtschaftsreform in der SBZ, die einen systematischen, stalinistisch geprägten Missbrauch eines gesetzlichen Entnazifizierungsinstrumentariums darstellte (vgl. Wasmuth/Kempe, ZOV 2009, 232 ff.; Wasmuth, ZOV 2010, 216 ff.; ders., ZOV 2010, 283 ff.; ders., JZ 2010, 1133 ff.), mit dem Ziel ihrer Rehabilitierung angerufen worden war. Auf Grund XIV ZD Fokus

bekannter Stellungnahmen des Oberbundesanwalts in diversen Verfahren vor dem BVerwG und der Begründung der ablehnenden Entscheidungen des Petitionsausschusses besteht der Verdacht, dass das BMJ auch den Petitionsausschuss unzutreffend über das Ausmaß dieser schwerwiegend gegen allgemein in der Völkergemeinschaft anerkannte Menschenrechte verstoßenden Verfolgungsaktionen mit dem Ziel unterrichtet hat, deren Opfern die ihnen gesetzlich zustehende Rehabilitierung zu versagen. Diese Desinformation hat maßgeblich dazu beigetragen, dass dieses Kapitel kommunistischen Unrechts bis heute nicht rechtsstaatlich aufgearbeitet ist. In der mündlichen Verhandlung vor dem 7. Senat des BVerwG hat der Vertreter des BMJ die Verweigerung der Herausgabe der Stellungnahme insbesondere damit begründet, in der repräsentativen Demokratie bestehe ein austariertes Verhältnis zwischen Regierung und Parlament, das auf eine vertrauensvolle Zusammenarbeit angewiesen sei. In Stellungnahmen gegenüber dem Petitionsausschuss sei jeweils auch zu prüfen, ob über den konkreten Einzelfall hinaus eine

Gesetzesänderung erfolgen solle. Daher sei eine solche Stellungnahme spezifisches Regierungshandeln, das reibungslos nur funktionieren könne, wenn es dem Informationszugriff des Bürgers entzogen sei. Die Herausgabe von Stellungnahmen der Regierung gegenüber dem Petitionsausschuss greife zudem in die in Art. 17 GG geschützte Verfahrenshoheit des Ausschusses. Sie widerspreche auch der aus Art. 17 GG abzuleitenden Befriedungsfunktion des Petitionsverfahrens. Deshalb müsse bereits der Normtext des § 1 Abs. 1 Satz 1 IFG in der Weise eng ausgelegt werden, dass Regierungshandeln davon nicht erfasst werde. I.Ü. habe das BMJ mit der Übergabe der Stellungnahme an den Petitionsausschuss seine Verfügungsbefugnis darüber i.S.v. § 7 Abs. 1 IFG verloren. Dagegen wies der Revisionsbeklagte darauf hin, nach st. Rspr. des BVerfG seien für die Demokratie des GG die Meinungs-, Versammlungs- und Pressefreiheit konstitutiv. Angesichts einer zunehmenden Informationsmacht der Regierung könnten diese Rechte ohne grundsätzlichen Zugang zu regierungsamtlichen Informationen nicht wahrgenommen werden. Die Informationsfreiheit sei Voraussetzung für die Meinungsbildung, die der Meinungsäußerung vorausgehe (NJW 1966, 1603 – „Spiegel-Urteil“). Dieser Zusammenhang sei auch Anlass für die Verabschiedung des IFG gewesen ZD 1/2012

ZD FOKUS (vgl. Begr. der Fraktionen SPD und Bündnis 90/Die Grünen zum Entwurf des IFG, BT-Drs. 15/4493, S. 6). Vom IFG umfasste Informationsansprüche füllten nunmehr ohnehin die in Art. 5 Abs. 1 GG geschützte Informationsfreiheit aus und stünden damit nur noch in den verfassungsrechtlich zulässigen Grenzen zur Disposition des Gesetzgebers. I.Ü. könne es nicht Sinn der Befriedungsfunktion des Petitionsverfahrens sein, Petenten und Dritten regierungsamtliche Stellungnahmen vorzuenthalten. Eine derart intransparente Verfahrensweise schaffe im Gegenteil Misstrauen und stehe daher einer Befriedung diametral entgegen. Über den gesetzlich ohnehin vorgesehenen Vertrauensschutz (vgl. insbesondere § 3 IFG) hinaus bestehe insofern kein berechtigtes Interesse, auch Informationen über die Regierungstätigkeit dem Bürger vorzuenthalten. I.R.d. Erörterung der Sach- und Rechtslage machte der Vorsitzende des 7. Senats klar, dass bereits der Wortlaut des § 1 Abs. 1 Satz 1 IFG keine Differenzierung zwischen Regierungs- und anderer Verwaltungstätigkeit vorsehe. Diese sei auch mit dem Normzweck nicht zu vereinbaren, zumal die Begründung zum Entwurf des IFG „die Vorbereitung von Gesetzen in den Bundesministerien“, also spezifische Regierungstätigkeit, „als wesentlichen Teil der Verwaltungstätigkeit“ bestimmt (BT-Drs. 15/4493, S. 7). Verfassungsrechtlich vermochte der Senatsvorsitzende zudem nicht zu erkennen, dass die Funktion des Bürgers in der repräsentativen Demokratie auf die Stimmabgabe beschränkt sei. Daneben wies er die Notwendigkeit eines über § 3 IFG hinausgehenden Vertrauensschutzes bei der Zusammenarbeit von Bundestag und Regierung mit deutlichen Worten zurück. Auch für den Vortrag von Ausschlussgründen nach dem IFG mahnte er generell ein stringenteres Vorgehen des BMJ an. Es gehe nicht an, in der ersten Instanz irgendwelche Tatbestände zu benennen, die dann in der zweiten Instanz durch andere ersetzt werden, um sich dann vor dem BVerwG wieder auf sämtliche Ausschlussgründe zu berufen, ohne jemals die dafür notwendigen Tatsachen vorgetragen zu haben. Der allein noch erörterte Ausschlussgrund der Verfügungsbefugnis wegen alleiniger Verfahrensherrschaft des Petitionsausschusses scheiterte dann bereits an der amtlichen Begründung zum ZD 1/2012

IFG, wonach eine Verfügungsbefugnis über „selbst erhobene Informationen“ ohne weiteres besteht und durch die Begründung einer zusätzlichen Verfügungsbefugnis einer anderen Behörde nicht untergeht (vgl. BT-Drs. 15/4493, S. 14). Im Anschluss an die mündliche Verhandlung hat der 7. Senat des BVerwG die Revision des BMJ zurückgewiesen. Aus der PM (Nr. 92/2011 v. 3.11.2011) zu dem bislang nicht vorliegenden Urteil ergibt sich, dass er das BMJ grundsätzlich als zur Auskunft verpflichtete Behörde ansieht und eine Unterscheidung zwischen Verwaltungs- und Regierungshandeln eines Ministeriums weder dem Gesetzeswortlaut noch dem Normzweck zu entnehmen vermag. Mit diesem Urteil klärt der 7. Senat des BVerwG eine lange bestehende Streitfrage zum Anwendungsbereich des IFG

rechtsgrundsätzlich. Er stellt zugleich sicher, dass dem Bürger und der Presse künftig der Zugang zu Informationen über die Tätigkeit der Bundesregierung offen steht. Dies stärkt die Verbürgungen der Meinungs-, Presse- und Demonstrationsfreiheit. Mit dem Grundsatzurteil ist auch klar, dass die Verteidigung der Verwaltung, die begehrte Information beziehe sich auf Regierungshandeln, nicht mehr zielführend ist. Sofern keine anderen Versagungsgründe bestehen, sollten daher die beantragten Informationen umgehend herausgegeben werden. So können anhängige Verfahren zeitnah beendet werden. c Vgl. auch MMR-Aktuell 2011, 324827.

Dr. Johannes Wasmuth ist Rechtsanwalt in München. Der Autor war als Parteivertreter an diesem Verfahren beteiligt.

Axel Spies Google Transparency Report: Wer greift ZD-Aktuell 2011, 62 hoheitlich auf Googles Daten zu?

D

as Thema Datenzugriff durch staatliche Einrichtungen steht besonders seit der Staatstrojaner-Affäre (vgl. auch http://blog.beck.de/2011/10/09/der-bun destrojaner-jetzt-muss-schluss-sein) im Fokus der Öffentlichkeit. Nun hat Google zum vierten Mal seit Ende 2009 am 23.10.2011 seinen Transparenzbericht (Transparency Report) veröffentlicht. Dieser Bericht weist für bestimmte Länder aus, wie viele staatliche Anfragen an Google auf die Herausgabe von Nutzerdaten und wie viele Anfragen auf Löschung von Seiteninhalten oder Treffern bei der Google-Suche gestellt wurden. Dieser Report (http://www.google.com/t ransparencyreport/) ist auch und gerade aus juristischer Sicht lesenswert und wird im Beck-Blog (abrufbar unter: http://blog .beck.de/2011/10/26/google-transparen cy-report-wer-greift-hoheitlich-auf-goo gles-daten-zu) intensiv diskutiert. Nachfolgend eine kurze Zusammenfassung des Inhalts und der Stellungnahmen. II. Inhalt des Berichts Insgesamt hat Google von Januar bis Juni 2011 15.640 personenbezogene Anfragen zu 25.440 Anwendern bzw. Nutzerkonten von staatlichen Stellen (Behörden oder Gerichten) erhalten. Mehr als ein Drittel der Anfragen, knapp 6.000, wur-

den von der US-Regierung an Google gestellt. Auf Platz zwei liegt Indien mit 1.739 Anfragen. Deutschland steht an fünfter Stelle mit 1.060 Anfragen. Die Erfüllungsquote ist dabei höchst unterschiedlich: Den Anfragen der US-Regierung hat Google in 93% der Fälle entsprochen. Deutschen Anfragen nach Nutzerkonten kam Google in 67% der Fälle nach. Mithin lehnt Google in manchen Fällen die Herausgabe der Daten ab, u.a. mit den Argumenten, dass die Anfragen aus Sicht von Google nicht rechtskonform seien oder dem erforderlichen Formatierungsstandard nicht entsprächen oder mehrfach dieselbe Information abgefragt werde. Diese sog. Data Requests beziehen sich nicht auf den eigentlichen Suchindex, sondern vielmehr auf Google User Accounts, wie z.B. von Google Chrome oder Gmail; auch die Accounts der Videoplattform YouTube sind betroffen. Im Transparency Report heißt es: „any (...) accounts used to store or provide information on our services.“ Der Report beinhaltet außerdem Zahlen zu den Versuchen staatlicher Behörden, Google zum Löschen von Inhalten zu bewegen. Deutsche Behörden (http:// www.google.com/transparencyreport/g overnmentrequests/DE/) haben dabei im ZD Fokus XV

ZD FOKUS ersten Halbjahr 2011 125 Löschungsgebote gestellt, um insgesamt 2.405 Dateien entfernen zu lassen – so viel wie kein anderes Land. Nach eigenen Angaben kam Google den Anfragen in 86% der Fälle ganz oder zumindest teilweise nach. Nach einem Heise-Bericht (http://www.h eise.de/tp/blogs/6/150702) richtet sich diese Löschung vor allem gegen den Internetsuchindex von Google. Google muss die zu sperrenden URLs, die der Konzern von der Jugendschutzbehörde BPjM erhält, löschen. Der Bericht enthält außerdem aufschlussreiche Traffic-Muster für Google-Dienste mit Angaben von Serverausfällen, die darauf schließen lassen, dass in manchen Fällen Regierungen versucht haben, den Zugang zu Google oder das Internet zu blockieren. So wurden alle Google-Server in Libyen in den ersten sechs Monaten dieses Jahres unzugänglich, ähnlich wie YouTube-Server in China. III. Meinungen dazu im Blog und in der Presse Ein Nutzer im Beck-blog (abrufbar unter: http://blog.beck.de/2011/10/26/google-t ransparency-report-wer-greift-hoheitlich -auf-googles-daten-zu) und auch ein Bericht der FAZ (http://www.faz.net/aktuell/f euilleton/medien/google-veroeffentlichttransparenzbericht-sie-verraten-alles-nur -keine-geheimnisse-11505875.html) bezweifeln die Belastbarkeit der von Google angegebenen Anzahl der Data Requests. So verweist der Nutzer auf mögliche Datenzugriffe der US-Behörden auf Grundlage des schon im Blog (abrufbar unter: http://blog.beck.de/2011/07/28/usa-patri ot-act-und-cloud-computing-passt-das-z usammen) diskutierten Patriot Act. Dieses Gesetz war eine direkte Reaktion auf die Terroranschläge vom 11.9.2001 und die wenige Zeit später erfolgten MilzbrandAnschläge. Die Datenzugriffsrechte z.B. des FBI wurden deutlich erweitert. Telefongesellschaften und Internetprovider sind demnach verpflichtet, ihre Daten offenzulegen. Es wird daher vermutet, dass die tatsächlichen Zahlen der Zugriffe höher sind als das, was von Google veröffentlicht wurde, weil Google, zumindest in den USA, Informationen über solche Anfragen von Geheimdiensten wie des FBI nicht veröffentlichen darf. Auffällig an den Zahlen aus dem GoogleTransparenzbericht ist der neuerliche weltweite Anstieg an Data Requests und XVI ZD Fokus

von Löschungsgeboten im Vergleich zum zweiten Halbjahr 2010. Großbritannien hat danach circa 71% mehr Löschungsgebote an Google gestellt. Aus Deutschland kamen 38% mehr Data Requests. Den Anstieg bezeichnet Google im Bericht als „nicht überraschend“, weil es jedes Jahr mehr Produkte und Dienste anbiete sowie über eine größere Nutzerzahl verfüge. Im Zuge der ebenfalls im Blog (abrufbar unter: http://blog.beck.de/2011/10/09/d er-bundestrojaner-jetzt-muss-schluss-sei n) heftig diskutierten Staatstrojaner-Affäre sehen einige Nutzer im Blog die Datensicherheit durch die Data Requests auch in Zukunft immer stärker gefährdet. Das immer häufiger auftretende Cloud-Computing wird als weitere Gefahr für die Datensicherheit im Netz aufgeführt. Ein anderer Nutzer sieht in den Data Requests gar einen „Angriff auf unsere rechtsstaatliche Ordnung“ und vermisst eine wirksame Verteidigungsmöglichkeit gegen staatlichen Datenzugriff. Es werden in diesen Missständen auch Gründe für die jüngsten Wahlerfolge der Piratenpartei in Deutschland gesehen.

Nach der Meinung eines FAZ-Journalisten (http://www.faz.net/aktuell/feuilleton/m edien/google-veroeffentlicht-transparen zbericht-sie-verraten-alles-nur-keine-ge heimnisse-11505875.html) könne man sich aus den von Google vorgelegten Zahlen einen guten Überblick über Anfragen mit Bezug auf das Persönlichkeitsoder Urheberrecht machen, nicht jedoch etwa über solche, die sich auf andere polizeiliche oder nachrichtendienstliche Ermittlungen beziehen (Stichwort: Patriot Act). Ohne Hinweise auf die fehlenden Daten sei der Bericht daher interessant, aber so gut wie wertlos. Klarzustellen ist abschließend, dass solche Data Requests natürlich auch an andere Kommunikationsunternehmen, wie an Facebook, von den staatlichen Behörden gestellt werden. Im Google-Transparenzbericht heißt es dazu: „We are by no means unique when it comes to receiving these requests.“ Dr. Axel Spies ist Rechtsanwalt in der Kanzlei Bingham McCutchen in Washington DC und Mitherausgeber der Zeitschrift ZD.

Julia Dreyer Genehmigung der Verwendung des ZD-Aktuell 2011, 65 „VeriChip“ am Menschen in den USA

Das „Horrorszenario Nr. 1“ eines jeden Datenschützers ist in den USA bereits im Jahr 2002 durch die FDA genehmigt worden: das Versehen von Menschen mit einem RFID-Chip. Der von „VeriChip Corporation“ entwickelte Transponder kann in die menschliche Hand oder den Trizeps eingepflanzt werden und gibt auf der entsprechenden Frequenz eine Nummernfolge preis, welche den Zugriff auf medizinische und personenbezogene Daten des Trägers (Name, Blutgruppe, Medikamentenunverträglichkeit usw.) ermöglicht. Die Datenübertragung erfolgt mittels elektrischer Induktion, sodass ein Betrieb per Batterie nicht notwendig ist. Die möglichen Vorteile dieser Einsatzmöglichkeit der RFID sind nicht unbeachtlich. So können Einsatzkräfte auch bewusstlos aufgefundene Personen sofort identifizieren und sich im Vorfeld der Behandlung über deren Krankheiten und Allergien informieren. Ebenso können entführte Personen leicht geortet und gerettet

werden. In Unglücksfällen können stark unkenntliche Leichen sofort identifiziert werden. Demgegenüber ist das Risiko des Missbrauchs durch Behörden oder Private jedoch immens, sodass dem Einsatz des RFID im menschlichen Körper nicht nur gesundheitliche und religiöse Bedenken entgegenstehen, sondern auch datenschutzrechtliche. Es besteht die Gefahr des unerwünschten und vom Träger unbemerkten Auslesens der unverschlüsselten Daten durch Aufstellen von Auslesegeräten an beliebigen Orten. Eine Person kann jederzeit lokalisiert werden und es können umfangreiche Bewegungs- und Verhaltensprofile erstellt werden. Hat der Verbraucher beim Einsatz des RFID-Chips in Handys und anderen Gegenständen noch die Möglichkeit, diese Geräte abzulegen oder Kundenkarten bei bestimmten Einkäufen schlicht nicht zu verwenden, ist dies bei der Verpflanzung der Chips unter die Haut nicht ohne weiteres möglich. ZD 1/2012

ZD FOKUS Denkt man nun, das Land der unbegrenzten Möglichkeiten sei weit entfernt, so irrt man. In dem Nachtclub „Baja Beach Club“ in Barcelona konnten sich dessen Besucher der VIP-Lounge einen Chip in die Haut verpflanzen lassen, welcher konsumierte Getränke abspeicherte und das bargeldlose Bezahlen ermöglichen sollte (Holznagel/Bonnekoh, MMR 2006, 18). Eine zur Erleichterung der medizinischen Behandlung in Deutschland staatlich angeordnete Pflicht des Tragens eines Chips unter der Haut würde gegen Art. 1 Abs. 1 GG und Art. 2 Abs. 1 GG verstoßen. Den Bürgern könnte jedoch die Möglichkeit der Implantation freiwillig

eingeräumt werden. In diesem Fall müsste der Staat jedoch entsprechende Regelungen im BDSG zum Schutz dieser Daten schaffen, insbesondere müsste eine Pflicht zur Verschlüsselung sensibler, medizinischer Daten und ein ausdrückliches Verbot des Auslesens gegen den Willen des Trägers nicht nur kodifiziert, sondern auch entsprechend streng überwacht werden. c Vgl. auch Schweda, MMR-Aktuell 2011, 318453 und Laas, MMR-Aktuell 2011, 317325. Vgl. hierzu auch den Beitrag von Dreyer, ZD 2012, 20 – in diesem Heft.

Julia Dreyer ist cand. jur. in Münster.

Michael Heusel-Weiss Datenschutz im Krankenhaus – die Orientierungshilfe Krankenhausinformationssysteme ZD-Aktuell 2011, 64

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder verabschiedete auf ihrer 78. Sitzung im Oktober 2009 eine Entschließung, in der die Betreiber und Hersteller von Krankenhausinformationssystemen (KIS) zu einer datenschutzgerechteren Ausgestaltung der im Krankenhausbetrieb eingesetzten Verfahren aufgefordert wurden. Hintergrund waren diverse von den Datenschutzbeauftragten im Rahmen ihrer Tätigkeit festgestellte Defizite bei der automatisierten Verarbeitung von Patientendaten durch Krankenhäuser. Zur Erreichung des von ihr geforderten Zieles setzte die Konferenz eine länderübergreifende Arbeitsgruppe ein. Diese sollte bis zum Frühjahr 2011 eine Orientierungshilfe mit möglichst unabhängig von der Trägerschaft der Krankenhäuser enthaltenen, bundesweit verlässlichen Mindestanforderungen an die datenschutzgerechte Ausgestaltung und den Betrieb von KIS formulieren. Die Arbeitsgruppe fasste in einem ersten Schritt die sich aus den geltenden datenschutzrechtlichen Vorgaben ergebenden allgemeingültigen normativen Eckpunkte für die Datenverarbeitung im Krankenhausbereich zusammen und leitete daraus konkrete technische Anforderungen an die Ausgestaltung und den Betrieb von KIS ab. In die Orientierungshilfe flossen auch die Ergebnisse zweier Expertenanhörungen von KIS-Betreibern und KISHerstellern ein. Das Papier wurde im ZD 1/2012

März 2011 auf der 81. Sitzung der Datenschutzkonferenz formell verabschiedet. Auf der Grundlage der rechtlichen Vorgaben des Datenschutzes und der ärztlichen Schweigepflicht bildet die Orientierungshilfe, die mittlerweile auch im Bereich der kirchlichen Datenschutzbeauftragten zustimmend zur Kenntnis genommen wurde, den Maßstab für die Beratungs- und Kontrolltätigkeit der staatlichen Datenschutzaufsicht. Deren Handlungsspielräume bleiben gleichwohl unangetastet. Werden Defizite im Vergleich

zu den Inhalten der Orientierungshilfe festgestellt, sollen diese unter Wahrung der Patientensicherheit in einer angemessenen Übergangszeit und in einem geordneten Prozess mit den Betreibern und den Systemherstellern ausgeräumt werden. Angesichts des dynamischen Wandels der Strukturen und Arbeitsprozesse in den Krankenhäusern, aber auch der daraus resultierenden Anforderungen an die eingesetzten IT-Verfahren, soll die Orientierungshilfe auch künftig fortgeschrieben werden. Die Datenschutzbeauftragten werden hierzu den Dialog mit den KIS-Betreibern und KIS-Herstellern suchen. In Rheinland-Pfalz stellte der dortige Landesdatenschutzbeauftragte den im Lande ansässigen Einrichtungen und deren Verbänden die Inhalte der Orientierungshilfe sowie die beabsichtigte weitere Vorgehensweise in einer ganztägigen Veranstaltung im Juni 2011 vor. Zudem wird i.R.e. Referenzprojekts mit einem rheinland-pfälzischen Krankenhausträger die Realisierbarkeit der in dem Papier enthaltenen Anforderungen getestet. c Nähere Informationen zum Text der Orientierungshilfe und der Veranstaltung des LfD RheinlandPfalz v. 9.6.2011 sind abrufbar unter: http://www.da tenschutz.rlp.de/de/presseartikel.php?pm=pm201 1060901; vgl. hierzu auch die Tagung „Datenschutz in der Medizin“, abrufbar unter: http://www.update -bdsg.com/ am 18.4.2012 in Wiesbaden.

Michael Heusel-Weiss ist Leiter des Bereichs Gesundheit und Soziales beim LfD Rheinland-Pfalz in Mainz.

ZD-THEMENVORSCHAU ANDREAS POPP Die „Staatstrojaner“-Affäre FRIEDER BACKU Datenschutzrechtliche Relevanz bei Onlinespielen STEFAN BRINK Der betriebliche Datenschutzbeauftragte. Ausbildungsstand – Arbeitsbedingungen – Tätigkeitsschwerpunkte BERND SCHMIDT Staatliche Auskunftsbegehren und Datenschutz. Anforderungen an die Kooperation mit Polizei, Ermittlungs- und Finanzbehörden CHRISTOPH SCHNABEL Die Entwicklung der Informationsfreiheit in der verwaltungsgerichtlichen Rechtsprechung im Jahr 2011 LG Berlin: Umfang des Auskunftsanspruchs beim Scoring U. v. 1.11.2011 – 6 O 479/10 m. Anm. GÄRTNER FG Münster: Auskunftsanspruch der Finanzverwaltung gegen den (vorläufigen) Insolvenzverwalter B. v. 7.11.2011 – 11 V 2705/11 AO m. Anm. SCHMITTMANN ZD Fokus XVII

ZEITSCHRIFT FÜR DATENSCHUTZ

IMPRESSUM

ZD

//4s5CEJXGTUVCPF WPF(CEJYKUUGP

Redaktion: Anke Zimmer-Helfrich, Chefredakteurin (verantwortlich für den Textteil); Marianne Gerstmeyr, Redaktionsassistentin; Stefanie Martin, Volontärin, Wilhelmstr. 9, 80801 München, Postanschrift: Postfach 40 03 40, 80703 München, Telefon: 089/381 89-427, Telefax: 089/381 89-197, E-Mail: zd , beck.de

Manuskripte: Manuskripte sind an die Redaktion zu senden. Der Verlag haftet nicht für Manuskripte, die unverlangt eingereicht werden. Sie können nur zurückgegeben werden, wenn Rückporto beigefügt ist. Die Annahme zur Veröffentlichung muss schriftlich erfolgen. Mit der Annahme zur Veröffentlichung überträgt der Autor dem Verlag das ausschließliche Verlagsrecht für die Zeit bis zum Ablauf des Urheberrechts. Eingeschlossen sind insbesondere auch die Befugnis zur Einspeicherung in eine Datenbank sowie das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken im Wege eines fotomechanischen oder eines anderen Verfahrens. Dem Autor verbleibt die Befugnis, nach Ablauf eines Jahres anderen Verlagen eine einfache Abdruckgenehmigung zu erteilen; ein Honorar hieraus steht dem Autor zu.

Anzeigenabteilung: Verlag C.H. Beck, Anzeigenabteilung, Wilhelmstraße 9, 80801 München; Postanschrift: Postfach 40 03 40, 80703 München, Telefon: Susanne Raff 089/3 81 89-601, Julie von Steuben 089/3 81 89608, Bertram Götz 089/3 81 89-610, Telefax: 089/3 81 89-589. Disposition: Herstellung Anzeigen, technische Daten, Telefon: 089/3 81 89-598, Telefax: 089/3 81 89-589, [email protected] Verantwortlich für den Anzeigenteil: Fritz Lebherz Verlag: Verlag C.H. Beck oHG, Wilhelmstraße 9, 80801 München, Postanschrift: Postfach 40 03 40, 80703 München, Tel.: 089/381 89-0, Telefax: 089/38 18 93 98, Postbank: München Nr. 62 29-802, BLZ 70010080. Der Verlag ist oHG. Gesellschafter sind Dr. Hans Dieter Beck und Dr. h.c. Wolfgang Beck, beide Verleger in München. Erscheinungsweise: Monatlich. Bezugspreise 2012: Jährlich (inkl. Datenbank ZDDirekt und Newsdienst ZD-Aktuell für einen Nutzer) a 199,– (darin enthalten a 13,02 MwSt.). Vorzugspreis für Studenten und Rechtsreferendare a 99,– (darin enthalten a 6,48 MwSt.). Vorzugspreis für Mitglieder von Kooperationspartnern und Abonnenten der MMR und des Online-Moduls Multimediarecht plus a 149,– (darin enthalten a 9,75 MwSt.). Einzelheft: a 19,– (darin enthalten a 1,24 MwSt.); Versandkosten: jeweils zuzüglich. Die Rechnungsstellung erfolgt zu Beginn eines Bezugszeitraumes. Nicht eingegangene Exemplare können nur innerhalb von 6 Wochen nach dem Erscheinungstermin reklamiert werden. Jahrestitelei und -register sind nur noch mit dem jeweiligen Heft lieferbar. Bestellungen über jede Buchhandlung und beim Verlag. KundenServiceCenter: Tel.: 089/3 81 89-750, Fax: 089/3 81 89-358, E-Mail: bestellung , beck.de Abbestellungen müssen 6 Wochen vor Jahresschluss erfolgen. Adressenänderungen: Teilen Sie uns rechtzeitig Ihre Adressenänderungen mit. Dabei geben Sie bitte neben dem Titel der Zeitschrift die neue und die alte Adresse an. Hinweis gemäß § 4 Abs. 3 der Postdienst-Datenschutzverordnung: Bei Anschriftsänderungen des Beziehers kann die Deutsche Post AG dem Verlag die neue Anschrift auch dann mitteilen, wenn kein Nachsendeantrag gestellt ist. Hiergegen kann der Bezieher innerhalb von 14 Tagen nach Erscheinen des Heftes beim Verlag widersprechen. Satz: FotoSatz Pfeifer GmbH, 82166 Gräfelfing. Druck: Druckhaus NOMOS, In den Lissen 12, 76547 Sinzheim ISSN 2192-5593

MMR: Überblick und Praxisnutzen garantiert. //4KPHQTOKGTVWOHCUUGPFØDGTCNNG$GTGKEJGFGU +PHQTOCVKQPU6GNGMQOOWPKMCVKQPUWPF/GFKGPTGEJVU &KGGKP\GNPGP4WDTKMGPICTCPVKGTGPGKPGPUEJPGNNGP ¸DGTDNKEMWPFGKPGJGTXQTTCIGPFG.GUDCTMGKV G%QOOGTEGQ+68GTVTCIUTGEJVQ+OOCVGTKCNIØVGT TGEJVQ9GVVDGYGTDUWPF-GPP\GKEJGPTGEJVQ6GNG MQOOWPKMCVKQPUWPF/GFKGPTGEJV Q

#W»GTFGO
Zusätzlich: Newsdienst MMR-Aktuell inklusive 2TQHKVKGTGP5KG\YGKOCNKO/QPCVXQPFGO'/CKN &KGPUVOKV0CEJTKEJVGPWPFCMVWGNNGP/GNFWPIGP\WO /WNVKOGFKCTGEJVsQJPGYGKVGTG-QUVGP &KG*QOGRCIGFGT//4OKVYGKVGTGP+PHQTOCVKQPGP HKPFGP5KGWPVGTYYYOOTFG

3 Hefte gratis DGUVGNNGP5KGFCUMQUVGPNQUG5EJPWRRGTCDQWPVGT YYYDGEMUJQRFG Bestellen Sie bei Ihrem Buchhändler oder bei: beck-shop.deQFGT8GTNCI%*$GEM“/ØPEJGP“(CZ“YYYDGEMFG 2TGKUKPMN/Y5V

Urheber- und Verlagsrechte: Alle in dieser Zeitschrift veröffentlichten Beiträge sind urheberrechtlich geschützt. Dies gilt auch für die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze, denn diese sind geschützt, soweit sie vom Einsender oder von der Redaktion erarbeitet oder redigiert worden sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Zeitschrift darf außerhalb der engen Grenzen des Urheberrechtsgesetzes ohne schriftliche Genehmigung des Verlages in irgendeiner Form – durch Fotokopie, Mikrofilm oder andere Verfahren – reproduziert oder in eine von Maschinen, insbesondere von Datenverarbeitungsanlagen verwendbare Sprache übertragen werden.

anzeigenbestellschein für eine Anzeige in der nächsterreichbaren Ausgabe der ZD – Zeitschrift für Datenschutz Verlag C.H.Beck Anzeigenabteilung Wilhelmstraße 9

A N Z E I G E N V E R K AU F : Susanne Raff, Tel. 089/3 81 89 - 601 Julie von Steuben, Tel. 089/3 81 89 - 608

80801 München

H E R ST E L L U N G /D R U C K U N T E R L A G E N : Diana Wendler, Tel. 089/3 81 89 - 598

Fax: 089/3 81 89-599 ANZEIGENFORMATE/-PREISE FORMAT

BREITE X HÖHE IN MM



1/1 Seite

186 x 260

 s/w € 1.700,00

 farbig € 2.270,00



2/1 Seite

394 x 260

 s/w € 3.400,00

 farbig € 4.540,00

 

1/2 Seite 1/2 Seite

90 x 260 186 x 127

 s/w € 3.850,00  s/w € 3.850,00

 farbig € 1.420,00  farbig € 1.420,00

 

1/4 Seite 1/4 Seite

90 x 127 186 x 63

 s/w € 3.430,00  s/w € 3.430,00

 farbig € 1.000,00  farbig € 1.000,00

 

1/8 Seite 1/8 Seite

90 x 63 186 x 32

 s/w € 3.220,00  s/w € 3.220,00

 farbig € 1.780,00  farbig € 1.780,00

 1/16 Seite  1/16 Seite

43 x 63 90 x 32

 s/w € 3.110,00  s/w € 3.110,00

 farbig € 1.680,00  farbig € 1.680,00

Unser Spartipp: Bei Bankeinzug erhalten Sie 2% Skonto.  Bankeinzug Konto

Bank

BLZ

Adresse Name/Firma

Ansprechpartner

Straße, Hausnummer

PLZ, Ort

Telefon

Telefax

E-Mail

Ort, Datum

Unterschrift

+JTGUVCTMG5VØV\G KPFGT9GNVFGT0GV\G Ausgewiesene Experten CWU9KUUGPUEJCHVWPF2TCZKU UVGNNGPFCU/WNVKOGFKC4GEJV MNCTWPFØDGTUKEJVNKEJFCT&CU 9GTMDKGVGVRTCZKUIGTGEJVG .ÒUWPIGPXQPFGPVGEJPKUEJGP WPFDGVTKGDUYKTVUEJCHVNKEJGP )TWPFNCIGPØDGTFKGWP\ÀJNKIGP 4GEJVUHTCIGPKO1PNKPG$GTGKEJ DKUJKP\WT*CHVWPIWPFKPVGTPC VKQPCNGP)GTKEJVU\WUVÀPFKIMGKV KO+PVGTPGV*KGTHKPFGP5KGFKG PQVYGPFKIGP'TMNÀTWPIGPHØTCNNG 5EJNØUUGNUKVWCVKQPGPFGTVÀINKEJGP #TDGKV

Jetzt aktuell: Q

 8GTYGTVWPIUIGUGNNUEJCHVGPKO FKIKVCNGP7OHGNF

Q

 2QTVCNTGEJV

Q

 4GEJVUHTCIGPFGUGNGMVTQPKUEJGP
Q

 
#EEGUUWPF%QPVGPV2TQXKFGT WPFFGTGP4GEJVUCDVGKNWPIGP 8GTCPVYQTVNKEJGCWUFGO 1PNKPG$GTGKEJ7PVGTPGJOGP \$OKV5EJYGTRWPMV1PNKPG /CTMGVKPI'NGEVTQPKE2WD NKUJKPI'%QOOGTEG8GTDÀPFG 4GEJVUCPYÀNVG4KEJVGTWPF8GT YCNVWPIGP

Fax-Coupon *CPFDWEJ/WNVKOGFKC4GEJV *GTCWUIGIGDGPXQP2TQH&T6JQOCU*QGTGP7PKXGTUKVÀV /ØPUVGTWPF2TQH&T7NTKEJ5KGDGT(TGKDWTI

R 8QT\WIURTGKUHØTFCU)TWPFYGTMDGK$G\WIXQP HQTVNCWHGPFGP'TIÀP\WPIUNKGHGTWPIGPas

FCPCEJLGFGT\GKVMØPFDCT  +5$0 R QJPG'TIÀP\WPIUNKGHGTWPIGPas +5$0

#WHNCIG4WPF5GKVGP+O1TFPGT /KV&CWOGPTGIKUVGT 0COG

5VTC»G

2.<1TV

&CVWO7PVGTUEJTKHV

KPCTGFG

`YYYDGEMUGO





$GK UEJTKHVNKEJGT QFGT VGNGHQPKUEJGT $GUVGNNWPI JCDGP 5KG FCU 4GEJV +JTG $GUVGNNWPI KPPGTJCND XQP  9QEJGP PCEJ #DUGPFWPI QJPG $GITØPFWPI KP 6GZVHQTO \$ $TKGH (CZ 'OCKN  \W YKFGTTW HGP &KG TGEJV\GKVKIG #DUGPFWPI FGU 9KFGTTWHU KPPGTJCND FKGUGT (TKUV IGPØIV &KG (TKUV DGIKPPV PKEJV XQT 'TJCNV FKGUGT $GNGJTWPI > 9KFGTTWH KUV \W TKEJVGP CP FGP .KGHGTCPVGP $WEJJÀPFNGT DGEMUJQRFG QFGT 8GTNCI %*$GEM EQ 0ÒTFNKPIGT 8GTNCIUCWUNKGHGTWPI #WIUDWTIGT 5VT C  0ÒTFNKPIGP  +O (CNNG GKPGU 9KFGTTWHU UKPF DGKFGTUGKVU GORHCPIGPG .GKUVWPIGP \WTØEM\W IGYÀJTGP-QUVGPWPF)GHCJTFGT4ØEMUGPFWPIVTÀIVFGT.KGHGTCPV
Bestellen Sie bei Ihrem Buchhändler oder bei: beck-shop.deQFGT8GTNCI%*$'%-“/ØPEJGP (CZ“YYYDGEMFG

2TGKUKPMN/Y5V\\IN8GTUCPFMQUVGPaKP&GWVUEJNCPFDGK'KP\GNDGUVGNNWPIDGKO8GTNCI

Die starke Stütze für