Die im Laufe einer Beziehung erstellten intimen Bild- oder Filmaufnahmen müssen nach Ende der Beziehung gelöscht werden

Fertigt im Rahmen einer intimen Beziehung ein Partner vom anderen intime Bild- oder Filmaufnahmen, kann dem Abgebildeten gegen den anderen nach dem Ende der Beziehung ein Löschanspruch wegen Verletzung seines Persön-lichkeitsrechts zustehen, wenn er seine Einwilligung in die Anfertigung und Verwendung der Aufnahmen auf die Dauer der Beziehung – konkludent – be-schränkt hat.

BGH URTEIL VI ZR 271/14 – Intimfotos

GG Art. 2 Abs. 1, Art. 1 Abs. 1; BGB § 823 (Bf), § 1004 “Die im Laufe einer Beziehung erstellten intimen Bild- oder Filmaufnahmen müssen nach Ende der Beziehung gelöscht werden” weiterlesen

EuGH: Filesharing-Auskunftsansprüche der Rechteinhaber gegenüber Providern wegen “Herausgabe” der IP-Nummern rechtskonform

Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist dahin auszulegen, dass sie der Anwendung nationaler Rechtsvorschriften nicht entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen Internetteilnehmer oder nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP(Internetprotokoll)-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, da derartige Rechtsvorschriften nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24 fallen.

Der Umstand, dass der betreffende Mitgliedstaat die Richtlinie 2006/24 trotz des Ablaufs der Umsetzungsfrist noch nicht umgesetzt hat, ist im Ausgangsverfahren unerheblich.
Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.

URTEIL DES GERICHTSHOFS (Dritte Kammer)
19. April 2012(*)
„Urheberrecht und verwandte Schutzrechte – Datenverarbeitung über das Internet – Beeinträchtigung eines ausschließlichen Rechts – Hörbücher, die mittels eines FTP-Servers über das Internet durch eine vom Internetdienstleister zur Verfügung gestellte IP-Adresse zugänglich gemacht werden – Anordnung an den Internetdienstleister, den Namen und die Adresse des Nutzers der IP Adresse herauszugeben“
In der Rechtssache C 461/10
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Högsta domstolen (Schweden) mit Entscheidung vom 25. August 2010, beim Gerichtshof eingegangen am 20. September 2010, in dem Verfahren
Bonnier Audio AB,
Earbooks AB,
Norstedts Förlagsgrupp AB,
Piratförlaget AB,
Storyside AB
gegen
Perfect Communication Sweden AB
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung des Kammerpräsidenten K. Lenaerts, des Richters J. Malenovský (Berichterstatter), der Richterin R. Silva de Lapuerta sowie der Richter E. Juhász und D. Šváby,
Generalanwalt: N. Jääskinen,
Kanzler: K. Sztranc-Sławiczek, Verwaltungsrätin,
aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 30. Juni 2011,
unter Berücksichtigung der Erklärungen
– der Bonnier Audio AB, der Earbooks AB, der Norstedts Förlagsgrupp AB, der Piratförlaget AB und der Storyside AB, vertreten durch P. Danowsky und O. Roos, advokater,
– der Perfect Communication Sweden AB, vertreten durch P. Helle und M. Moström, advokater,
– der schwedischen Regierung, vertreten durch A. Falk und C. Meyer-Seitz als Bevollmächtigte,
– der tschechischen Regierung, vertreten durch M. Smolek und K. Havlíčková als Bevollmächtigte,
– der italienischen Regierung, vertreten durch G. Palmieri und C. Colelli als Bevollmächtigte im Beistand von S. Fiorentino, avvocato dello Stato,
– der lettischen Regierung, vertreten durch M. Borkoveca und K. Krasovska als Bevollmächtigte,
– der Europäischen Kommission, vertreten durch R. Troosters und K. Simonsson als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 17. November 2011
folgendes
Urteil
1 Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 3 bis 5 und 11 der Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 105, S. 54) sowie von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. L 157, S. 45, berichtigt im ABl. L 195, S. 16).
2 Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen der Bonnier Audio AB, der Earbooks AB, der Norstedts Förlagsgrupp AB, Piratförlaget AB und der Storyside AB (im Folgenden gemeinsam: Bonnier Audio u. a.) einerseits und der Perfect Communication Sweden AB (im Folgenden: ePhone) andererseits, in dem sich ePhone gegen einen Antrag von Bonnier Audio u. a. auf Anordnung der Weitergabe von Daten wendet.
Rechtlicher Rahmen
Unionsrecht
Vorschriften zum Schutz des geistigen Eigentums
3 Art. 8 der Richtlinie 2004/48 lautet:
„(1) Die Mitgliedstaaten stellen sicher, dass die zuständigen Gerichte im Zusammenhang mit einem Verfahren wegen Verletzung eines Rechts des geistigen Eigentums auf einen begründeten und die Verhältnismäßigkeit wahrenden Antrag des Klägers hin anordnen können, dass Auskünfte über den Ursprung und die Vertriebswege von Waren oder Dienstleistungen, die ein Recht des geistigen Eigentums verletzen, von dem Verletzer und/oder jeder anderen Person erteilt werden, die
a) nachweislich rechtsverletzende Ware in gewerblichem Ausmaß in ihrem Besitz hatte,
b) nachweislich rechtsverletzende Dienstleistungen in gewerblichem Ausmaß in Anspruch nahm,
c) nachweislich für rechtsverletzende Tätigkeiten genutzte Dienstleistungen in gewerblichem Ausmaß erbrachte
oder
d) nach den Angaben einer in Buchstabe a), b) oder c) genannten Person an der Herstellung, [der] Erzeugung oder [dem] Vertrieb solcher Waren bzw. an der Erbringung solcher Dienstleistungen beteiligt war.
(2) Die Auskünfte nach Absatz 1 erstrecken sich, soweit angebracht, auf
a) die Namen und Adressen der Hersteller, Erzeuger, Vertreiber, Lieferer und anderen Vorbesitzer der Waren oder Dienstleistungen sowie der gewerblichen Abnehmer und Verkaufsstellen, für die sie bestimmt waren;
b) Angaben über die Mengen der hergestellten, erzeugten, ausgelieferten, erhaltenen oder bestellten Waren und über die Preise, die für die betreffenden Waren oder Dienstleistungen gezahlt wurden.
(3) Die Absätze 1 und 2 gelten unbeschadet anderer gesetzlicher Bestimmungen, die
a) dem Rechtsinhaber weiter gehende Auskunftsrechte einräumen,
b) die Verwendung der gemäß diesem Artikel erteilten Auskünfte in straf- oder zivilrechtlichen Verfahren regeln,
c) die Haftung wegen Missbrauchs des Auskunftsrechts regeln,
d) die Verweigerung von Auskünften zulassen, mit denen die in Absatz 1 genannte Person gezwungen würde, ihre Beteiligung oder die Beteiligung enger Verwandter an einer Verletzung eines Rechts des geistigen Eigentums zuzugeben,
oder
e) den Schutz der Vertraulichkeit von Informationsquellen oder die Verarbeitung personenbezogener Daten regeln.“
Vorschriften zum Schutz personenbezogener Daten
– Richtlinie 95/46/EG
4 Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31) legt Regeln für die Verarbeitung personenbezogener Daten fest, um insoweit die Rechte natürlicher Personen zu schützen und zugleich den freien Verkehr dieser Daten in der Europäischen Gemeinschaft zu gewährleisten.
5 Art. 2 Buchst. a und b der Richtlinie 95/46 bestimmt:
„Im Sinne dieser Richtlinie bezeichnet der Ausdruck
a) ‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;
b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten“.
6 Art. 13 („Ausnahmen und Einschränkungen“) der Richtlinie 95/46 bestimmt in Abs. 1:
„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für
a) die Sicherheit des Staates;
b) die Landesverteidigung;
c) die öffentliche Sicherheit;
d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;
e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;
f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;
g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.“
– Richtlinie 2002/58/EG
7 In Art. 2 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201, S. 37) heißt es:
„Sofern nicht anders angegeben, gelten die Begriffsbestimmungen der Richtlinie 95/46/EG und der Richtlinie 2002/21/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und dienste (‚Rahmenrichtlinie‘) [ABl. L 108, S. 33] auch für diese Richtlinie.
Weiterhin bezeichnet im Sinne dieser Richtlinie der Ausdruck

b) ‚Verkehrsdaten‘ Daten, die zum Zwecke der Weiterleitung einer Nachricht an ein elektronisches Kommunikationsnetz oder zum Zwecke der Fakturierung dieses Vorgangs verarbeitet werden;

d) ‚Nachricht‘ jede Information, die zwischen einer endlichen Zahl von Beteiligten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst ausgetauscht oder weitergeleitet wird. Dies schließt nicht Informationen ein, die als Teil eines Rundfunkdienstes über ein elektronisches Kommunikationsnetz an die Öffentlichkeit weitergeleitet werden, soweit die Informationen nicht mit dem identifizierbaren Teilnehmer oder Nutzer, der sie erhält, in Verbindung gebracht werden können;
…“
8 Art. 5 Abs. 1 der Richtlinie 2002/58 sieht vor:
„Die Mitgliedstaaten stellen die Vertraulichkeit der mit öffentlichen Kommunikationsnetzen und öffentlich zugänglichen Kommunikationsdiensten übertragenen Nachrichten und der damit verbundenen Verkehrsdaten durch innerstaatliche Vorschriften sicher. Insbesondere untersagen sie das Mithören, Abhören und Speichern sowie andere Arten des Abfangens oder Überwachens von Nachrichten und der damit verbundenen Verkehrsdaten durch andere Personen als die Nutzer, wenn keine Einwilligung der betroffenen Nutzer vorliegt, es sei denn, dass diese Personen gemäß Artikel 15 Absatz 1 gesetzlich dazu ermächtigt sind. Diese Bestimmung steht – unbeschadet des Grundsatzes der Vertraulichkeit – der für die Weiterleitung einer Nachricht erforderlichen technischen Speicherung nicht entgegen.“
9 Art. 6 der Richtlinie 2002/58 bestimmt:
„(1) Verkehrsdaten, die sich auf Teilnehmer und Nutzer beziehen und vom Betreiber eines öffentlichen Kommunikationsnetzes oder eines öffentlich zugänglichen Kommunikationsdienstes verarbeitet und gespeichert werden, sind unbeschadet der Absätze 2, 3 und 5 des vorliegenden Artikels und des Artikels 15 Absatz 1 zu löschen oder zu anonymisieren, sobald sie für die Übertragung einer Nachricht nicht mehr benötigt werden.
(2) Verkehrsdaten, die zum Zwecke der Gebührenabrechnung und der Bezahlung von Zusammenschaltungen erforderlich sind, dürfen verarbeitet werden. Diese Verarbeitung ist nur bis zum Ablauf der Frist zulässig, innerhalb deren die Rechnung rechtlich angefochten oder der Anspruch auf Zahlung geltend gemacht werden kann.
(3) Der Betreiber eines öffentlich zugänglichen elektronischen Kommunikationsdienstes kann die in Absatz 1 genannten Daten zum Zwecke der Vermarktung elektronischer Kommunikationsdienste oder zur Bereitstellung von Diensten mit Zusatznutzen im dazu erforderlichen Maß und innerhalb des dazu oder zur Vermarktung erforderlichen Zeitraums verarbeiten, sofern der Teilnehmer oder der Nutzer, auf den sich die Daten beziehen, seine Einwilligung gegeben hat. Der Nutzer oder der Teilnehmer hat die Möglichkeit, seine Einwilligung zur Verarbeitung der Verkehrsdaten jederzeit zurückzuziehen.

(5) Die Verarbeitung von Verkehrsdaten gemäß den Absätzen 1, 2, 3 und 4 darf nur durch Personen erfolgen, die auf Weisung der Betreiber öffentlicher Kommunikationsnetze und öffentlich zugänglicher Kommunikationsdienste handeln und die für Gebührenabrechnungen oder Verkehrsabwicklung, Kundenanfragen, Betrugsermittlung, die Vermarktung der elektronischen Kommunikationsdienste oder für die Bereitstellung eines Dienstes mit Zusatznutzen zuständig sind; ferner ist sie auf das für diese Tätigkeiten erforderliche Maß zu beschränken.
(6) Die Absätze 1, 2, 3 und 5 gelten unbeschadet der Möglichkeit der zuständigen Gremien, in Einklang mit den geltenden Rechtsvorschriften für die Beilegung von Streitigkeiten, insbesondere Zusammenschaltungs- oder Abrechnungsstreitigkeiten, von Verkehrsdaten Kenntnis zu erhalten.“
10 In Art. 15 Abs. 1 der Richtlinie 2002/58 heißt es:
„Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Rechte und Pflichten gemäß Artikel 5, Artikel 6, Artikel 8 Absätze 1, 2, 3 und 4 sowie Artikel 9 dieser Richtlinie beschränken, sofern eine solche Beschränkung gemäß Artikel 13 Absatz 1 der Richtlinie 95/46/EG für die nationale Sicherheit (d. h. die Sicherheit des Staates), die Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder des unzulässigen Gebrauchs von elektronischen Kommunikationssystemen in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist. Zu diesem Zweck können die Mitgliedstaaten unter anderem durch Rechtsvorschriften vorsehen, dass Daten aus den in diesem Absatz aufgeführten Gründen während einer begrenzten Zeit aufbewahrt werden. Alle in diesem Absatz genannten Maßnahmen müssen den allgemeinen Grundsätzen des Gemeinschaftsrechts einschließlich den in Artikel 6 Absätze 1 und 2 des Vertrags über die Europäische Union niedergelegten Grundsätzen entsprechen.“
– Richtlinie 2006/24
11 Der zwölfte Erwägungsgrund der Richtlinie 2006/24 lautet:
„Artikel 15 Absatz 1 der Richtlinie 2002/58/EG gilt weiterhin für Daten, einschließlich Daten im Zusammenhang mit erfolglosen Anrufversuchen, deren Vorratsspeicherung nach der vorliegenden Richtlinie nicht ausdrücklich vorgeschrieben ist und die daher nicht in den Anwendungsbereich der vorliegenden Richtlinie fallen, und für die Vorratsspeicherung zu anderen – einschließlich justiziellen – Zwecken als denjenigen, die durch die vorliegende Richtlinie abgedeckt werden.“
12 Art. 1 Abs. 1 der Richtlinie 2006/24 bestimmt:
„Mit dieser Richtlinie sollen die Vorschriften der Mitgliedstaaten über die Pflichten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes im Zusammenhang mit der Vorratsspeicherung bestimmter Daten, die von ihnen erzeugt oder verarbeitet werden, harmonisiert werden, um sicherzustellen, dass die Daten zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden, zur Verfügung stehen.“
13 Art. 3 Abs. 1 der Richtlinie 2006/24 lautet:
„Abweichend von den Artikeln 5, 6 und 9 der Richtlinie 2002/58/EG tragen die Mitgliedstaaten durch entsprechende Maßnahmen dafür Sorge, dass die in Artikel 5 der vorliegenden Richtlinie genannten Daten, soweit sie im Rahmen ihrer Zuständigkeit im Zuge der Bereitstellung der betreffenden Kommunikationsdienste von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes erzeugt oder verarbeitet werden, gemäß den Bestimmungen der vorliegenden Richtlinie auf Vorrat gespeichert werden.“
14 In Art. 4 der Richtlinie 2006/24 heißt es:
„Die Mitgliedstaaten erlassen Maßnahmen, um sicherzustellen, dass die gemäß dieser Richtlinie auf Vorrat gespeicherten Daten nur in bestimmten Fällen und in Übereinstimmung mit dem innerstaatlichen Recht an die zuständigen nationalen Behörden weitergegeben werden. Jeder Mitgliedstaat legt in seinem innerstaatlichen Recht unter Berücksichtigung der einschlägigen Bestimmungen des Rechts der Europäischen Union oder des Völkerrechts, insbesondere der [am 4. November 1950 in Rom unterzeichneten Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten] in der Auslegung durch den Europäischen Gerichtshof für Menschenrechte, das Verfahren und die Bedingungen fest, die für den Zugang zu auf Vorrat gespeicherten Daten gemäß den Anforderungen der Notwendigkeit und der Verhältnismäßigkeit einzuhalten sind.“
15 Art. 5 der Richtlinie 2006/24 lautet:
„(1) Die Mitgliedstaaten stellen sicher, dass gemäß dieser Richtlinie die folgenden Datenkategorien auf Vorrat gespeichert werden:
a) zur Rückverfolgung und Identifizierung der Quelle einer Nachricht benötigte Daten:
1. betreffend Telefonfestnetz und Mobilfunk:
i) die Rufnummer des anrufenden Anschlusses,
ii) der Name und die Anschrift des Teilnehmers oder registrierten Benutzers;
2. betreffend Internetzugang, Internet-E-Mail und Internet-Telefonie:
i) die zugewiesene(n) Benutzerkennung(en),
ii) die Benutzerkennung und die Rufnummer, die jeder Nachricht im öffentlichen Telefonnetz zugewiesen werden,
iii) der Name und die Anschrift des Teilnehmers bzw. registrierten Benutzers, dem eine Internetprotokoll-Adresse (IP-Adresse), Benutzerkennung oder Rufnummer zum Zeitpunkt der Nachricht zugewiesen war;
b) zur Identifizierung des Adressaten einer Nachricht benötigte Daten:

c) zur Bestimmung von Datum, Uhrzeit und Dauer einer Nachrichtenübermittlung benötigte Daten:

d) zur Bestimmung der Art einer Nachrichtenübermittlung benötigte Daten:

e) zur Bestimmung der Endeinrichtung oder der vorgeblichen Endeinrichtung von Benutzern benötigte Daten:

f) zur Bestimmung des Standorts mobiler Geräte benötigte Daten:

(2) Nach dieser Richtlinie dürfen keinerlei Daten, die Aufschluss über den Inhalt einer Kommunikation geben, auf Vorrat gespeichert werden.“
16 Der Speicherungsfristen betreffende Art. 6 der Richtlinie 2006/24 bestimmt:
„Die Mitgliedstaaten sorgen dafür, dass die in Artikel 5 angegebenen Datenkategorien für einen Zeitraum von mindestens sechs Monaten und höchstens zwei Jahren ab dem Zeitpunkt der Kommunikation auf Vorrat gespeichert werden.“
17 Art. 11 dieser Richtlinie lautet:
„In Artikel 15 der Richtlinie 2002/58/EG wird folgender Absatz eingefügt:
‚(1a) Absatz 1 gilt nicht für Daten, für die in der Richtlinie [2006/24] eine Vorratsspeicherung zu den in Artikel 1 Absatz 1 der genannten Richtlinie aufgeführten Zwecken ausdrücklich vorgeschrieben ist.‘“
Nationales Recht
Urheberrecht
18 Die Bestimmungen der Richtlinie 2004/48 wurden in der Weise in schwedisches Recht umgesetzt, dass in das Gesetz 1960:729 über Urheberrechte an Werken der Literatur und Kunst (Lag [1960:729] om upphovsrätt till litterära och konstnärliga verk, im Folgenden: Urheberrechtsgesetz) mit dem Gesetz 2009:109 zur Änderung des Gesetzes 1960:729 (Lag [2009:109] om ändring i lagen [1960:729]) vom 26. Februar 2009 neue Bestimmungen eingefügt wurden. Diese neuen Bestimmungen sind am 1. April 2009 in Kraft getreten.
19 § 53c Urheberrechtsgesetz bestimmt:
„Kann der Antragsteller deutliche Anhaltspunkte dafür liefern, dass ein Dritter das Urheberrecht an einem der in § 53 genannten Werke verletzt hat, kann das Gericht unter Androhung eines Zwangsgelds die in Abs. 2 genannte(n) Person(en) dazu verpflichten, Auskunft über den Ursprung und die Vertriebswege der Waren oder Dienstleistungen zu geben, die von der Rechtsverletzung betroffen sind (Auskunftsverfügung). Eine solche Maßnahme kann auf Antrag des Rechtsinhabers, seines Vertreters oder desjenigen angeordnet werden, dem ein gesetzliches Verwertungsrecht an dem Werk zusteht. Sie darf nur angeordnet werden, wenn die Auskunft die Untersuchung der Rechtsverletzung hinsichtlich der Waren oder Dienstleistungen erleichtern kann.
Zur Auskunft verpflichtet ist, wer
1. Täter oder Teilnehmer der Rechtsverletzung oder beeinträchtigung ist,
2. von der Rechtsverletzung oder beeinträchtigung betroffene Waren in gewerblichem Ausmaß in seinem Besitz gehabt hat,
3. von der Rechtsverletzung oder beeinträchtigung betroffene Dienstleistungen in gewerblichem Ausmaß in Anspruch genommen hat,
4. in gewerblichem Ausmaß eine für die Rechtsverletzung oder beeinträchtigung genutzte elektronische Kommunikations- oder andere Dienstleistung erbracht hat
oder
5. nach den Angaben einer der in den Nrn. 2 bis 4 genannten Personen an der Herstellung oder am Vertrieb solcher Waren bzw. an der Erbringung solcher Dienstleistungen beteiligt gewesen ist.
Die Auskünfte über den Ursprung und die Vertriebswege der Waren oder Dienstleistungen erstrecken sich u. a. auf
1. die Namen und Adressen der Hersteller, Vertreiber, Lieferer und anderer Vorbesitzer der Waren oder Dienstleistungen,
2. die Namen und Adressen der gewerblichen Abnehmer und Verkaufsstellen
und
3. Angaben über die hergestellten, erzeugten, ausgelieferten, erhaltenen oder bestellten Mengen und über die Preise, die für die betreffenden Waren oder Dienstleistungen gezahlt wurden.
Die vorstehenden Bestimmungen gelten für den Versuch oder die Vorbereitung einer der in § 53 genannten Rechtsverletzungen entsprechend.“
20 § 53d Urheberrechtsgesetz bestimmt:
„Eine Auskunftsverfügung darf nur erlassen werden, wenn die Gründe für die Maßnahme die Unannehmlichkeiten oder anderen Nachteile aufwiegen, die die Maßnahme für denjenigen, gegen den sie sich richtet, oder für andere entgegenstehende Interessen mit sich bringt.
Die Auskunftspflicht gemäß § 53c erstreckt sich nicht auf Angaben, durch deren Mitteilung die betreffende Person gezwungen würde, ihre Beteiligung an einer Rechtsverletzung oder die Beteiligung naher Verwandter im Sinne von Kapitel 36 § 3 Zivilprozessordnung an einer solchen Rechtsverletzung zuzugeben.
Das Gesetz 1998:204 über personenbezogene Daten [personuppgiftslag (1998:204)] enthält Bestimmungen über die Beschränkung der Verarbeitung dieser Angaben.“
Schutz personenbezogener Daten
21 Die Richtlinie 2002/58 ist u. a. durch das Gesetz 2003:389 über elektronische Kommunikation (Lag [2003:389] om elektronisk kommunikation) in schwedisches Recht umgesetzt worden.
22 Gemäß Kapitel 6 § 20 Abs. 1 dieses Gesetzes ist es demjenigen, der im Zusammenhang mit der Bereitstellung eines elektronischen Kommunikationsnetzes oder eines elektronischen Kommunikationsdienstes Angaben über Teilnehmer erhalten oder Zugang zu ihnen erlangt hat, untersagt, diese Angaben unbefugt weiterzugeben oder zu benutzen.
23 Das vorlegende Gericht weist in diesem Zusammenhang darauf hin, dass die Verschwiegenheitspflicht u. a. für Internetdienstleister so ausgestaltet ist, dass sie nur ein Verbot beinhaltet, bestimmte Informationen unbefugt weiterzugeben oder zu nutzen. Die Verschwiegenheitspflicht ist damit anderen Bestimmungen untergeordnet, nach denen die Informationen weitergegeben werden dürfen, denn in diesen Fällen ist die Weitergabe nicht unbefugt. Nach Angaben des Högsta domstolen war davon ausgegangen worden, dass der Auskunftsanspruch nach § 53c Urheberrechtsgesetz, der auch gegenüber Internetdienstleistern gilt, keine speziellen Gesetzesänderungen erforderlich mache, da die neuen Bestimmungen über die Auskunftsverfügung dem Grundsatz der Verschwiegenheitspflicht vorgehen. Ein Beschluss des Gerichts, der die Auskunftserteilung anordnet, hebt somit die Verschwiegenheitspflicht auf.
24 Die Richtlinie 2006/24 ist innerhalb der hierfür festgelegten Frist nicht in schwedisches Recht umgesetzt worden.
Ausgangsverfahren und Vorlagefragen
25 Bonnier Audio u. a. sind Verlage, die insbesondere das ausschließliche Recht besitzen, 27 näher bezeichnete Bücher in Hörbuchform herauszugeben, die Werke zu vervielfältigen und sie der Allgemeinheit zugänglich zu machen.
26 Bonnier Audio u. a. machen geltend, ein Dritter habe dadurch in ihr Ausschließlichkeitsrecht eingegriffen, dass diese 27 Werke ohne ihre Zustimmung über einen FTP(„File transfer protocol“)-Server – ein Datei-Sharing-Programm, das die Übertragung von Dateien zwischen Computern über das Internet ermöglicht – der Allgemeinheit zugänglich gemacht worden seien.
27 Der Internetdienstleister, über den der rechtswidrige Datenaustausch stattgefunden haben soll, ist ePhone.
28 Bonnier Audio u. a. beantragten beim Solna tingsrätt (Landgericht Solna) eine Auskunftsverfügung in Bezug auf Name und Adresse derjenigen Person, die die IP Adresse nutzte, von der vermutet wird, dass von ihr aus in der Zeit vom 1. April 2009, 3.28 Uhr, bis 1. April 2009, 5.45 Uhr, die in Rede stehenden Daten übertragen wurden.
29 ePhone trat diesem Antrag entgegen und machte u. a. geltend, dass die beantragte Verfügung im Widerspruch zur Richtlinie 2006/24 stehe.
30 Im ersten Rechtszug gab das Solna tingsrätt dem Antrag auf Erlass einer Auskunftsverfügung in Bezug auf die betreffenden Daten statt.
31 ePhone rief gegen den Beschluss das Svea hovrätt (Rechtsmittelgericht Svea) an und beantragte, die Auskunftsverfügung aufzuheben. ePhone beantragte zudem, beim Gerichtshof eine Vorabentscheidung über die Frage einzuholen, ob die Richtlinie 2006/24 der Weitergabe von Teilnehmerdaten, die sich auf eine bestimmte IP Adresse beziehen, an andere Empfänger als die in dieser Richtlinie genannten Behörden entgegensteht.
32 Das Svea hovrätt stellte fest, dass es in der Richtlinie 2006/24 keine Bestimmung gebe, der es zuwiderliefe, dass einer Partei in einem Zivilprozess aufgegeben werde, Teilnehmerdaten an andere Empfänger als Behörden weiterzugeben. Ferner wurde der Antrag auf Einholung einer Vorabentscheidung des Gerichtshofs abgelehnt.
33 Das Gericht war überdies der Auffassung, dass die Hörbuchverlage keine deutlichen Anhaltspunkte für eine Urheberrechtsverletzung vorgelegt hätten. Es hob daher den Beschluss des Tingsrätt über die Auskunftsverfügung auf. Bonnier Audio u. a. legten hiergegen Rechtsmittel zum Högsta domstolen ein.
34 Nach Ansicht des Högsta domstolen besteht trotz des Urteils vom 29. September 2008, Promusicae (C 275/06, Slg. 2008, I 271), und des Beschlusses vom 19. Februar 2009, LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten (C 557/07, Slg. 2009, I 1227), weiterhin eine gewisse Unsicherheit hinsichtlich der Frage, ob das Unionsrecht der Anwendung der Regelung des § 53c Urheberrechtsgesetz entgegensteht, da in keiner dieser Entscheidungen auf die Richtlinie 2006/24 Bezug genommen wird.
35 Unter diesen Umständen hat der Högsta domstolen das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:
1. Steht die Richtlinie 2006/24, insbesondere ihre Art. 3 bis 5 und 11, der Anwendung einer nationalen Vorschrift entgegen, die auf der Grundlage von Art. 8 der Richtlinie 2004/48 erlassen wurde und nach der in einem zivilrechtlichen Verfahren einem Internetdienstleister zu dem Zweck, einen bestimmten Teilnehmer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll? Dabei ist davon auszugehen, dass der Antragsteller deutliche Anhaltspunkte für eine Urheberrechtsverletzung geliefert hat und dass die Maßnahme verhältnismäßig ist.
2. Wird die Antwort auf Frage 1 durch den Umstand beeinflusst, dass der Mitgliedstaat trotz des Ablaufs der Umsetzungsfrist die Richtlinie 2006/24 noch nicht umgesetzt hat?
Zu den Vorlagefragen
36 Mit seinen zwei Fragen, die zusammen zu prüfen sind, möchte das vorlegende Gericht wissen, ob die Richtlinie 2006/24 dahin auszulegen ist, dass sie der Anwendung nationaler Rechtsvorschriften entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48 erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen bestimmten Internetteilnehmer oder nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, und ob die Antwort auf diese Frage durch den Umstand beeinflusst wird, dass der Mitgliedstaat trotz des Ablaufs der Umsetzungsfrist die Richtlinie 2006/24 noch nicht umgesetzt hat.
37 Zunächst ist zum einen darauf hinzuweisen, dass der Gerichtshof von der Prämisse ausgeht, dass die im Ausgangsverfahren in Rede stehenden Daten in Übereinstimmung mit den nationalen Rechtsvorschriften unter Beachtung der in Art. 15 Abs. 1 der Richtlinie 2002/58 festgelegten Voraussetzungen auf Vorrat gespeichert worden sind; dies zu prüfen ist Sache des vorlegenden Gerichts.
38 Zum anderen sollen mit der Richtlinie 2006/24 nach ihrem Art. 1 Abs. 1 die nationalen Rechtsvorschriften der Mitgliedstaaten über die Pflichten von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes im Zusammenhang mit der Verarbeitung oder Vorratsspeicherung bestimmter Daten, die von ihnen erzeugt oder verarbeitet werden, harmonisiert werden, um sicherzustellen, dass die Daten zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten, wie sie von jedem Mitgliedstaat in seinem nationalen Recht bestimmt werden, zur Verfügung stehen.
39 Ferner ergibt sich aus Art. 4 der Richtlinie 2006/24, dass die gemäß dieser Richtlinie auf Vorrat gespeicherten Daten nur in bestimmten Fällen und in Übereinstimmung mit dem innerstaatlichen Recht des betreffenden Mitgliedstaats an die zuständigen nationalen Behörden weitergegeben werden dürfen.
40 Die Richtlinie 2006/24 betrifft somit ausschließlich die Verarbeitung und Vorratsspeicherung von Daten, die von Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste oder Betreibern eines öffentlichen Kommunikationsnetzes zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten erzeugt oder verarbeitet werden, sowie ihre Weitergabe an die zuständigen nationalen Behörden.
41 Der damit festgelegte sachliche Anwendungsbereich der Richtlinie 2006/24 wird durch ihren Art. 11 bestätigt, dem zufolge Art. 15 Abs. 1 der Richtlinie 2002/58 nicht für Daten gilt, die ausdrücklich zu den in Art. 1 Abs. 1 der Richtlinie 2006/24 aufgeführten Zwecken auf Vorrat gespeichert werden.
42 Hingegen gilt Art. 15 Abs. 1 der Richtlinie 2002/58 – wie aus dem zwölften Erwägungsgrund der Richtlinie 2006/24 hervorgeht – weiterhin für Daten, die zu anderen – einschließlich justiziellen – Zwecken als den ausdrücklich in Art. 1 Abs. 1 der Richtlinie 2006/24 genannten auf Vorrat gespeichert werden.
43 Aus Art. 11 in Verbindung mit dem zwölften Erwägungsgrund der Richtlinie 2006/24 ergibt sich somit, dass diese Richtlinie eine klar abgegrenzte Spezialregelung ist, die von der allgemein geltenden Richtlinie 2002/58 und insbesondere von deren Art. 15 Abs. 1 abweicht und an ihre Stelle tritt.
44 Mit den im Ausgangsverfahren in Rede stehenden Rechtsvorschriften wird ein anderes Ziel verfolgt als mit der Richtlinie 2006/24. Sie beziehen sich nämlich auf die Weitergabe von Daten in einem Zivilverfahren zur Feststellung einer Urheberrechtsverletzung.
45 Die betreffenden Rechtsvorschriften fallen somit nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24.
46 Der Umstand, dass der betreffende Mitgliedstaat trotz des Ablaufs der Umsetzungsfrist die Richtlinie 2006/24 noch nicht umgesetzt hat, ist daher im Ausgangsverfahren unerheblich.
47 Unbeschadet dessen kann der Gerichtshof, um dem Gericht, das ihm eine Frage zur Vorabentscheidung vorgelegt hat, eine sachdienliche Antwort zu geben, auf unionsrechtliche Vorschriften eingehen, die das vorlegende Gericht in seiner Frage nicht angeführt hat (vgl. u. a. Urteile vom 18. November 1999, Teckal, C 107/98, Slg. 1999, I 8121, Randnr. 39, sowie vom 28. Februar 2008, Abraham u. a., C 2/07, Slg. 2008, I 1197, Randnr. 24).
48 Die Umstände des Ausgangsverfahrens geben Anlass dazu, auf derartige unionsrechtliche Vorschriften einzugehen.
49 Die Bezugnahme in der ersten Frage des vorlegenden Gerichts auf die Beachtung der Erfordernisse im Zusammenhang mit dem Vorliegen deutlicher Anhaltspunkte für eine Urheberrechtsverletzung und der Verhältnismäßigkeit der gegebenenfalls auf der Grundlage des im Ausgangsverfahren in Rede stehenden Umsetzungsgesetzes getroffenen Anordnung sowie – wie aus Randnr. 34 des vorliegenden Urteils hervorgeht – auf das Urteil Promusicae lässt erkennen, dass das vorlegende Gericht auch wissen möchte, ob die in Rede stehenden Bestimmungen des Umsetzungsgesetzes geeignet sind, ein angemessenes Gleichgewicht zwischen den verschiedenen einschlägigen Grundrechten sicherzustellen, wie es das genannte, zur Auslegung und Anwendung verschiedener Bestimmungen der Richtlinien 2002/58 und 2004/48 ergangene Urteil verlangt.
50 Die Beantwortung einer solchen impliziten Frage kann daher für die Entscheidung des Ausgangsverfahrens relevant sein.
51 Im Hinblick auf eine solche sachdienliche Antwort ist zunächst darauf hinzuweisen, dass Bonnier Audio u. a. im Ausgangsverfahren Auskunft über den Namen und die Adresse eines Internetteilnehmers oder nutzers begehren, der eine IP-Adresse nutzt, von der aus vermutlich Dateien mit geschützten Werken unrechtmäßig getauscht wurden, damit sie ihn identifizieren können.
52 Die von Bonnier Audio u. a. begehrte Auskunft stellt eine Verarbeitung personenbezogener Daten im Sinne von Art. 2 Abs. 1 der Richtlinie 2002/58 in Verbindung mit Art. 2 Buchst. b der Richtlinie 95/46 dar. Diese Auskunft fällt daher in den Anwendungsbereich der Richtlinie 2002/58 (vgl. in diesem Sinne Urteil Promusicae, Randnr. 45).
53 Im Ausgangsverfahren wird die Weitergabe der betreffenden Daten zudem in einem Zivilverfahren zugunsten eines Urheberrechtsinhabers oder dessen Vertreters, d. h. einer Privatperson, und nicht zugunsten einer zuständigen nationalen Behörde verlangt.
54 Hierzu ist vorab festzustellen, dass ein Antrag auf Weitergabe personenbezogener Daten zum Zweck der Sicherstellung eines effektiven Urheberrechtsschutzes aufgrund seines Gegenstands in den Anwendungsbereich der Richtlinie 2004/48 fällt (vgl. in diesem Sinne Urteil Promusicae, Randnr. 58).
55 Wie der Gerichtshof bereits entschieden hat, hindert Art. 8 Abs. 3 der Richtlinie 2004/48 in Verbindung mit Art. 15 Abs. 1 der Richtlinie 2002/58 die Mitgliedstaaten nicht daran, eine Verpflichtung zur Weitergabe personenbezogener Daten an Privatpersonen zu schaffen, um die Verfolgung von Urheberrechtsverstößen vor den Zivilgerichten zu ermöglichen, zwingt die Mitgliedstaaten aber auch nicht, eine derartige Verpflichtung vorzusehen (vgl. Urteil Promusicae, Randnrn. 54 und 55, sowie Beschluss LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, Randnr. 29).
56 Der Gerichtshof hat jedoch hinzugefügt, dass es bei der Umsetzung u. a. der Richtlinien 2002/58 und 2004/48 Sache der Mitgliedstaaten ist, darauf zu achten, dass sie sich auf eine Auslegung dieser Richtlinien stützen, die es ihnen erlaubt, ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Unionsrechtsordnung geschützten Grundrechten sicherzustellen. Sodann haben die Behörden und Gerichte der Mitgliedstaaten bei der Durchführung der Maßnahmen zur Umsetzung dieser Richtlinien nicht nur ihr nationales Recht im Einklang mit ihnen auszulegen, sondern auch darauf zu achten, dass sie sich nicht auf eine Auslegung der Richtlinien stützen, die mit den genannten Grundrechten oder anderen allgemeinen Grundsätzen des Unionsrechts, wie etwa dem Grundsatz der Verhältnismäßigkeit, kollidiert (vgl. in diesem Sinne Urteil Promusicae, Randnr. 68, und Beschluss LSG-Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, Randnr. 28).
57 Im vorliegenden Fall hat sich der betreffende Mitgliedstaat dafür entschieden, von der ihm eröffneten Befugnis – wie sie in Randnr. 55 des vorliegenden Urteils beschrieben wird – Gebrauch zu machen, eine Verpflichtung zur Weitergabe personenbezogener Daten im Rahmen eines Zivilverfahrens vorzusehen.
58 Nach den fraglichen nationalen Rechtsvorschriften müssen, damit eine Weitergabe der betreffenden Daten angeordnet werden kann, insbesondere deutliche Anhaltspunkte für die Verletzung des Urheberrechts an einem Werk vorliegen, die begehrten Auskünfte müssen geeignet sein, die Untersuchung der Urheberrechtsverletzung oder beeinträchtigung zu erleichtern, und die Gründe für die Anordnung müssen die Unannehmlichkeiten oder anderen Nachteile aufwiegen, die die Maßnahme für denjenigen, gegen den sie sich richtet, oder für andere entgegenstehende Interessen mit sich bringt.
59 Diese Rechtsvorschriften ermöglichen es somit dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.
60 In dieser Situation sind derartige Rechtsvorschriften als grundsätzlich geeignet anzusehen, um ein angemessenes Gleichgewicht zwischen dem Schutz des dem Urheberrechtsinhaber zustehenden Rechts des geistigen Eigentums und dem Schutz personenbezogener Daten, den ein Internetteilnehmer oder nutzer genießt, sicherzustellen.
61 Nach alledem sind die Vorlagefragen wie folgt zu beantworten:
– Die Richtlinie 2006/24 ist dahin auszulegen, dass sie der Anwendung nationaler Rechtsvorschriften nicht entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48 erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen Internetteilnehmer oder nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, da derartige Rechtsvorschriften nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24 fallen.
– Der Umstand, dass der betreffende Mitgliedstaat die Richtlinie 2006/24 trotz des Ablaufs der Umsetzungsfrist noch nicht umgesetzt hat, ist im Ausgangsverfahren unerheblich.
– Die Richtlinien 2002/58 und 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.
Kosten
62 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem bei dem vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG ist dahin auszulegen, dass sie der Anwendung nationaler Rechtsvorschriften nicht entgegensteht, die auf der Grundlage von Art. 8 der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums erlassen wurden und nach denen einem Internetdienstleister zu dem Zweck, einen Internetteilnehmer oder nutzer identifizieren zu können, aufgegeben werden kann, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP(Internetprotokoll)-Adresse zugeteilt hat, von der aus dieses Recht verletzt worden sein soll, da derartige Rechtsvorschriften nicht in den sachlichen Anwendungsbereich der Richtlinie 2006/24 fallen.
Der Umstand, dass der betreffende Mitgliedstaat die Richtlinie 2006/24 trotz des Ablaufs der Umsetzungsfrist noch nicht umgesetzt hat, ist im Ausgangsverfahren unerheblich.
Die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) und die Richtlinie 2004/48 sind dahin auszulegen, dass sie nationalen Rechtsvorschriften wie den im Ausgangsverfahren in Rede stehenden nicht entgegenstehen, soweit es diese Rechtsvorschriften dem nationalen Gericht, bei dem eine klagebefugte Person beantragt hat, die Weitergabe personenbezogener Daten anzuordnen, ermöglichen, anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.

Landesdatenschutzgesetz am Beispiel des Niedersächsischen Datenschutzgesetzes (NDSG)

Niedersächsisches Datenschutzgesetz (NDSG)
in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22), zuletzt geändert durch
Artikel 10 des Gesetzes vom 25. März 2009 (Nds. GVBl. S. 71 – VORIS 20600 02 -)
I n h a l t s ü b e r s i c h t
E r s t e r A b s c h n i t t
Allgemeine Bestimmungen
§ 1 Aufgabe des Gesetzes
§ 2 Anwendungsbereich
§ 3 Begriffsbestimmungen
§ 4 Zulässigkeit der Datenverarbeitung
§ 5 Datengeheimnis
§ 6 Verarbeitung personenbezogener Daten im Auftrag
§ 6 a Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 7 Technische und organisatorische Maßnahmen
§ 8 Verfahrensbeschreibung
§ 8 a Behördliche Datenschutzbeauftragte
Z w e i t e r A b s c h n i t t
Rechtsgrundlagen der Datenverarbeitung
§ 9 Erhebung
§ 10 Speicherung, Veränderung, Nutzung; Zweckbindung
§ 10 a Automatisierte Einzelentscheidung
§ 11 Übermittlung innerhalb des öffentlichen Bereichs
§ 12 Automatisiertes Abrufverfahren
§ 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen
Bereichs
§ 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des
Europäischen Wirtschaftsraums
§ 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften
D r i t t e r A b s c h n i t t
Rechte der Betroffenen
§ 16 Auskunft, Einsicht in Akten
§ 17 Berichtigung, Löschung und Sperrung
§ 17 a Widerspruchsrecht
§ 18 Schadensersatz
§ 19 Anrufung der Landesbeauftragten oder des Landesbeauftragten
§ 20 Verzicht auf Rechte der Betroffenen
V i e r t e r A b s c h n i t t
Landesbeauftragte oder Landesbeauftragter für den Datenschutz
§ 21 Rechtsstellung der Landesbeauftragten oder des
Landesbeauftragten
§ 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des
Landesbeauftragten
§ 23 Beanstandungen durch die Landesbeauftragte oder den
Landesbeauftragten
F ü n f t e r A b s c h n i t t
Besonderer Datenschutz
§ 24 – aufgehoben –
§ 25 Verarbeitung personenbezogener Daten für Forschungsvorhaben
§ 25 a Beobachtung durch Bildübertragung
§ 26 Fernmessen und Fernwirken
§ 27 Öffentliche Auszeichnungen
S e c h s t e r A b s c h n i t t
Übergangs- und Schlussvorschriften
§ 28 Straftaten
§ 29 Ordnungswidrigkeiten
§ 30 Übergangsvorschrift
§ 31 Aufhebung von Rechtsvorschriften
§ 32 Änderung des Niedersächsischen Meldegesetzes
§ 33 Änderung des Niedersächsischen Verfassungsschutzgesetzes
§ 34 In-Kraft-Treten
Erster Abschnitt
Allgemeine Bestimmungen
§ 1
Aufgabe des Gesetzes
1Aufgabe dieses Gesetzes ist es, das Recht einer jeden Person zu gewährleisten,
selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Recht auf
informationelle Selbstbestimmung). 2Dieses Gesetz bestimmt, unter welchen
Voraussetzungen personenbezogene Daten durch öffentliche Stellen verarbeitet
werden dürfen.
§ 2
Anwendungsbereich
(1) 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
Behörden und sonstige öffentliche Stellen
1. des Landes,
2. der Gemeinden und Landkreise,
3. der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten
und Stiftungen des öffentlichen Rechts
und deren Vereinigungen. 2Sind einer Person oder Stelle außerhalb des öffentlichen
Bereichs Aufgaben der öffentlichen Verwaltung übertragen, so ist sie insoweit
öffentliche Stelle im Sinne dieses Gesetzes.
(2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen
und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie
bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten
verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden
haben.
(3) 1Abweichend von Absatz 1 gelten nur die §§ 8, 19 und 26 sowie die Regelungen
des Vierten Abschnitts, soweit personenbezogene Daten in Ausübung ihrer
wirtschaftlichen Tätigkeit verarbeitet werden von
1. juristischen Personen des öffentlichen Rechts oder deren organisatorisch
selbständigen Einrichtungen, die am Wettbewerb teilnehmen,
2. wirtschaftlichen Unternehmen der Gemeinden und Landkreise ohne eigene
Rechtspersönlichkeit (Eigenbetriebe) und Zweckverbänden, die überwiegend
wirtschaftliche Aufgaben wahrnehmen,
3. öffentlichen Einrichtungen, die entsprechend den Vorschriften über die
Eigenbetriebe geführt werden.
2Für diese finden im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften
des Bundesdatenschutzgesetzes in der Fassung vom 14. Januar 2003
(BGBl. I S. 66) Anwendung1).
(4) Auf öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche
Versicherungsanstalten sowie deren Vereinigungen finden § 24 des
Niedersächsischen Datenschutzgesetzes vom 17. Juni 1993 (Nds. GVBl. S. 141) 2)
und im Übrigen die Vorschriften des Bundesdatenschutzgesetzes über nicht
öffentliche Stellen Anwendung.
(5) Für öffentlich-rechtliche Rundfunkanstalten gilt das Recht des jeweiligen
Sitzlandes.
(6) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten
gehen den Bestimmungen dieses Gesetzes vor.
(7) Die Vorschriften dieses Gesetzes gehen denen des Niedersächsischen
Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhaltes
personenbezogene Daten verarbeitet werden.
(8) Auf das Gnadenverfahren findet dieses Gesetz mit Ausnahme des Vierten
Abschnitts keine Anwendung.
Hinweis der Redaktion:
1) Vgl. BDSG, zuletzt geändert durch Artikel 1 des Gesetzes vom 22. August 2006 (BGBl. I S. 1970)
§ 3
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (Betroffene).
(2) 1Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren,
Löschen und Nutzen personenbezogener Daten. 2Im Einzelnen ist
1. Erheben das Beschaffen von Daten über die Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem
Datenträger,
3. Verändern das inhaltliche Umgestalten von Daten,
4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass
a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder
b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder
abrufen,
5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung
einzuschränken,
6. Löschen das Unkenntlichmachen von Daten,
7. Nutzen jede sonstige Verwendung von Daten.
(3) Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst
verarbeitet oder durch andere im Auftrag verarbeiten lässt.
(4) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritte sind Personen
oder Stellen außerhalb der Daten verarbeitenden Stelle. 3Dritte sind nicht die
Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag
personenbezogene Daten verarbeiten (Auftragnehmer).
(5) Automatisierte Verarbeitung ist die Verarbeitung personenbezogener Daten unter
Einsatz von Datenverarbeitungsanlagen.
(6) 1Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende
Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und
Tonträger. 2Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil
eines Vorgangs werden sollen.
§ 4
Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder
2. die Betroffenen eingewilligt haben.
(2) 1Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer
Umstände eine andere Form angemessen ist. 2Soweit die Einwilligung
personenbezogene Angaben über die rassische und ethnische Herkunft, politische
Meinungen, religiöse oder weltanschauliche Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich
ausdrücklich auf diese Angaben beziehen. 3Soll die Einwilligung zusammen mit
anderen Erklärungen schriftlich erteilt werden, so ist die Einwilligungserklärung im
äußeren Erscheinungsbild der Erklärung hervorzuheben. 4Die Betroffenen sind in
geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den
Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über die
Empfänger der Daten aufzuklären. 5Die Betroffenen sind unter Darlegung der
Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern oder mit
Wirkung für die Zukunft widerrufen können.
(3) Die Einwilligung ist unwirksam, wenn sie durch Androhung rechtswidriger
Nachteile oder durch Fehlen der Aufklärung bewirkt wurde.
§ 5
Datengeheimnis
Den Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen
Zugang zu personenbezogenen Daten haben, ist es untersagt, diese zu einem
anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten
oder zu offenbaren; dies gilt auch nach Beendigung ihrer Tätigkeit.
§ 6
Verarbeitung personenbezogener Daten im Auftrag
(1) 1Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, so
bleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz verantwortlich. 2Die im Dritten Abschnitt
genannten Rechte sind ihnen gegenüber geltend zu machen.
(2) 1Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der
Weisungen der Auftraggeber verarbeiten. 2Auftraggeber haben sich über die
Beachtung der Maßnahmen nach § 7 und der erteilten Weisungen zu vergewissern.
(3) 1Auftragnehmer müssen Gewähr für die Einhaltung der technischen und
organisatorischen Maßnahmen nach § 7 bieten. 2Aufträge, Weisungen zu
technischen und organisatorischen Maßnahmen und die Zulassung von
Unterauftragsverhältnissen sind schriftlich festzuhalten.
(4) 1Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendung
finden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten,
jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2Wird der Auftrag
außerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet der
Auftraggeber die zuständige Datenschutzkontrollbehörde.
§ 6 a
Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Stellen, die personenbezogene Speicher- und Verarbeitungsmedien herausgeben
oder die auf solchen Medien Verfahren zur automatisierten Verarbeitung
personenbezogener Daten aufbringen oder ändern, müssen die betroffene Person in
allgemein verständlicher Form
1. über ihre Identität und Anschrift,
2. über die Funktionsweise des Mediums einschließlich der Art der zu
verarbeitenden personenbezogenen Daten,
3. darüber, wie die betroffene Person ihre Rechte nach den §§ 16 und 17 ausüben
kann, und
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen
unterrichten, soweit die oder der Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichteten Stellen haben dafür Sorge zu tragen, dass die
zur Wahrnehmung der Rechte nach den §§ 16 und 17 erforderlichen Geräte oder
Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur
Verfügung stehen.
(3) Die Tatsache der Kommunikation des mobilen personenbezogenen Speicherund
Verarbeitungsmediums muss für die betroffene Person eindeutig erkennbar sein.
§ 7
Technische und organisatorische Maßnahmen
(1) 1Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu
treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes
entsprechende Verarbeitung personenbezogener Daten sicherzustellen. 2Der
Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik
in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen.
(2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen
zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,
1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren
(Zugangskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder
entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme,
Veränderung oder Löschung gespeicherter Daten zu verhindern
(Speicherkontrolle),
4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu
welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle),
7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu
welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind
(Eingabekontrolle),
8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind (Verfügbarkeitskontrolle),
9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen der Auftraggeber verarbeitet werden können
(Auftragskontrolle),
10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von
Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht
werden können (Transportkontrolle),
11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie
den besonderen Anforderungen des Datenschutzes gerecht wird
(Organisationskontrolle).
(3) 1Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert
werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu
verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können,
durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. 2Die nach
Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten.
(4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem
Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu
verarbeiten.
(5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz
automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff
Unbefugter zu schützen.
§ 8
Verfahrensbeschreibung
1Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung
personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung
festzulegen:
1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung,
2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,
3. den Kreis der Betroffenen,
4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des
§ 6 auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten,
5. die Absicht, Daten in Staaten nach § 14 zu übermitteln,
6. Fristen für die Sperrung und Löschung der Daten,
7. die technischen und organisatorischen Maßnahmen nach § 7,
8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur
Übermittlung, Sperrung, Löschung und Auskunftserteilung.
2Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck
als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach
§ 8 a Abs. 4 und Verarbeitungen nach § 8 a Abs. 5 Satz 1.
§ 8 a
Behördliche Datenschutzbeauftragte
(1) 1Jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet,
hat eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen. 2Mit
dieser Aufgabe kann auch eine Person beauftragt werden, die nicht der
verarbeitenden Stelle angehört. 3Ist die Person bereits von einer anderen Stelle zur
Beauftragten für den Datenschutz bestellt worden, so setzt die weitere Bestellung
das Einvernehmen mit der anderen Stelle voraus.
(2) 1Bestellt werden darf nur, wer die erforderliche Sachkenntnis und Zuverlässigkeit
besitzt und durch die Bestellung keinem Interessenkonflikt mit anderen dienstlichen
Aufgaben ausgesetzt ist. 2Beauftragte sind in dieser Eigenschaft weisungsfrei; sie
können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der
Erfüllung ihrer Aufgaben nicht benachteiligt werden. 3Sie unterstützen die öffentliche
Stelle bei der Sicherstellung des Datenschutzes und wirken auf die Einhaltung der
datenschutzrechtlichen Vorschriften hin. 4Sie sind über geplante Verfahren der
automatisierten Verarbeitung personenbezogener Daten zu unterrichten. 5Sie
erhalten eine Übersicht der automatisierten Verarbeitungen mit den Angaben nach
§ 8 Satz 1. 6Die öffentlichen Stellen haben die Beauftragten für den Datenschutz bei
der Aufgabenerfüllung zu unterstützen.
(3) 1Die Beauftragten haben auf Antrag die Angaben gemäß § 8 Satz 1 Nrn. 1 bis 6
jedermann in geeigneter Weise verfügbar zu machen. 2Hiervon ausgenommen sind
Beschreibungen nach § 22 Abs. 5 und Beschreibungen für Verarbeitungen zum
Zweck der Strafverfolgung. 3Den Beauftragten obliegt die Vorabprüfung von
Verfahren nach § 7 Abs. 3, wobei in Zweifelsfällen die Landesbeauftragte oder der
Landesbeauftragte für den Datenschutz zu beteiligen ist. 4Betroffene können sich
unmittelbar an die Beauftragte oder den Beauftragten für den Datenschutz wenden.
(4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der
Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen
Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen
steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere
automatisierte Verarbeitungen stattfinden.
(5) 1Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur
Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz
einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen
solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf
informationelle Selbstbestimmung nicht zu erwarten ist. 2In der Verordnung sind die
Zweckbestimmungen der Verarbeitung, die Kategorien der Daten, die Empfänger,
denen die Daten übermittelt werden dürfen, und die Dauer der Aufbewahrung
festzulegen.
Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 9
Erhebung
(1)1Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur
Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. 2Die Daten sind bei
den Betroffenen mit ihrer Kenntnis zu erheben. 3Bei Dritten dürfen
personenbezogene Daten nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. die Erhebung zur Abwehr von Gefahren für Leib, Leben oder die persönliche
Freiheit erforderlich ist,
3. Angaben der Betroffenen überprüft werden müssen,
4. offensichtlich ist, dass die Erhebung im Interesse der Betroffenen liegt und sie
einwilligen würden,
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können,
soweit nicht schutzwürdige Interessen der Betroffenen offensichtlich
entgegenstehen, oder
6. a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen
oder Stellen erforderlich macht oder
b) die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand
erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige
Interessen der Betroffenen beeinträchtigt werden.
(2) 1Werden Daten bei den Betroffenen erhoben, so sind sie über den Zweck der
Erhebung aufzuklären. Werden die Daten aufgrund einer Rechtsvorschrift erhoben,
so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 2Soweit eine
Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angabe von
Daten voraussetzt, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer
Angaben hinzuweisen.
(3) 1Werden Daten bei einer dritten Person oder einer Stelle außerhalb des
öffentlichen Bereichs erhoben, so ist diese auf Verlangen über den
Verwendungszweck aufzuklären. 2Soweit eine Auskunftspflicht besteht, ist sie
hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
§ 10
Speicherung, Veränderung, Nutzung; Zweckbindung
(1) 1Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig,
wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die
Daten für diese Zwecke erhoben worden sind. 2Erlangt die öffentliche Stelle Kenntnis
von personenbezogenen Daten, ohne diese erhoben zu haben, so darf sie diese
Daten nur für Zwecke verarbeiten, für die sie diese Daten erstmals speichert.
(2) 1Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig,
1. wenn die Betroffenen eingewilligt haben,
2. in den Fällen des § 9 Abs. 1 Satz 3 Nrn. 1 bis 5 oder
3. wenn sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte
für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für
die Verfolgung oder Vollstreckung zuständigen Behörden geboten ist.
2Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen
Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur
Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht
übermittelt worden, so dürfen sie für andere Zwecke nur gespeichert, verändert oder
genutzt werden, wenn die Betroffenen eingewilligt haben oder wenn eine
Rechtsvorschrift dies zulässt.
(3) 1Ein Speichern, Verändern oder Nutzen zu anderen Zwecken liegt nicht vor, wenn
dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur
Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen erfolgt.
2Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit
nicht berechtigte Interessen der Betroffenen an der Geheimhaltung der Daten
offensichtlich überwiegen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der
Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des
ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden,
dürfen nicht für andere Zwecke verarbeitet werden.
§ 10 a
Automatisierte Einzelentscheidung
(1) Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen
oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte
Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung
einzelner Persönlichkeitsmerkmale dienen.
(2) 1Dies gilt nicht, wenn
1. eine Rechtsvorschrift dies vorsieht,
2. dem Begehren der Betroffenen stattgegeben wurde oder
3. die Wahrung der berechtigten Interessen der Betroffenen durch geeignete
Maßnahmen gewährleistet und den Betroffenen von der verantwortlichen Stelle
die Tatsache, dass eine Entscheidung nach Absatz 1 vorliegt, mitgeteilt wird.
2Als geeignete Maßnahme im Sinne der Nummer 3 gilt insbesondere die Möglichkeit
der Betroffenen, ihren Standpunkt geltend zu machen; die verantwortliche Stelle ist
verpflichtet, ihre Entscheidung erneut zu prüfen.
(3) Das Recht der Betroffenen auf Auskunft nach § 16 erstreckt sich in den Fällen
des Absatzes 1 auch auf den logischen Aufbau der automatisierten Verarbeitung der
sie betreffenden Daten.
§ 11
Übermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist nur
zulässig, wenn die Übermittlung zur Erfüllung der Aufgaben der übermittelnden Stelle
oder des Empfängers erforderlich ist und die Daten nach § 10 verarbeitet werden
dürfen.
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden
dürfen, weitere personenbezogene Daten der Betroffenen oder Dritter in Akten so
verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich
ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte
Interessen der Betroffenen oder Dritter an deren Geheimhaltung offensichtlich
überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.
(3) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle. 2Erfolgt die Übermittlung aufgrund eines Ersuchens, so hat die übermittelnde
Stelle lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der
Aufgaben der empfangenden Stelle hält. 3Die Rechtmäßigkeit des Ersuchens prüft
sie nur, wenn im Einzelfall hierzu Anlass besteht; die empfangende Stelle hat der
übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.
4Erfolgt die Übermittlung durch automatisierten Abruf (§ 12), so trägt die
Verantwortung für die Rechtmäßigkeit des Abrufs die empfangende Stelle.
(4) Die Absätze 1 bis 3 gelten entsprechend, wenn personenbezogene Daten
innerhalb einer öffentlichen Stelle weitergegeben werden.
§ 12
Automatisiertes Abrufverfahren
(1) 1Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten
durch Abruf eines Dritten ermöglicht, darf nur eingerichtet werden, wenn eine
Rechtsvorschrift dies zulässt. 2Die Zulässigkeit des einzelnen Abrufs bestimmt sich
nach den Vorschriften dieses Gesetzes.
(2) 1Die Landesregierung wird ermächtigt, durch Verordnung für die Behörden und
Einrichtungen des Landes sowie für die der Aufsicht des Landes unterliegenden
sonstigen öffentlichen Stellen die Einrichtung automatischer Abrufverfahren
zuzulassen. 2Für die Zulassung solcher Verfahren innerhalb des Geschäftsbereichs
eines Ministeriums wird das jeweilige Ministerium ermächtigt, die Verordnung zu
erlassen. 3Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter
Berücksichtigung der schutzwürdigen Interessen des betroffenen Personenkreises
und der Aufgaben der beteiligten Stellen angemessen ist. 4In der Verordnung sind
die Datenempfänger, die Art der zu übermittelnden Daten, der Zweck des Abrufs
sowie die wesentlichen bei den beteiligten Stellen zu treffenden Maßnahmen zur
Kontrolle der Verarbeitung festzulegen. 5Die Landesbeauftragte für den Datenschutz
oder der Landesbeauftragte für den Datenschutz (die Landesbeauftragte oder der
Landesbeauftragte) ist vorher zu hören.
(3) Sind automatisierte Abrufverfahren in einer Verordnung nach Absatz 2
zugelassen, so dürfen sie auf Verlangen des Landesrechnungshofs auch für die
Rechnungsprüfung eingesetzt werden.
(4) 1Personenbezogene Daten dürfen nicht zum Abruf durch Personen oder Stellen
außerhalb des öffentlichen Bereichs bereitgehalten werden. 2Dies gilt nicht für den
Abruf durch Betroffene.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus solchen Datenbeständen, die
jeder Person offen stehen oder deren Inhalt veröffentlicht werden darf.
§ 13
Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs
(1) 1Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb
des öffentlichen Bereichs ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,
2. die Empfänger ein rechtliches Interesse an der Kenntnis der zu übermittelnden
Daten glaubhaft machen und kein Grund zu der Annahme besteht, dass das
schutzwürdige Interesse der Betroffenen an der Geheimhaltung überwiegt, oder
3. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend
gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht
widersprochen haben.
2In den Fällen des Satzes 1 Nr. 3 sind die Betroffenen über die beabsichtigte
Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in
geeigneter Weise und rechtzeitig zu unterrichten.
(2) Die übermittelnde Stelle hat die Empfänger zu verpflichten, die Daten nur für die
Zwecke zu verarbeiten, zu denen sie ihnen übermittelt wurden.
§ 14
Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen
Wirtschaftsraums
(1) 1Die Übermittlung personenbezogener Daten an Personen und Stellen in Staaten
außerhalb der Europäischen Union und der Vertragsstaaten des Abkommens über
den Europäischen Wirtschaftsraum sowie an über- und zwischenstaatliche Stellen ist
zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der
Europäischen Gemeinschaften oder einem internationalen Vertrag geregelt ist. 2Eine
Übermittlung an öffentliche Stellen darf auch erfolgen, wenn die Voraussetzungen
des § 11 Abs. 1 sowie an andere Empfänger, wenn die Voraussetzungen des § 13
Abs. 1 erfüllt sind und im Empfängerland gleichwertige Datenschutzregelungen
gelten. 3Die Übermittlung nach Satz 2 darf nicht erfolgen, soweit Grund zu der
Annahme besteht, dass die Übermittlung einen Verstoß gegen wesentliche
Grundsätze des deutschen Rechts, insbesondere gegen Grundrechte, zur Folge
haben würde.
(2) Eine Übermittlung ist abweichend von Absatz 1 Satz 2 auch dann zulässig, wenn
sie
1. für die Wahrnehmung eines wichtigen öffentlichen Interesses oder zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor
Gericht erforderlich ist,
2. für die Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist oder
3. aus einem Register erfolgt,
a) das zur Information der Öffentlichkeit bestimmt ist oder
b) in das alle Personen, die ein berechtigtes Interesse an der Einsichtnahme
haben, Einsicht nehmen können,
soweit der ausländische Empfänger die Voraussetzungen für die Einsichtnahme
erfüllt.
§ 15
Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften
1Die Übermittlung personenbezogener Daten an Stellen öffentlich-rechtlicher
Religionsgesellschaften ist zulässig, wenn
1. die Betroffenen eingewilligt haben,
2. eine Rechtsvorschrift dies vorsieht,
3. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,
4. offensichtlich ist, dass die Übermittlung im Interesse der Betroffenen liegt und sie
einwilligen würden, oder
5. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend
gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht
widersprochen haben
und sichergestellt ist, dass bei den Empfängern ausreichende
Datenschutzmaßnahmen, insbesondere Regelungen zur Zweckbindung, getroffen
sind. 2In den Fällen des Satzes 1 Nr. 5 sind die Betroffenen über die beabsichtigte
Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in
geeigneter Weise und rechtzeitig zu unterrichten.
Dritter Abschnitt
Rechte der Betroffenen
§ 16
Auskunft, Einsicht in Akten
(1) 1Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag Auskunft zu
erteilen über
1. die zu ihrer Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Speicherung,
3. die Herkunft der Daten, die Empfänger von Übermittlungen, in den Fällen des § 6
auch die Auftragnehmer, sowie
4. in den Fällen des § 10 a über die Art und Struktur der automatisierten
Verarbeitung.
2Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der
Datensicherung oder der Datenschutzkontrolle gespeichert sind. 3Für gesperrte
Daten, die nur deshalb noch gespeichert sind, weil sie auf Grund gesetzlicher
Aufbewahrungsvorschriften nicht gelöscht werden dürfen, gilt die Verpflichtung zur
Auskunftserteilung nur, wenn Betroffene ein berechtigtes Interesse an der Erteilung
der Auskunft über diese Daten glaubhaft machen.
(2) 1In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft
begehrt wird, näher bezeichnet werden. 2Die Daten verarbeitende Stelle bestimmt
das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem
Ermessen.
(3) Sind die Daten in Akten gespeichert, so können Betroffene Auskunft aus Akten
oder Akteneinsicht verlangen, soweit sie Angaben machen, die das Auffinden der
Daten mit angemessenem Aufwand ermöglichen.
(4) Anträge nach Absatz 1 oder 3 können abgelehnt werden, soweit und solange
1. die Erfüllung des Auskunfts- oder Einsichtsverlangens die ordnungsgemäße
Wahrnehmung der übrigen Aufgaben der datenverarbeitenden Stelle gefährden
würde,
2. die Auskunft oder Einsicht die öffentliche Sicherheit gefährden oder sonst dem
Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer
Rechtsvorschrift oder wegen der berechtigten Interessen von Dritten geheim zu
halten sind.
(5) 1Die Ablehnung der Auskunft oder der Akteneinsicht bedarf keiner Begründung,
soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. 2Die
Gründe der Ablehnung sind aktenkundig zu machen.
(6) Wird die Auskunft oder die Akteneinsicht abgelehnt, so sind die Betroffenen
darauf hinzuweisen, dass sie sich an die Landesbeauftragte oder den
Landesbeauftragten wenden können.
(7) Auskunft und Akteneinsicht sind kostenfrei.
§ 17
Berichtigung, Löschung und Sperrung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) 1Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die Daten verarbeitende Stelle zur Aufgabenerfüllung nicht mehr
erforderlich ist.
2In den Fällen des Satzes 1 Nr. 2 tritt an die Stelle der Löschung die Abgabe an das
zuständige Archiv, soweit dies in den entsprechenden Rechtsvorschriften
vorgesehen ist. 3Sind personenbezogene Daten in Akten gespeichert, so ist die
Löschung nach Satz 1 Nr. 2 durchzuführen, wenn die gesamte Akte nach Maßgabe
der entsprechenden Rechts- oder Verwaltungsvorschriften zur Aufgabenerfüllung
nicht mehr erforderlich ist. 4Werden durch die weitere Speicherung nach Satz 3
schutzwürdige Belange der Betroffenen erheblich beeinträchtigt, so sind die
entsprechenden Daten zu sperren.
(3) 1Personenbezogene Daten sind zu sperren,
1. solange und soweit ihre Richtigkeit von den Betroffenen bestritten wird und sich
weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
2. wenn die Betroffenen anstelle der Löschung unzulässig gespeicherter Daten die
Sperrung verlangen oder die weitere Speicherung im Interesse der Betroffenen
geboten ist, oder
3. solange sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht
werden dürfen.
2Gesperrte Daten sind mit einem Sperrvermerk zu versehen; in automatisierten
Verfahren ist die Sperrung durch zusätzliche technische Maßnahmen zu
gewährleisten. 3Gesperrte Daten dürfen nicht mehr weiter verarbeitet werden, es sei
denn, dass dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im
überwiegenden Interesse der speichernden Stelle oder Dritter liegenden Gründen
unerlässlich ist oder die Betroffenen eingewilligt haben. 4Die Gründe für die
Verarbeitung gesperrter Daten sind aufzuzeichnen.
(4) 1Sind Daten nach den Absätzen 1 bis 3 berichtigt, gesperrt oder gelöscht worden,
so sind die Personen oder Stellen unverzüglich zu unterrichten, denen die Daten
übermittelt worden sind. 2Die Unterrichtung kann unterbleiben, wenn sie einen
unverhältnismäßigen Aufwand erfordern würde und kein Grund zu der Annahme
besteht, dass dadurch schutzwürdige Belange der Betroffenen beeinträchtigt werden.
§ 17 a
Widerspruchsrecht
1Betroffene haben gegenüber der Daten verarbeitenden Stelle das Recht, der
Verarbeitung der sie betreffenden Daten aus schutzwürdigen persönlichen Gründen
zu widersprechen. 2Soweit diese Gründe überwiegen, ist die Verarbeitung der Daten
unzulässig. 3Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Verarbeitung
verpflichtet.
§ 18
Schadensersatz
(1) 1Wird den Betroffenen durch eine nach datenschutzrechtlichen Vorschriften
unzulässige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt, so
sind ihnen die Träger der Daten verarbeitenden Stellen unabhängig von einem
Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet; im Fall
einer nicht automatisierten Verarbeitung besteht die Ersatzpflicht nicht, wenn die
Daten verarbeitende Stelle nachweist, dass die Unzulässigkeit nicht von ihr zu
vertreten ist. 2Bei einer schweren Verletzung des Persönlichkeitsrechts kann auch
wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in
Geld verlangt werden. 3Ersatzpflichtige haften gegenüber jeder betroffenen Person
für jedes schädigende Ereignis bis zu einem Betrag von 250 000 Euro. Mehrere
Ersatzpflichtige haften als Gesamtschuldner.
(2) Auf ein Mitverschulden der Betroffenen ist § 254 und auf die Verjährung des
Schadensersatzanspruchs § 852 des Bürgerlichen Gesetzbuchs1) entsprechend
anzuwenden.
1) Hinweis der Redaktion:
§ 852 BGB in der bis zum 31. Dezember 2001 gültigen Fassung. Neue Regelung s. § 199 Abs. 3 BGB, in der ab
01. Januar 2002 gültigen Fassung.
§ 19
Anrufung der Landesbeauftragten oder des Landesbeauftragten
(1) 1Jede Person, die meint, durch die Verarbeitung ihrer personenbezogenen Daten
in ihren Rechten durch eine Stelle verletzt worden zu sein, die der Kontrolle nach den
Vorschriften dieses Gesetzes unterliegt, kann sich an die Landesbeauftragte oder
den Landesbeauftragten wenden. 2Keine Person darf deswegen benachteiligt
werden.
(2) 1Die Bediensteten der Behörden und sonstigen öffentlichen Stellen, auf die dieses
Gesetz Anwendung findet, dürfen sich unbeschadet ihres Rechts nach Absatz 1 in
allen Angelegenheiten des Datenschutzes jederzeit an die Landesbeauftragte oder
den Landesbeauftragten wenden. 2Der Einhaltung des Dienstweges bedarf es nicht,
wenn die Bedienstete oder der Bedienstete auf einen Verstoß gegen
datenschutzrechtliche Vorschriften oder auf die Gefahr hingewiesen hat, dass eine
Person in unzulässiger Weise in ihrem Recht auf informationelle Selbstbestimmung
beeinträchtigt wird, und diesem Hinweis binnen angemessener Frist nicht abgeholfen
worden ist. 3Im Übrigen bleiben die dienstrechtlichen Pflichten der Bediensteten
unberührt.
§ 20
Verzicht auf Rechte der Betroffenen
Die in diesem Abschnitt genannten Rechte können auch durch die Einwilligung der
Betroffenen nicht im Voraus ausgeschlossen oder beschränkt werden.
Vierter Abschnitt
Landesbeauftragte oder Landesbeauftragter für den Datenschutz
§ 21
Rechtsstellung der Landesbeauftragten oder des Landesbeauftragten
(1) 1Die Landesbeauftragte oder der Landesbeauftragte muss das 35. Lebensjahr
vollendet und soll die Befähigung zum Richteramt haben. 2Sie oder er wird nach der
Wahl durch den Landtag auf die Dauer von acht Jahren in ein Beamtenverhältnis auf
Zeit berufen. 3Die Wiederwahl und die Berufung für eine weitere Amtszeit sind
zulässig. 4Das Amt ist im Übrigen bis zum Eintritt der Nachfolge weiterzuführen. 5Die
Landesbeauftragte oder der Landesbeauftragte kann außer auf Antrag nur entlassen
werden, wenn der Pflicht nach Satz 4 nicht nachgekommen wird oder wenn Gründe
vorliegen, die bei einem Richterverhältnis auf Lebenszeit die Entlassung aus dem
Dienst rechtfertigen.
(2) 1Die Landesbeauftragte oder der Landesbeauftragte ist oberste Dienstbehörde im
Sinne des § 96 der Strafprozessordnung und trifft die Entscheidungen nach § 37
Abs. 3 bis 5 des Beamtenstatusgesetzes für sich selbst und die zugeordneten
Bediensteten. 2Im Übrigen untersteht sie oder er der Dienstaufsicht der
Landesregierung.
(3) 1Die Geschäftsstelle der Landesbeauftragten oder des Landesbeauftragten wird
beim Innenministerium eingerichtet. 2Die der Landesbeauftragten oder dem
Landesbeauftragten zugeordneten Stellen werden auf ihren oder seinen Vorschlag
besetzt. 3Die Bediensteten können ohne ihre Zustimmung nur im Einvernehmen mit
der Landesbeauftragten oder dem Landesbeauftragten versetzt, abgeordnet oder
umgesetzt werden.
(4) 1Ist die Landesbeauftragte oder der Landesbeauftragte länger als sechs Wochen
an der Ausübung des Amtes verhindert, so kann die Landesregierung eine
Vertreterin oder einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen.
2Die Landesbeauftragte oder der Landesbeauftragte soll dazu gehört werden. 3Bei
einer kürzeren Verhinderung oder bis zu einer Regelung nach Satz 1 führt die
leitende Beamtin oder der leitende Beamte der Geschäftsstelle die Geschäfte.
§ 22
Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des
Landesbeauftragten
(1) 1Die Landesbeauftragte oder der Landesbeauftragte kontrolliert die Einhaltung
der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz
bei den Behörden und sonstigen öffentlichen Stellen. 2Der Landtag, die Gerichte und
der Landesrechnungshof unterliegen dieser Kontrolle aber nur, soweit sie in
Verwaltungsangelegenheiten tätig werden. 3Außerdem kann die Landesbeauftragte
oder der Landesbeauftragte den Landtag, die Landesregierung, die übrigen
Behörden und sonstigen öffentlichen Stellen über Verbesserungen des
Datenschutzes beraten. 4Die Landesbeauftragte oder der Landesbeauftragte ist bei
der Ausarbeitung von Rechts- und Verwaltungsvorschriften anzuhören, die
Regelungen zum Recht auf informationelle Selbstbestimmung zum Gegenstand
haben.
(2) Die Landesbeauftragte oder der Landesbeauftragte ist rechtzeitig über Planungen
des Landes und der kommunalen Gebietskörperschaften zum Aufbau automatisierter
Informationssysteme zu unterrichten.
(3) 1Die Landesbeauftragte oder der Landesbeauftragte legt dem Landtag jeweils für
zwei Kalenderjahre einen Tätigkeitsbericht vor. 2Die Landesregierung nimmt hierzu
gegenüber dem Landtag innerhalb von sechs Monaten Stellung. 3 Die
Landesbeauftragte oder der Landesbeauftragte unterrichtet den Landtag und die
Öffentlichkeit auch über wesentliche Entwicklungen des Datenschutzes. 4Auf
Ersuchen des Landtages, seines zuständigen Ausschusses oder der
Landesregierung hat die Landesbeauftragte oder der Landesbeauftragte ferner
Angelegenheiten von besonderer datenschutzrechtlicher Bedeutung zu untersuchen
und über die Ergebnisse zu berichten. 5Die Landesbeauftragte oder der
Landesbeauftragte hat in bedeutsamen Fällen alsbald dem Landtag schriftlich oder in
den Sitzungen seiner Ausschüsse mündlich zu berichten. 6Schriftliche Äußerungen
gegenüber dem Landtag sind gleichzeitig der Landesregierung vorzulegen.
(4) 1Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, die
Landesbeauftragte oder den Landesbeauftragten bei der Erfüllung der Aufgaben zu
unterstützen. 2Dazu haben sie insbesondere
1. Auskunft zu erteilen sowie Einsicht in alle Unterlagen zu gewähren, die die
Landesbeauftragte oder der Landesbeauftragte zur Erfüllung der Aufgaben für
erforderlich hält,
2. die in Nummer 1 genannten Unterlagen auf Verlangen innerhalb einer
bestimmten Frist zu übersenden,
3. jederzeit Zutritt in alle Diensträume zu gewähren.
3Die oberste Landesbehörde entscheidet, ob der Landesbeauftragten oder dem
Landesbeauftragten personenbezogene Daten einer betroffenen Person zu
offenbaren sind, wenn dieser Vertraulichkeit besonders zugesichert worden ist.
(5) Beschreibungen nach § 8 sind der Landesbeauftragten oder dem
Landesbeauftragten zu übersenden, wenn die Verarbeitungen zur Erfüllung
1. der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder
2. polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz1)
erfolgen.
1) Hinweis der Redaktion:
Seit 01. Januar 2005 „Niedersächsisches Gesetz über die öffentliche Sicherheit und Ordnung
(Nds. SOG)“
(6) 1Die Landesregierung kann der Landesbeauftragten oder dem
Landesbeauftragten die Aufgaben der Aufsichtsbehörde für die Datenverarbeitung im
nicht öffentlichen Bereich nach den Bestimmungen des Bundesdatenschutzgesetzes
übertragen. 2Abweichend von § 21 Abs. 2 unterliegt sie oder er insoweit der
Fachaufsicht der Landesregierung. 3Auch für diesen Tätigkeitsbereich ist ein Bericht
nach Absatz 3 vorzulegen.
§ 23
Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten
(1) 1Stellt die Landesbeauftragte oder der Landesbeauftragte Verstöße gegen die
Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen fest, so
ist dies
1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,
2. bei den Gemeinden, Landkreisen und den sonstigen der Aufsicht des Landes
unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen
gegenüber dem vertretungsberechtigten Organ
mit der Aufforderung zu beanstanden, innerhalb einer bestimmten Frist Stellung zu
nehmen. 2In den Fällen des Satzes 1 Nr. 2 ist gleichzeitig auch die zuständige
Aufsichtsbehörde zu unterrichten.
(2) 1Die Stellungnahme soll auch die Maßnahmen darstellen, die der Beanstandung
abhelfen sollen. 2Die in Absatz 1 Satz 1 Nr. 2 genannten Stellen leiten der
zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.
(3) Die Landesbeauftragte oder der Landesbeauftragte kann insbesondere dann von
einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle
verzichten, wenn es sich um unerhebliche Mängel handelt oder die Beseitigung der
Mängel sichergestellt ist.
Fünfter Abschnitt
Besonderer Datenschutz
§ 24
– aufgehoben –
§ 25
Verarbeitung personenbezogener Daten für Forschungsvorhaben
(1) Für die Verarbeitung personenbezogener Daten zur Durchführung von
wissenschaftlichen Forschungsvorhaben sind die §§ 9 bis 15 nach Maßgabe der
Absätze 2 bis 5 und 7 anzuwenden.
(2) Für wissenschaftliche Forschungsvorhaben dürfen personenbezogene Daten, die
für andere Zwecke oder für ein anderes Forschungsvorhaben erhoben oder
gespeichert worden sind, verarbeitet werden, wenn
1. die Betroffenen eingewilligt haben,
2. eine Rechtsvorschrift dies vorsieht oder
3. Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges
Interesse der Betroffenen der Verarbeitung der Daten für das
Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der
Durchführung des Forschungsvorhabens das schutzwürdige Interesse der
Betroffenen erheblich überwiegt. Das Ergebnis der Abwägung und seine
Begründung sind aufzuzeichnen. Über die Verarbeitung ist die
Datenschutzbeauftragte oder der Datenschutzbeauftragte nach § 8 a zu
unterrichten.
(3) Die für ein Forschungsvorhaben gespeicherten oder übermittelten Daten dürfen
nur für Zwecke der wissenschaftlichen Forschung verarbeitet werden.
(4) Sobald der Stand des Forschungsvorhabens es gestattet, sind die Merkmale, mit
deren Hilfe ein Bezug auf eine bestimmte natürliche Person hergestellt werden kann,
gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies
gestattet.
(5) Im Rahmen von wissenschaftlichen Forschungsvorhaben dürfen
personenbezogene Daten nur veröffentlicht werden, wenn
1. die Betroffenen eingewilligt haben oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der
Zeitgeschichte unerlässlich ist.
(6) Die Einwilligung der Betroffenen bedarf nicht der Schriftform, wenn hierdurch das
Forschungsvorhaben erheblich beeinträchtigt würde.
(7) 1Eine Übermittlung personenbezogener Daten an Empfänger, auf die dieses
Gesetz keine Anwendung findet, ist nach Maßgabe des Absatzes 2 zulässig, wenn
sich die Empfänger verpflichten, die Daten nur für das von ihnen zu bezeichnende
Forschungsvorhaben und nach Maßgabe der Absätze 3 bis 5 zu verarbeiten. 2Die
Übermittlung ist der Landesbeauftragten oder dem Landesbeauftragten rechtzeitig
vorher anzuzeigen.
§ 25 a
Beobachtung durch Bildübertragung
(1) Die Beobachtung öffentlich zugänglicher Räume durch Bildübertragung
(Videoüberwachung) ist nur zulässig, soweit sie
1. zum Schutz von Personen, die der beobachtenden Stelle angehören oder diese
aufsuchen, oder
2. zum Schutz von Sachen, die zu der beobachtenden Stelle oder zu den
Personen nach Nummer 1 gehören,
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen
der von der Beobachtung betroffenen Personen überwiegen.
(2) 1Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum
Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen,
dass schutzwürdige Interessen der Betroffenen überwiegen. 2Für einen anderen
Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für
die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder die
Betroffenen ausdrücklich eingewilligt haben.
(3) Die Möglichkeiten der Beobachtung und der Aufzeichnung sowie die
verarbeitende Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(4) 1Werden durch Videoüberwachung erhobene Daten einer bestimmten Person
zugeordnet und verarbeitet, so ist diese über die jeweilige Verarbeitung zu
unterrichten. 2Von einer Unterrichtung kann abgesehen werden,
1. solange das öffentliche Interesse an einer Strafverfolgung das
Unterrichtungsrecht der betroffenen Person erheblich überwiegt oder
2. wenn die Unterrichtung im Einzelfall einen unverhältnismäßigen Aufwand
erfordert.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks
nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer
weiteren Speicherung entgegenstehen.
(6) Dem Einsatz der Videoüberwachung muss stets eine Prüfung nach § 7 Abs. 3
vorausgehen.
§ 26
Fernmessen und Fernwirken
(1) 1Ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) dürfen in
Wohnungen oder Geschäftsräumen nur vorgenommen werden, wenn die
Betroffenen zuvor über den Verwendungszweck sowie über Art, Umfang und
Zeitraum des Einsatzes unterrichtet worden sind und nach der Unterrichtung
schriftlich eingewilligt haben. 2Entsprechendes gilt, soweit eine
Übertragungseinrichtung dazu dienen soll, in Wohnungen oder Geschäftsräumen
Wirkungen auszulösen (Fernwirkdienste). 3Die Einrichtung von Fernmess- und
Fernwirkdiensten ist nur zulässig, wenn die Betroffenen erkennen können, wann ein
Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. 4Die
Betroffenen können ihre Einwilligung jederzeit widerrufen, soweit dies mit der
Zweckbestimmung des Dienstes vereinbar ist. 5Das Abschalten eines Dienstes gilt im
Zweifel als Widerruf der Einwilligung.
(2) 1Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses
dürfen nicht von der Einwilligung nach Absatz 1 abhängig gemacht werden.
2Betroffenen dürfen keine Nachteile entstehen, die über die unmittelbaren
Folgekosten hinausgehen, wenn sie ihre Einwilligung verweigern oder widerrufen.
(3) 1Die im Rahmen von Fernmess- oder Fernwirkdiensten erhobenen Daten dürfen
nur zu den vereinbarten Zwecken verarbeitet werden. 2Sie sind zu löschen, sobald
sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.
§ 27
Öffentliche Auszeichnungen
(1) 1Zur Vorbereitung öffentlicher Auszeichnungen dürfen die dazu erforderlichen
personenbezogenen Daten auch ohne Kenntnis der Betroffenen bei anderen
Personen oder Stellen erhoben werden. 2Auf Anforderung dürfen öffentliche Stellen
die erforderlichen Daten übermitteln.
(2) § 16 findet keine Anwendung.
Sechster Abschnitt
Übergangs- und Schlussvorschriften
§ 28
Straftaten
(1) 1Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern
oder einen anderen zu schädigen, personenbezogene Daten, die nicht allgemein
zugänglich sind,
1. unbefugt erhebt, speichert, verändert, löscht, übermittelt oder nutzt oder
2. durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere
veranlasst,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Ebenso wird
bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über
persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit
anderen Informationen zusammenführt und dadurch die betroffene Person wieder
bestimmbar macht.
(2) Der Versuch ist strafbar.
§ 29
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht allgemein
zugänglich sind,
1. entgegen § 5 zu einem anderen als dem zur jeweiligen rechtmäßigen
Aufgabenerfüllung gehörenden Zweck verarbeitet oder offenbart oder
2. sich durch Vortäuschung falscher Tatsachen verschafft oder an sich oder andere
übermitteln lässt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet
werden.
§§ 30 bis 34
Vom Abdruck der §§
30 (Übergangsvorschrift)
31 (Aufhebung von Rechtsvorschriften)
32 (Änderung des Niedersächsischen Meldegesetzes)
33 (Änderung des Niedersächsischen Verfassungsschutzgesetzes) und
34 (In-Kraft-Treten)
wird abgesehen.