Category Archives: Rechtsprechung

Ministerkomitee des Europarates: Leitfaden der Menschenrechte von Internetnutzern

Posted on by

Am 16. April 2014 hat das Ministerkomitee des Europarates (Die Versammlung der Außenminister der Mitgliedstaaten) eine Empfehlung mit dem Titel „Guide to human rights for Internet users“ verabschiedet. Derartige Empfehlungen sind für die Mitgliedstaaten nicht bindend, geben jedoch die Sichtweise der für die Verabschiedung erforderlichen Mehrheit der Mitgliedstaaten wieder.
Die Empfehlung ist zweigeteilt. Zu Beginn richtet sie sich mit Forderungen an die Mitgliedstaaten. Der zweite Teil stellt den eigentlichen Leitfaden für die Bürger dar.

Empfehlungen an Mitgliedstaaten
Das Ministerkomitee stellt zunächst klar, dass die in der Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) aufgestellten Rechte und Freiheiten sowohl offline als auch online gelten.

Zudem besitzen die Mitgliedstaaten im Rahmen der Wahrung des Schutzes der Menschenrechte auch die Pflicht, die Aufsicht über private Unternehmen auszuüben. Privatrechtliche Vereinbarungen müssen sich an den durch die Grundrechte aufgestellten Prinzipien messen lassen.

Das Internet besitzt besonderen Wert als öffentliches Gut. Bürger besitzen ein berechtigtes Interesse, das Internet ohne diskriminierende Einschränkungen, sicher und zuverlässig nutzen zu können.

Bürger sollten Unterstützung erhalten, wie sie ihre Menschenrechte online wirksam ausüben könne. Hierzu gehöre auch der Zugang zu wirksamen Rechtsschutzmöglichkeiten, wenn ihre Rechte und Freiheiten eingeschränkt wurden.

Für die Sicherstellung der gleichwertigen Geltung von Menschenrechten auch im Internet empfiehlt das Ministerkomitee den Mitgliedstaaten:

  • Die Umsetzung und Anwendung des Leitfadens der Menschenrechte für Internetnutzer unter den Bürgern, den öffentlichen Stellen und den privaten Unternehmen zu fördern und konkrete Maßnahmen für seine Anwendung durchzuführen;
  • Kontinuierlich Einschränkungen von Menschenrechten im Internet zu überwachen, zu prüfen und auch aufzuheben, wenn diese nicht im Einklang mit den Vorgaben der EMRK im Lichte der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) stehen;
  • Sicherzustellen, das Internetnutzer Zugang zu wirksamen Rechtsschutzmöglichkeiten besitzen, wenn ihre Rechte eingeschränkt wurden. Dies erfordere eine Koordinierung und Zusammenarbeit der relevanten Einrichtungen. Zudem müsse eine Zusammenarbeit mit der privaten Wirtschaft und Bürgerrechtsorganisationen stattfinden.
  • Auch mit Staaten zusammenzuarbeiten, die nicht Mitglied des Europarates sind, um Maßstäbe und Verfahren zu entwickeln, die Einfluss auf den Schutz der Rechte und Freiheiten im Internet besitzen.
  • Private Unternehmen zu unterstützen und zu fördern, im Rahmen ihrer unternehmerische Gesellschaftsverantwortung in einen Dialog mit staatlichen Behörden und der Zivilgesellschaft zu treten.

Leitfaden der Menschenrechte von Internetnutzern
In dem Leitfaden selbst werden den Bürgern Informationen zu verschiedenen Menschenrechten (etwa Meinungsfreiheit, Zugang zu Informationen, Versammlungsfreiheit etc.), jeweils mit Bezug zum Internet, gegeben. Beispielhaft sei hier das Recht auf Schutz des Privatlebens (Art. 8 EMRK) genannt. Dessen Schutzbereich umfasst auch den Schutz personenbezogener Daten (zu dem Schutzumfang der EMRK und im Vergleich hierzu durch die Charta der Grundrechte der Europäischen Union hatte ich bereits einmal etwas geschrieben). Der Leitfaden weist darauf hin, dass eine Nutzung des Internets grundsätzlich mit einer Verarbeitung personenbezogener Daten einhergeht. Die Verarbeitung darf jedoch nur auf der Grundlage eines Gesetzes oder einer Einwilligung erfolgen. Zudem dürfe der Bürger nicht Gegenstand einer ständigen Überwachungsmaßnahme sein. Bei einer Einschränkung dieses Rechts, etwa zum Zwecke der Kriminalitätsbekämpfung, muss der Bürger über die Grundlagen des Eingriffs und seine Rechtsschutzmöglichkeiten informiert werden. Auch am Arbeitsplatz müsse die Privatsphäre des Bürgers beachtet werden. Überwachungsmaßnahmen durch den Arbeitgeber müssten vorher mitgeteilt werden.

Fazit
Der verabschiedete Leitfaden ist absolut begrüßenswert. Er versucht in einer möglichst bürgernahen und unjuristischen Sprache über die Rechte im Internet aufzuklären und sollte jedem interessierten Bürger als Informationsquelle dienen. Abgesehen von dem Leitfaden selbst, sind die Empfehlungen an die Mitgliedstaaten ebenfalls nicht uninteressant. Insbesondere das Votum für eine engere Einbeziehung des privaten Sektors in Form einer geminsamen Zusammenarbeit mit staatlichen Stellen zum Nutzen der Bürger fällt deutlich aus und ist meines Erachtens auch ein richtiger Weg.

Hat der EuGH die Cloud für tot erklärt?

Posted on by

In seinem gestrigen Urteil (Az. C?293/12 und C?594/12) zur Vereinbarkeit der Vorgaben der Richtlinie 2006/24 (VDS-RL, PDF) zur Vorratsdatenspeicherung, hat sich der EuGH naturgemäß mit den einzelnen Vorschriften zur Umsetzung der Richtlinie in nationalstaatliches Recht befasst. Die Richtlinie wurde, in ihrer jetzigen Ausformung, für nichtig erklärt (siehe hierzu die Urteilsbesprechung bei Hans Peter Lehofer), da die derzeit geltenden Vorgaben unverhältnismäßige Eingriffe in die europäischen Grundrechte auf Privatsphäre (Art. 7 Charta der Grundrechte der EU, Charta) und auf den Schutz personenbezogener Daten (Art. 8 Charta) zur Folge hätten. Bisher kaum Beachtung scheinen jedoch einige, meines Erachtens für das allgegenwärtige Cloud Computing wichtige, Ausführungen des Gerichts gefunden zu haben.

In seinem Urteil prüft der EuGH ab Rz. 56 die Verhältnismäßigkeit der Vorgaben der VDS-RL im engeren Sinne. Die dort erlaubten Eingriffe in Grundrechte müssen auf das absolut notwendige Maß beschränkt sein. In Rz. 65 kommt das Gericht zu dem Schluss:

Somit ist festzustellen, dass die Richtlinie einen Eingriff in diese Grundrechte beinhaltet, der in der Rechtsordnung der Union von großem Ausmaß und von besonderer Schwere ist, ohne dass sie Bestimmungen enthielte, die zu gewährleisten vermögen, dass sich der Eingriff tatsächlich auf das absolut Notwendige beschränkt.

Maßnahmen zur Datensicherheit
„Gut“, möchte man denken. Damit ist die Prüfung abgeschlossen. Doch das Gericht fügt seiner Begründung noch drei weitere Randziffern (66-68) an. In diesen befasst es sich, freilich zunächst auch mit Blick auf die VDS-RL, mit der Sicherheit und dem Schutz von gespeicherten Daten. Der EuGH stellt fest, die VDS-RL keine ausreichenden Bestimmungen enthalte, dass die auf Vorrat gespeicherten Daten wirksam vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu ihnen und jeder unberechtigten Nutzung geschützt sind (Rz. 66).

Solche Vorgaben zum Schutz personenbezogener Daten und gerade auch in Bezug auf Maßnahmen zur Gewährung der Datensicherheit kennen wir aus der Datenschutz-Richtlinie, 95/46/EG (DS-RL, PDF). Dort bestimmt Art. 17 DS-RL entsprechende Pflichten für die verantwortliche Stelle. Im Falle einer Auftragsdatenverarbeitung, wenn also die tatsächlichen Verarbeitungsprozesse von einem Dritten wahrgenommen werden, bestimmt Art. 17 Abs. 2 DS-RL, dass die verantwortliche Stelle nur solche Auftragnehmer auswählen darf, die technische Sicherheitsmaßnahmen bereithalten. Zudem muss sich der Verantwortliche hiervon auch selbst überzeugen. Art. 17 Abs. 3 DS-RL bestimmt zudem, dass auch den Auftragsdatenverarbeiter selbst Pflichten zur Datensicherheit nach dem für ihn geltenden nationalen Datenschutzrecht treffen.

Cloud Computing
Diese Konstellation, die Datenverarbeitung durch einen Auftragnehmer, ist das typische Beispiel, welches den meisten Cloud Computing-Lösungen zugrunde liegt. Man nehme etwa den Anbieter eines Internet-Speicherdienstes: Der Anbieter der Cloud ist der Auftragsdatenverarbeiter (er selbst sitzt z. B. in den USA, seine Server stehen auf der ganzen Welt), der Kunde ist die verantwortliche Stelle (ob diese rechtliche Einschätzung in der heutigen Zeit noch angemessen erscheint, soll hier nicht diskutiert werden; sie ist nicht unumstritten, wird so aber etwa von der Art. 29 Datenschutzgruppe vertreten, siehe Stellungnahme WP 196, PDF).

Zurück zum Urteil des EuGH. Auch das Gericht verweist für erforderliche Sicherheitsmaßnahmen auf die Vorgaben des Art. 17 DS-RL (Rz. 67), deren Einhaltung, wir erinnern uns an das Beispiel, der Kunde des Speicherdienstes zu prüfen hätte und der Speicherdienst als Auftragnehmer auch selbst einsetzen müsste. Doch nun wird es interessant und relevant.

Datenspeicherung in Drittstaaten
Der EuGH kritisiert in Rz. 68, dass die VDS-RL im Rahmen der erforderlichen Sicherheitsmaßnahmen keine Vorgaben dazu macht, dass die Daten nur innerhalb des Unionsgebietes gespeichert werden dürfen. Hieraus folgert das Gericht, dass

es nicht als vollumfänglich gewährleistet angesehen werden kann, dass die Einhaltung der in den beiden vorstehenden Randnummern angesprochenen Erfordernisse des Datenschutzes und der Datensicherheit, wie in Art. 8 Abs. 3 der Charta ausdrücklich gefordert, durch eine unabhängige Stelle überwacht wird.

Der in dem Zitat angesprochene Art. 8 Abs. 3 Charta bestimmt, dass die Einhaltung der Vorschriften zum Schutz personenbezogener Daten durch eine unabhängige Stelle überwacht werden müssen. In der Praxis sind dies in Europa die Datenschutzbehörden.

Was bedeutet diese Aussage nun? Der EuGH scheint der Auffassung zu sein, dass Daten, welche auf Servern in Drittstaaten gespeichert werden, nicht dem Schutzniveau des Art. 8 Charta entsprechend geschützt werden können. Dies deshalb, weil in dem jeweiligen Drittstaat möglicherweise keine unabhängige Stelle existiert, welche die Einhaltung der Vorgaben zum Datenschutz und zur Datensicherheit überwacht. Nun mag man einwenden, dass es ja gerade für Fälle der Übermittlung von Daten in Drittstaaten etwa Standardvertragsklauseln gibt oder auch Angemessenheitsbeschlüsse der Kommission, die einem Drittstaat (oder einem gewissen Wirtschaftsbereich) ein angemessenes Schutzniveau bescheinigen. Auf diese Instrumente scheint das Gericht aber überhaupt nicht abzustellen. Sein Verweis bezieht sich vielmehr auf das Vorhandensein einer unabhängigen Stelle im Sinne des Art. 8 Abs. 3 Charta. Diese Überwachung durch unabhängige Datenschutzbehörden ist für den EuGH entscheidend.

Hiergegen mag man ins Feld führen, dass es ja auch in Drittstaaten unabhängige Behörden gibt, welche die Einhaltung des dortigen Datenschutzrechts überwachen. Doch auch diesbezüglich scheint der EuGH den Grundrechtsschutz des Art. 8 Charta äußerst streng zu nehmen, denn er führt aus:

Eine solche Überwachung auf der Grundlage des Unionsrechts ist aber ein wesentlicher Bestandteil der Wahrung des Schutzes der Betroffenen bei der Verarbeitung personenbezogener Daten.

Das Gericht knüpft das Erfordernis der Überwachung durch eine unabhängige Stelle an die „Grundlage des Unionsrechts“. Es mag also durchaus unabhängige Datenschutzbehörden in Drittstaaten geben. Diese überwachen die Einhaltung von Vorgaben zur Datensicherheit und zum Datenschutz jedoch grundsätzlich nicht auf Grundlage des Unionsrechts. Vielmehr gilt für diese Behörden ihr jeweils nationales Recht. Ebenso muss für europäische Datenschutzbehörden festgestellt werden, dass diese ihre Überwachungsmaßnahmen nicht in Drittstaaten ausdehnen können. Sie sind hinsichtlich ihrer öffentlich-rechtlichen Befugnisse vielmehr territorial beschränkt. Man könnte sich nun fragen, wann denn überhaupt eine Behörde auf der Grundlage des Unionsrechts die Einhaltung von Datenschutz- und Datensicherheitsstandards in einem Drittstaat wirksam überwachen kann?

Lösungen und Konsequenzen
Als einziger Ansatzpunkt würde mir einfallen, dass man z. B. Angemessenheitsbeschlüsse (wie etwa Safe Harbor) oder auch Standardvertragsklauseln als eine solche Grundlage des Unionsrechts ansieht, nach deren Vorgaben der Verarbeiter im Drittstaat handeln muss. Freilich wird hierdurch nicht das Problem gelöst, dass eine europäische Datenschutzbehörde nicht im Drittstaat hoheitlich tätig werden kann, also dort nicht direkt auf „Grundlage des Unionrechts“ überwachen kann.

Denn die Safe Harbor-Entscheidung, ebenso wie die Standardvertragsklauseln der EU sehen für Kontrollstellen die Möglichkeit vor, Datenübermittlungen in ein Drittland auszusetzen. Also gegen den Verantwortlichen in der EU vorzugehen. Dies jedoch nicht etwa dann, wenn die Behörde den Auftragnehmer in dem Drittstaat selbst kontrolliert und etwa Mängel bei der Datensicherheit festgestellt hat. Die Befugnisse der europäischen Behörden greifen dann, wenn feststeht, dass der Verarbeiter in dem Drittstaat die an ihn gestellten Vorgaben (sei es aus Vertragsklauseln oder Angemessenheitsbeschlüssen) nicht einhalten kann. Für Informationen hierzu ist die jeweilige europäische Behörde aber freilich auf Angaben Dritter angewiesen, also etwa von Behörden in dem Drittstaat oder des für die Datenverarbeitung Verantwortlichen selbst. Gut möglich, dass diese „mittelbare“ Überwachung ausreicht, um den Vorgaben des EuGH gerecht zu werden. Hierfür spricht meines Erachtens auch, dass der europäische Gesetzgeber die Datenschutz-Richtlinie mit entsprechenden Mechanismen zur Übermittlung und Speicherung von Daten in Drittstaaten ausgestaltet hat. Wohl wissend, dass nationale Behörden dann nur begrenzte Prüfmöglichkeiten besitzen. Und auch der EuGH selbst hat etwa in seinem Lindqvist-Urteil (Az. C-101/01) darauf hingewiesen, dass für die Mitgliedstaaten und die Kommission gewisse Pflichten zur Kontrolle solcher Datenübermittlungen bestehen (Rz. 63 ff.). Jedoch hat er diese Übermittlung nicht kategorisch ausgeschlossen oder von einer direkten Einflussnahmemöglichkeit europäischer Behörden abhängig gemacht (auch wenn die Frage der Voraussetzungen der Datenübermittlung dort nicht direkt Gegenstand der gerichtlichen Prüfung war und daher nicht vertieft wurde). Dennoch verbleibt ein gewisses Unwohlsein, welches sich vor allem aus der Deutlichkeit der Aussage des EuGH ergibt.

Ausblick
Die Ausführungen des EuGH zur Datenspeicherung in Drittstaaten sind durchaus bemerkenswert. Dies gerade vor dem Hintergrund der anhaltenden Diskussion um ein „Schengen-Routing“ und dem sog. Datenprotektionismus in Folge der Enthüllungen um die Überwachungstätigkeiten von Geheimdiensten. Wie dargestellt liegt die Konstellation der Speicherung von Daten in Drittstaaten vor allem auch dem Cloud Computing zugrunde. Ist die Cloud deshalb tot? Ich denke nicht. Denn die Ausführungen des EuGH sind dafür wohl von zu allgemeiner Natur. Dennoch stellen sich Fragen: Sollte eine Speicherung von personenbezogenen Daten in Ländern außerhalb der EU nun (unabhängig von der rechtlichen Grundlage der Übermittlung) nicht mehr möglich sein? Oder etwa nur wenn sich der Datenverarbeiter behördlichen Maßnahmen europäischer Stellen freiwillig unterwirft? Reicht die beschriebene „mittelbare“ Überwachungsmöglichkeit und dem folgend etwa Maßnahmen gegen den Verantwortlichen in der EU aus? Sollte dem nicht so sein, dann wäre dies ein Schritt zurück, hinter die Intention der geltenden DS-RL und würde der digitalen Wirtschaft und damit auch unserem täglichen Umgang mit Internetdiensten einen Bärendienst erweisen.

BAG: Datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten

Posted on by

Mit Beschluss vom 3.2.2014 (Az.: 10 AZB 77/13) hat das Bundesarbeitsgericht (BAG) entschieden, dass ein datenschutzrechtlicher Auskunftsanspruch auch vor den Arbeitsgerichten geltend gemacht werden kann, wenn die personenbezogenen Daten im Zusammenhang mit einem Arbeitsverhältnis stehen.

Der Kläger, als früherer Arbeitnehmer der Beklagten, begehrte von dieser Auskunft über bei ihr zu seiner Person gespeicherte Daten (§ 34 BDSG), nachdem über seine Tätigkeit und die Beendigung des Arbeitsverhältnisses in mehreren Nachrichtenportalen berichtet wurde.

Das Landesarbeitsgericht hatte den Rechtsweg zu den Arbeitsgerichten noch für unzulässig erklärt.

Das BAG sah den Rechtsweg jedoch für eröffnet an. § 2 Abs. 1 Nr. 4 Buchst. a ArbGG erweitere die Zuständigkeit der Arbeitsgerichte auf bürgerliche Rechtsstreitigkeiten zwischen Arbeitnehmern und Arbeitgebern über Ansprüche, die mit dem Arbeitsverhältnis in rechtlichem oder unmittelbar wirtschaftlichem Zusammenhang stehen. Hier beruhe der datenschutzrechtliche Auskunftsanspruch auf dem ehemaligen Arbeitsverhältnis und sei durch dieses bedingt. Denn das Auskunftsverlangen des Klägers beruhe auf einer Berichterstattung gerade über dieses Arbeitsverhältnis und die Form seiner Beendigung. Der Anspruch beziehe sich damit auf personenbezogene Daten, die nach § 32 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt wurden. Somit bestehe der erforderliche rechtliche Zusammenhang mit dem Arbeitsverhältnis. Welche Motive dem Anspruch zugrunde liegen sei ebenso unerheblich, wie die Tatsache, dass der Anspruch nach § 34 BDSG auch auf anderen Rechtswegen geltend gemacht werden könne.

Bundesregierung zu Redtube: Gutes Maß an Rechtssicherheit erreicht.

Posted on by

Die Bundesregierung hat auf eine kleine Anfrage der Fraktion BÜNDNIS 90/DIE GRÜNEN zum Thema „Klarheit für Verbraucherinnen und Verbraucher im Zusammenhang mit den Redtube-Abmahnungen“ (BT-Drs. 18/751, PDF) geantwortet. In einer ersten Antwort auf eine kleine Anfrage der DIE LINKE hatte die Bundesregierung zu den Redtube-Abmahnungen ausgeführt, dass aus ihrer Sicht die „Vervielfältigung, die bei Betrachten eines Videostreams erfolgt, unter den Voraussetzungen des § 53 Abs. 1 UrhG (so genannte Privatkopie-Schranke) zulässig“ sei (BT-Drs. 18/246).

Da jedoch zum Tatbestand des § 53 Abs. 1 UrhG auch die Voraussetzung erfüllt sein muss, dass „zur Vervielfältigung keine offensichtlich rechtswidrig hergestellte oder öffentlich zugänglich gemachte Vorlage verwendet“ wird, obliegt es den Nutzern zu beurteilen, ob es sich um eine solche Vorlage handelt. Die Fragesteller sehen hierin eine Rechtsunsicherheit für Verbraucher, da es für diese als juristische Laien kaum zu beurteilen sei, ob die Vorlage entweder offensichtlich rechtswidrig hergestellt oder aber offensichtlich rechtswidrig öffentlich zugänglich gemacht worden ist. Daher erbeten die Grünen u. a. eine Antwort darauf, ob die Bundesregierung hier gesetzgeberischen Handlungsbedarf sieht.

In der Öffentlichkeit wurde in Bezug auf die Redtube-Verfahren unter anderem auch darüber diskutiert, inwieweit es den beteiligten Richtern am LG Köln an technischer Expertise gemangelt haben könnte, um ein vorgelegtes Gutachten richtig beurteilen zu können. Die Bundesregierung geht in ihrer Antwort davon aus, dass

der hier angesprochene Sachverhalt […] nicht den Schluss zu[lässt], dass deutsche Gerichte mit den in technischer Hinsicht aufgeworfenen Fragen überfordert seien.

Hinsichtlich der Voraussetzungen des § 53 Abs. 1 UrhG, insbesondere in Bezug auf den oben beschrieben Halbsatz, weißt die Bundesregierung auf die Gesetzgebungsgeschichte der Vorschrift hin und führt aus:

Zugleich sollte aber mit dieser Einschränkung auch der Verbraucher geschützt werden. Er sollte nicht mit unerfüllbaren Prüfpflichten belastet werden. Denn die Einschränkung des letzten Halbsatzes ist so formuliert, dass es im Streitfall dem Rechtsinhaber – und nicht dem Verbraucher – obliegt zu beweisen, dass die Vorlage offensichtlich rechtswidrig hergestellt oder offensichtlich unerlaubt öffentlich zugänglich gemacht worden ist.

Auch geht die Bundesregierung jedoch davon aus, dass man diesbezüglich auf den jeweiligen Verbraucher und seinen individuellen Bildungs- und Kenntnisstand abstellen müsse. Für diesen müsse erkennbar sein, dass die Vorlage eine offensichtliche rechtswidrige Quelle war. Konkreter müssten nach der Bundesregierung hierbei die für den Verbraucher erkennbaren Gesamtumstände des Angebots berücksichtigt werden. Wann ein, aus der Sicht des jeweiligen Verbrauchers, legales Angebot vorliegt, hängt daher vom Einzelfall ab.

Allein das Vorhandensein eines Rechtsverletzungsmanagements zur Durchführung des sog. Notice-and-Take-Down-Verfahrens lässt daher noch nicht auf ein legales Angebot schließen, wenn alle anderen Umstände eine offensichtlich unerlaubt zugänglich gemachte Vorlage erkennen lassen.

Jedoch erklärt die Bundesregierung auch, dass eine Pflicht zu aktiven Nachforschungen durch den Verbraucher nicht besteht. Daher sei die geltende Rechtslageaus Sicht der Bundesregierung bereits verbraucherfreundlich ausgestaltet. Eine rechtssichere Klarstellung könne jedoch nur auf europäischer Ebene erfolgen.
Zuletzt merkt die Bundesregierung an, dass das LG Köln den Beschwerden gegen die zunächst ergangenen Beschlüsse zur Auskunft über die Anschlussinhaber stattgegeben habe. Damit habe das Gericht die Auffassung der Bundesregierung bestätigt.

Damit ist bereits ein gutes Maß an Rechtssicherheit erreicht.

LG Saarbrücken: Todesanzeigen im Internet sind erlaubt

Posted on by

Das Landgericht (LG) Saarbrücken hat mit Urteil vom 14.02.2014 (Az.: 13 S 4/14, derzeit noch nicht online abrufbar) entschieden, dass eine Internetseite mit „virtuellen Grabstätten“ nicht gegen das Datenschutzrecht und das postmortale Persönlichkeitsrecht der verstorbenen Person verstößt, wenn die Daten der Todesanzeige aus allgemein zugänglichen Quellen entnommen wurden. Es wies damit die Berufung des Betreibers der entsprechenden Internetseite gegen ein Urteil des Amtsgerichts (AG) Saarlouis (Az. 29 C 1892/12 (16)) teilweise zurück. In Bezug auf Kommentare unter der entsprechenden Todesanzeige, welche die Witwe des Verstorbenen in ihren Rechten verletzten, änderte das LG das erstinstanzliche Urteil jedoch nur ab (und bestätigte damit im Prinzip insoweit die Ansicht des AG).

Dieser, zugegebenermaßen etwas ungewöhnliche Fall, zeigt deutlich, dass nicht notwendigerweise jeder Umgang mit personenbezogenen Daten verboten sein muss. Zudem beleuchtet er, wenn auch nur in einem Nebensatz, die Frage, inwieweit sich eigentlich Verstorbene, bzw. deren Angehörige, auf den Schutz personenbezogener Daten berufen können.

Sachverhalt
Auf einer Internetseite veröffentlichte der Beklagte eine Todesanzeige unter vollständiger Nennung von Vor- und Zunamen, Geburts- und Sterbedatum, Wohnort, Berufsbezeichnung und letzter Ruhestätte des Verstorbenen. Diese Daten waren bereits in Sterbeanzeigen, die u. a. die Witwe selbst aufgegeben hatte, enthalten. Zudem war es Dritten möglich, Kondolenzeinträge (also im Prinzip Kommentare) zu verfassen. Diese Chance nutzte auch eine Dame um mehr oder minder direkt zum Ausdruck zu bringen, dass sie die Geliebte des Verstorbenen gewesen sei. In einem separaten Verfahren wurde sie daraufhin verurteilt, Veröffentlichungen dieser Art zu unterlassen. In erster Instanz erkannte der Beklagte bereits die begehrte Löschung dieser sieben Kondolenzeinträge der Dame an.

Entscheidung
Das LG sah die Verarbeitung der personenbezogenen Daten des Verstorbenen zum Zwecke der Darstellung in der Todesanzeige als rechtmäßig an. Dieser Löschungsanspruch ergebe sich weder aus § 35 Abs. 2 S. 2 Nr. 1 BDSG noch aus dem postmortalen Persönlichkeitsrechts ihres verstorbenen Ehemannes oder ihren eigenen Rechten (§ 1004 Abs. 1 S. 1 BGB analog). Ich möchte mich hier auf einige datenschutzrechtliche Gesichtspunkte der Entscheidung beschränken.

Zum einen tendiert das LG bereits dazu, personenbezogene Daten Verstorbener nicht in den Schutzbereich des BDSG aufzunehmen. Doch selbst wenn diese Schutz genießen würden, so würde die Datenverarbeitung doch rechtmäßig erfolgen.
Ob Daten Verstorbener vom BDSG geschützt werden ist zumindest nicht unumstritten. Gegen eine Einbeziehung könnte jedoch sprechen, dass Rechte der Betroffenen (wie etwa dasjenige auf Löschung oder Auskunft) gerade eine lebende Person voraussetzen. Ein weiteres Argument gegen die Erstreckung des Schutzes auf Verstorbene könnte zudem sein, dass das Bundesverfassungsgericht davon ausgeht, dass das allgemeine Persönlichkeitsrecht mit dem Tod des Betroffenen erlischt. Das Recht auf informationelle Selbstbestimmung, welches als Grundlage des Schutzes personenbezogener Daten dient, ist jedoch nur ein besonderer Teil dieses allgemeinen Persönlichkeitsrechts und erlischt dann folgerichtig ebenso. Schutzlos steht das Ansehen der Verstorbenen (und so mittelbar auch der Umgang mit ihren Daten) damit jedoch nicht. Denn das Bundesverfassungsgericht geht ebenso davon aus, dass der Schutz der Menschenwürde (Art. 1 Abs. 1 GG) nicht mit dem Tode endet (vgl. etwa Az.: 1 BvR 435/68).

Nach dem LG sei jedoch die Speicherung und Veröffentlichung der Todesanzeige rechtmäßig, da sich der Betreiber auf den Erlaubnistatbestand des § 29 Abs. 1 Nr. 2 BDSG berufen könne. Danach ist das geschäftsmäßige Erheben, Speichern und Nutzen personenbezogener Daten zum Zwecke der Übermittlung zulässig, wenn die Daten aus allgemein zugänglichen Quellen entnommen werden können, es sei denn, dass das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.
Vorliegend waren die Daten allgemein zugänglich, da die Witwe bereits selbst Todesanzeigen veröffentlicht hatte. Die Verarbeitung wäre nur dann unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle „offensichtlich überwiegt“. Eine umfangreiche Einzelfallprüfung der widerstreitenden Interessen durch den Beklagten war daher nicht erforderlich. Die erleichterten Voraussetzungen der Datenverarbeitung werden vor allem als ein Ausfluss des Grundrechts der Informationsfreiheit aus Art. 5 Abs. 1 S. 1 GG angesehen. Das LG führt weiter aus, dass vorliegend eine Abwägung nur mit dem postmortalen Persönlichkeitsrechts des Verstorbenen in Betracht käme, da (entsprechend der oben erwähnten Ansicht des Bundesverfassungsgerichts) das Recht auf informationelle Selbstbestimmung mit dessen Tode erloschen sei. Die hier zu beurteilende Todesanzeige verletze den Verstorbenen jedoch nicht in seinem geschützten Achtungsanspruch. Denn es handele sich um wertneutrale Daten, ohne wertenden Bezug zur Persönlichkeit. Auch „dass die Daten durch eine Veröffentlichung im Internet einer breiteren Öffentlichkeit zugänglich gemacht und möglicherweise auch dauerhaft verfügbar gehalten werden, ändert an dieser Bewertung im Grundsatz nichts“.

Kammergericht: Für Facebook gilt deutsches Datenschutzrecht – und nun?

Posted on by

Mit Urteil vom 24.01.2014 (Az. 5 U 42/12 (hier als PDF)) hat das Kammergericht (KG) die Berufung von Facebook im Streit mit dem VZBV um die Zulässigkeit des Freunde-Finders zurückgewiesen (hier die Pressemitteilung). Das Urteil ist nun im Volltext verfügbar und der Inhalt dürfte durchaus für Diskussionen sorgen. Denn das KG bestätigt die Auffassung des Landgerichts Berlin (Az. 16 O 551/10), wonach im europäischen Datenschutzrecht eine Rechtswahl zwischen den Parteien möglich ist. Selbst ohne eine solche Rechtswahl fände vorliegend jedoch deutsches Datenschutzrecht Anwendung, da nicht Facebook Irland, sondern vielmehr die Muttergesellschaft in Amerika allein die verantwortliche Stelle der Datenverarbeitung sei. Da diese nicht in Europa sitze, jedoch auf die Daten von Nutzern in Deutschland zurückgreife, gelte deutsches Datenschutzrecht.

Die Frage des anwendbaren Datenschutzrechts ist freilich nur die (wenn auch notwendig) zu prüfende Vorstufe, um zu einer Beurteilung der Rechtmäßigkeit des Freunde-Finders an sich zu gelangen. Ich möchte mich nachfolgend jedoch auf diese Vorfrage beschränken, denn ihre Beantwortung ist besonders vor dem Hintergrund interessant, dass sowohl das VG (Az.: 8 B 60/12; 8 B 61/12) als auch das OVG Schleswig (Az.: 4 MB 10/13) die Anwendbarkeit deutschen Datenschutzrechts abgelehnt haben. Wir haben also in Deutschland nun zwei Obergerichte, die hier unterschiedlicher Auffassung sind. Man sollte meines Erachtens zudem beachten, dass es bei dieser Frage nicht um „Facebook“-Bashing gehen darf, sondern diese Thematik vielmehr für jeglichen internationalen Anbieter von Dienstleistungen im Internet von Interesse ist.

Anwendbares Recht nach der EU-Datenschutz-Richtlinie
Das Kammergericht geht in seiner Entscheidung zunächst auf die im BDSG zum anwendbaren Recht festgeschriebenen Grundsätze (§ 1 Abs. 5 BDSG und deren europarechtliche Grundlage in Art. 4 RL 1995/46/EG, (DS-RL)) ein. Die Vorgaben aus der DS-RL sind als eine angestrebte Vollharmonisierung des Datenschutzrechts zu verstehen, zumindest soweit die entsprechende Vorschrift inhaltlich unbedingt und hinreichend genau ist.
Diese Voraussetzungen sind für Art. 4 DS-RL erfüllt. Richtigerweise stellt das KG fest, das die Vorschriften zum anwendbaren Recht „zum Kernbereich dieser Richtlinie“ gehören. Das KG erläutert dann zunächst die beiden möglichen Varianten, die als Anknüpfungspunkt des anzuwendenden Datenschutzrechts in Frage kommen. Einmal in Art. 4 Abs. 1 lit. a DS-RL der Sitz der verantwortlichen Stelle, wenn diese sich innerhalb der EU befindet oder nach Art. 4 Abs. 1 lit. c DS-RL der Anknüpfungspunkt des „Zurückgreifens“ auf in einem Mitgliedstaat belegene Mittel, wenn die verantwortliche Stelle der Datenverarbeitung nicht in der EU oder dem EWR sitzt.

Verantwortliche Stelle außerhalb der EU
Das KG beginnt seine Prüfung mit der Variante des Art. 4 Abs. 1 Lit. c DS-RL. Und hier wird das Urteil nun interessant und weicht von den oben angeführten Entscheidungen der Gerichte in Schleswig-Holstein ab. Denn das KG geht davon aus, dass nicht die Europazentrale von Facebook in Irland für die Datenverarbeitung deutscher Nutzer verantwortlich ist, sondern allein die Muttergesellschaft in den USA.

Ebenso werden die u?ber den Internetauftritt der Beklagten erhobenen und weitergehend verwendeten Daten in tatsächlicher Hinsicht von dieser Muttergesellschaft verarbeitet.

Diese Feststellung des Gerichts ist erforderlich, um in den Anwendungsbereich von Art. 4 Abs. 1 lit. c DS-RL zu gelangen. Denn wenn die irische Niederlassung verantwortlich wäre, so würde Art. 4 Abs. 1 lit. a DS-RL eingreifen und irisches Datenschutzrecht zur Anwendung kommen (in diesem Sinne hatten die Gerichte in Schleswig-Holstein entschieden). Übereinstimmend mit der Ansicht der Art. 29 Datenschutzgruppe (Stellungnahme WP 179) geht das KG dann davon aus, dass auf „automatisierte oder nicht automatisierte Mittel“ zurückgegriffen wird, wenn Cookies auf einem PC platziert und hierdurch personenbezogene Daten erhoben werden. Das KG nimmt diese Konstellation für Facebook USA an. Facebook USA setze Cookies auf Rechnern von deutschen Nutzern und greife daher auf „Mittel“ in Deutschland zurück. Daher gelte deutsches Datenschutzrecht. Zudem sieht das KG (sozusagen alternativ) den Auftragsdatenverarbeiter des Konzerns, der einer Niederlassung in Deutschland besitzt, als ein „Mittel“ an, auf das Facebook USA zurückgreift. Auch deshalb gelte deutsches Datenschutzrecht.

Diese Ansicht halte ich im Ergebnis für vertretbar. Manche europäische Datenschutzbehörden sehen sogar die eigenen Niederlassungen von außereuropäischen Unternehmen als solche „Mittel“ an. Was jedoch leider in dem Urteil etwas zu kurz kommt ist die, meines Erachtens gerade im Datenschutzrecht erforderliche, Differenzierung der verschiedenen Datenverarbeitungsvorgänge. Natürlich ist es möglich, dass Facebook USA Cookies einsetzt und hierüber Daten verarbeitet. Doch darf man damit nicht die kompletten Datenverarbeitungsvorgänge eines Weltkonzerns über einen Kamm scheren. Es scheint doch durchaus möglich, dass etwa für einen Verarbeitungsprozess die Muttergesellschaft, für einen anderen jedoch eine europäische Niederlassung verantwortlich ist. Wer für welchen Verarbeitungsvorgang verantwortlich ist, muss freilich auf einer tatsächlichen Ebene ermittelt bzw. vorgetragen werden.

Verantwortliche Stelle innerhalb der EU
In einem nächsten Schritt prüft das KG, ob nicht eventuell die Niederlassung in Irland doch als verantwortliche Stelle anzusehen sei und daher irisches Recht Anwendung finden würde (Art. 4 Abs. 1 lit. a DS-RL; falls dem so seien sollte, dann wäre die Vorschrift es Art. 4 Abs. 1 lit. c DS-RL quasi „gesperrt“. Daher hätte man sicherlich auch zunächst die Voraussetzungen von Art. 4 Abs. 1 lit. a DS-RL prüfen können). Und mit Blick auf die irische Niederlassung stellt das KG fest:

„Es fehlt aber ein hinreichender Vortrag dazu, dass sie die hier maßgebliche Erhebung und weitere Verarbeitung der Daten vornimmt.“

Das KG legt, wie eigentlich in dem gesamten Urteilsabschnitt zum anwendbaren Recht, richtigerweise die Bestimmung des § 1 Abs. 5 S. 1 BDSG richtlinienkonform aus. Nach dieser Vorschrift gilt grundsätzlich das Datenschutzrecht desjenigen Mitgliedstaates, in dem die verantwortliche Stelle belegen ist. Für das KG muss jedoch hinzukommen, dass die Datenverarbeitungsvorgänge auch „effektiv und tatsächlich“ dort ausgeführt werden. Diese Voraussetzung sieht es hier nicht als erfüllt an.

Auch diese Ansicht ist meines Erachtens grundsätzlich richtig. Die Art. 29 Datenschutzgruppe spricht in ihren Stellungnahmen in diesem Zusammenhang gerne von der „relevanten Niederlassung“. Es kommt im Rahmen der Prüfung des Art. 4 Abs. 1 lit. a DS-RL entscheidend darauf an, inwieweit eine europäische Niederlassung als verantwortliche Stelle angesehen werden kann. Für diese Prüfung ist von entscheidender Bedeutung, welche tatsächlichen Einflussmöglichkeiten sie auf den jeweiligen Verarbeitungsprozess besitzt.
Das Vorbringen von Facebook in dem Prozess konnte das KG nicht überzeugen.

„Die Beklagte trägt nur vor, sie sei alleinige Vertragspartnerin aller Facebook Nutzer außerhalb Nordamerikas. … Eine eigene effektive und tatsächliche Datenverarbeitung (mittels eigener Datenverarbeitungsanlagen und eigenem Personal) wird damit nicht dargetan. … Letztlich bezieht sie sich insoweit auch nur auf die tatsächliche Datenverarbeitung durch ihre Muttergesellschaft. Weitergehendes hat die Beklagte auch nach Erörterung in der mündlichen Verhandlung vor dem Senat nicht geltend gemacht.“

Es kommt also entscheidend auf die dargelegten, tatsächlichen Gegebenheiten an. Anders als in den Prozessen in Schleswig-Holstein konnte Facebook das KG jedoch nicht davon überzeugen, für die relevanten Vorgänge allein verantwortlich zu sein.

Im Ergebnis ist die Entscheidung des KG hinsichtlich dieses Komplexes daher konsequent. Als unbeteiligter Betrachter von außen lässt sich nur schwer beurteilen, ob man aufgrund des tatsächlichen Vorbringens nicht auch zu einem anderen Ergebnis hätte kommen können.

Rechtswahl
In einem weiteren Teil stützt sich das KG nun alternativ darauf, dass zudem eine wirksame Rechtswahl in Bezug auf deutsches Datenschutzrecht vorliege.

Insoweit überzeugt mich das Urteil jedoch nicht. Ich hatte bereits hier im Blog einmal zu der Möglichkeit einer Rechtswahl im Datenschutzrecht Stellung genommen.

Dass eine Rechtswahl möglich sei, begründet das KG damit, dass das BDSG unter anderem auch Privatrecht enthalte, wenn Ansprüche der Betroffenen (etwa auf Löschung oder Schadenersatz) auf Vorschriften wie §§ 4, 28 BDSG verweisen. Es ist in der Tat nicht unumstritten, inwieweit das BDSG nun (rein) öffentlich-rechtlich oder privatrechtlich oder gemischt zu qualifizieren ist.

Unabhängig davon sehe ich jedoch die, wie auch vom KG hervorgehoben, entscheidende Vorschrift des Art. 4 DS-RL nicht als eine solche des Privatrechts an, die zur Disposition der Parteien steht. Diese kann daher auch nicht durch eine Rechtswahl der Parteien „umgangen“ werden. Der Gesetzgeber wollte vielmehr eindeutig regeln, wann welches Datenschutzrecht gilt. Es lässt sich hier sicherlich darüber streiten, ob Art. 4 DS-RL bzw. die deutsche Umsetzung in § 1 Abs. 5 BDSG, nun eine international-privatrechtliche Eingriffsnorm darstellt oder etwa eine Sonderanknüpfung. Was jedoch beiden Qualifizierungen gemeinsam ist, ist der Ausschluss der Möglichkeit einer freien Rechtswahl.

Das KG bezieht sich in seiner Begründung vor allem auf die AGB von Facebook. Dort sei festgeschrieben, dass die Erklärung deutschem Recht unterliege. Meines Erachtens muss man hier jedoch strikt differenzieren. Es ist zwar möglich, das Vertragsrecht in internationalen Konstellationen grundsätzlich frei zu wählen (es sei denn es greifen Ausnahmen ein, wie etwa der Schutz für Verbraucher). Diese freie Rechtswahl bezieht sich meiner Meinung nach jedoch nicht auf das Datenschutzrecht. Denn allein Art. 4 DS-RL bzw. die jeweilige nationale Umsetzung soll vorgeben, welches Recht Anwendung findet. Dies kann in der Praxis freilich zu der Situation führen, dass in Bezug auf eine AGB-Prüfung deutsches Recht Anwendung findet (insoweit greift die Schutzausnahme für Verbraucher). Innerhalb dieser AGB-Prüfung kann jedoch das zugrunde zu legende Recht, von dem mittels der AGB eventuell abgewichen wird, durchaus ein ausländisches Datenschutzrecht sein. Herr Dr. Redeker hat dies in einem Blogbeitrag auf CR-Online ebenso dargestellt.

Auch die Art. 29 Datenschutzgruppe hat in ihrer Stellungnahme zu Apps (WP 202, S. 9) zu einer möglichen Rechtswahl im Datenschutzrecht klare Worte gefunden:

Es ist wichtig, dass App-Entwickler wissen, dass die beiden Richtlinien insofern zwingende Vorschriften darstellen, als die Rechte natürlicher Personen nicht übertragbar sind und keinem vertraglichen Verzicht unterliegen. Das bedeutet, dass die Anwendbarkeit des europäischen Rechts zum Schutz der Privatsphäre nicht durch eine einseitige Erklärung oder eine vertragliche Vereinbarung ausgeschlossen werden kann.

Das KG geht in seiner Begründung leider auch nicht auf die Vorgaben der für internationale Sachverhalte und die Bestimmung des anzuwenden Rechts entscheidenden Verordnungen (Rom I und Rom II) ein. Es begründet die Entscheidung mit seiner Ansicht der freien Wahl hinsichtlich des „privatrechtlichen Teils“ des deutschen Datenschutzrechts. Dass hier deutsches und nicht etwa irisches Datenschutzrecht zur Anwendung gelangt, mache

vorliegend auch Sinn. Denn in Ziff. 1 der Nutzungsbedingungen stellt die Beklagte ausdru?cklich klar, wie wichtig ihr die Privatsphäre des Nutzers und der Schutz seiner Daten sind. Mit der Vereinbarung auch des deutschen Datenschutzrechts nimmt sie den Nutzern in Deutschland einen Teil der Sorgen, indem sie die in Deutschland insoweit geltenden und diesen Nutzern vertrauten Maßstäbe auch fu?r sich zu Grunde legt.

So sehr ich den Gedanken verstehe, dass es für deutsche Nutzer besser erscheinen mag, wenn deutsches Datenschutzrecht anwendbar ist, so wenig überzeugt mich jedoch das voran gestellte Zitat als eine rechtliche Begründung einer wirksamen Rechtswahl im Datenschutzrecht.

Ausblick
Und nun? Man wird abwarten müssen, ob Facebook auch gegen das Urteil des KG vorgeht. Da wir jedoch nun zwei konträre Entscheidungen zum anwendbaren Datenschutzrecht auf Facebook und auch zu den grundsätzlichen rechtlichen Möglichkeiten einer Rechtswahl im Datenschutzrecht haben, wäre im Sinne der Rechtssicherheit eine höchstrichterliche Klärung sicherlich wünschenswert.

Neues Urteil: Wie dürfen Auskunfteien über gesperrte Daten informieren?

Posted on by

Der Hessische Verwaltungsgerichtshof hat mit Beschluss vom 02.01.2014 (Az.: 10 B 1397/13) entschieden, dass ein Kreditschutzunternehmen Dritten gegenüber keine Auskunft über die Sperrung von Daten geben darf. Die Auskunft darf auch nicht so ausgestaltet sein, dass sie von dem Anfragenden als versteckte Mitteilung einer Datensperrung verstanden werden kann.

Sachverhalt
Die Situation ist eine alltägliche. Im Zuge des Abschlusses eines gewerblichen Leasingvertrages für ein Auto möchte sich der Leasinggeber der Kreditwürdigkeit des Leasingnehmers versichern. Dazu fragt er bei Kreditschutzunternehmen an, ob Daten zu den Betroffenen vorlägen. Sind Einträge vorhanden, geht dies meist zu Lasten des Leasingnehmers. Im hier entschiedenen Fall wurde das Kreditschutzunternehmen, nach Beschwerden von Betroffenen, die neue Leasingverträge abschließen wollten, von der hessischen Datenschutzaufsichtsbehörde dazu verpflichtet bei teilweiser oder vollständiger Sperrung von Daten Betroffener, Dritten keine Auskünfte zu den Betroffenen zu erteilen, die einen Hinweis auf die Speicherung von Daten enthielten. Formulierungen, wie etwa „über gespeicherte Datenarten wird derzeit/generell keine Auskunft erteilt“, „… ist nicht möglich …“, „… ist nicht gestattet …“ seien unzulässig, da sie für anfragende Unternehmen dennoch den Schluss zuließen, dass Daten vorhanden seien und damit negative Folgen haben könnten.

Entscheidung
Wie auch schon das VG Darmstadt (Az.: 5 L 304/13.DA), so sieht der VGH den Bescheid der Datenschutzbehörde als rechtmäßig an. Die von dem Kreditschutzunternehmen bisher verwendete Formulierung, wonach „eine Auskunftserteilung zurzeit nicht möglich ist“, sei nämlich nicht mit den Vorgaben des § 35 Abs. 4a BDSG vereinbar. Danach darf die Tatsache der Sperrung von personenbezogenen Daten nicht übermittelt werden.

Nun kann man sich freilich auf den Standpunkt stellen, dass das Unternehmen ja die Tatsche der Sperrung gerade nicht mitteilt. Doch der VGH geht davon aus, dass der Gesetzgeber mit der Bestimmung in § 35 Abs. 4a BDSG offensichtlich sicherstellen wollte, „dass in der Außenwirkung für den Betroffenen, auf den sich die personenbezogenen Daten beziehen, die Sperrung dieselbe Wirkung entfaltet wie eine Löschung“. Die Auskunftserteilung im Fall der Sperrung muss also einer solchen wie im Fall der Löschung von Daten gleichen. Nur dann könne die mit der Sperrung, als gegenüber der Löschung geringerem Mittel, vom Gesetzgeber beabsichtigte gleiche Wirkung erreicht werden.

Für diese Auffassung scheint in der Tat der gesetzgeberische Wille zu sprechen. § 35 Abs. 4a BDSG beruht auf einem Entwurf zur Änderung des BDSG aus dem Jahre 2008 (BT-Drs. 16/10529). Dort heißt es (S. 19):

Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.

Nun ist es freilich eine Auslegungsfrage, wer als Empfänger einer Auskunft etwas aus dem Wortlaut einer solchen schließen kann. Es wird jedoch davon ausgegangen, dass allein durch die Kenntnis, dass bestimmte Daten gesperrt wurden, negative Rückschlüsse auf den Betroffenen gezogen werden könnten. Formulierungen wie „zurzeit“ oder „derzeit“ sieht der VGH daher nicht als neutral genug an, um einem solchen Rückschluss vorbeugen zu können. Wie eine solche „Nichtmitteilung“ vorzunehmen ist, lässt das Gesetz jedoch offen. Der VGH erkennt an,

dass es im Einzelfall schwierig sein kann, diese dargelegten Voraussetzungen zu erfüllen. Dies kann jedoch nicht dazu führen, dass ein Betroffener, dessen personenbezogene Daten nicht gelöscht, sondern lediglich gesperrt sind, auskunftsbegehrenden Stellen gegenüber schlechter gestellt wird.

Was tun?
Die Datenschutzbehörde ordnete folgende Vorgehensweise an:

  • Bei teilweise gesperrten Daten: Dritten zu diesen Daten keine Auskunft oder ausschließlich die Auskunft, dass zu den betroffenen Datenarten keine Daten gespeichert seien, zu geben
  • Bei vollständiger Sperrung von Daten: Dritten zu dem Betroffenen keine Auskunft oder die Auskunft, dass keine Daten zu dem Betroffenen gespeichert seien, zu geben

Sowohl VG als auch VGH sahen diese Vorgaben als recht- und insbesondere auch verhältnismäßig an. Zur Not bleibe laut dem VGH eben nur eine Alternative: die Antwort zu verweigern.

VG Berlin: Staatsanwaltschaft darf von „Datenklau im Bundesgesundheitsministerium“ sprechen

Posted on by

Das VG Berlin hat mit Beschluss vom 31.01.2014 (Az.: VG 1 L 17.14) entschieden, dass die Staatsanwaltschaft Berlin in einer offiziellen Pressemitteilung vom 20.01.2014 (PM 02/2014) folgende Überschrift verwenden durfte:
„Datenklau im Bundesgesundheitsministerium – Anklageerhebung gegen einen externen IT-Administrator des Ministeriums und einen Apothekenlobbyisten“

Der dort als „Apothekenlobbyist“ bezeichnet Antragsteller begehrte die Löschung dieser Pressemitteilung von der Webseite „Berlin.de“, da er sich hierdurch in seinem Allgemeinen Persönlichkeitsrecht verletzt sah. Nachdem im Dezember 2012 in der Öffentlichkeit bekannt wurde, dass vertrauliche Daten des Bundesgesundheitsministeriums auf ungeklärte Weise in die Hände von nicht dem Ministerium zugehörigen Personen gelangt waren, hatte die Staatsanwaltschaft Berlin im Dezember 2013 beim Landgericht Berlin Anklage gegen den Antragsteller erhoben. In dieser wurde ihm das Ausspähen von Daten nach dem Strafgesetzbuch sowie Verstöße gegen das Bundesdatenschutzgesetz (BDSG) vorgeworfen. Die Zustellung der Anklage an den Antragsteller erfolgte am 17. Januar 2014.

Das VG sah in dieser, weiterhin abrufbaren Pressemitteilung, jedoch keinen hoheitlichen rechtswidrigen Eingriff in das Persönlichkeitsrecht des Antragstellers. Zwar liege ein hoheitlicher Eingriff in das Allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1, Art. 1 Abs. 1 GG) vor. Dieser sei vorliegend jedoch nicht rechtswidrig.

Maßstab für die Rechtmäßigkeitsprüfung amtlicher Äußerungen sei, dass 1) sich der Amtsträger mit seinen Äußerungen im Rahmen des ihm zugewiesenen Aufgabenbereichs bewegt, 2) die rechtsstaatlichen Anforderungen an hoheitliche Äußerungen gewahrt sind (Sachlichkeitsgebot) und 3) die Äußerungen nicht unverhältnismäßig sind.

All diese Voraussetzungen waren vorliegend erfüllt. Hinsichtlich des Begriffes „Datenklau“ führt das VG aus, dass die zuständige Pressestelle der Generalstaatsanwaltschaft Berlin diesen Begriff in der Pressemitteilung verwendet,

um schlagwortartig den Umstand zu bezeichnen, dass sie gegen den Antragsteller und einen weiteren Beteiligten wegen des Verstoßes gegen datenschutzrechtliche Strafvorschriften Anklage erhoben hat

Hierbei handele es sich um eine Tatsachenbehauptung, deren objektive Richtigkeit einer Beweiserhebung zugänglich ist. Daraus folge, dass diese Aussage den Antragsteller nur dann in seinem Persönlichkeitsrecht verletzen würde, wenn sie unwahr oder unverhältnismäßig wäre. Beides sei vorliegend jedoch nicht der Fall. Denn unbestritten legt die Anklageschrift dem Antragsteller Vergehen nach § 202a StGB („Ausspähen von Daten“) und dem BDSG zur Last. Die diesen Tatvorwürfen zugrunde liegenden Sachverhalte zusammenfassend als „Datenklau“ zu bezeichnen sei weder unwahr, noch unverhältnismäßig. Zudem ergebe sich für jeden verständigen Leser, dass „Datenklau“ kein dem Strafgesetz entnommener Begriff sei, zumal in dem Text der Pressemitteilung eine genauere Erläuterung der Tatvorwürfe unter Nennung der relevanten Normen erfolge.

Schließlich sei der Begriff „Datenklau“ zwar plakativ. Jedoch sei nicht ersichtlich, dass der Antragsteller hierdurch über Gebühr belastet werde. Die vorzunehmende Abwägung seiner privaten Interessen gegenüber dem Informationsinteresse der Öffentlichkeit falle hier zu seinen Lasten aus.

Insbesondere stellt das VG darauf ab, dass die Pressestelle diesen Begriff nicht neu erfunden und damit erstmalig in die öffentliche Diskussion eingebracht hat. Vielmehr handele es sich um ein seit Monaten in den Medien für die zugrunde liegenden Vorgänge verwendetes Schlagwort. Der Begriff war der Öffentlichkeit daher in Verbindung mit den Ermittlungen bekannt und sorgte in der interessierten Öffentlichkeit für einen hohen Wiedererkennungswert.

Auch der Begriff „Apothekenlobbyist“ sei nicht unwahr oder seine Verwendung unverhältnismäßig. Denn die Staatsanwaltschaft bezeichnet den Antragsteller in der Anklageschrift mindestens einmal als „Lobbyist“. Zudem werde der Antragsteller durch diese Bezeichnung nicht unverhältnismäßig belastet, da „Lobbyist“ grundsätzlich eine normale Berufsbezeichnung sei. Das VG führt aus:

Die „negative Konnotation“, welche der Antragsteller dem Begriff zuschreibt, mag in bestimmten Konstellationen gegeben, dann aber vor allem auf die Wahl der eingesetzten, möglicherweise unlauteren Mittel bestimmter Lobbyarbeit zurückzuführen sein

Insgesamt wurde die Rechtswidrigkeit des Eingriffs daher abgelehnt. Gegen die Entscheidung des VG kann der Antragsteller noch eine Beschwerde zum OVG erheben.

Europäischer Gerichtshof für Menschenrechte: Ex-Geheimdienstmitarbeiter darf öffentlich über illegale Überwachung informieren

Posted on by

Der Europäische Gerichtshof für Menschenrechte (EGMR) hat mit Urteil vom 8.1.2013 (40238/02, auf Französisch; hier die offizielle englische Zusammenfassung) entschieden, dass die gegen einen ehemaligen rumänischen Geheimdienstmitarbeiter verhängte Gefängnisstrafe, wegen der Veröffentlichung von illegalen Überwachungsmaßnahmen, ihn in seinem Grundrecht auf freie Meinungsäußerung (Art. 10 EMRK) verletzt.

Der ehemalige Geheimdienstler war beim rumänischen Nachrichtendienst angestellt und u. a. für elektronische Abhöraktionen zuständig. Im Rahmen seiner Tätigkeit wurden ihm mehrere Unregelmäßigkeiten innerhalb der Behörde und, nach seiner Ansicht, Verletzungen der rumänischen Verfassung im Rahmen von angeordneten Überwachungen bekannt. Als er diese Vorfälle seinen Kollegen und direkten Vorgesetzten mitteilte, unternahmen diese nichts bzw. maßregelten ihn für sein Verhalten. Danach wandte er sich an einen parlamentarischen Abgeordneten, der Mitglied in dem Kontrollgremium war, welches die Tätigkeit des Geheimdienstes überwachte. Dieser Abgeordnete riet dem Mitarbeiter direkt an die Öffentlichkeit zu gehen, da eine Untersuchung in dem Gremium wenig bringen würde, da dessen Vorsitzender und der Behördenleiter des Geheimdienstes zu enge und gute Kontakte pflegten. So hielt der Mitarbeiter im Mai 1996 in der Tat eine öffentliche Pressekonferenz ab, in der er die Medien über die von ihm aufgedeckten Gesetzesverletzungen informierte. Es wurde ein Strafverfahren wegen des Sammelns und des Bekanntmachens geheimer Informationen während des Dienstes gegen ihn eingeleitet, welches mit der Verhängung einer 2 jährigen Haftstrafe, die jedoch ausgesetzt wurde, endete.

Der EGMR erkannte in der Verurteilung eine rechtswidrige Verletzung des Rechts auf freie Meinungsäußerung nach Art. 10 EMRK, da diese in ein der demokratischen Gesellschaft weder notwendig, noch erforderlich war.

Zunächst prüfte das Gericht, ob der Mitarbeiter andere Möglichkeiten hatte, die Informationen zu veröffentlichen. Da jedoch seine Vorgesetzten in die Rechtsverletzungen involviert waren, war der Weg über den Abgeordneten und dann direkt an die Presse erforderlich. Zwar wurden in Rumänien nach dem Geschehen spezielle Gesetze zum Schutz von Informanten im öffentlichen Dienst erlassen, die jedoch keine Anwendung auf den hier maßgebenden Zeitpunkt fanden.

Danach ging das Gericht auf den Wert der Informationen für die Öffentlichkeit ein. Die Überwachung von Telefonaten sei gerade in Staaten wie Rumänien, die aus ihrer Vergangenheit an solche Überwachungstätigkeiten gewohnt waren, besonders relevant. Zudem war durch die aufgedeckten Tätigkeiten die Gesellschaft direkt betroffen, da im Prinzip jeder Bürger unter den dargelegten Umständen überwacht werden könnte. Zudem bezog sich die Information auf missbräuchliche Handlungen von hochrangigen Staatsbediensteten und betraf damit die demokratischen Grundlagen des Staates. Sie betrafen wichtige Themen für die öffentliche politische Debatte in einer demokratischen Gesellschaft, an der die öffentliche Meinung ein besonderes Interesse habe. Die rumänischen Gerichte berücksichtigten diese Argumente jedoch nicht.

Auch ging das Gericht auf Richtigkeit der veröffentlichten Informationen ein. Die Beweise sprachen dafür, dass es keine Anzeichen dafür gab, dass die Überwachung aus Gründen der öffentlichen Sicherheit angeordnet worden sei, die eine solche Tätigkeit rechtfertigen könnte. Zudem sprach alles dafür, dass die Überwachungen ohne vorherige Autorisierung angeordnet wurden. Das rumänische Gericht weigerte sich diesen Beweisen in vollem Umfang nachzugehen und habe daher den Sachverhalt nicht in aller erforderlichen Tiefe aufgearbeitet.

Hinsichtlich des Motivs des ehemaligen Mitarbeiters stellte der EGMR fest, dass nichts dafür spreche, dass der Informant aus anderen Gründen an die Öffentlichkeit ging, als diese über die Gesetzesverstöße und die Missachtung der Rechte aus der Verfassung aufzuklären. Dies bereits deshalb, da er zunächst versuchte den direkten Dienstweg zu beschreiten.

LG Wiesbaden: Domaininhaber ist nicht zwingend Diensteanbieter

Posted on by

Mit Urteil vom 18.10.2013 (Az. 1 O 159/13) hat das Landgericht Wiesbaden u. a. entschieden, dass der Inhaber einer Domain und auch der Admin-C nicht zwingend mit dem Diensteanbieter i. S. d. § 2 Abs. 1 Nr. 1 TMG gleichzusetzen sind.

Der Sachverhalt

Die Kläger machten sowohl vertragliche als auch deliktische Ansprüche wegen der Nichterfüllung eines Reisevertrags geltend. Sie buchten über eine Internetseite eine Reise, wobei der vollständige Reisepreis erst zu spät bezhalt wurde und die Reise dann nicht angetreten werden konnte. Die Kläger verlangten nun zum einen den Reisepreis und Schadenersatz für vertane Urlaubszeit, da sich ihrer Ansicht nach aus der fehlenden Zahlung ohne vorherige Mahnung kein Kündigungsrecht ableiten ließe und infolgedessen ihnen die Reise zu Unrecht verweigert worden sei. Daher verklagten sie zunächst das im Impressum auf der Webseite angegeben Unternehmen. An der dortigen Adresse konnte die Klage jedoch nicht zugestellt werden. Die Kläger berichtigten sodann die Beklagtenpartei in ihrer Klage, nachdem sie über eine Anfrage bei der DENIC eG den Namen und die Anschrift der dort als Domaininhaberin und administrative Ansprechpartnerin eingetragenen Dame herausgefunden hatten. Diese verteidigte sich damit, dass sie lediglich Webmasterin im Dienstleistungsauftrag sei und die nur Webseite aufgebaut und gewartet habe.

Die Entscheidung

Ich möchte hier nur die Ausführungen des Gerichts im Zusammenhang mit § 5 TMG wiedergeben. Das LG lehnte daneben aber sowohl einen Vertragsschluss mit der Webmasterin als auch einen Schadenersatzanspruch wegen einer Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 17 HGB ab.

Die Kläger stützten ihren Schadenersatzanspruch auch auf eine Schutzgesetzverletzung nach § 823 Abs. 2 BGB i. V. m. § 5 TMG, also wegen Verstößen gegen die Impressumspflicht. Das LG erkannte auch in der Tat solche Verstöße. Jedoch war die Webmasterin hier nicht der von § 5 Abs. 1 TMG in Bezug genommene „Diensteanbieter“, den die Impressums- und Informationspflichten treffen. Der „Diensteanbieter“ ist in § 2 Abs. 1 Nr. 1 TMG legaldefiniert. Danach muss die betreffende Person die „Nutzung“ von Telemedien ermöglichen und nach Außen als Erbringer von Diensten auftreten. Wie jedoch lediglich die „Bereitstellung“ ermöglicht wird, ist unbeachtlich. Das LG führt aus, dass als Diensteanbieter regelmäßig der Homepage-Inhaber anzusehen sein wird. Auf die alleinige Inhaberschaft einer Domain lässt sich die telemedienrechtliche Verantwortlichkeit aber nicht stützen. Die Inhaberschaft der Webseite, also des abrufbaren Inhalts an sich, ist nämlich von der Inhaberschaft der Domain und auch von der Stellung als Admin-C zu unterscheiden. Ein zwingender Schluss, dass die unter einer Domain nutzbaren Telemedien tatsächlich vom Domaininhaber und Admin-C angeboten werden, dürfe nicht gezogen werden. Insbesondere fehle es am erforderlichen Auftritt nach außen i.S.d. Definition des Diensteanbieters.

Dieses Ergebnis rechtfertige sich auch vor dem Hintergrund, dass der Abruf der Webseite grundsätzlich auch ohne die Kenntnis und Eingabe des Domainnamens möglich sei, auch wenn dies in der Praxis kaum vorkommen werde. Denn der Abruf erfolgt nicht über den Domeinnamen, sondern durch die diesem Namen zugeordnete IP-Adresse. Das LG weist auch darauf hin, dass dieses Ergebnis mit Sinn und Zweck des § 5 TMG in Einklang steht, da sich die Impressumspflicht parallel zu den presserechtlichen Impressumspflichten verhält, die sich an den Betreiber des Presseorgans richten.

Eine solche Stellung wird weder durch die Domaininhaberschaft, d.h. durch das Recht an der Domain, noch durch die Eigenschaft als Admin-C, d.h. als technischer Ansprechpartner der DENIC eG, vermittelt.

Zuletzt befasste sich das Gericht noch mit dem Schutzgesetzcharakter des § 5 TMG, auch wenn es darauf nicht mehr entscheidungsehrblich ankam. Selbst wenn man § 5 TMG als Schutzgesetz ansehen würde, so bestünden nach Auffassung der Kammer jedenfalls Zweifel, ob der vorliegend geltend gemachte Schaden in den sachlichen Schutzbereich der Norm fällt. Zwar sollen die Informationen, welche über die Impressumspflicht öffentlich gemacht werden müssen, gerade dazu dienen, Betroffenen die effektive Geltendmachung ihrer Rechte zu ermöglichen. Nach Ansicht des LG erschiene es aber zu weitgehend, eine auf § 5 TMG beruhende, deliktische Haftung für die Verletzung von Pflichten aus vertraglichen Schuldverhältnisse, welche mittels des betreffenden Telemediums eingegangen wurden, zu statuieren. Ein solcher deliktischer Schadensersatzanspruch hätte nach Ansicht des Gerichts wohl nur in der Situation eigenständige Bedeutung, wenn der nicht impressumspflichtige Vertragspartne auf der einen Seite und der impressumspflichtige Diensteanbieter auf der anderen Seite personenverschieden sind. Das Gericht möchte die Haftung des Diesteanbieters jedoch nicht derart weit ausdehnen:

Dass der Diensteanbieter in einer solchen Konstellation aufgrund eines Impressumsfehlers für die pflichtgemäße Erfüllung sämtlicher, mittels des Telemediums begründeter Verträge einstehen soll, scheint angesichts des vom Diensteanbieters unter Umständen kaum zu steuernden Haftungsrisikos weder vom Gesetzgeber erstrebt, noch sinnvoll und tragbar.