Empfehlung im Bundesrat: Mehr Einsatz für den Schutz von Beschäftigtendaten

Am 27. März 2015 wird der Bundesrat erneut tagen. Auf der Tagesordnung wird auch die Stellungnahme des Bundesrates zum Jahreswirtschaftsbericht 2015 der Bundesregierung (BT-Drs. 18/3840, PDF) stehen.

Der im Bundesrat für die Beratung zu dem Jahreswirtschaftsbericht 2015 federführend verantwortliche Wirtschaftsausschuss möchte dem Bundesrat empfehlen, dass sich die Bundesregierung in den Verhandlungen um die Datenschutz-Grundverordnung im Rat der Europäischen Union verstärkt für die Berücksichtigung der Belange der Arbeitnehmer in einer digitalisierten Arbeitswelt einzusetzen. Dies geht aus der Empfehlung des Wirtschaftsausschusses (BR-Drs. 31/1/15, PDF) vom 13. März 2015 hervor.

Danach empfiehlt der Ausschuss dem Bundesrat festzustellen, dass

mit einer stärkeren Digitalisierung das Potenzial für neue Arbeitsplätze in Industrie, Dienstleistung und Handel besteht.

Gleichzeitig weist die Empfehlung des Wirtschaftsausschusses jedoch auch auf Risiken einer verstärkten Digitalisierung des Arbeitsmarktes hin. Nach Ansicht der Verfasser der Empfehlung bestehen diese vor allem in einer Schwächung der betrieblichen Mitbestimmung und in einem Missbrauch von Beschäftigtendaten, der verhindert werden müsse.

Nach der Empfehlung des Wirtschaftsausschusses soll der Bundesrat die Bundesregierung in diesem Zusammenhang darum bitten,

sich darüber hinaus im Europäischen Rat für die Berücksichtigung der Belange im Rahmen der Beratung und Beschlussfassung hinsichtlich einer Datenschutz-Grundverordnung und der Gestaltung des Digitalen Binnenmarktes einzusetzen.

USA: Obama kündigt neue Gesetze zur IT-Sicherheit und zum Datenschutz an

Im Rahmen eines Besuchs bei der amerikanischen Federal Trade Commission (FTC), hat Präsident Obama mehrere Initiativen angekündigt, um zukünftig sowohl die IT-Sicherheit bei Unternehmen und Behörden zu erhöhen als auch den Schutz personenbezogener Daten in den USA zu stärken.

Zu den vorgeschlagenen Initiativen und Maßnahmen hat das Weiße Haus ein übersichtliches „Fact Sheet“ veröffentlicht.

Datensicherheit
So beinhaltet das Maßnahmenpaket unter anderem den Gesetzesvorschlag für den „Personal Data Notification & Protection Act“. Dieser Vorschlag hat vor allem die Datensicherheit und ganz konkret Sicherheitsverletzungen im Auge. Mit dem Gesetz sollen die Pflichten von Unternehmen im Fall der Verlustes oder widerrechtlichen Zugriffs auf Daten klarer gefasst werden. Kunden sollen danach innerhalb von 30 Tagen benachrichtigt werden, wenn es zu einer Sicherheitsverletzung kommt. Auf der anderen Seite sollen die Neureglungen einen einheitlichen, nationalen Standard und damit eine Erleichterung in der täglichen Praxis für Unternehmen darstellen.

Datenschutz bei Schülern
Anders als in Europa wird in den USA der Datenschutz sektoral geregelt. Es gibt also spezielle Gesetze, welche den Umgang mit personenbezogenen Daten in einer besonderen Situation oder etwa in einem Wirtschaftszweig regeln. Präsident Obama kündigt den Entwurf für ein neues Gesetz an, welches den Schutz von personenbezogenen Daten sicherstellen soll, die im Zusammenhang mit dem Unterricht an Schulen und Bildungseinrichtungen erhoben wurden. Der „Student Digital Privacy Act“. Danach soll es Unternehmen verboten werden, personenbezogene Daten von Schülern oder Studenten an Dritte zu anderen Zweck zu verkaufen, die nicht mit dem Bildungsauftrag im Zusammenhang stehen. Auch personalisierte Werbung auf der Grundlage der im Zusammenhang mit der Ausbildung und dem Unterricht erhobenen Daten soll ausgeschlossen werden. Dennoch soll eine Datenverarbeitung für wichtige Forschungsinitiativen, etwa um die Lernergebnisse zu verbessern, möglich sein. Auch die Anstrengungen von Unternehmen zur kontinuierlichen Verbesserung der Wirksamkeit technischer Lernmittel und hiermit im Zusammenhang stehende Datenverarbeitungen sollen nicht behindert werden.

Verbraucherschutz im Internet
Daneben möchte Präsident Obama wichtige Grundprinzipien bei dem Umgang mit personenbezogenen Daten von Nutzern im Internet gesetzlich festschreiben. Hierzu soll auf der bereits im Jahr 2012 vorgestellten „Consumer Privacy Bill of Rights“ (PDF) aufgebaut werden. Zu den Grundprinzipien der Datenverarbeitung gehören nach diesem Gesetzesvorschlag u. a. die individuelle Kontrolle über personenbezogene Daten, die Transparenz in Bezug auf die Erhobenen Daten und deren Verwendung sowie eine Zweckbestimmung der Datenverarbeitung, dass also Daten nicht für gänzlich andere bzw. mit dem Erhebungszweck unvereinbare Zwecke genutzt werden. Diese Prinzipien sind den Europäern aus der geltenden Datenschutzrichtlinie und den nationalen Gesetzen bereits bekannt. Nach einer Phase der öffentlichen Konsultation zu einem überarbeiteten Gesetzesentwurf soll dieser neue Gesetzestext in den USA nun innerhalb von 45 Tagen vorgestellt werden.

Bundesregierung zu Google’s Marktmacht: Geschäftspraxis grundsätzlich nicht verboten

Die Diskussion um eine marktbeherrschende Stellung von Google in Europa bzw. Deutschland und mögliche kartellrechtliche Konsequenzen, diente der Fraktion Bündnis 90/Die Grünen im deutschen Bundestag für eine kleine Anfrage an die Bundesregierung. Die Antwort vom 11. September 2014 ist nun online abrufbar (BT-Drs. 18/2520, PDF).

Wirklich neue oder überraschende Aussagen trifft die Bundesregierung in ihrer Antwort nicht. Dennoch lohnt sich für jeden interessierten Leser, der sich mit dem Themenkomplex rund um Google, seiner wirtschaftliche Position in Europa und den kartellrechtlichen Implikationen befasst, eine Lektüre.

Die Bundesregierung stellt in ihrer Antwort zunächst klar: „Auch marktbeherrschenden Unternehmen ist es erlaubt, in verschiedenen Geschäftsfeldern tätig zu sein.“

Danach wird in aller Kürze dargelegt, wann eine marktbeherrschende Stellung unter dem Kartellrecht angegriffen werden könnte. Daneben verweist die Bundesregierung auch auf das Gesetz gegen den unlauteren Wettbewerb (UWG), welches eine Tätigkeit in mehreren Geschäftsfeldern ebenfalls nicht grundsätzlich verbietet, solange die Vorgaben des Gesetzes beachtet werden. Ein Verstoß gegen das Wettbewerbsrecht könnte z. B. dann vorliegen, wenn Mitbewerber gezielt behindert oder irreführende (Werbe-)Aussagen getroffen werden.

Zu einer möglichen Reform des nationalen und europäischen Kartellrechts, besonders mit Blick auf das Internet, äußert sich die Bundesregierung zurückhaltend. Derzeit biete dies

grundsätzlich ein ausreichendes Instrumentarium, um einem
missbräuchlichen Verhalten marktbeherrschender Internetplattformen zu begegnen.

Von Interesse könnte dann noch die Antwort der Bundesregierung auf die Frage sein, was Bundeswirtschaftsminister Gabriel in seinem Beitrag in der FAZ mit einer „kartellrechtsähnlichen Regulierung von Internetplattformen“ meinte. Hierzu gibt die Bundesregierung in ihrer Antwort an, dass für den Fall,

dass auch in Anbetracht des laufenden Kartellverfahrens der Europäischen Kommission gegen Google Probleme fortbestehen, die als nicht hinnehmbar zu bewerten sind,

die Bundesregierung die Notwendigkeit einer Anpassung oder Modifizierung der verfügbaren kartellrechtlichen Instrumente prüfen wird.

Dies schließt die Frage ein, wie die Diskriminierung von Wettbewerbern durch marktbeherrschende Internet-Plattformbetreiber verhindert und ein diskriminierungsfreier Zugang zu Distributionswegen und Inhalten sichergestellt werden können.

Häufiger wurde durch Politiker in der Öffentlichkeit auch laut über eine „Zerschlagung“ des amerikanischen Unternehmens nachgedacht. Die Bundesregierung weist darauf hin, dass eine Entflechtung von Unternehmen bereits nach dem geltenden deutschen und europäischen Kartellrecht als Sanktion für ein verbotenes Verhalten in Betracht kommt,

wenn keine wirksameren Maßnahmen für die Abstellung des Verhaltens zur Verfügung stehen (ultima ratio). Für die Anordnung sind die Kartellbehörden zuständig.

Nach einem tatsächlich bestehenden Aktionsplan klingt diese Aussage zumindest nicht. Vor diesem Hintergrund sei auch noch einmal auf das im Juli 2014 erschienene Hauptgutachten der Monopolkommission hingewiesen (mein Beitrag hierzu). Die Monopolkommission sprach sich dort für eine Versachlichung der Debatte aus und äußerte auch Zweifel an öffentlichen Behauptungen, wie etwa dass es sich bei den derzeit bestehenden Internetsuchmaschinen oder sozialen Netzwerken um „wesentliche Einrichtungen“ im Sinne des Kartellrechts handele.

Die Bundesregierung verweist in ihrer Antwort zumeist auf das laufende Kartellverfahren bei der Europäischen Kommission gegen Google. Von dessen Ausgang scheint sie maßgeblich weitere eigene Schritte abhängig zu machen wollen. Zumindest scheint die deutsche Regierung, ganz im Sinne der Monopolkommission, eine Versachlichung der Debatte anzustreben und vorerst keine nationalen Alleingänge betreiben zu wollen.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

- Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

- Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik “Einwilligung und Cookies”.

Hausaufgaben für den neuen Digitalkommisar – Datenschutz und Cookies

Der designierte Kommissionspräsident Jean Claude Juncker hat am 10. September die Verteilung der Zuständigkeiten in seinem Team und die Arbeitsorganisation der neuen Kommission bekanntgegeben. Eine Überraschung wär die Auswahl von Günther Oettinger als neuen Kommissar für digitale Wirtschaft und Gesellschaft. Über die Personalie an sich möchte ich hier nicht diskutieren, sondern auf eine Art Hausaufgabenheft hinweisen, welches Herrn Oettinger aufgegeben wurde (hier als PDF).

Dort legt Herr Juncker dar, was er von seinem Kommissar in den nächsten Jahren im Bereich digitalen Wirtschaft erwartet. Mit Blick auf das Datenschutzrecht von Interesse dürften folgende beide Anforderungen sein:

- Die zuständigen Vize-presidentem der Kommission bei einer raschen Umsetzung der geplanten Datenschutz-Grundverordnung zu unterstützen. Die Verhandlungen sollen im Jahr 2015 abgeschlossen werden.

- Nach dem Abschluss dieser Reform des Datenschutzrechts soll Herr Oettinger eine Reform der sog. e-Privacy Richtlinie (RL 2002/58/EG, in Deutschland auch bekannt als Cookie-Richtlinie) anstoßen und vorbereiten.

Die Regelungen der Cookie-Richtlinie (insbesondere zur Einwilligung) stellen seit Jahren den Gegenstand juristischer Diskussionen dar. Zuletzt überraschte die Meldung, dass Deutschland die Änderungen der e-Privacy Richtlinie (hin zu einem Opt-in bei der Datenverarbeitung über Cookies) bereits im TMG umgesetzt habe (hierzu der Beitrag von Adrian Schneider bei Telemedicus).

Man darf gespannt sein, welche Neuerungen Herr Oettinger vorschlagen wird, nicht nur bezogen auf die Thematik “Einwilligung und Cookies”.

Digitale Agenda: IT-Sicherheit und das liebevoll gestrickte Datenschutzrecht

In der gestrigen Ausgabe der FAZ hat der deutsche Bundesinnenminister, Dr. de Maizière, in einem umfangreichen Beitrag (hier eine kurze Zusammenfassung) zu seiner persönlichen Vorstellung und auch der Aufgabe seines Ministeriums im Politikfeld „Digitale Agenda“ Stellung genommen. Egal wie man zu dem Beitrag und seinen Aussagen inhaltlich steht, lesen sollten ihn jeder, der sich privat oder beruflich mit der Digitalisierung auseinandersetzt.
Der Innenminister erkennt mit Blick auf das Internet und die Digitalisierung derzeit drei wichtige ordnungspolitische Vorhaben für sein Ministerium: Die Verabschiedung eines IT-Sicherheitsgesetzes, die Verabschiedung der Datenschutz-Grundverordnung und intensive Verhandlungen auf internationaler Ebene zur globalen Dimension der Digitalisierung. Die beiden ersten möchte hier etwas näher beleuchten.

Verabschiedung des ersten IT-Sicherheitsgesetzes
Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen, so der Minister, zu den sichersten der Welt werden. Das geplante IT-Sicherheitsgesetz geht diese Woche in die Ressortabstimmung. Inhaltlich sei das Gesetz von folgendem Grundprinzip beseelt: wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken. Diese Idee ist dem Recht nicht fremd. Sie liegt etwa den Verkehrssicherungspflichten zugrunde (wer auf öffentlicher Straße eine Grube gräbt, muss für effiziente Absperrung sorgen). Die Fragen, die sich im Zuge der Diskussionen um das Gesetz stellen könnten, sind diejenigen nach dem erforderlichen Grad des Risikos und wann man ein solches „schafft“? Ist es etwa ausreichend, dass ein Unternehmen einen unverschlüsselten E-Mail Dienst anbietet? Oder einen Internetdienst für hunderttausende Kunden unverschlüsselt betreibt? Reicht dies, um ein Risiko zu schaffen? Muss es sich bei dem Risiko bereits um eine konkrete Gefahr handeln oder ist doch die abstrakte Wahrscheinlichkeit ausreichend? Bestehen also quasi anlasslose Pflichten für Schutzvorkehrungen, weil ein gewisses Grundrisiko nie ganz auszuschließen ist? Zudem wird es wichtig sein zu klären, worauf sich die Risiken beziehen müssen. Allgemein auf die Interessen von Betroffenen oder zumindest doch auf (konkret festgelegte) geschützte Rechtspositionen? Der Innenminister nennt zudem eine Form der Eskalation der Schutzvorkehrungen: je höher das Risiko für die Gesellschaft, desto höhere Anforderungen an die Schutzmaßnahmen.

Gegliedert sind die Pflichten dem Beitrag zufolge nach verschiedenen Branchen der Wirtschaft. Adressaten der Pflichten sind die in diesen Branchen tätigen Unternehmen. Dazu gehören etwa der Bereich Energie, Informationstechnik, Verkehr, Gesundheit und auch das Finanzwesen. Es geht darum, einheitlich Standards innerhalb der Branchen entstehen zu lassen. Der Inhalt der jeweiligen Branchenstandards soll durch die Unternehmen zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgearbeitet und branchenspezifisch angepasst werden.

Zwar soll für Unternehmen auch grundsätzlich eine Meldepflicht bei Cyber-Angriffen eingeführt werden. Diese kann jedoch, solange es noch nicht zu einem gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur gekommen ist, auch anonym an das BSI erfolgen. Diese Initiative scheint aus meiner Sicht durchaus einen positiven Anreiz bereit zu halten. Unternehmen könnten so dazu animiert werden, frühzeitig zu melden und das BSI mit Informationen zu versorgen. Die Frage wird freilich sein, welche Kriterien für die Bestimmung eines „gefährlichen Ausfalls“ oder „einer Beeinträchtigung der kritischen Infrastruktur“ aufgestellt werden und wie einfach diese praxisgerecht von Unternehmen im konkreten Fall als Maßstab anzuwenden sind. Der Anreiz würde wohl verpuffen, wenn es heißt: im Zweifel identifizierende Meldung.

Verabschiedung der Datenschutz-Grundverordnung
Auch befasst sich der Beitrag mit der geplanten Datenschutz-Grundverordnung. Diese besitze „überragende Bedeutung“. Und Herr de Maizière stellt zutreffend fest: “Sie wird unser liebevoll gestricktes deutsches Datenschutzrecht komplett” ersetzen. Die Verhandlungen hierzu sollten nach dem Innenminister als Chance genutzt werden, um in dem geplanten Gesetz auch Antworten auf Fragen zu geben, die sich mit Blick auf neue Technologien und Phänomene wie Big Data, Cloud-Computing und das Internet der Dinge stellen. Dieser Ansatz ist meines Erachtens zu begrüßen, denn wie der Minister richtig erkennt, sind die derzeit geltenden Regelungen natürlich nicht mehr zeitgemäß. Sie müssen angepasst werden. Dies sollte daher im Rahmen der derzeitigen Verhandlungen erfolgen. Wenn sich die Beratungen aufgrund der Berücksichtigung des technologischen Fortschritts und dem Umgang hiermit im Datenschutzrecht dann „verzögern“ (dieser Vorwurf wird sicherlich erhoben werden), so ist dies nicht negativ zu bewerten und sollte nicht zu gesetzgeberischen Kurzschlussreaktionen führen.

Inhaltlich möchte der Minister neben den bekannten Schutzmechanismen für die Betroffenen (wie Einwilligung und Informationspflichten) weitere Maßnahmen vorsehen, die dann greifen sollen, wenn die bisherigen Konzepte an ihre Grenze stoßen. Er nennt etwa das Beispiel, dass eine Information des Betroffenen verlangt wird, diese jedoch erst erfolgen kann, wenn der Betroffene vorher identifiziert wird. Also eine Datenerhebung um Daten zu schützen. Man wird abwarten müssen, wie die Vorschläge zur Ausgestaltung der Datenschutz-Grundverordnung hier konkret aussehen werden. Der Minister spricht von zusätzlichen Schutzmechanismen, die dann greifen sollen, wenn etwa das Instrument der Einwilligung praktisch nicht mehr umsetzbar ist.

Referentenentwurf des BMJV: Klagemöglichkeiten für Verbände bei Datenschutzrechtsverstößen

Nach den Ankündigungen von Bundesjustizminister Heiko Maas Anfang diesen Jahres, Verbraucherschutzverbänden eine Klagemöglichkeit bei Datenschutzrechtsverletzungen durch Unternehmen zur Verfügung stellen zu wollen, liegt nun der Referentenentwurf aus dem BMJV vor.

Durch den Entwurf soll jedoch nicht nur das Unterlassungsklagegesetz (UKlaG) angepasst werden. Auch Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG) und des Bürgerlichen Gesetzbuches (BGB) sind in dem Entwurf vorgesehen. Im Folgenden möchte ich eine erste grobe Einschätzung der geplanten Änderungen vornehmen.

Ziel des Gesetzes
Nach der Entwurfsbegründung soll insbesondere der Schutz von Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten verbessert werden. Dabei nutzen laut dem Entwurf die besten datenschutzrechtlichen Regelungen wenig, wenn sie nicht wirksam durchgesetzt werden können. Zwar existieren die (Landes-)Datenschutzbehörden, die auch über entsprechende Kontroll- und Durchsetzungsbefugnisse verfügen. Nach dem Entwurf scheide eine flächendeckende Kontrolle aber schon aufgrund der Zahl der Unternehmer und des stetig zunehmenden Umfangs ihrer Datenerhebung, -verarbeitung und -nutzung aus. Dass man hier eventuell die Mittel und Kapazitäten der Datenschutzbehörden stärken könnte, wird anscheinend im BMJV nicht in Erwägung gezogen. Vielleicht auch deshalb, weil man hierfür nicht zuständig ist und die Länder diese Aufstockung vornehmen müssten. Zum besseren Schutz der Rechte der Verbraucher sollen deswegen laut dem Entwurf künftig neben den betroffenen Verbrauchern und den Datenschutzaufsichtsbehörden auch Verbände und (Berufs-)Kammern gegen die unzulässige Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten durch Unternehmer vorgehen können.

Derzeit können Verbraucherschutzverbände gegen, aus ihrer Sicht rechtswidrige Datenverarbeitungen durch Unternehmen nur über den Umweg des § 1 UKlaG vorgehen, wenn nämlich etwa Datenschutzerklärungen als Allgemeine Geschäftsbedingungen (AGB) qualifiziert werden. Dies soll sich nach dem Entwurf nun ändern. Die Entwurfsbegründung stellt hierzu fest, dass Rechte von Verbrauchern nicht nur beeinträchtigt werden, wenn ein Unternehmer durch das Verwenden von AGB datenschutzrechtlichen Vorschriften zuwiderhandelt,

sondern auch wenn der Unternehmer auf andere Weise gegen datenschutzrechtliche Vorschriften verstößt, wenn er Daten von Verbrauchern erhebt, verarbeitet oder nutzt.

Änderungen des UKlaG
§ 2 Abs. 1 S. 1 UKlaG
Der geltende § 2 Abs. 1 S. 1 UKlaG bestimmt, dass derjenige, der in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), im Interesse des Verbraucherschutzes auf Unterlassung in Anspruch genommen werden.

Die erste bedeutende Änderung des Entwurfs soll dadurch vorgenommen werden, dass in Zukunft auch im UKlaG Beseitigungsansprüche geltend gemacht werden können. Der Entwurf begründet dies damit, dass es auch möglich sein müsse, einen Unternehmer auch (neben einer Unterlassung für die Zukunft) dazu zu verpflichten, unzulässig gespeicherte Daten von Verbrauchern zu löschen oder zu sperren. § 2 Abs. 1 S. 1 UKlaG würde danach wie folgt lauten:

Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden. (Hervorhebung durch den Autor)

§ 2 Abs. 2 Nr. 11 UKlaG
In der Aufzählung des § 2 Abs. 2 UKlaG, der festlegt, welche gesetzlichen Regelungen Verbraucherschutzgesetze darstellen, soll eine neue Nr. 11 aufgenommen werden. Zu beachten ist, dass die Aufzählung in Abs. 2 nicht abschließend ist. Dies folgt aus dem Wort „insbesondere“ am Anfang der Aufzählung. Die neue Nr. 11 soll wie folgt lauten:

11. die Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten.

Nach dem Gesetzesentwurf ist derzeit in Literatur und Rechtsprechung umstritten, ob datenschutzrechtliche Vorschriften Verbraucherschutzgesetze im Sinne des § 2 Abs. 1 S. 1 UKlaG darstellen. Diese Streitfrage soll nun „verbindlich beantwortet“ werden und zwar indem „datenschutzrechtliche Vorschriften, die für Unternehmer gelten, wenn sie Daten von Verbrauchern erheben, verarbeiten oder nutzen, ausdrücklich in den Katalog der Verbraucherschutzgesetze aufgenommen werden“. Die Begründung des Entwurfs führt hierzu aus, dass dies solche Vorschriften sind, welche auf

die Erhebung, Verarbeitung oder Nutzung von Verbraucherdaten anwendbar sein. Dies sind sowohl Vorschriften, die ausdrücklich den Umgang mit Verbraucherdaten regeln, als auch Vorschriften, die – wie z. B. die Vorschriften im Bundesdatenschutzgesetz, den Landesdatenschutzgesetzen, dem Telekommunikationsgesetz oder dem Telemediengesetz – nicht nur für den Umgang mit personenbezogenen Daten von Verbrauchern gelten, sondern auch für den Umgang mit anderen personenbezogenen Daten.

Der Anwendungsbereich umfasst damit im Prinzip jegliche Datenschutzvorschrift. Voraussetzung für ein Vorgehen nach den geplanten Regelungen ist allein, dass personenbezogene Daten von Verbrauchern betroffen sind und ein Unternehmer beteiligt ist. Dass unter anderem sogar der BGH (Urt. v. 16.07.2008 – VIII ZR 348/06, Rz. 17) der Meinung war, dass z. B. § 4 Abs. 1 BDSG nicht als Verbraucherschutzgesetz im Sinne von § 2 UKlaG angesehen wird, weil die Vorschrift alle natürlichen Personen, aber nicht speziell Verbraucher schütze, wird in dem Gesetzesentwurf nicht thematisiert (ebenfalls ablehnend, etwa für § 28 Abs. 4 BDSG: OLG Düsseldorf, Az. I-7 U 149/03; für §§ 3a, 4 BDSG: OLG Frankfurt a. M., Az. 6 U 168/04). Schutzgegenstand des Datenschutzrechts sind „personenbezogene Daten“. Diese können in bestimmten Situationen Verbraucher betreffen (so auch die Art. 29 Datenschutzgruppe, Stellungnahme WP 136, PDF, S. 7), jedoch nicht generell.

Kritik
Meines Erachtens ist jedoch fraglich, ob der deutsche Gesetzgeber einfach bestimmen kann, was „Verbraucherschutzgesetze“ im deutschen Recht sind, zumindest wenn diese nationalen Gesetze auf europäischen Grundlagen beruhen und eventuell durch den europäischen Gesetzgeber entsprechend eingeordnet wurden.

DS-RL verbraucherschützend?
Ein Großteil der derzeit geltenden Datenschutzvorschriften, etwa im BDSG (beruht auf Bestimmungen der RL 1995/46/EG, DS-RL) oder im TMG (beruht auf Bestimmungen der RL 2000/31/EG und RL 2002/58/EG in der geänderter Fassung durch RL 2009/136/EG, PDF), beruht auf europäischen Richtlinien.

RL 2009/22/EG (PDF) über Unterlassungsklagen zum Schutz der Verbraucherinteressen, gibt einen ersten Anhaltspunkt, warum sich der durch den Gesetzentwurf geplante pauschale Verweis auf „Vorschriften, die für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten eines Verbrauchers durch einen Unternehmer gelten“ möglicherweise nicht als europarechtskonform darstellen könnte. Ziel der benannten Richtlinie ist laut ihrem Art. 1 Abs. 1, die Angleichung der Rechts- und Verwaltungsvorschriften der Mitgliedstaaten über Unterlassungsklagen im Sinne des Art. 2 der Richtlinie zum Schutz der Kollektivinteressen der Verbraucher, die unter die in Anhang I der Richtlinie aufgeführten europäischen Richtlinien fallen, um so das reibungslose Funktionieren des Binnenmarkts zu gewährleisten. Und in diesem Anhang I findet sich eine Auflistung von vielen verschiedenen Richtlinien, die sich dann auch in der Aufzählung des § 2 Abs. 2 UKlaG wiederfinden (z. B. RL 2000/31/EG).

Das Problem: die DS-RL wird hier nicht benannt. Man könnte meinen, dass dies eigentlich unverständlich ist, da nach Erwägungsgrund 8 DS-RL zur Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerlässlich ist, welches durch die DS-RL geschaffen werden soll. Es geht also bei den Regelungen der DS-RL gerade auch um das Funktionieren des Binnenmarktes.

Doch anscheinend erkannte der europäische Gesetzgeber die DS-RL eben gerade nicht als eine solche Richtlinie an, die dem Schutz der Kollektivinteressen der Verbraucher dient. Eine Aufnahme in die Liste des Anhangs I hätte im Übrigen auch in der Vergangenheit erfolgen können, da die RL 2009/22/EG auf einer alten Richtlinie (RL 98/27/EG) beruht, die mehrfach angepasst wurde.

Ein weiteres Argument dafür, dass die DS-RL (und damit auch deren nationale Umsetzung im BDSG) grundsätzlich nicht verbraucherschützend wirkt, könnte sich aus der Verordnung 2006/2004/EG, der Verordnung über die Zusammenarbeit im Verbraucherschutz, ergeben. In der Verordnung geht es um die Zusammenarbeit der zuständigen Durchsetzungsbehörden in den Mitgliedstaaten bei innergemeinschaftlichen Verstößen gegen Gesetze zum Schutz der Verbraucherinteressen. In Art. 3 a) definiert die Verordnung die „Gesetze zum Schutz der Verbraucherinteressen“ als „die im Anhang aufgeführten Richtlinien in der in die innerstaatliche Rechtsordnung der Mitgliedstaaten umgesetzten Form und die dort aufgeführten Verordnungen“. Und auch hier stellt man fest: die DS-RL wird nicht in der Aufzählung im Anhang erwähnt, sehr wohl aber etwa wieder RL 2000/31/EG.

Diese fehlende Berücksichtigung der DS-RL in beiden europäischen Rechtsakten stellt zumindest ein starkes Indiz dafür dar, dass der europäische Gesetzgeber die DS-RL nicht (zumindest nicht generell) als verbraucherschützend qualifizieren wollte. Anhaltspunkte für einen intendierten Verbraucherschutz finden sich auch nicht in der DS-RL oder ihren Erwägungsgründen selbst.

Schutzgegenstand der DS-RL ist ausweislich ihres Art. 1 Abs. 1 die Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten, nicht der Schutz von Verbrauchern oder ähnlichen besonderen Personengruppen. Anknüpfungspunkt des Datenschutzrechts ist allein die natürliche Person. Natürlich mag diese in gewissen Situationen als Verbraucher handeln. Für diese Situationen ist das Datenschutzrecht aber nicht generell konzipiert worden.

Neue Datenschutzbehörden?
Zudem wird sich nach dem Studium des Referentenentwurfs unweigerlich die Frage nach dem Verhältnis von Verbraucherschutzverbänden zu den staatlichen Datenschutzbehörden stellen. Denn Verbraucherschutzverbände sollen nun rechtliche Möglichkeiten erlangen, die bisher allein dem Betroffenen selbst und den Datenschutzbehörden zustehen. Denn nun können Verbraucherschutzverbände auch gerichtlich gegen Unternehmen vorgehen, wenn es sich nicht um die Überprüfung von Allgemeinen Geschäftsbedingungen, sondern tatsächlich allein um die Rechtmäßigkeit der Datenverarbeitung an sich handelt. Der Entwurf führt hierzu aus: „Die Verbraucherschutzverbände und die anderen anspruchsberechtigten Stellen sollen künftig nicht nur Ansprüche auf Unterlassung und Widerruf nach § 1 UKlaG haben, wenn durch das Verwenden und Empfehlen von Allgemeinen Geschäftsbedingungen gegen datenschutzrechtliche Vorschriften verstoßen wird.

Auch hier stellen sich für mich Fragen der Vereinbarkeit des Entwurfs mit dem Europarecht.

Art. 28 DS-RL bestimmt, dass die Mitgliedstaaten vorsehen müssen, dass eine oder mehrere öffentliche Stellen beauftragt werden, die Anwendung der von den Mitgliedstaaten zur Umsetzung dieser Richtlinie erlassenen einzelstaatlichen Vorschriften in ihrem Hoheitsgebiet zu überwachen. Zudem müssen diese Stellen ihre Aufgaben in völliger Unabhängigkeit wahrnehmen.
Dabei darf man wohl davon ausgehen, dass der Gesetzesentwurf prinzipiell keine neuen Kontrollstellen schaffen möchte. Oder doch? Der EuGH hat zumindest festgestellt (Az. C-288/12, Rz. 47), dass ein Erfordernis dafür besteht, „die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch eine unabhängige Stelle zu überwachen“. Dies ergibt sich unter anderem aus Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (EU-Charta, PDF). Die entscheidende Frage ist nun, ob allein(!) diese unabhängigen und öffentlichen Stellen zur Überwachung der Einhaltung der jeweiligen nationalen Vorschriften zum Schutz personenbezogener Daten berechtigt sind? In einem anderen Urteil hat der EuGH (Az. C-518/07, Rz. 23) festgestellt, dass die in Art. 28 DS-RL vorgesehenen Kontrollstellen „die Hüter“ der Grundrechte und Grundfreiheiten aus Art. 7 und 8 EU-Charta darstellen. Ob daneben noch Platz für andere Stellen ist, die ebenfalls die Einhaltung der datenschutzrechtlichen Vorschriften überwachen dürfen?

Für mich jedoch besonders relevant in Bezug auf die Frage der Europarechtskonformität der geplanten Übertragung von Klagemöglichkeiten auf Verbände ist Art. 28 Abs. 4 DS-RL. Danach kann sich jede Person oder ein sie vertretender Verband zum Schutz der die Person betreffenden Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten an jede Kontrollstelle mit einer Eingabe wenden (Hervorhebung durch den Autor). Verbände, die betroffene Personen vertreten, können sich also an die Datenschutzbehörden wenden. Dieses Recht steht auch den Betroffenen selbst zu.
Doch haben Betroffene nach Art. 22 DS-RL auch das Recht, bei der Verletzung der Rechte, die ihnen durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei Gericht einen Rechtsbehelf einzulegen. Der Verband oder eine Vertretung der Betroffenen ist in diesem Zusammenhang in der DS-RL aber gerade nicht aufgeführt, anders als in Art. 28 Abs. 4 DS-RL. Jedoch würde der vorliegende Referentenentwurf gerade eine solche Möglichkeit, bei einem Gericht einen Rechtsbehelf einzulegen, für Verbände vorsehen.

§ 3 Abs. 1 UWG
Beseitigungs- und Unterlassungsansprüche sollen entsprechend § 8 Abs. 1 UWG zudem möglich sein, wenn durch eine rechtswidrige Datenverarbeitung eine unlautere geschäftliche Handlungen i. S. d. § 3 Abs. 1 UWG begangen wird. Nach § 4 Nr. 11 UWG handelt unlauter wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Nach dem Gesetzesentwurf können auch datenschutzrechtliche Vorschriften nämlich gesetzliche Vorschriften sein, die dazu bestimmt sind, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. Hier verweist der Entwurf auf einzelne Gerichtsentscheidungen, wonach insbesondere in Bezug auf § 28 BDSG in Verbindung mit §§ 4 Abs. 1, 4a Abs. 1 BDSG festgestellt wurde, dass diese Regelungen als eine solche Marktverhaltensvorschrift angesehen werden können.

Eine generelle Festschreibung, dass es sich bei datenschutzrechtlichen Vorschriften um solche handelt, welche im Interesse der Marktteilnehmer das Marktverhalten regeln, trifft der Entwurf jedoch nicht. Dies erscheint auch richtig. Derzeit wird wohl überwiegend davon ausgegangen, dass datenschutzrechtliche Vorschriften nicht generell eine marktregelnde Funktion besitzen. Ausnahmen werden vor allem dann (in konkreten Einzelfällen!) gemacht, wenn es sich um Situationen der kommerziellen Nutzung von personenbezogenen Daten handelt, vor allem für Werbung (siehe etwa OLG Köln, Az. 6 U 73/10; OLG Stuttgart, Az. 2 U 132/06; OLG Karlsruhe, Az. 6 U 38/11).

In dem Referentenentwurf wird ausdrücklich klargestellt, dass in Zukunft Ansprüche nach dem UKlaG anders als die Ansprüche nach dem UWG, auch dann gegeben sind, wenn gegen eine datenschutzrechtliche Vorschrift verstoßen wird, die keine Marktverhaltensvorschrift ist. Diese Voraussetzung muss i. R. d. UKlaG nicht gegeben sein.

Weitere Änderungen
Um einem Missbrauch der Unterlassungs- und Beseitigungsansprüche des UKlaG besser vorbeugen zu können, soll die bisher in § 2 Abs. 3 UKlaG befindliche Regelung erneuert und in einen § 2b UKlaG transformiert werden. Zum einen soll die Missbrauchsregelung auch für Ansprüche nach § 1 UKlaG (also bei der Verwendung von unwirksamen AGB) gelten. Inhaltlich soll sich die Missbrauchsregelung soll an jener des § 8 Abs. 4 UWG orientieren. Es wird daher (wie in § 8 Abs. 4 S. 2 UWG) in § 2b S. 2 UKlaG ein Anspruch auf Ersatz von Rechtsverfolgungskosten vorgesehen.

Der Referentenentwurf enthält noch andere Änderungen, unter anderem soll die Vorschrift des § 309 Nr. 13 BGB angepasst werden. Es geht hierbei um Formanforderungen, die Verwender durch Bestimmungen in AGB, insbesondere in Verbraucherverträgen, vereinbaren können. Für Erklärungen von Verbrauchern gegenüber dem Verwender von AGB soll nur noch die Textform (und nicht mehr Schriftform) vereinbart werden können.

Fazit
Hier nochmal die aus meiner Sicht wichtigsten geplanten Änderungen:

    • Ergänzung des UKlaG um einen Beseitigungsanspruch
    • Datenschutzrechtliche Vorschriften werden verbindlich als Verbraucherschutzgesetze festgelegt
    • Klagerechte für Verbraucherschutzverbände, Wirtschaftsverbände und Kammern nach dem UKlaG und dem UWG
    • Neuer § 2b UKlaG zur Vermeidung missbräuchlicher Geltendmachung
    • Änderung der Voraussetzungen für Verbände zur Eintragung in die Liste qualifizierter Einrichtungen i. S. d. § 4 UKlaG
    • Änderung des § 309 Nr. 13 BGB (nur noch Textform statt Schriftform vereinbar)
    • Änderung des § 675a BGB (Erleichterte Erfüllung der Informationspflichten im Internet durch Textform)

Für mich stellen sich nach einer ersten Sichtung des Entwurfs teilweise elementare Fragen, sowohl in Bezug auf die Vereinbarkeit mit geltendem europäischem Recht, als auch hinsichtlich der inhaltlichen Reichweite der geplanten Regelungen, gerade von § 2 Abs. 2 Nr. 11 UKlaG. Der Entwurf befindet sich nun in der Ressortabstimmung. Insbesondere könnte ich mir vorstellen, dass das für den Datenschutz federführend zuständige Bundesinnenministerium noch einige Ergänzungsvorschläge vorbringen könnte.

Datenschutzreform: Bundesrat sieht weiterhin Nachbesserungsbedarf

Der Deutsche Bundesrat hat in seiner heutigen Sitzung zu der Mitteilung der Europäischen Kommission mit dem Titel „Ein offenes und sicheres Europa – Praktische Umsetzung“ (KOM(2014) 154 endg., PDF) Stellung genommen. In dem hierzu verabschiedeten Beschluss (BR-Drs. 123/14, PDF) bedauert der Bundesrat, dass in der Mitteilung die weitere Entwicklung des europäischen Datenschutzrechts nicht in den Blick genommen wurde.

Dies vor allem deshalb, weil aus Sicht des Bundesrates die anhaltenden Beratungen um die europäische Datenschutzreform „bereits weitreichend Reformerfordernisse aufgezeigt haben“. Für den Bundesrat stellt dabei die Verwirklichung wirksamer Garantien zum Schutz personenbezogener Daten, gerade unter den Bedingungen global vernetzter Kommunikation, eine der zentralen strategischen Aufgaben einer dem Schutz ihrer Bürgerinnen und Bürger verpflichteten Europäischen Union dar.

Wichtig ist dem Bundesrat dabei jedoch, dass ein zukünftig modernisiertes europäisches Datenschutzrecht „vor allem den unterschiedlichen Regelungsbedarfen des öffentlichen und des privaten Sektors Rechnung tragen“ muss. Die zu entwickelnden Vorgaben dürften nicht hinter bereits bestehende nationale Regelungen und den geltenden Rechtsakt der Union für den Datenschutz bei der grenzüberschreitenden Zusammenarbeit von Polizei und Justiz zurückfallen.

Der Bundesrat verweist des weiteren auf seine Stellungnahmen zu der vorgeschlagenen Datenschutz-Grundverordnung (BR-Drs. 52/12 und (2), PDF) und der Richtlinie für den Datenschutz bei Polizei und Justizbehörden (BR-Drs. 51/12 und (2), PDF) aus dem Jahre 2012. Die in diesen Beschlüssen aufgezeigten Nachbesserungserfordernisse würden weiterhin gelten.

Diese Forderungen, insbesondere das Kernanliegen zur Gewährleistung ausreichender Spielräume für nationale Datenschutzregelungen im öffentlichen Bereich, gelten fort.

Zwar erkennt der Bundesrat den Fortschritt der Verhandlungen auf europäischer Ebene, wie etwa die gemeinsame Position des Europäischen Parlaments vom März 2014, an. „Dennoch sieht der Bundesrat Klarstellungsbedarf insbesondere mit Blick auf die Möglichkeiten, in den Mitgliedstaaten besondere Anforderungen bei der Verarbeitung personenbezogener Daten vorzusehen“.

Erforderlich sei daher eine rasche Klärung der noch offenen Fragen im Rat der Europäischen Union. Dabei betont der Bundesrat, dass es unerlässlich sei, zeitnah einen einheitlichen Rechtsrahmen für den Datenschutz auf EU-Ebene zu finden.

Daneben ist dem Bundesrat jedoch wichtig, den Dialog und die Zusammenarbeit mit Drittstaaten auszubauen. Nur so könne gemeinsam den Herausforderungen des Datenschutzes in einer vernetzten Welt entgegengetreten werden. Er bedauere,

dass die bisherigen Anstrengungen der EU hierzu, zum Beispiel beim Dialog über Datenschutzfragen mit den Vereinigten Staaten von Amerika über die Safe-Harbor-Grundsätze oder ein Datenschutz-Rahmenabkommen im Bereich der Strafverfolgung, trotz unstreitigen Handlungsbedarfs bislang nur zu langsamen Fortschritten geführt haben.

Ausländische Telekommunikationsanbieter in den USA zum nationalen Routing verpflichtet

In der öffentlichen Debatte um die Einführung eines sog. „Schengen-Routings“ von Daten in Europa wurde häufig kritisiert, dass dies zu einer Zersplitterung des Internets führen würde und Europa oder Deutschland sich mit derartigen Maßnahmen vom Rest des Netzes abkapseln würden. Aus dem Bundeswirtschaftsministerium war in diesen Tagen zu hören, dass man ein nationales Routing allenfalls als freiwilliges Angebot zwischen den Unternehmen in Betracht ziehe. Anfang April hat sich auch der Handelsvertreter der Vereinigten Staaten von Amerika öffentlich gegen derartige Pläne ausgesprochen (hier mein Blogbeitrag dazu) und dies unter anderem mit einem faktischen Ausschluss und einer Diskriminierung ausländischer Anbieter begründet.

Blickt man jedoch in die USA, so zeigt sich, dass die Pflicht zu einem nationalen Routing für Telekommunikationsanbieter dort bereits Realität und eine rechtliche Pflicht ist. Der Grund: um amerikanischen Behörden einfacheren und direkten Zugriff auf gespeicherte Daten zu ermöglichen.

Ausländische, auf dem US-Markt agierende Unternehmen, schließen Verträge mit Regierungsstellen (u. a. dem Heimatschutzministerium oder dem Justizministerium) ab, in denen sie sich dazu verpflichten müssen, inländischen Datenverkehr allein innerhalb des Staatsgebietes von Amerika zu transportieren und zu speichern. Eine Auflistung von verschiedenen Verträgen, u. a. mit der Deutschen Telekom oder Telefonica Moviles) findet sich hier.

Anhand des Vertrages der Telefonica Moviles (abrufbar hier, PDF) möchte ich kurz auf ein paar der Pflichten eingehen, die dem Unternehmen auferlegt werden.

Wichtig ist zunächst unter Ziff. 1.7 die Definition der „Domestic Communications“. Dies umfasst sowohl die drahtlose als auch drahtgebundene Kommunikation, welche in den USA beginnt und endet. Aber ebenso den amerikanischen Anteil solcher Kommunikationen, die entweder in den USA beginnen oder dort enden. Zudem wird unter Ziff. 1.8 die „Domestic Communications Infrastructure“ definiert, wozu auch Anlagen und Geräte zum Routing zählen.

Nach Ziff. 2.1 des Vertrages besteht die Pflicht, dass sowohl die „Domestic Communications Infrastructure“ allein in den USA belegen sein darf und auch die durch sie abgewickelte nationalen Kommunikationsvorgänge allein durch diese Einrichtungen in den USA ausgeführt werden dürfen.

Nach Ziff. 2.3 des Vertrages besteht zudem eine Speicherpflicht für die nationalen Daten allein in den USA.

Zudem stellt Ziff. 2.8 explizit eine nationale Routing-Pflicht auf. Nationale Kommunikation darf danach nicht außerhalb der USA gerouted werden.

Und wie sieht es mit dem Zugang zu diesen Daten durch ausländische Behörden aus? Nach Ziff. 3.4 des Vertrages dürfen sowohl nationale Kommunikationsdaten (und zudem noch weitere Datenkategorien) weder direkt oder indirekt an ausländische Behörden weitergegeben werden, ohne dass eine vorherige schriftliche Zustimmung des amerikanischen Justizministeriums oder eine Anordnung eines amerikanischen (nicht etwa ausländischen) Gerichts vorliegt.

Die Verträge zeigen, dass ein nationales Routing in den USA bereits an der Tagesordnung ist. Einer der Gründe ist, den staatlichen Behörden einen einfachen Zugriff für Überwachungsmaßnahmen zu ermöglichen, wie sich etwa aus Ziff. 2.1 (b) ergibt.

Damit ist freilich noch nichts darüber gesagt, ob ein nationales Routing in Europa oder Deutschland tatsächlich gegen die Überwachung durch ausländische Geheimdienste schützen würde. Nur das Argument, dass dies eine neue Qualität des Eingriffs in den freien Fluss der Daten im Internet darstellen und Europa damit allein dastehen würde, kann damit kaum noch gelten.

Snowden und das Staatswohl – Darf die Bundesregierung ablehnen?

Thema der letzten Tage in den Medien ist die ablehnende Haltung der Bundesregierung zu der Frage, ob Edward Snowden als Zeuge des NSA-Untersuchungsausschusses direkt in Deutschland vernommen werden und ihm dazu der Aufenthalt und die Einreise gestattet werden sollte. Die von netzpolitik.org veröffentlichte Stellungnahme der Bundesregierung findet sich hier (PDF).

Damit Snowden nach Deutschland einreisen könnte, müsste er im Besitz eines gültigen Passes oder Passersatzes sein. Die amerikanische Regierung hat seine Reisepässe jedoch für ungültig erklärt. Möglich bliebe daher die Ausstellung eines deutschen Reiseausweises durch die deutsche Botschaft in Moskau, die jedoch eine Zustimmung des Bundesministeriums des Inneren (BMI) voraussetzt. Auch die Ausstellung eines Passes durch russische Behörden bleibt freilich möglich. Eine dann mögliche Aufnahme Snowdens, etwa zur Wahrung politischer Interessen Deutschlands, ist jedoch mit einer Zustimmung des BMI verknüpft.

Die Bundesregierung müsste also unterstützend tätig werden, damit Snowden in Deutschland aussagen kann. Eine solche unterstützende Tätigkeit zwischen Behörden bezeichnet man als Amtshilfe, vgl. § 4 Abs. 1 VwVfG. Gegenüber dem Untersuchungsausschuss besteht die Pflicht zur Amtshilfe, Art. 44 Abs. 3 GG.

Diese Pflicht gilt jedoch nicht unbegrenzt. Hier kommt nun das in den Medien zitierte Schlagwort „Staatswohl“ ins Spiel. Nach § 5 Abs. 2 Nr. 2 VwVfG darf die ersuchte Behörde (z.B. das BMI oder das Bundesamt für Migration und Flüchtlinge) nicht Hilfe leisten, wenn

durch die Hilfeleistung dem Wohl des Bundes oder eines Landes erhebliche Nachteile bereitet würden.

Dieser Begriff des Nachteils für das Wohl des Bundes findet sich auch noch in anderen Verfahrensvorschriften, z. B. § 96 StPO, § 99 VwGO. Das Bundesverwaltungsgericht fordert für solche Nachteile gewichtige Gründe. Wesentliche Bundesinteressen müssen beeinträchtigt sein. Dazu zählen namentlich Gefährdungen des Bestandes oder der Funktionsfähigkeit des Bundes sowie Bedrohungen der äußeren oder inneren Sicherheit (BVerwG, Az. 20 F 21/10).

Die Bundesregierung geht nun in ihrer Stellungnahme davon aus, dass bei einer Vernehmung von Snowden in Deutschland, mit einer schweren und dauerhaften Belastung des Verhältnisses zu den USA zu rechnen sei. Es müsse konkret damit gerechnet werden, dass die Zusammenarbeit auf der Ebene der Nachrichtendienste zumindest vorübergehend eingeschränkt werde und damit der Informationsfluss betroffen ist, der jedoch für die Sicherheit der Bundesrepublik unverzichtbar sei.

Gehört denn nun die Zusammenarbeit mit anderen Nachrichtendiensten zum Staatswohl? Ganz klar: ja. Sowohl die Rechtsprechung als auch der historische Gesetzgeber erkennen die Zusammenarbeit der Geheimdienste zum Schutz des Staates als einen Grund an, der im Rahmen des Nachteils für das Wohle des Bundes angeführt werden kann.

Nach dem BVerwG (Az. 20 F 21/10) ist ein Nachteil insbesondere dann gegeben, wenn und soweit die Bekanntgabe des Akteninhalts die künftige Erfüllung der Aufgaben der Sicherheitsbehörden einschließlich ihrer Zusammenarbeit mit anderen Behörden erschweren würde. Die Entscheidungen der Gerichte zum Staatswohl beziehen sich zumeist auf § 99 Abs. 2 S. 2 VwGO. Dort spielt dieser Grund eine Rolle bei der Verweigerungsmöglichkeit von Behörden, bestimmte sensitive Akten in Gerichtsverfahren vorlegen zu müssen. Die Begründungen sind jedoch auf den vorliegenden Fall übertragbar.

Und auch der Gesetzgeber hatte genau diesen Fall, der Gefährdung der Beziehung zu anderen Staaten im Auge, als er den § 99 Abs. 2 VwGO im Jahre 2001 änderte. In dem Gesetzesentwurf (BT-Drs. 14/6393, S. 10) wird auf eine nähere Definition des „Wohles des Bundes“ bewusst verzichtet. Denn es entspreche der herrschenden Meinung, dass ein solcher Nachteil dann gegeben ist, wenn eine konkrete Gefährdung der inneren oder der äußeren Sicherheit des Bundes, der Beziehungen zu anderen Staaten oder zu internationalen Organisationen eintreten kann.

Damit steht also fest, dass die Bundesregierung die Beziehung mit den USA als einen Nachteil des Wohles des Bundes anführen kann. Gerade in Bezug auf die Thematik, außenpolitische Beziehung, ist auch durch das BVerwG anerkannt, dass der Bundesregierung, respektive dem Auswärtigen Amt, ein Beurteilungs- und Einschätzungsprärogative zusteht. Für die Regelung der auswärtigen Beziehungen räumt das Grundgesetz der Bundesregierung einen grundsätzlich weit bemessenen Gestaltungsspielraum ein und daher ist auch die Prognose, ob eine Offenbarung bestimmter Dokumente eine Beeinträchtigung der auswärtigen Beziehungen erwarten lässt, verwaltungsgerichtlich nur eingeschränkt überprüfbar (BVerwG, Az. 20 F 13/09). Dies ergibt sich auch aus der Gesetzesbegründung zur Änderung des § 99 Abs. 2 VwGO. Danach bedurfte es keine ausdrücklichen gesetzlichen Klarstellung, dass die Würdigung eines möglichen Schadens für die Pflege der Beziehungen zu anderen Staaten und zu internationalen Organisationen zunächst Aufgabe des hierfür besonders sachkundigen und sachnahen Auswärtigen Amts ist (BT-Drs. 14/6393, S. 10).

Der hier diskutierte Fall besitzt einige interessante Parallelen zu einem Verfahren vor dem BVerwG aus dem Jahre 2010 (Az. 20 F 13/09). Dort ging es um die Veröffentlichung von Geheimdienstunterlagen des BND die im Zusammenhang mit Adolf Eichmann standen und die der BND vom israelischen Geheimdienst, jedoch ohne Freigabe zur Veröffentlichung erhalten hatte. Der BND verweigerte eine Offenlegung daher auch, weil die Bekanntgabe von vertraulich erlangten Informationen ausländischer Nachrichtendienste die künftige Zusammenarbeit mit diesen Diensten und damit das Wohl des Bundes gefährden könnte.

Das BVerwG sah die Verweigerung der Offenlegung des BND im Ergebnis als rechtswidrig an. Jedoch etwa nicht, weil als ein möglicher Nachteil die Beziehungen zu anderen Staaten und die geheimdienstliche Zusammenarbeit angeführt wurden. Sondern vielmehr deshalb, weil die Begründung dieser Verweigerung unzureichend ausfiel. Damit eine wirksame gerichtliche Kontrolle der Ablehnung durch eine Behörde durchgeführt und somit eine Gewährung effektiven Rechtsschutzes ermöglicht werden kann, müssen von der Behörde die konkret befürchteten Nachteile, soweit wie nach den Umständen und unter Wahrung des in Anspruch genommenen Geheimnisschutzes möglich, unter Berücksichtigung rechtsstaatlicher Belange einer nachvollziehbaren und verständlichen Darlegung.

In dem Fall Eichmann monierte das BVerwG vor allem, dass die zurückgehaltenen Dokumente weiter zurückliegende, abgeschlossene Vorgänge betreffen, die zwar von zeitgeschichtlichem und historischem Interesse sind, deren mögliche Auswirkungen im Falle einer Offenlegung auf die gegenwärtigen außenpolitischen Beziehungen sich aber nicht gleichsam von selbst aus ihrem Inhalt erschließen. Daher müsse die nachteilige Auswirkung in der Gegenwart besonders begründet werden. Dies liegt in Bezug auf Snowden freilich etwas anders. Denn die Aufarbeitung der Tätigkeiten der NSA und anderer Geheimdienste beherrscht fast täglich die Medien. Die Auswirkung in der Gegenwart wird sicher hier sicherlich eher annehmen lassen.

Besteht ein aktueller Bezug, so erkennt das BVerwG an, dass Nachteile bei Vorgängen der jüngeren Vergangenheit, erst recht bei Vorgängen, die in die Gegenwart hineinreichen oder offensichtliche Bezüge zu einem aktuellen Geschehen aufweisen, schon auf Grund der zeitlichen Nähe und damit aus den anzunehmenden Auswirkungen auf die gegenwärtigen Verhältnisse auf der Hand liegen können, ohne dass es weiterer Erläuterungen bedarf.

Eine weitere Parallele ergibt sich in Bezug auf die Gefährdung der Zusammenarbeit mit Geheimdiensten selbst. Die Erschwerung der Zusammenarbeit ist als ein möglicher Nachteil anzuerkennen, gerade wenn der ausländische Geheimdienst weiterhin ein Interesse an der Geheimhaltung von Informationen besitzt und diese im Vertrauen hierauf an den BND weitergegeben hat. Aber das BVerwG stellt klar:

Rechtsstaatliche Belange erfordern aber auch insoweit ein Mindestmaß an Plausibilität.

Es ist Aufgabe der Behörde begründet und konkret darzulegen, warum auf ausländischer Seite ein noch fortdauerndes Geheimhaltungsinteresse besteht.

Fazit
Die Opposition hat bereits angekündigt gegen eine verweigerte Amtshilfe der Bundesregierung zu klagen, sollte sie bei ihrem Standpunkt bleiben. Würde es tatsächlich dazu kommen, so würde sich der Erfolg einer solchen Klage wohl vor allem daran bemessen, wie konkret die durch die Bundesregierung befürchteten Nachteil dargelegt werden und ihr Eintritt wahrscheinlich ist. Zudem dürfte sich die Frage stellen, ob nicht drohende Nachteile für das Wohl des Bundes hinter die sich aus der Arbeit des Ausschusses ergebenden Vorteile für das Wohl des Bundes zurücktreten müssen. Wenn die Amtshilfe der Bundesregierung also eher Vor- als Nachteile für das Staatswohl mit sich bringt.