Erneute Vorlage an den EuGH in Sachen Speicherung von dynamischen IP-Adressen

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt. “Erneute Vorlage an den EuGH in Sachen Speicherung von dynamischen IP-Adressen” weiterlesen

Behörden müssen Betroffene unterrichten, wenn Sie deren Daten an andere Behörden weitergeben.

Die Übermittlung von personenbezogenen Daten zwischen Behörden bedarf der Information der Betroffenen.

URTEIL DES GERICHTSHOFS (Dritte Kammer)

1. Oktober 2015(*)

„Vorlage zur Vorabentscheidung – Richtlinie 95/46/EG – Verarbeitung personenbezogener Daten – Art. 10 und 11 – Unterrichtung der betroffenen Personen – Art. 13 – Ausnahmen und Beschränkungen – Übermittlung personenbezogener Steuerdaten durch eine Verwaltungsbehörde eines Mitgliedstaats zwecks Verarbeitung dieser Daten durch eine andere Verwaltungsbehörde“

In der Rechtssache C‑201/14

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht von der Curtea de Apel Cluj (Rumänien) mit Entscheidung vom 31. März 2014, beim Gerichtshof eingegangen am 22. April 2014, in dem Verfahren

Smaranda Bara u. a.

gegen

Președintele Casei Naționale de Asigurări de Sănătate,

Casa Naţională de Asigurări de Sănătate,

Agenţia Naţională de Administrare Fiscală (ANAF)

erlässt

DER GERICHTSHOF (Dritte Kammer)

unter Mitwirkung des Kammerpräsidenten M. Ilešič, des Richters A. Ó Caoimh, der Richterin C. Toader sowie der Richter E. Jarašiūnas und C. G. Fernlund (Berichterstatter),

Generalanwalt: P. Cruz Villalón,

Kanzler: L. Carrasco Marco, Verwaltungsrätin,

aufgrund des schriftlichen Verfahrens und auf die mündliche Verhandlung vom 29. April 2015,

unter Berücksichtigung der Erklärungen

– von Smaranda Bara u. a., vertreten durch C. F. Costaş und K. Kapcza, avocați,

– der Casa Naţională de Asigurări de Sănătate, vertreten durch V. Ciurchea als Bevollmächtigten,

– der rumänischen Regierung, vertreten durch R. H. Radu, A. Buzoianu, A.-G. Văcaru und D. M. Bulancea als Bevollmächtigte,

– der tschechischen Regierung, vertreten durch M. Smolek und J. Vláčil als Bevollmächtigte,

– der Europäischen Kommission, vertreten durch I. Rogalski, B. Martenczuk und J. Vondung als Bevollmächtigte,

nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 9. Juli 2015

folgendes

Urteil

1 Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 124 AEUV sowie der Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281, S. 31).

2 Es ergeht in einem Rechtsstreit zwischen Frau Bara u. a. einerseits und dem Președintele Casei Naționale de Asigurări de Sănătate (Präsident der Nationalen Kasse der Krankenversicherungen), der Casa Națională de Asigurări de Sănătate (Nationale Kasse der Krankenversicherungen, im Folgenden: CNAS) und der Agenția Națională de Administrare Fiscală (Nationale Agentur der Steuerverwaltung, im Folgenden: ANAF) andererseits wegen der Verarbeitung bestimmter Daten.

Rechtlicher Rahmen

Unionsrecht

3 In Art. 2 („Begriffsbestimmungen“) der Richtlinie 95/46 heißt es:

„Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) ‚personenbezogene Daten‘ alle Informationen über eine bestimmte oder bestimmbare natürliche Person (‚betroffene Person‘); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind;

b) ‚Verarbeitung personenbezogener Daten‘ (‚Verarbeitung‘) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

c) ‚Datei mit personenbezogenen Daten‘ (‚Datei‘) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird;

d) ‚für die Verarbeitung Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten in einzelstaatlichen oder gemeinschaftlichen Rechts- und Verwaltungsvorschriften festgelegt, so können der für die Verarbeitung Verantwortliche bzw. die spezifischen Kriterien für seine Benennung durch einzelstaatliche oder gemeinschaftliche Rechtsvorschriften bestimmt werden;

…“

4 Art. 3 („Anwendungsbereich“) der Richtlinie lautet:

„(1) Diese Richtlinie gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen.

(2) Diese Richtlinie findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

– die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, beispielsweise Tätigkeiten gemäß den Titeln V und VI des Vertrags über die Europäische Union, und auf keinen Fall auf Verarbeitungen betreffend die öffentliche Sicherheit, die Landesverteidigung, die Sicherheit des Staates (einschließlich seines wirtschaftlichen Wohls, wenn die Verarbeitung die Sicherheit des Staates berührt) und die Tätigkeiten des Staates im strafrechtlichen Bereich;

– die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird.“

5 Art. 6 der Richtlinie, der die Grundsätze in Bezug auf die Qualität der Daten betrifft, bestimmt:

„(1) Die Mitgliedstaaten sehen vor, dass personenbezogene Daten

a) nach Treu und Glauben und auf rechtmäßige Weise verarbeitet werden;

b) für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Die Weiterverarbeitung von Daten zu historischen, statistischen oder wissenschaftlichen Zwecken ist im Allgemeinen nicht als unvereinbar mit den Zwecken der vorausgegangenen Datenerhebung anzusehen, sofern die Mitgliedstaaten geeignete Garantien vorsehen;

c) den Zwecken entsprechen, für die sie erhoben und/oder weiterverarbeitet werden, dafür erheblich sind und nicht darüber hinausgehen;

d) sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; es sind alle angemessenen Maßnahmen zu treffen, damit im Hinblick auf die Zwecke, für die sie erhoben oder weiterverarbeitet werden, nichtzutreffende oder unvollständige Daten gelöscht oder berichtigt werden;

e) nicht länger, als es für die Realisierung der Zwecke, für die sie erhoben oder weiterverarbeitet werden, erforderlich ist, in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht. Die Mitgliedstaaten sehen geeignete Garantien für personenbezogene Daten vor, die über die vorgenannte Dauer hinaus für historische, statistische oder wissenschaftliche Zwecke aufbewahrt werden.

(2) Der für die Verarbeitung Verantwortliche hat für die Einhaltung des Absatzes 1 zu sorgen.“

6 Art. 7 der Richtlinie, der die Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten betrifft, lautet:

„Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist:

a) Die betroffene Person hat ohne jeden Zweifel ihre Einwilligung gegeben;

b) die Verarbeitung ist erforderlich für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen;

c) die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung erforderlich, der der für die Verarbeitung Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen Person;

e) die Verarbeitung ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und dem für die Verarbeitung Verantwortlichen oder dem Dritten, dem die Daten übermittelt werden, übertragen wurde;

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Artikel 1 Absatz 1 geschützt sind, überwie[g]en.“

7 In Art. 10 („Information bei der Erhebung personenbezogener Daten bei der betroffenen Person“) der Richtlinie 95/46 heißt es:

„Die Mitgliedstaaten sehen vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b) Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,

c) weitere Informationen, beispielsweise betreffend

– die Empfänger oder Kategorien der Empfänger der Daten,

– die Frage, ob die Beantwortung der Fragen obligatorisch oder freiwillig ist, sowie mögliche Folgen einer unterlassenen Beantwortung,

– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.“

8 Art. 11 („Informationen für den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden“) der Richtlinie hat folgenden Wortlaut:

„(1) Für den Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, sehen die Mitgliedstaaten vor, dass die betroffene Person bei Beginn der Speicherung der Daten bzw. im Fall einer beabsichtigten Weitergabe der Daten an Dritte spätestens bei der ersten Übermittlung vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die nachstehenden Informationen erhält, sofern diese ihr noch nicht vorliegen:

a) Identität des für die Verarbeitung Verantwortlichen und gegebenenfalls seines Vertreters,

b) Zweckbestimmungen der Verarbeitung,

c) weitere Informationen, beispielsweise betreffend

– die Datenkategorien, die verarbeitet werden,

– die Empfänger oder Kategorien der Empfänger der Daten,

– das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten,

sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

(2) Absatz 1 findet – insbesondere bei Verarbeitungen für Zwecke der Statistik oder der historischen oder wissenschaftlichen Forschung – keine Anwendung, wenn die Information der betroffenen Person unmöglich ist, unverhältnismäßigen Aufwand erfordert oder die Speicherung oder Weitergabe durch Gesetz ausdrücklich vorgesehen ist. In diesen Fällen sehen die Mitgliedstaaten geeignete Garantien vor.“

9 Art. 13 („Ausnahmen und Einschränkungen“) der Richtlinie lautet:

(1) Die Mitgliedstaaten können Rechtsvorschriften erlassen, die die Pflichten und Rechte gemäß Artikel 6 Absatz 1, Artikel 10, Artikel 11 Absatz 1, Artikel 12 und Artikel 21 beschränken, sofern eine solche Beschränkung notwendig ist für

a) die Sicherheit des Staates;

b) die Landesverteidigung;

c) die öffentliche Sicherheit;

d) die Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten oder Verstößen gegen die berufsständischen Regeln bei reglementierten Berufen;

e) ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats oder der Europäischen Union einschließlich Währungs-, Haushalts- und Steuerangelegenheiten;

f) Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind;

g) den Schutz der betroffenen Person und der Rechte und Freiheiten anderer Personen.

(2) Vorbehaltlich angemessener rechtlicher Garantien, mit denen insbesondere ausgeschlossen wird, dass die Daten für Maßnahmen oder Entscheidungen gegenüber bestimmten Personen verwendet werden, können die Mitgliedstaaten in Fällen, in denen offensichtlich keine Gefahr eines Eingriffs in die Privatsphäre der betroffenen Person besteht, die in Artikel 12 vorgesehenen Rechte gesetzlich einschränken, wenn die Daten ausschließlich für Zwecke der wissenschaftlichen Forschung verarbeitet werden oder personenbezogen nicht länger als erforderlich lediglich zur Erstellung von Statistiken aufbewahrt werden.“

Rumänisches Recht

Gesetz Nr. 95/2006

10 Der in der Vorlageentscheidung angeführte Art. 215 des Gesetzes Nr. 95/2006 über die Reform im Gesundheitssektor (Legea nr. 95/2006 privind reforma în domeniul sănătății) vom 14. April 2006 (Monitorul Oficial al României, Teil I, Nr. 372 vom 28. April 2006) sieht vor:

„(1) Die Pflicht, den Beitrag zur Krankenversicherung zu leisten, obliegt natürlichen oder juristischen Personen, die auf der Grundlage eines Einzelarbeitsvertrags oder eines speziellen, gesetzlich vorgesehenen Statuts Personen beschäftigen, sowie gegebenenfalls natürlichen Personen.

(2) Die juristischen oder natürlichen Personen, für die die Versicherten ihre Tätigkeit erbringen, sind verpflichtet, den von den Versicherten frei gewählten Krankenkassen gegenüber monatlich namentliche Erklärungen bezüglich der ihnen gegenüber dem Fonds obliegenden Pflichten abzugeben und den Nachweis über die Zahlung der Beiträge zu erbringen.

…“

11 Art. 315 dieses Gesetzes bestimmt:

„Die zur Feststellung der Versicherteneigenschaft erforderlichen Daten werden den Krankenkassen von den Behörden, öffentlichen Einrichtungen und anderen Institutionen auf der Grundlage eines Protokolls kostenfrei übermittelt.“

Erlass Nr. 617/2007 des Präsidenten der CNAS

12 Art. 35 des Erlasses Nr. 617/2007 des Präsidenten der CNAS vom 13. August 2007 zur Genehmigung der Methoden zur Ausstellung der Nachweisdokumente für den Erwerb der Eigenschaft als Versicherter oder beitragsfreier Versicherter und zur Anwendung von Zwangsvollstreckungsmaßnahmen zwecks Beitreibung der dem Nationalen Einheitsfonds der sozialen Krankenversicherungen geschuldeten Beiträge (Monitorul Oficial al României, Teil I, Nr. 649 vom 24. September 2007) bestimmt:

„… [D]er Forderungstitel bezüglich der gegenüber dem Fonds bestehenden Beitragspflichten natürlicher Personen, die aufgrund eines Versicherungsvertrags versichert sind und deren Einkünfte nicht durch die ANAF besteuert werden, [besteht] je nach Fall in der Erklärung …, in dem vom zuständigen Organ der CAS [Krankenkasse] erlassenen Beitragsbescheid oder in Gerichtsentscheidungen über die Forderungen des Fonds. Der Beitragsbescheid kann vom zuständigen Organ der CAS auch auf der Grundlage der von der ANAF auf der Grundlage des Protokolls übermittelten Informationen erlassen werden.“

Protokoll von 2007

13 In Art. 4 des zwischen der CNAS und der ANAF geschlossenen Protokolls P 5282/26.10.2007/95896/30.10.2007 (im Folgenden: Protokoll von 2007) heißt es:

„Nach dem Inkrafttreten des vorliegenden Protokolls liefert die [ANAF] durch ihre nachgeordneten Stellen in elektronischer Form den ursprünglichen Datenbestand betreffend

a) die Einkünfte der Personen, die den Kategorien nach Art. l Abs. l des vorliegenden Protokolls angehören, und jeweils vierteljährlich die Aktualisierung dieser Daten an die [CNAS] auf Datenträgern, die eine automatisierte Verarbeitung ermöglichen, nach Maßgabe des Anhangs 1 des vorliegenden Protokolls …

…“

Ausgangsverfahren und Vorlagefragen

14 Die Kläger des Ausgangsverfahrens erzielen Einkünfte aus selbständiger Tätigkeit. Die ANAF übermittelte der CNAS die Daten über die von ihnen erklärten Einkünfte. Auf der Grundlage dieser Daten verlangte die CNAS die Zahlung rückständiger Krankenversicherungsbeiträge.

15 Die Kläger des Ausgangsverfahrens erhoben Klage bei der Curtea de Apel Cluj, mit der sie geltend machten, die Übermittlung der Steuerdaten über ihre Einkünfte verstoße gegen die Richtlinie 95/46. Sie tragen vor, diese personenbezogenen Daten seien auf der Grundlage eines bloßen internen Protokolls zu anderen Zwecken als denen, zu denen sie ursprünglich der ANAF mitgeteilt worden seien, ohne ihre ausdrückliche Einwilligung und ohne ihre vorherige Unterrichtung übermittelt und verwendet worden.

16 Aus der Vorlageentscheidung geht hervor, dass öffentliche Einrichtungen aufgrund des Gesetzes Nr. 95/2006 ermächtigt sind, den Krankenkassen personenbezogene Daten zu übermitteln, um es ihnen zu ermöglichen, die Versicherteneigenschaft der betroffenen Personen festzustellen. Diese Daten betreffen die Personalien (Vor- und Zuname, persönliche Identifikationsnummer, Anschrift), schließen aber keine Informationen über die erzielten Einkünfte ein.

17 Das vorlegende Gericht möchte wissen, ob die Verarbeitung der Daten durch die CNAS eine vorherige Unterrichtung der betroffenen Personen über die Identität des für die Verarbeitung Verantwortlichen und den Zweck der Übermittlung dieser Daten erfordert hätte. Es hat ferner darüber zu befinden, ob die Übermittlung der Daten auf der Grundlage des Protokolls von 2007 gegen die Bestimmungen der Richtlinie 95/46 verstößt, nach denen jede Einschränkung der Rechte der betroffenen Personen durch Gesetz vorgesehen und mit Garantien versehen sein muss, insbesondere wenn die Daten gegen die betroffenen Personen verwendet werden.

18 Unter diesen Umständen hat die Curtea de Apel Cluj beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. Ist die nationale Steuerbehörde in ihrer Eigenschaft als Vertreterin des zuständigen Ministeriums eines Mitgliedstaats ein Finanzinstitut im Sinne von Art. 124 AEUV?

2. Kann die Übermittlung des Datenbestands betreffend die von den Staatsangehörigen eines Mitgliedstaats erzielten Einkünfte von der nationalen Steuerbehörde an eine andere Einrichtung dieses Mitgliedstaats im Wege eines einem Verwaltungsakt gleichzusetzenden Rechtsakts, nämlich eines zwischen der nationalen Steuerverwaltung und einer anderen staatlichen Einrichtung geschlossenen Protokolls, geregelt werden, ohne dass dies einen bevorrechtigten Zugang im Sinne von Art. 124 AEUV darstellt?

3. Stellt die Übermittlung des Datenbestands zu dem Zweck, den Staatsangehörigen eines Mitgliedstaats eine Pflicht zur Zahlung von Sozialabgaben an die Einrichtung dieses Mitgliedstaats aufzuerlegen, an die die Übermittlung erfolgt, einen „aufsichtsrechtlichen Grund“ im Sinne von Art. 124 AEUV dar?

4. Dürfen personenbezogene Daten von einer Behörde verarbeitet werden, die nicht Adressat dieser Daten war, wenn eine solche Vorgehensweise rückwirkend einen Vermögensschaden verursacht?

Zu den Vorlagefragen

Zur Zulässigkeit

Zur Zulässigkeit der ersten drei Fragen

19 Nach ständiger Rechtsprechung kann der Gerichtshof die Entscheidung über die Vorlagefrage eines nationalen Gerichts ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (vgl. Urteil PreussenElektra, C‑379/98, EU:C:2001:160, Rn. 39 und die dort angeführte Rechtsprechung).

20 In allen beim Gerichtshof eingereichten Erklärungen werden die ersten drei Vorlagefragen zur Auslegung von Art. 124 AEUV als unzulässig angesehen, weil sie in keinem Zusammenhang mit dem Gegenstand des Ausgangsrechtsstreits stehen.

21 Insoweit ist darauf hinzuweisen, dass Art. 124 AEUV zum Dritten Teil, Titel VIII, des AEU-Vertrags gehört, der die Wirtschafts- und Währungspolitik betrifft. Er verbietet Maßnahmen, die nicht aus aufsichtsrechtlichen Gründen getroffen werden und einen bevorrechtigten Zugang der Organe, Einrichtungen oder sonstigen Stellen der Union, der Zentralregierungen, der regionalen oder lokalen Gebietskörperschaften oder anderen öffentlich-rechtlichen Körperschaften, sonstiger Einrichtungen des öffentlichen Rechts oder öffentlicher Unternehmen der Mitgliedstaaten zu den Finanzinstituten schaffen.

22 Dieses Verbot geht auf Art. 104a EG-Vertrag (später Art. 102 EG) zurück, der mit dem Maastrichter Vertrag in den EG-Vertrag eingefügt wurde. Es ist Teil der Bestimmungen des AEU-Vertrags über die Wirtschaftspolitik, die die Mitgliedstaaten dazu anhalten sollen, eine gesunde Haushaltspolitik zu befolgen, indem vermieden wird, dass eine monetäre Finanzierung öffentlicher Defizite oder Privilegien der öffentlichen Hand auf den Finanzmärkten zu einer übermäßigen Verschuldung oder überhöhten Defiziten der Mitgliedstaaten führen (vgl. in diesem Sinne Urteil Gauweiler u. a., C‑62/14, EU:C:2015:400, Rn. 100).

23 Die erbetene Auslegung von Art. 124 AEUV steht somit offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits, in dem es um den Schutz personenbezogener Daten geht.

24 Die ersten drei Fragen sind daher nicht zu beantworten.

Zur Zulässigkeit der vierten Frage

25 Nach Ansicht der CNAS und der rumänischen Regierung ist die vierte Frage unzulässig. Die rumänische Regierung sieht keinen Zusammenhang zwischen dem von den Klägern des Ausgangsverfahrens geltend gemachten Schaden und der Nichtigerklärung der im Rahmen des Ausgangsverfahrens angefochtenen Verwaltungsakte.

26 Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung des Gerichtshofs eine Vermutung für die Entscheidungserheblichkeit der Vorlagefragen des nationalen Gerichts spricht, die es zur Auslegung des Unionsrechts in dem rechtlichen und sachlichen Rahmen stellt, den es in eigener Verantwortung festgelegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat. Der Gerichtshof kann die Entscheidung über das Vorabentscheidungsersuchen eines nationalen Gerichts nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit der Realität oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn er nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine sachdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind (Urteil Fish Legal und Shirley, C‑279/12, EU:C:2013:853, Rn. 30 und die dort angeführte Rechtsprechung).

27 Im Ausgangsverfahren geht es um die Rechtmäßigkeit der Verarbeitung von Steuerdaten, die von der ANAF erhoben wurden. Das vorlegende Gericht fragt nach der Auslegung der Bestimmungen der Richtlinie 95/46 im Rahmen einer Prüfung der Rechtmäßigkeit der Übermittlung dieser Daten an die CNAS und ihrer anschließenden Verarbeitung. Die vierte Vorlagefrage ist somit entscheidungserheblich und hinreichend genau, um dem Gerichtshof eine sachdienliche Beantwortung zu ermöglichen. Das Vorabentscheidungsersuchen ist daher in Bezug auf die vierte Frage als zulässig anzusehen.

Zur Beantwortung der Frage

28 Mit seiner vierten Frage möchte das vorlegende Gericht wissen, ob die Art. 10, 11 und 13 der Richtlinie 95/46 dahin auszulegen sind, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.

29 Hierzu ist auf der Grundlage der Angaben des vorlegenden Gerichts festzustellen, dass die Steuerdaten, die von der ANAF an die CNAS übermittelt wurden, personenbezogene Daten im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 sind, da es sich um „Informationen über eine bestimmte oder bestimmbare natürliche Person“ handelt (Urteil Satakunnan Markkinapörssi und Satamedia, C‑73/07, EU:C:2008:727, Rn. 35). Sowohl ihre Übermittlung durch die ANAF – der mit der Verwaltung der Datenbank, in der die Daten zusammengetragen sind, betrauten Stelle – als auch ihre anschließende Verarbeitung durch die CNAS weisen somit die Merkmale einer „Verarbeitung personenbezogener Daten“ im Sinne von Art. 2 Buchst. b der Richtlinie auf (vgl. in diesem Sinne insbesondere Urteile Österreichischer Rundfunk u. a., C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 64, und Huber, C‑524/06, EU:C:2008:724, Rn. 43).

30 Gemäß den Bestimmungen des Kapitels II („Allgemeine Bedingungen für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten“) der Richtlinie 95/46 muss jede Verarbeitung personenbezogener Daten – vorbehaltlich der in Art. 13 zugelassenen Ausnahmen – den in Art. 6 der Richtlinie aufgestellten Grundsätzen in Bezug auf die Qualität der Daten und einem der in Art. 7 der Richtlinie angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (Urteile Österreichischer Rundfunk u. a., C‑465/00, C‑138/01 und C‑139/01, EU:C:2003:294, Rn. 65, Huber, C‑524/06, EU:C:2008:724, Rn. 48, sowie ASNEF und FECEMD, C‑468/10 und C‑469/10, EU:C:2011:777, Rn. 26).

31 Darüber hinaus trifft den für die Verarbeitung der Daten Verantwortlichen oder seinen Vertreter eine Unterrichtungspflicht, deren Modalitäten, die in den Art. 10 und 11 der Richtlinie 95/46 festgelegt sind, sich danach unterscheiden, ob die betreffenden Daten bei der betroffenen Person erhoben wurden oder nicht; zudem lässt Art. 13 der Richtlinie Ausnahmen von dieser Unterrichtungspflicht zu.

32 Erstens sieht Art. 10 der Richtlinie 95/46 vor, dass die Person, bei der die sie betreffenden Daten erhoben werden, vom für die Verarbeitung Verantwortlichen oder seinem Vertreter zumindest die in den Buchst. a bis c dieses Artikels genannten Informationen erhält, sofern diese ihr noch nicht vorliegen. Diese Informationen betreffen die Identität des für die Verarbeitung der Daten Verantwortlichen, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Als weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten, sind in Art. 10 Buchst. c der Richtlinie ausdrücklich „die Empfänger oder Kategorien der Empfänger der Daten“ sowie „das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich [die betroffene Person] betreffender Daten“ genannt.

33 Wie der Generalanwalt in Nr. 74 seiner Schlussanträge ausgeführt hat, ist dieses Erfordernis einer Unterrichtung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen umso wichtiger, als es die Voraussetzung dafür schafft, dass sie ihr in Art. 12 der Richtlinie 95/46 festgelegtes Auskunfts- und Berichtigungsrecht in Bezug auf die verarbeiteten Daten und ihr in Art. 14 der Richtlinie geregeltes Recht, der Verarbeitung der Daten zu widersprechen, ausüben können.

34 Folglich verpflichtet das in Art. 6 der Richtlinie 95/46 vorgesehene Erfordernis der Verarbeitung personenbezogener Daten nach Treu und Glauben eine Verwaltungsbehörde, die betroffenen Personen davon zu unterrichten, dass die personenbezogenen Daten an eine andere Verwaltungsbehörde weitergeleitet werden, um von dieser in ihrer Eigenschaft als deren Empfänger verarbeitet zu werden.

35 Aus den Erläuterungen des vorlegenden Gerichts geht hervor, dass die Kläger des Ausgangsverfahrens von der ANAF nicht über die Übermittlung der sie betreffenden personenbezogenen Daten an die CNAS unterrichtet worden waren.

36 Die rumänische Regierung macht allerdings geltend, die ANAF sei u. a. aufgrund von Art. 315 des Gesetzes Nr. 95/2006 verpflichtet, den regionalen Krankenkassen die für die Feststellung der Versicherteneigenschaft von Personen mit Einkünften aus selbständiger Tätigkeit durch die CNAS erforderlichen Informationen zu übermitteln.

37 Art. 315 des Gesetzes Nr. 95/2006 sieht zwar ausdrücklich vor, dass „[d]ie zur Feststellung der Versicherteneigenschaft erforderlichen Daten … den Krankenkassen von den Behörden, öffentlichen Einrichtungen und anderen Institutionen auf der Grundlage des Protokolls kostenfrei übermittelt [werden]“. Aus den Erläuterungen des vorlegenden Gerichts ergibt sich jedoch, dass zu den Daten, die im Sinne dieser Vorschrift zur Feststellung der Versicherteneigenschaft erforderlich sind, keine Daten über die Einkünfte gehören, zumal das Gesetz die Versicherteneigenschaft auch Personen ohne steuerpflichtige Einkünfte zuerkennt.

38 Unter diesen Umständen kann Art. 315 des Gesetzes Nr. 95/2006 keine vorherige Unterrichtung im Sinne von Art. 10 der Richtlinie 95/46 darstellen, die es ermöglichte, den für die Verarbeitung Verantwortlichen von seiner Pflicht zu entbinden, die Personen, bei denen er die Daten über ihre Einkünfte erhebt, über den Empfänger dieser Daten zu informieren. Daher kann nicht davon ausgegangen werden, dass die in Rede stehende Übermittlung unter Beachtung der Bestimmungen des Art. 10 der Richtlinie 95/46 stattfand.

39 Zu prüfen ist, ob die unterbliebene Unterrichtung der betroffenen Personen möglicherweise von Art. 13 der Richtlinie 95/46 gedeckt ist. Aus Art. 13 Abs. 1 Buchst. e und f geht nämlich hervor, dass die Mitgliedstaaten die Pflichten und Rechte gemäß Art. 10 beschränken können, sofern eine solche Beschränkung notwendig ist für „ein wichtiges wirtschaftliches oder finanzielles Interesse eines Mitgliedstaats … einschließlich Währungs-, Haushalts- und Steuerangelegenheiten“ sowie für „Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben c), d) und e) genannten Zwecke verbunden sind“. Art. 13 verlangt jedoch ausdrücklich, dass derartige Beschränkungen durch Rechtsvorschriften vorgenommen werden.

40 Abgesehen davon, dass – wie das vorlegende Gericht ausführt – die Daten über die Einkünfte nicht zu den personenbezogenen Daten gehören, die zur Feststellung der Versicherteneigenschaft erforderlich sind, ist auch hervorzuheben, dass Art. 315 des Gesetzes Nr. 95/2006 nur den Grundsatz aufstellt, dass diese im Besitz von Behörden, öffentlichen Einrichtungen und anderen Institutionen befindlichen personenbezogenen Daten übermittelt werden können. Aus der Vorlageentscheidung geht ferner hervor, dass die übermittlungsfähigen Informationen sowie die Modalitäten ihrer Übermittlung nicht durch Rechtsvorschriften festgelegt wurden, sondern durch das zwischen der ANAF und der CNAF geschlossene Protokoll von 2007, das nicht Gegenstand einer amtlichen Veröffentlichung war.

41 Unter diesen Umständen kann nicht davon ausgegangen werden, dass die in Art. 13 der Richtlinie 95/46 aufgestellten Voraussetzungen erfüllt sind, damit ein Mitgliedstaat eine Ausnahme von den sich aus Art. 10 dieser Richtlinie ergebenden Rechten und Pflichten vorsehen kann.

42 Zweitens sieht Art. 11 der Richtlinie 95/46 in Abs. 1 vor, dass im Fall von Daten, die nicht bei der betroffenen Person erhoben wurden, die betroffene Person vom für die Verarbeitung Verantwortlichen die in den Buchst. a bis c genannten Informationen erhält. Diese Informationen betreffen die Identität des für die Verarbeitung Verantwortlichen, die Zweckbestimmungen der Verarbeitung sowie weitere Informationen, die notwendig sind, um eine Verarbeitung der Daten nach Treu und Glauben zu gewährleisten. Zu den weiteren Informationen gehören nach dem ausdrücklichen Wortlaut von Art. 11 Abs. 1 Buchst. c der Richtlinie „die Datenkategorien, die verarbeitet werden“ sowie „das Bestehen von Auskunfts- und Berichtigungsrechten bezüglich sie betreffender Daten“.

43 Folglich war nach Art. 11 Abs. 1 Buchst. b und c der Richtlinie 95/46 unter Umständen wie denen des Ausgangsverfahrens Voraussetzung für die Verarbeitung der von der ANAF übermittelten Daten durch die CNAF, dass die von diesen Daten betroffenen Personen über die Zweckbestimmungen der Verarbeitung sowie über die Datenkategorien, die verarbeitet werden, unterrichtet wurden.

44 Aus den Erläuterungen des vorlegenden Gerichts ergibt sich jedoch, dass die Kläger des Ausgangsverfahrens die in Art. 11 Abs. 1 Buchst. a bis c der Richtlinie 95/46 genannten Informationen von der CNAS nicht erhalten haben.

45 Hinzuzufügen ist, dass nach Art. 11 Abs. 2 der Richtlinie 95/46 die Bestimmungen von Art. 11 Abs. 1 dieser Richtlinie u. a. dann keine Anwendung finden, wenn die Speicherung oder Weitergabe der Daten durch Gesetz vorgesehen ist, wobei die Mitgliedstaaten in diesem Fall geeignete Garantien vorsehen müssen. Aus den in den Rn. 40 und 41 des vorliegenden Urteils genannten Gründen lassen sich jedoch die von der rumänischen Regierung angeführten Bestimmungen des Gesetzes Nr. 95/2006 und das Protokoll von 2007 weder unter die Ausnahmeregelung in Art. 11 Abs. 2 noch unter die in Art. 13 der Richtlinie subsumieren.

46 Nach alledem ist auf die Vorlagefrage zu antworten, dass die Art. 10, 11 und 13 der Richtlinie 95/46 dahin auszulegen sind, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.

Kosten

47 Für die Parteien des Ausgangsverfahrens ist das Verfahren ein Zwischenstreit in dem beim vorlegenden Gericht anhängigen Rechtsstreit; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

Die Art. 10, 11 und 13 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie nationalen Maßnahmen wie den im Ausgangsverfahren streitigen entgegenstehen, die die Übermittlung personenbezogener Daten durch eine Verwaltungsbehörde eines Mitgliedstaats an eine andere Verwaltungsbehörde und ihre anschließende Verarbeitung erlauben, ohne dass die betroffenen Personen von der Übermittlung und der Verarbeitung unterrichtet wurden.

Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbezogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).

BGH URTEIL VI ZR 358/13 vom 23. September 2014 – jameda.de (Arztbewertung)

BDSG § 29; ZPO § 559

Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbe-zogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).

BGH, Urteil vom 23. September 2014 – VI ZR 358/13 – LG München I “Zur Zulässigkeit der Erhebung, Speicherung und Übermittlung von personenbezogenen Daten im Rahmen eines Arztsuche- und Arztbewertungsportals im Internet (www.jameda.de).” weiterlesen

Sind IP-Adressen personenbezogene Daten?

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen. “Sind IP-Adressen personenbezogene Daten?” weiterlesen

Hamburgische Beauftragte für Datenschutz erlässt als Datenschutzaufsicht Anordnung gegen Google zur Selbstorganisation des Schutzes durch Nutzer

Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber der Google Inc. zur Beseitigung von Verstößen gegen das Telemediengesetz und das Bundesdatenschutzgesetz eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren. Nach Auffassung der Datenschutzbehörde greift die bisherige Praxis der Erstellung von Nutzerprofilen weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wird verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

Die Google Inc. erhält umfängliche Informationen über die Nutzungsgewohnheiten ihrer Kunden. Viele setzen die unterschiedlichen vom Unternehmen angebotenen Dienste in ihrem täglichen Leben regelmäßig und umfassend ein. Dies betrifft sowohl die bei Google registrierten Personen (z.B. Gmail-Nutzer und die meisten Besitzer eines Android-Smartphones) als auch Personen, die Google-Dienste (z.B. die Suchmaschine) unangemeldet verwenden. Die Inhalts- und Nutzungsdaten, die dabei anfallen, verraten bereits viel über den Einzelnen und dessen Interessen, Gewohnheiten und Lebensweise.

Beispielsweise können damit

• detaillierte Bewegungsmuster durch Standortdaten erstellt,
• Rückschlüsse auf spezifische Interessen und Vorlieben durch Auswertung der Nutzung der Google-Suchmaschine getroffen,
• der soziale und der finanzielle Status, der Aufenthaltsort und viele weitere Gewohnheiten des Nutzers durch Analyse der Daten ermittelt und
• etwa Freundschaftsbeziehungen, sexuelle Orientierung sowie der Beziehungsstatus abgeleitet werden. “Hamburgische Beauftragte für Datenschutz erlässt als Datenschutzaufsicht Anordnung gegen Google zur Selbstorganisation des Schutzes durch Nutzer” weiterlesen

Kein Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal

Bundesgerichtshof lehnt den Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal ab

Der Kläger ist niedergelassener Gynäkologe. Die Beklagte betreibt ein Portal zur Arztsuche und Arztbewertung. Internetnutzer können dort kostenfrei der Beklagten vorliegende Informationen über Ärzte und Träger anderer Heilberufe abrufen. Zu den abrufbaren Daten zählen unter anderem Name, Fachrichtung, Praxisanschrift, Kontaktdaten und Sprechzeiten sowie Bewertungen des Arztes durch Portalnutzer. Die Abgabe einer Bewertung erfordert eine vorherige Registrierung. Hierzu hat der bewertungswillige Nutzer lediglich eine E-Mail-Adresse anzugeben, die im Laufe des Registrierungsvorgangs verifiziert wird.

Der Kläger ist in dem genannten Portal mit seinem akademischen Grad, seinem Namen, seiner Fachrichtung und der Anschrift seiner Praxis verzeichnet. Nutzer haben ihn im Portal mehrfach bewertet. Gestützt auf sein allgemeines Persönlichkeitsrecht verlangt er von der Beklagten, es zu unterlassen, die ihn betreffenden Daten – also “Basisdaten” und Bewertungen – auf der genannten Internetseite zu veröffentlichen, und sein Profil vollständig zu löschen.

Amts- und Landgericht haben die Klage abgewiesen. Der unter anderem für den Schutz des allgemeinen Persönlichkeitsrechts zuständige VI. Zivilsenat des Bundesgerichtshofs hat die Revision des Klägers zurückgewiesen. “Kein Anspruch eines Arztes auf Löschung seiner Daten aus einem Ärztebewertungsportal” weiterlesen

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich

Wirtschaftsakademie kann vom ULD nicht zur Abschaltung ihrer Facebook-Fanpage verpflichtet werden

Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich, denn er hat keinen Einfluss auf die technische und rechtliche Ausgestaltung der Datenverarbeitung durch Facebook. Dass er von Facebook anonyme Statistikdaten über Nutzer erhält, begründet keine datenschutzrechtliche Mitverantwortung. Das ULD als Datenschutzaufsichtsbehörde darf den Fanpagebetreiber deshalb nicht zur Deaktivierung seiner Fanpage verpflichten. “Der Betreiber einer Facebook-Fanpage ist für die allein von Facebook vorgenommene Verarbeitung personenbezogener Daten von Besuchern der Fanpage datenschutzrechtlich nicht verantwortlich” weiterlesen

Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite (“ordinary website”) des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3 Satz 1, § 126b BGB nicht aus

BGH URTEIL III ZR 368/13 vom 15. Mai 2014 – Widerrufsbelehrung

BGB § 242 Cd, § 309 Nr. 12 Buchst. b, § 312d Abs. 1 [F: 2. Januar 2002], § 355 [F:29. Juli 2009]
a)
Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite (“ordinary website”) des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3
Satz 1, § 126b BGB nicht aus (Anschluss an BGH, Urteil vom 29.April 2010-I ZR 66/08, NJW 2010, 3566).

b)
Die vom Unternehmer in einem OnlineAnmeldeformular vorgegebene, vom Kunden (Verbraucher) bei der Anmeldung zwingend durch Anklicken mit einem Häkchen im Kontrollkasten zu versehende Bestätigung”
“Die bloße Abrufbarkeit einer Widerrufsbelehrung auf einer gewöhnlichen Webseite (“ordinary website”) des Unternehmers reicht für die formgerechte Mitteilung der Widerrufsbelehrung an den Verbraucher nach § 355 Abs. 2 Satz 1 und Abs. 3 Satz 1, § 126b BGB nicht aus” weiterlesen

Recht auf Vergessen im Internet aus Persönlichkeitsrecht der Charta der Menschenrechte der EU

Zu der Frage, ob die betroffene Person nach der Richtlinie verlangen kann, dass Links zu Internetseiten aus einer solchen Ergebnisliste gelöscht werden, weil sie wünscht, dass die darin über sie enthaltenen Informationen nach einer gewissen Zeit „vergessen“ werden, stellt der Gerichtshof fest, dass die in der Ergebnisliste enthaltenen Informationen und Links gelöscht werden müssen, wenn auf Antrag der betroffenen Person festgestellt wird, dass zum gegenwärtigen Zeitpunkt die Einbeziehung der Links in die Ergebnisliste nicht mit der Richtlinie vereinbar ist. “Recht auf Vergessen im Internet aus Persönlichkeitsrecht der Charta der Menschenrechte der EU” weiterlesen

SCHUFA Betroffener hat gemäß § 34 Abs. 4 BDSG Anspruch auf Auskunft, welche personenbezogenen, insbesondere kreditrelevanten Daten dort gespeichert sind

a) Ein durch eine Bonitätsauskunft der SCHUFA Betroffener hat gemäß § 34 Abs. 4 Satz 1 Nr. 4 BDSG einen Anspruch auf Auskunft darüber, welche personenbezo-genen, insbesondere kreditrelevanten Daten dort gespeichert sind und in die den Kunden der Beklagten mitgeteilten Wahrscheinlichkeitswerte (Scorewerte) einflie-ßen.

b) Die sogenannte Scoreformel, also die abstrakte Methode der Scorewert-berechnung, ist hingegen nicht mitzuteilen.

c) Zu den als Geschäftsgeheimnis geschützten Inhalten der Scoreformel zählen die im ersten Schritt in die Scoreformel eingeflossenen allgemeinen Rechengrößen, wie etwa die herangezogenen statistischen Werte, die Gewichtung einzelner Be-rechnungselemente bei der Ermittlung des Wahrscheinlichkeitswerts und die Bil-dung etwaiger Vergleichsgruppen als Grundlage der Scorekarten.

BGH URTEIL VI ZR 156/13 vom 28. Januar 2014 – SCHUFA

BDSG § 34 Abs. 4

“SCHUFA Betroffener hat gemäß § 34 Abs. 4 BDSG Anspruch auf Auskunft, welche personenbezogenen, insbesondere kreditrelevanten Daten dort gespeichert sind” weiterlesen

Schufa hat Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte (Score) eingeflossen sind

Die Klägerin hat gegen die beklagte Wirtschaftsauskunftei SCHUFA einen datenschutzrechtlichen Auskunftsanspruch geltend gemacht.

Die Beklagte sammelt und speichert im Rahmen ihrer Tätigkeit personenbezogene Daten, die für die Beurteilung der Kreditwürdigkeit der Betroffenen relevant sein können. Darüber hinaus erstellt sie, u.a. auch unter Berücksichtigung der hinsichtlich des jeweiligen Betroffenen vorliegenden Daten, sog. Scorewerte. Ein Score stellt einen Wahrscheinlichkeitswert über das künftige Verhalten von Personengruppen dar, der auf der Grundlage statistisch-mathematischer Analyseverfahren berechnet wird. Die von der Beklagten ermittelten Scores sollen aussagen, mit welcher Wahrscheinlichkeit der Betroffene seine Verbindlichkeiten vertragsgemäß erfüllen wird. Ihren Vertragspartnern stellt die Beklagte diese Scorewerte zur Verfügung, um ihnen die Beurteilung der Bonität ihrer Kunden zu ermöglichen.

Nachdem die Finanzierung eines Automobilkaufs der Klägerin zunächst aufgrund einer unrichtigen Auskunft der Beklagten gescheitert war, wandte sich die Klägerin an die Beklagte. Diese übersandte ihr nachfolgend eine Bonitätsauskunft sowie mehrfach eine “Datenübersicht nach § 34 Bundesdatenschutzgesetz”. Die Klägerin ist der Ansicht, die von der Beklagten erteilte Auskunft genüge nicht den gesetzlichen Anforderungen. “Schufa hat Auskunft darüber zu erteilen, welche personenbezogenen, insbesondere kreditrelevanten Daten bei ihr gespeichert und in die Berechnung der Wahrscheinlichkeitswerte (Score) eingeflossen sind” weiterlesen

Inaussichtstellung einer Datenübermittlung an die Schufa durch Inkassounternehmen bei bestrittener Forderung ist unzulässig

Unzulässigkeit der Drohung mit einer Datenübermittlung an die Schufa Holding AG durch ein Inkassounternehmen; Erstbegehungsgefahr bei Vornahme eines solchen Hinweises obwohl die geltend gemachte Forderung bestritten ist

1. Die Inaussichtstellung einer Datenübermittlung an die Schufa Holding AG kann unzulässig sein, wenn sie keinen gesetzlich vorgesehenen Zweck erfüllt, insbesondere weil der vermeintliche Schuldner die Forderung bereits bestritten hat.
2. Der Hinweis auf die Möglichkeit einer solchen Datenübermittlung begründet trotz eines Zusatzes, dass eine Übermittlung nur bei einredefreien und unbestrittenen Forderungen erfolgen wird, insbesondere dann eine Erstbegehungsgefahr, wenn der vermeintliche Schuldner die Forderung zuvor schriftlich bestritten und das Inkassounternehmen aufgefordert hat, weitere Drohungen mit einer Datenübermittlung zu unterlassen.

OLG Celle 13. Zivilsenat, Urteil vom 19.12.2013, 13 U 64/13

§ 12 BGB, § 823 Abs 1 BGB, § 1004 BGB, § 28a BDSG, § 22 StGB, § 23 StGB, § 240 StGB, Art 1 GG, Art 2 GG “Inaussichtstellung einer Datenübermittlung an die Schufa durch Inkassounternehmen bei bestrittener Forderung ist unzulässig” weiterlesen

VG: Keine Verantwortlichkeit des Facebook-Users für Facebook-Fanpages bei eventuellen datanschutzrechtlichen Verstössen der Fanpages

Das Unabhängige Landeszentrum für Datenschutz (ULD) ist nicht berechtigt, von den Betreibern von Facebook-Fanpages zu verlangen, diese Seiten wegen etwaiger datenschutzrechtlicher Verstöße zu deaktivieren.

Zu diesem Ergebnis ist das Schleswig-Holsteinische Verwaltungsgericht nach mündlicher Verhandlung vom heutigen Tage gekommen. Drei schleswig-holsteinische Unternehmen, die bei Facebook eine Fanpage betreiben, hatten gegen die Anordnung des ULD, diese zu deaktivieren, geklagt.

Das ULD hatte diese Anordnung damit begründet, dass die Erfassung von Daten der Besucher der Seite durch Facebook gegen Vorschriften des Datenschutzes verstoße, weil über diese Datenerfassung von Facebook nicht ausreichend informiert werde und daher keine wirksame Einwilligung vorliege. Außerdem sei eine Widerspruchsmöglichkeit nicht vorgesehen. Die Kläger als Betreiber einer Facebook-Fanpage seien hierfür mitverantwortlich. “VG: Keine Verantwortlichkeit des Facebook-Users für Facebook-Fanpages bei eventuellen datanschutzrechtlichen Verstössen der Fanpages” weiterlesen

Wer GPS-Empfänger unbemerkt an den Fahrzeugen der Zielpersonen anbringt, macht sich strafbar.

Nr. 96/2013

Bundesgerichtshof: Überwachung von Personen mittels

an Fahrzeugen angebrachter GPS-Empfänger

ist grundsätzlich strafbar

Das Landgericht Mannheim hat den Betreiber einer Detektei sowie einen seiner Mitarbeiter wegen gemeinschaftlichen vorsätzlichen unbefugten Erhebens von Daten gegen Entgelt in mehreren Fällen zu Gesamtfreiheitsstrafen unterschiedlicher Höhe verurteilt, deren Vollstreckung es jeweils zur Bewährung ausgesetzt hat.

Die Angeklagten hatten verdeckt für verschiedene Auftraggeber (Privatpersonen) Überwachungsaufträge ausgeführt, die zu Erkenntnissen über das Berufs- und/oder das Privatleben von Personen (Zielpersonen) führen sollten. Die Motive der Auftraggeber waren im Einzelnen unterschiedlich: Vorwiegend ging es um wirtschaftliche und private Interessen, die sich teilweise, etwa im Zusammenhang mit Eheauseinandersetzungen, auch überschnitten.

Zur Erfüllung ihres Auftrags bedienten sich die Angeklagten in großem Umfang der GPS-Technik (Global Positioning System), indem sie einen GPS-Empfänger unbemerkt an den Fahrzeugen der Zielpersonen anbrachten. Dadurch konnten sie feststellen, wann und wo sich das jeweilige Fahrzeug aufhielt. Auf diese Weise erstellten sie Bewegungsprofile der Zielpersonen.
“Wer GPS-Empfänger unbemerkt an den Fahrzeugen der Zielpersonen anbringt, macht sich strafbar.” weiterlesen

Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.

Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.

Schleswig-Holsteinisches OVG vom 22. April 2013 zu 4 MB 10/13

§ 13 Abs. 6 TMG; §§ 3 Abs. 7, 1 Abs. 5 Satz 1 BDSG; Artt. 4 Abs. 1, 4 Abs. 2, 2 RL46_95

Tenor

Die Beschwerde des Antragsgegners gegen den Beschluss des Schleswig-Holsteinischen Verwaltungsgerichts – 8. Kammer – vom 14. Februar 2013 wird zurückgewiesen.

Der Antragsgegner trägt die Kosten des Beschwerdevertahrens.

Der Wert des Streitgegenstandes wird für das Beschwerdeverfahren auf 20.000,– Euro festgesetzt.
“Auf Facebook ist das deutsche Datenschutzrecht nicht anwendbar, sondern das irische.” weiterlesen

Die Regelung der Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung im Bundesdatenschutzgesetz (§ 4 BDSG)

§ 4 BDSG Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn

1.
eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2.
a)
die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b)
die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. “Die Regelung der Zulässigkeit der Datenerhebung, Datenverarbeitung und Datennutzung im Bundesdatenschutzgesetz (§ 4 BDSG)” weiterlesen

Bundesverfassungsbeschwerde gegen die biometrischen Ausweisdaten wurde aus formellen Gründen nicht angenommen.

Bundesverfassungsbeschwerde gegen die biometrischen Ausweisdaten wurde nicht angenommen: ” Zwar können sich hinsichtlich der angegriffenen Vorschriften in der Sache schwierige Fragen stellen, ob und wie weit sie mit grundrechtlichen Gewährleistungen – sei es auf europäischer Ebene, sei es nach Maßgabe des Grundgesetzes – vereinbar oder sonst im Hinblick auf ihre unionsrechtlichen Grundlagen Bedenken ausgesetzt sind (vgl. hierzu VG Gelsenkirchen, Beschluss vom 15. Mai 2012 – 17 K 3382/07 -, NVwZ 2012, S. 982 <983 f.>). Insbesondere stellt sich – da Datenschutz den Charakter eines vorgelagerten Gefährdungsschutzes hat – die Frage, ob im Hinblick auf einen möglichen Missbrauch der Daten durch andere Staaten die Entscheidung zwischen einem Pass mit oder ohne Fingerabdruck nach dem Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG dem Betreffenden überlassen bleiben muss. Hierüber kann in vorliegendem Verfahren jedoch nicht entschieden werden. Denn die Verfassungsbeschwerde ist mangels einer den Anforderungen von § 23 Abs. 1 Satz 2, § 92 BVerfGG genügenden Begründung unzulässig und damit aus formellen Gründen nicht anzunehmen.”

BUNDESVERFASSUNGSGERICHT 1 BvR 502/09 – biometrische Ausweisdaten

ULD unterliegt vor VG Schleswig gegenüber Facebook: Deutsches Recht nicht anwendbar

Mit zwei Beschlüssen vom 14.02.2013 entschied das Verwaltungsgericht (VG) Schleswig im vorläufigen Rechtsschutzverfahren der Facebook Inc./USA und der Facebook Ireland Ltd. gegen das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wegen der von Facebook durchgesetzten Klarnamenpflicht, dass ausschließliche Niederlassung von Facebook in Europa die Facebook Ltd. in Irland und deshalb auch in Deutschland nur irisches Datenschutzrecht anzuwenden sei (Az. 8 B 61/12, 8 B 60/12). Die Anordnungen des ULD auf Entsperrung von Facebook-Konten solcher Personen in Schleswig-Holstein, die ausschließlich und alleine wegen Nichtangabe oder nicht vollständiger Angabe von Echtdaten bei der Registrierung gesperrt worden sind, wurden vom Verwaltungsgericht zurückgewiesen. Die Klarnamenpflicht steht unzweifelhaft im Widerspruch zu § 13 Abs. 6 des deutschen Telemediengesetzes. Im irischen Recht besteht dagegen kein expliziter gesetzlicher Anspruch auf anonyme oder pseudonyme Nutzung von Telemedien. Das ULD beruft sich auf deutsches Recht. “ULD unterliegt vor VG Schleswig gegenüber Facebook: Deutsches Recht nicht anwendbar” weiterlesen

Die Einwilligung des § 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.

§ 4a Einwilligung

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. “Die Einwilligung des § 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht.” weiterlesen

Datenschutzbeauftragte in Österreich und in Deutschland genügen nicht der rechtlich 1995 zugrunde gelegten “Unabhängigkeit”; sie sind nicht unabhänig

1.      Die Republik Österreich hat dadurch gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, dass sie nicht alle Vorschriften erlassen hat, die erforderlich sind, damit die in Österreich bestehende Rechtslage in Bezug auf die Datenschutzkommission dem Kriterium der Unabhängigkeit genügt, und zwar im Einzelnen dadurch, dass sie eine Regelung eingeführt hat, wonach

–        das geschäftsführende Mitglied der Datenschutzkommission ein der Dienstaufsicht unterliegender Bundesbediensteter ist,

–        die Geschäftsstelle der Datenschutzkommission in das Bundeskanzleramt eingegliedert ist und

–        der Bundeskanzler über ein unbedingtes Recht verfügt, sich über alle Gegenstände der Geschäftsführung der Datenschutzkommission zu unterrichten.

2.      Die Republik Österreich trägt die Kosten der Europäischen Kommission.

3.      Die Bundesrepublik Deutschland und der Europäische Datenschutzbeauftragte tragen ihre eigenen Kosten.

“Datenschutzbeauftragte in Österreich und in Deutschland genügen nicht der rechtlich 1995 zugrunde gelegten “Unabhängigkeit”; sie sind nicht unabhänig” weiterlesen

Unabhängigen Landeszentrum Schleswig-Holstein hat sofort vollziehbare Verfügungen gegen Facebook wegen dessen Klarnamenpflicht ohne Pseudonymisierungsmöglichkeit erlassen

ULD erlässt Verfügungen gegen Facebook wegen Klarnamenpflicht

Nachdem sich sowohl Facebook Inc./USA wie auch Facebook Ltd./Irland gegenüber dem Unabhängigen Landeszentrum Schleswig-Holstein (ULD) weigerten, pseudonyme Konten, wie vom deutschen Telemediengesetz (TMG) gefordert, zuzulassen, hat das ULD im Rahmen der Bearbeitung von Beschwerden von Betroffenen die beiden Unternehmen über Verfügungen hierzu verpflichtet und die sofortige Vollziehung der Verfügungen angeordnet. “Unabhängigen Landeszentrum Schleswig-Holstein hat sofort vollziehbare Verfügungen gegen Facebook wegen dessen Klarnamenpflicht ohne Pseudonymisierungsmöglichkeit erlassen” weiterlesen

“Vollständige” Gesetzessammlung zum Datenschutz (Stand August 2012)

Gesetzessammlung des ULD Schleswig Holstein mit den nachfolgenden Gesetzen:

Bundesdatenschutzgesetz (BDSG) 1
Landesdatenschutzgesetz (LDSG) 61
Datenschutzverordnung (DSVO) 91
Informationszugangsgesetz (IZG-SH) 97
Geodatenzugangsgesetz (GeoZG) 107 ““Vollständige” Gesetzessammlung zum Datenschutz (Stand August 2012)” weiterlesen

European Data Protection Supervisor on Unleashing the potential of Cloud Computing in Europe

Opinion of the European Data Protection Supervisor on the Commission’s
Communication on “Unleashing the potential of Cloud Computing in Europe”
… HAS ADOPTED THE FOLLOWING OPINION:

I. INTRODUCTION
I.1. Aim of the Opinion
1. In view of the importance of cloud computing in the evolving information society
and of the ongoing policy debate within the EU on cloud computing, the EDPS has
decided to issue this Opinion on his own initiative.
2. This Opinion responds to the Communication of the Commission “Unleashing the
Potential of Cloud Computing in Europe” of 27 September 2012 (hereafter ‘the
Communication)3, which sets forth key actions and policy steps to be taken to speed
up the use of cloud computing services in Europe. The EDPS was consulted
informally before the adoption of the Communication and provided informal
comments. He welcomes that some of his comments have been taken into account
in the Communication.
“European Data Protection Supervisor on Unleashing the potential of Cloud Computing in Europe” weiterlesen

Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.

Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.

§ 1 Zweck und Anwendungsbereich des Gesetzes
(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

1.
öffentliche Stellen des Bundes,
2.
öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie

a)
Bundesrecht ausführen oder
b)
als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,

3.
nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

(3) Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt unberührt. “Schon § 1 BDSG belegt eindrucksvoll, dass unser Bundesdatenschutzrecht erneuert werden muss.” weiterlesen

Das Volkszählungsurteil bleibt wegweisend für die Hintergründe des heutigen Datenschutzrechts

BUNDESVERFASSUNGSGERICHT Urteil 1 BvR 209, 269, 362, 420, 440, 484/83 vom 15.12.1983 – Volkszählungsurteil

1. § 2 Nummer 1 bis 7 sowie §§ 3 bis 5 des Gesetzes über eine Volks-, Berufs-, Wohnungs- und Arbeitsstättenzählung (Volkszählungsgesetz 1983) vom 25 März 1982 (Bundesgesetzbl. I S. 369) sind mit dem Grundgesetz vereinbar; jedoch hat der Gesetzgeber nach Maßgabe der Gründe für ergänzende Regelungen der Organisation und des Verfahrens der Volkszählung Sorge zu tragen.

2. § 9 Absatz 1 bis 3 des Volkszählungsgesetzes 1983 ist mit Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes unvereinbar und nichtig.

3. Die Beschwerdeführer werden durch das Volkszählungsgesetz 1983 in dem aus Nummer 1 und 2 ersichtlichen Umfang in ihren Grundrechten aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes verletzt.

Im übrigen werden die Verfassungsbeschwerden zurückgewiesen.

4. Die Bundesrepublik Deutschland hat den Beschwerdeführern die notwendigen Auslagen zu erstatten.

“Das Volkszählungsurteil bleibt wegweisend für die Hintergründe des heutigen Datenschutzrechts” weiterlesen

Datenschutzverstoß als Geschäftsmodell – der Fall Facebook (Thilo Weichert)

Thilo Weichert, der landesbauftragte für Datenschutz Schleswig-Holstein, meint: “Mit dem Börsengang im Mai 2012 hat Facebook einige Milliarden Dollar eingesammelt. Dies war nur durch eine personenbezogene Datenverarbeitung möglich, die in Deutschland und Europa gegen Datenschutzrecht verstößt. “Datenschutzverstoß als Geschäftsmodell – der Fall Facebook (Thilo Weichert)” weiterlesen

Die geplante EU-Datenschutzverordnung (Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung))

Nachfolgend die detaillierte Begründung nebst dem entsprechenden Vorschlag:

BEGRÜNDUNG

1. KONTEXT

Der in der Mitteilung KOM(2012) 9[1] skizzierte Vorschlag der Kommission für einen neuen Rechtsrahmen zum Schutz personenbezogener Daten in der EU wird im Folgenden näher erläutert. Die vorgeschlagene neue Datenschutzregelung besteht aus zwei Teilen:

– einem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) und

– einem Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr[2].

Diese Begründung bezieht sich auf den Legislativvorschlag für die Datenschutz-Grundverordnung.

Kernstück der EU-Vorschriften zum Schutz personenbezogener Daten ist die Richtlinie 95/46/EG[3] aus dem Jahr 1995, die auf zweierlei abzielt: Schutz des Grundrechts auf Datenschutz und Garantie des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Ergänzt wurde die Richtlinie durch den Rahmenbeschluss 2008/977/JI, der den Schutz personenbezogener Daten im Bereich der polizeilichen und justiziellen Zusammenarbeit in Strafsachen regelt.[4]

Der rasche technologische Fortschritt stellt den Datenschutz vor neue Herausforderungen. Das Ausmaß, in dem Daten ausgetauscht und erhoben werden, hat rasant zugenommen. Die Technik macht es möglich, dass Privatwirtschaft und Staat im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend werden auch private Informationen ins weltweite Netz gestellt und damit öffentlich zugänglich gemacht. Die Informationstechnologie hat das wirtschaftliche und gesellschaftliche Leben gründlich verändert.

Die wirtschaftliche Entwicklung setzt Vertrauen in die Online-Umgebung voraus. Verbraucher, denen es an Vertrauen mangelt, scheuen Online-Einkäufe und neue Dienste. Hierdurch könnte sich die Entwicklung innovativer Anwendungen neuer Technologien verlangsamen. Der Schutz personenbezogener Daten spielt daher eine zentrale Rolle in der Digitalen Agenda für Europa[5] und allgemein in der Strategie Europa 2020[6].

“Die geplante EU-Datenschutzverordnung (Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung))” weiterlesen

Adresshandel: Darstellung des unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein

Nachfolgend eine Darstellung aus dem virtuellen Datenschutzbüro:

Adresshandel

Dieses Dossier wurde zusammengestellt von Frau Kopper (LfD RLP):

Was hat Adresshandel mit Werbung zu tun?
————————————————————

Täglich werden wir mit Werbung konfrontiert. Diese kann anregen, aufregen oder einfach nur lästig sein. Das hängt u.a. davon ab, ob Sie sich von der Werbung angesprochen fühlen. Um das zu erreichen, benötigen Unternehmen Ihre Daten und zwar nicht nur Ihre Adresse, sondern weitere persönliche Daten, wie Ihren Name, Ihr Alter, Angaben zu Ihrem Kaufverhalten und Ihren Hobbys. Sowohl mit Ihren Adressdaten als auch mit weiteren Daten wird Handel betrieben. Gewinner dieses Geschäftes sind die Unternehmer. Für Sie als Betroffener birgt dies auch Gefahren. Denn sind Sie einmal in einem Kundenverzeichnis eingetragen oder haben Sie einmal in die Verarbeitung Ihrer Daten eingewilligt oder sind Ihre Daten sogar ohne Ihren Willen in Umlauf geraten, kann der weiteren Verwendung Ihrer Daten praktisch kaum mehr Einhalt geboten werden.

Der Adresshandel ist in den zurückliegenden Monaten ins Gerede gekommen. Grund dafür war die Feststellung, dass offenbar in großem Umfange mit illegal erworbenen Daten Handel betrieben wird. Gab es zunächst Bestrebungen, den Adresshandel insgesamt zu verbieten, beschränkte sich der Deutsche Bundestag schließlich darauf, durch eine Änderung des Bundesdatenschutzgesetzes den Handel mit Adressen an strengere Voraussetzungen zu binden. Diese Neuregelungen sind zum 1. September 2009 in Kraft getreten.

Ist Adresshandel erlaubt?
———————————–

Grundsatz:

Adresshandel ist nur unter bestimmten Voraussetzungen erlaubt. Seit dem 1. September 2009 gilt folgendes:

Grundsätzlich dürfen Ihre Daten zum Zwecke des Adresshandels oder für fremde Webezwecke nur noch verarbeitet oder genutzt werden, wenn Sie zuvor eine Einwilligung hierzu abgegeben haben (§ 28 Abs. 3 S. 1 BDSG). Die Einwilligungserklärung muss, wenn sie im Zusammenhang mit anderen Erklärungen abgegeben wird, deutlich drucktechnisch hervorgehoben sein. Zudem darf der Vertragsschluss nicht von Ihrer Einwilligung zur Verwendung der Daten zu Werbezwecken abhängig gemacht werden, wenn Ihnen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist (sogenanntes begrenztes Kopplungsverbot). Ob Unzumutbarkeit vorliegt, kann nur für den Einzelfall beurteilt werden. Sie wird im Rahmen eines Kaufvertrages beispielsweise dann gegeben sein, wenn ein Kunde zwar grundsätzlich eine bestimmte Ware auch bei einem Anbieter erhalten könnte, ohne hierfür eine Einwilligung in Werbemaßnahmen erteilen zu müssen, wenn dies aber mit einem größeren Zeitaufwand für die erneute Suche verbunden wäre. Gleiches gilt, wenn vergleichbare Angebote bei anderen Anbietern nur zu einem höheren Preis oder zu schlechteren Gesamtkonditionen zu erhalten sind. (vgl. Wedde in Däubler/Klebe/Wedde/Weichert, Kompaktkommentar zum BDSG, 3. Auflage, 2010, § 28, Rn. 135)
Ein anderer Zugang ist nicht in zumutbarer Weise gegeben, wenn er nur mit Einwilligung nach Abs. 3 Satz 1 möglich ist. (vgl. Wedde in Däubler/Klebe/Wedde/Weichert, § 28, Rn. 136) Dadurch soll u.a. die Situation erfasst werden, dass es Ihnen marktweit -etwa durch Absprachen von an sich nicht marktbeherrschenden Unternehmen- nicht möglich ist, vergleichbare Verträge abzuschließen, es sei denn, Sie willigen ein.

Ausnahmen:

Von diesem Grundsatz gibt es zahlreiche Ausnahmen. In diesem Zusammenhang taucht häufig das Schlagwort Listenprivileg auf. Unter das Listenprivileg fallen Datensammlungen, die sich auf eine Angabe zu einer Personengruppe beziehen, wie z. B. Hauseigentümer oder Handwerker, und daneben Angaben über Berufs-Branchen oder Geschäftsbeziehungen, Titel und akademischen Grad, Anschrift und Geburtsjahr beinhaltet. Die Verarbeitung und Nutzung dieser listenmäßig zusammengefassten Daten ist grundsätzlich auch ohne Ihre Einwilligung für Eigenwerbung, Werbung im beruflichen Bereich und Spendenwerbung zulässig (§ 28 Abs. 3 S. 2 BDSG). An andere Unternehmen dürfen diese Daten nur weitergegeben werden, wenn eindeutig erkennbar ist, wer die Daten erstmalig erhoben hat (§ 28 Abs. 3 S. 4 BDSG).

Auch die sogenannte Fremdwerbung ist ohne Ihre Einwilligung zulässig. Das heißt, ein Unternehmen darf seine Kundendaten im Interesse eines anderen Unternehmens nutzen, indem es in einem Werbeanschreiben ein Angebot des anderen Unternehmens empfiehlt, oder Werbung eines anderen Unternehmens beilegt. Voraussetzung ist jedoch, dass für Sie eindeutig erkennbar sein muss, wer Absender der Werbung ist.

Die neuen strengeren Vorschriften über den Adresshandel gelten nicht für Daten, die vor dem 1. September 2009 von einem Unternehmen erhoben oder gespeichert wurden. Für diese sog. Altfälle gilt bis zum 31. August 2012 das sog. Listenprivileg fort. Danach dürfen listenmäßig zusammengefasste Daten über Angehörige einer Personengruppe ohne Ihre Einwilligung genutzt und an Werbeunternehmen übermittelt werden. D.h. dass der sog. Personenstammsatz und eine weitere Zusatzinformation, wie z.B. die Kundeneigenschaft eines bestimmten Unternehmens oder die Teilnahme an einer bestimmten Informationsveranstaltung, weitergegeben werden, wenn nicht ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung Ihrerseits besteht. “Adresshandel: Darstellung des unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein” weiterlesen

Zulässigkeit der Anordnung von Netzsperren gegen Zugangsprovider wegen Urheberrechtsverletzungen? OGH vom 11.05.2012 4Ob6/12d

OGH vom 11.05.2012 4Ob6/12d

A. Dem Gerichtshof der Europäischen Union werden folgende Fragen zur Vorabentscheidung vorgelegt:
1. Ist Art 8 Abs 3 RL 2001/29/EG (Info RL) dahin auszulegen, dass eine Person, die ohne Zustimmung des Rechteinhabers Schutzgegenstände im Internet zugänglich macht (Art 3 Abs 2 Info RL), die Dienste der Access-Provider jener Personen nutzt, die auf diese Schutzgegenstände zugreifen?
2. Wenn Frage 1 verneint wird:
Sind eine Vervielfältigung zum privaten Gebrauch (Art 5 Abs 2 lit b Info-RL) und eine flüchtige und begleitende Vervielfältigung (Art 5 Abs 1 Info-RL) nur dann zulässig, wenn die Vorlage der Vervielfältigung rechtmäßig vervielfältigt, verbreitet oder öffentlich zugänglich gemacht wurde?
3. Wenn Frage 1 oder Frage 2 bejaht wird und daher gegen den Access-Provider des Nutzers gerichtliche Anordnungen nach Art 8 Abs 3 Info-RL zu erlassen sind:
Ist es mit dem Unionsrecht, insbesondere mit der danach erforderlichen Abwägung zwischen den Grundrechten der Beteiligten, vereinbar, einem Access-Provider ganz allgemein (also ohne Anordnung konkreter Maßnahmen) zu verbieten, seinen Kunden den Zugang zu einer bestimmten Website zu ermöglichen, solange dort ausschließlich oder doch weit überwiegend Inhalte ohne Zustimmung der Rechteinhaber zugänglich gemacht werden, wenn der Access Provider Beugestrafen wegen Verletzung dieses Verbots durch den Nachweis abwenden kann, dass er ohnehin alle zumutbaren Maßnahmen gesetzt hat?
4. Wenn Frage 3 verneint wird:
Ist es mit dem Unionsrecht, insbesondere mit der danach erforderlichen Abwägung zwischen den Grundrechten der Beteiligten, vereinbar, einem Access-Provider bestimmte Maßnahmen aufzutragen, um seinen Kunden den Zugang zu einer Website mit einem rechtswidrig zugänglich gemachten Inhalt zu erschweren, wenn diese Maßnahmen einen nicht unbeträchtlichen Aufwand erfordern, aber auch ohne besondere technische Kenntnisse leicht umgangen werden können?
B. Das Verfahren über das Rechtsmittel der beklagten Partei wird bis zum Einlangen der Vorabentscheidung des Gerichtshofs der Europäischen Union gemäß § 90a Abs 1 GOG ausgesetzt.
Text
“Zulässigkeit der Anordnung von Netzsperren gegen Zugangsprovider wegen Urheberrechtsverletzungen? OGH vom 11.05.2012 4Ob6/12d” weiterlesen

Strafurteil in Sachen “KINO.TO” im “Volltext”

Nachfolgend das Strafurteil in Sachen kino.to, wie es von der Justiz Sachsen (auszugsweise) im Volltext veröffentlicht wurde:

I.

Im März 2008 haben sich der Angeklagte und die anderweitig Verfolgten schrittweise zusammengeschlossen, um die Internetseite KINO.TO verdeckt zu betreiben. Das System KINO.TO war ein arbeitsteiliges Modell. Es kam allen Beteiligten vorrangig darauf an, sich durch die systematische Verletzung der Urheberrechte von Filmwerken dauerhaft persönlich zu bereichern.

Die individuelle Bezeichnung der persönlichen Zieladresse im Internet, die sogenannte Domain, lautete www.kino.to. Sie wurde auf Tonga registriert. Das Zugangsportal zu KINO.TO wurde im Jahr 2008 technisch zunächst auf Servern in den Niederlanden und ab Mitte 2008 in Russland betrieben. KINO.TO hatte jedoch sowohl den Sitz seiner tatsächlichen Verwaltung als auch den Mittelpunkt seiner Geschäftstätigkeit ausschließlich in Deutschland. Hauptsitz war  Leipzig. Persönliche Treffen des Angeklagten und des Mitarbeiterkerns von KINO.TO wurden in Leipzig durchgeführt.

Auf KINO.TO stellten der Angeklagte und die anderweitig Verfolgten bis zum 08. Juni 2011 mehr als 1.000.000 Links zu urheberrechtlich geschützten Filmwerken aus Film und Fernsehen öffentlich für jeden Nutzer des Internets zur kostenlosen Nutzung bereit. Der Angeklagte und die anderweitig Verfolgten verfügten nicht über die jeweiligen Verwertungsrechte. Die Nutzung der Links erfolgte durch einmaliges Abspielen des Filmwerks in Echtzeit, sogenanntes Streaming, auch durch Erstellen einer dauerhaften Kopie auf einem Speichermittel des Nutzers, sogenannte Download. Zu jedem Link war gesondert eine Raubkopie eines Filmwerks auf Internetservern außerhalb von KINO.TO in Form von elektronischen Daten gespeichert. Der Angeklagte und die anderweitig Verfolgten stellten die Links auf KINO.TO durch manuelle Freigabe zur Verfügung. Die Anzahl der freigegebenen Links belief sich im Jahr 2008 seit dem erst 31. März 2008 auf mindestens 3.860 Links, im Jahr 2009 auf mindestens 161.622 Links, im Jahr 2010 auf mindestens 505.808 Links und im Jahr 2011 bis zum 08. Juni 2011 auf mindestens 693.020 Links. Insgesamt wurden auf KINO.TO damit bis zum 08. Juni 2011 mindestens 1.364.310 Links öffentlich zugänglich gemacht.

Die zu den Links gehörenden Raubkopien der urheberrechtlich geschützten Filmwerke wurden auf Servern von sogenannten Filehostern gespeichert. Bei den Filehostern handelt es sich um Internetserviceunternehmen, die gewerblich Internetspeicherplatz und Streamingmöglichkeiten zur Verfügung stellten. Die Filehoster wurden teilweise durch den

– 2 –

Angeklagten und die anderweitig Verfolgten betrieben. Die Betreiber der anderen Filehoster waren regelmäßig durch gesonderte Absprachen mit den KINO.TO-Betreibern verbunden.

Der Angeklagte wusste, dass weder die Betreiber von KINO.TO noch die Betreiber der angeschlossenen Filehoster von den Inhabern der Urheberrechte, an denen in dieser Weise vervielfältigten, verbreiteten und öffentlich wiedergegebenen Filmwerken zur Nutzung und Verbreitung berechtigt worden waren. Der Angeklagte und die anderweitig Verfolgten verbreiteten sowohl aktuelle Kinofilme, als auch beliebte Fernsehserien bereits vor dem offiziellen Kinostart bzw. vor der Erstausstrahlung durch den deutschen Inhaber der Fernsehrechte. Es kam ihm darauf an, auf KINO.TO möglichst alle in Deutschland nachgefragten Filmwerke aus Kino und Fernsehen über Links zu Raubkopien anbieten zu können. Insgesamt machten der Angeklagte und die anderweitig Verfolgten auf KINO.TO 135.075 unterschiedliche Filmwerke als Raubkopien öffentlich zugänglich. Davon entfielen 21.100 auf Kinofilme, 106.825 auf Einzelfolgen von Fernsehserien und 7.150 auf Dokumentarfilme. Dabei haben sie einen persönlich und örtlich begrenzten Kreis von Internetnutzern, den jederzeitigen unbeschränkten Zugang zu gespeicherten und über Links verknüpften Filmwerken verschafft.

Dem Angeklagten und den anderweitig Verfolgten kam es auf die persönliche Bereicherung an. Sie schufen eine ständige Einnahmequelle für alle Angehörigen der Organisation und deren Gehilfen. Die erforderlichen Einnahmen erzielten sie durch Werbung und sonstige Provisionen für die Gestattung von Werbung und das Angebot von sonstigen Waren und Dienstleistungen durch Dritte, insbesondere die spezialisierte Anbieter von Internetwerbung und Internetbezahlseiten. Die jährlichen Einnahmen des Angeklagten und der anderweitig Verfolgen bewegten sich insgesamt im Millionen Euro Bereich.

Dem Angeklagten und den anderweitig Verfolgte kam es darauf an, zur Vermeidung von Strafverfolgungsmaßnahmen den Eindruck zu erwecken, dass zwischen dem KINO.TO-Portal und den als Anbietern der Filmwerke in Erscheinung tretenden Urheberrechtsverletzern keine organisatorische Verbindung bestand. Tatsächlich organisierten und steuerten sie zielgerichtet die Beschaffung der Raubkopien der Filmwerke, die nachfolgend auf KINO.TO verlinkt wurden. KINO.TO war von Beginn an darauf ausgerichtet, ausschließlich Links zu urheberrechtsgeschützten Filmwerken zu veröffentlichen.

Die Gründung von KINO.TO erfolgte durch einen anderweitig Verfolgten. Dieser war auch Chef von KINO.TO und hat das technische Konzept auf Grund von Vorbildern aus den

– 3 –

Vereinigten Staaten von Amerika entwickelt. Dabei handelte es sich um Link-Portale für Filmwerke, bei denen der Schwerpunkt auf dem Angebot von Streamingmöglichkeiten lag.

KINO.TO war dazu bestimmt, Links zu Streamingangeboten von urheberrechtlich geschützten Filmwerken kostenlos ohne Genehmigung durch die Rechteinhaber anzubieten.  Die Nutzung dieser Raubkopien sollte durch die Besucher der Internetseite nicht mehr, wie bei einer Tauschbörse, durch herunterladen der Filmwerke, sondern vorrangig durch Streaming erfolgen.

Der Angeklagte war für die Beschaffung von der Serverkapazitäten für die Internetseite von KINO.TO und der Datenbank von KINO.TO im Ausland zuständig.

Technisch wurde KINO.TO zunächst auf dem von Angeklagten angemieteten Servern in den Niederlanden betrieben. Die betroffenen Inhaber der verletzen Urheberrechte konnte dadurch nicht erkennen, wer der tatsächliche Inhaber von KINO.TO und damit für die Verbreitung von den Raubkopien von Filmwerken verantwortlich war. Sie wendeten sich mit ihren Beschwerden über die illegale Verbreitung von Raubkopien, sogenannten abuse mails, an das Rechenzentrum in den Niederlanden. Dieses leitete die abuse mails an den Angeklagten weiter. In den ersten zwei Monaten des Betriebs von KINO.TO nahm die Zahl der abuse mails von anfänglich 3-4 täglich bis auf 100 pro Tag zu. Schließlich wandte sich auch die Niederländische Organisation zur Bekämpfung von Filmpiraterie an das Rechenzentrum, um eine Einstellung von KINO.TO zu erreichen.  Im Juli 2008 wurden deshlb die KINO.TO-Server nach Russland verlagert.

Ein anderweitig Verfolgter sprach im Juni/ Juli 2008 den Angeklagten darauf an, ob er einen leistungsfähigen Filehoster für KINO.TO betreiben könnte. In Anbetracht der sich daraus ergebenden Geschäftsgelegenheit hat der Angeklagte in der Folge solche Filehoster  betrieben. Die Gesamtzahl der über diese Filehoster auf KINO.TO veröffentlichen Links zu Raubkopien betrug mindestens 12.970.

Mitte 2008 wurde eine deutlich leistungsfähigere Version von KINO.TO programmiert.

Der Arbeitsablauf und das Zusammenwirken der Beteiligten waren durch das Zugangskontrollprogramm der KINO.TO-Internetseite, sogenanntes ACP, bestimmt. Das ACP erforderte die einvernehmliche Zusammenarbeit des Hauptadministrators und der weiteren Administratoren der KINO.TO-Internetseite sowie des Angeklagten als Verantwortlichen für den Serverbereich andererseits sowie von sogenannten Uploadern und Filehostern andererseits. Dabei übernahmen die sogenannten Uploader die Beschaffung der

– 4 –

 Raubkopien der Filmwerke und die Filehoster die Speicherung und den technischen Prozess des Streamings der Raubkopien. Der Mitarbeiterkern von KINO.TO war für die öffentliche Verbreitung und Zugänglichmachung der nach dem gemeinsamen Tatplan bis dahin für die Internetnutzer nicht frei erreichbaren Raubkopien zuständig.

Mit der Aufnahme in den zahlenmäßig begrenzten Kreis von Uploadern übernahmen diese die Verpflichtung, nur Links zu Raubkopien auf KINO.TO hochzuladen, die den Anforderungen der Betreiber von KINO.TO entsprachen.

Hierzu gehörte das Versehen der Raubkopien mit einer Eingangs- und Schlusssequenz mit dem Hinweis auf KINO.TO und die Erstellung einer Inhaltsübersicht zu den rechtswidrig hergestellten Filmkopien. Die Inhaltsübersicht sollte unter Verwendung der allgemein zugänglichen Internetdatenbanken Internet Movie Database oder kino.de erfolgen. In diesen sind nahezu alle urheberrechtlich geschützten Filmwerke mit Angabe der Urheber und der beteiligten Filmschaffenden sowie eine Inhaltsbeschreibung des jeweiligen Filmwerksverzeichnisses registriert.

Die Uploader von KINO.TO stellten die Raubkopien teilweise selbst aus dem Internet verfügbaren Quelldateien her oder verschafften sich die fertigen Raubkopien durch herunterladen aus Szenecirkeln oder schlicht durch das Kopieren von Raubkopien anderer Anbieter von Streaming- und Downloadangeboten im Internet. Die Raubkopien speicherten sie in der Regel zunächst auf eigenen Servern oder auf angemieteten externen Servern zur Weiterverarbeitung. Nach der Bearbeitung der Raubkopien für die Verbreitung über KINO.TO luden die Uploader diese auf die hierfür bereitstehenden Server von sogenannten Filehostern hoch.

Die Auswahl der Filehostern erfolgte grundsätzlich eigenständig durch die jeweiligen Uploader. Die Administratoren von KINO.TO kontrollierten jedoch vor dem Freischalten der Links für die Öffentlichkeit und auch nachfolgend im täglichen Betrieb, ob die Filehoster funktionsfähig und leistungsstark genug waren. Für leistungsstarke Filehoster mit einer großen Anzahl von Links wurden im ACP für die Links dieser Filehoster gesonderte Schaltflächen eingerichtet. Zudem wurde diesen Filehostern zur besseren Wiedererkennbarkeit durch die Besucher von KINO.TO ein Piktogramm zugeordnet.

Die von den Uploadern hochgeladenen Dateien wurden vom Filehoster regelmäßig auf ein Datenformat konvertiert, das zum Streaming mittels Abspielprogramm des jeweiligen Filehosters geeignet war. In diesem Datenformat wurden die Vervielfältigungen der Raubkopien beim Filehoster zur weiteren Nutzung gespeichert. Zu der hochgeladenen Datei

– 5 –

 stellten die Filehoster-Betreiber in einem automatisierten Vorgang ohne weiteren menschlichen Eingriff den Uploadern einen Link zur Verfügung. Bei diesem Link handelt es sich um elektronische Daten einschließlich einer technischen Adresse im Internet. Dieser leitete die Nutzer durch schlichtes Anwählen des Links auf dem Filehoster direkt zu der gespeicherten Datei weiter. Ohne diesen Link waren die Raubkopien für Dritte nicht erreichbar. Die Uploader kopierten die Links zu ihren konvertierten Raubkopien zunächst auf ihre eigenen Server und luden sie sodann über ihren persönlichen Zugang zum ACP auf die Datenbank von KINO.TO-Internetseite hoch.

Die Uploader und externen Filehoster-Betreiber waren nicht Teil des Mitarbeiterkerns von KINO.TO. Sie waren nur über die gemeinsame Tätigkeit und ihrem Zugang zum ACP mit dem Mitarbeiterkern verknüpft und kannten in der Regel weder deren Mitglieder noch die anderen Uploader namentlich.

Die sogenannten Freischalter waren Administratoren von KINO.TO. Diesen wurde  im ACP die Berechtigung zur Freigabe von Links zu Raubkopien für die Öffentlichkeit eingeräumt. Aufgabe der Freischalter war die Überprüfung der von den Uploadern hochgeladenen Links auf ihre tatsächliche Funktionsfähigkeit und auf die Einhaltung der inhaltlichen Vorgaben von KINO.TO für die Verbreitung des Portals.

Hierzu waren die Freischalter angehalten, die Links kurz anzuspielen. Dabei sollten sie sicherstellen, dass hinter den Links auch tatsächlich das angegebene Filmwerk stand. Daneben hatten sie die Eingangs- und Schlusssequenz von KINO.TO und die geforderte Dokumentation zum Filmwerk anhand der Internet Movie Database zu überprüfen. Soweit die Dokumentation fehlte, ergänzten sie diese.

Das Freischalten war ein manueller Vorgang. Die Freischalter arbeiteten planmäßig Listen im ACP ab. Diese enthielten die hochgeladenen Links der Uploader zu den Raubkopien. Die Freischalter bewirkten die Freischaltung für jeden Link einzeln durch Betätigung einer hierfür vorgesehenen Schaltfläche. Mit dem Freischalten wurde für den Link vom ACP automatisch ohne weiters menschliches Eingreifen eine Schalfläche in dem öffentlich sichtbaren Auswahlfenster für das jeweilige Filmwerk erstellt. Dadurch machte der Freischalter die markierten Links der Öffentlichkeit zugänglich. Erst zu diesem Zeitpunkt war der Link im öffentlich zugänglichen Bereich der KINO.TO-Internetseite sichtbar und die Nutzer konnten den Link durch Betätigung der Schaltfläche anwählen.

Die Nutzer konnten über die technische Adresse im Internet www.kino.to die KINO.TO-Internetseite aufrufen und dort die im öffentlichen Bereich angebotenen Filmwerke jeweils

– 6 –

durch betätigen einer Schaltfläche auswählen. In einem nachfolgenden Auswahlfenster waren die bei KINO.TO freigeschalteten Links zu diesem Filmwerk über gesonderte Schaltflächen anwählbar. Die Schaltflächen informierten die Nutzer über die Identität des Filehosters, zudem der jeweilige Link führte. Dabei verfügten jedoch nur die wichtigen Filehoster über eine eigene Schaltfläche unter ihren Namen. Deren Betreiber waren unter einem Nicknamen bei KINO.TO im nichtöffentlichen Teil registriert. Die Links zu allen anderen Filehostern waren in einer Sammelschaltfläche zusammengefasst.

Seit dem 01. Januar 2009 wurden in der zuvor beschriebenen Weise die nachfolgenden Einzelhandlungen begangen:

Die jeweils mit ihrem Filmtitel bezeichneten Raubkopien von Filmwerken wurden auf KINO.TO über Links den Nutzern bis zum 08. Juni 2011 zugänglich gemacht. Erfasst sind nur Raubkopien von Uploadern, die mindestens 10.000 Links auf KINO.TO hochgeladen haben.

Die Links wurden in einem Zeitraum von regelmäßig ein bis zwei Tagen nach dem Zeitpunkt des Hochladens jeweils im bewussten und gewollten Zusammenwirken  mit dem Hauptadministrator von KINO.TO und den Freischaltern durch je eine gesonderte Handlung in der zuvor beschriebenen Weise freigeschaltet. Mit dem erfolgten Freischalten waren die Links für die Nutzer von KINO.TO bis zum 08.03.2011 sichtbar und anwählbar. Die Gesamtzahl der Links beläuft sich auf 1.110.543. Davon entfallen 219.353 links auf Kinofilme in den KINO.TO eigenen Kategorien Cinema und Movie, 876.149 Links auf Einzelfolgen von Fernsehserien und 15.041 Links auf Dokumentarfilme.

Die Anwahl der jeweiligen Schaltfläche zu den Links durch die Nutzer wurde grundsätzlich durch das ACP von KINO.TO statistisch als sogenannter View automatisch und ohne menschliches Eingreifen erfasst. Die Views wurden getrennt nach Link gespeichert. Allein für die im Zeitraum vom 01. September 2010 bis 08. Juni 2011 neu freigeschalteten Links zu Raubkopien von Filmwerken wurde mindestens 1.748.168.454 mal die Schaltfläche für den jeweiligen Link durch einen Besucher von KINO.TO betätigt. Die wesentlich höhere Gesamtzahl der Anwahlvorgänge der freigeschalteten Links durch die Besucher von KINO.TO im Tatzeitraum vom 01. Januar 2009 bis 08. Juni 2011 lässt sich nicht mehr sicher feststellen. Den namentlich nicht benannten Nutzern wurden jeweils durch das Anwählen des nachbezeichneten Links automatisch ohne weiteres menschliches Eingreifen die zum Link gehörenden elektronischen Daten durch KINO.TO übermittelt. Sodann wurden die Nutzer im Internet durch die im Link enthaltene technische Adresse zum jeweiligen

– 7 –

 Filehoster weitergeleitet, auf dem die verlinkte Raubkopie gespeichert war. Die Bereitstellung der Raubkopie durch Streaming erfolgte durch Filehoster. Die Zahl der tatsächlich erfolgreich durchgeführten Streamings ist nicht bekannt.

In wirtschaftlicher Hinsicht bildeten die Filehoster und ihre jeweiligen Uploader von KINO.TO getrennte und untereinander konkurrierende Unternehmen, die ihre jeweiligen Raubkopien als Ware über KINO.TO vermarkten.

Durch den Kundenandrang auf die gespeicherten und gestreamten Filmwerke erzielten die Filehoster Werbeeinnahmen, in dem sie auf ihrer Internetseite Werbemittel einblendeten. Die Höhe der Einnahmen stieg mit der Besucherzahl. Die Filehoster leisteten für die Registrierung bei KINO.TO keine laufenden Zahlungen und erhielten keinen Anteil von den Werbeeinnahmen der KINO.TO-Internetseite.

Die Uploader erhielten nach Einzelvereinbarung mit den Filehosterbetreibern feste Zahlungen oder einen Anteil an deren Werbeeinnahmen als Gegenleistung für das hochladen der Raubkopien auf den Filehoster und das nachfolgende hochladen der Links als registrierte Uploader auf die KINO.TO-Internetseite.

Nur die Mitglieder des Mitarbeiterkerns von KINO.TO wurden aus Geldmitteln bezahlt, die  KINO.TO durch Werbeeinnahmen für die Internetseite erzielte. Die regelmäßigen Werbeeinnahmen beliefen sich ab Herbst 2008 auf 150.000,00 Euro monatlich. Die Administratoren und Freischalter von KINO.TO  in Abhängigkeit vom Umfang ihrer jeweiligen Tätigkeiten ein regelmäßiges monatliches Entgelt.

Der Angeklagte selbst erzielte, wie die anderen Betreiber von internen Filehostern eigene regelmäßige Einnahmen aus der Einblendung von Werbemitteln auf ihren bei KINO.TO registrierten Filehostern. Daneben erhielt er für die Übernahme der Server Kosten in Russland weitere Zahlungen zur Kostenerstattung.

Im Zeitraum 2008 bis 08. Juni 2011 erzielte der Angeklagte aus dem Betrieb seiner Filehoster  Einnahmen in Höhe von insgesamt 633.957,43 Euro, von denen er 316.629,05 Euro zur Bezahlung seiner Server sowie seine Uploader und Administratoren aufgewendet hat. Zur Erstattung der vom Angeklagten verauslagten Serverkosten von KINO.TO wurden ihm zudem  243.577,69 Euro gezahlt.

 

“Strafurteil in Sachen “KINO.TO” im “Volltext”” weiterlesen

Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)

Orientierungshilfe Cloud Computing

Für das Cloud Computing ergeben sich dabei sowohl aus Sicht
des Datenschutzes als auch der Datensicherheit folgende Besonderheiten:

· Vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG) können
durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil verschiedene
Beteiligte über Zusatzwissen verfügen, mit dem eine Reidentifizierung möglich
ist.7 Für die verantwortliche Stelle (§ 3 Abs. 7 BDSG) muss daher deutlich werden,
in welchem Rahmen Datenschutzbestimmungen einzuhalten sind.

· Bei der Anwendung von Cloud-Services und der Bereitstellung von ITDienstleistungen
werden regelmäßig mehrere Beteiligte tätig. Hier ist von Bedeutung,
wie deren Beziehungen zueinander datenschutzrechtlich zu bewerten sind
und wie vor allem die verantwortliche Stelle ihren Verpflichtungen nachkommt.

· Die verantwortliche Stelle hat die Rechtmäßigkeit der gesamten Datenverarbeitung
zu gewährleisten, insbesondere muss sie ihren Löschpflichten nachkommen
(§ 35 Abs. 2 BDSG), unrichtige Daten berichtigen (§ 35 Abs. 1 BDSG), für eine
Sperrung von Daten sorgen (§ 35 Abs. 3 BDSG) und dem Betroffenen (§ 3 Abs. 1
BDSG) u. a. Auskünfte über die zu seiner Person gespeicherten Daten, auch soweit
sie sich auf die Herkunft dieser Daten beziehen, erteilen (§ 34 Abs. 1 BDSG).
Zur Erfüllung der entsprechenden gesetzlichen Bestimmungen muss die verantwortliche
Stelle besondere Vorkehrungen treffen.

· Zu untersuchen ist die Zulässigkeit grenzüberschreitender Datenverarbeitungen.
Bei Clouds, die international verteilt sind und sich auch über Staaten außerhalb
des EWR erstrecken, ist eine Rechtsgrundlage für die Übermittlung personenbezogener
Daten in Drittstaaten erforderlich.

· Aus technisch-organisatorischer Sicht müssen vor allem besondere Vorkehrungen
für die ordnungsgemäße Löschung und Trennung von Daten sowie für die
Sicherstellung von Transparenz, Integrität und Revisionsfähigkeit der Datenverarbeitung
getroffen werden.
“Datenschutzrechtliche Aspekte des Cloud Computing (Orientierungshilfe Cloud Computing)” weiterlesen

ULD (Datenschutzzentrum) verbietet Nutzern Facebook-“gefällt mir”-Button

Das unabhängige Landesdatenschutzzentrum hält den Facebook-Like Button für nicht datenschutzkonform. Eine jüngst veröffentlichte Publikation des Unabhängigen Landeszentrum für Datenschutz (ULD) hat für Wirbel gesorgt.
“ULD (Datenschutzzentrum) verbietet Nutzern Facebook-“gefällt mir”-Button” weiterlesen

Trotz EuGH-Vertragsverletzungsverfahren bisher kaum Umsetzung der Datenschutzrichtlinie – EuGH vom 9. März 2010 C‑518/07

Die Bundesrepublik Deutschland hat gegen ihre Verpflichtungen aus Art. 28 Abs. 1 Unterabs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr verstoßen, indem sie die für die Überwachung der Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen und öffentlich-rechtliche Wettbewerbsunternehmen zuständigen Kontrollstellen in den Bundesländern staatlicher Aufsicht unterstellt und damit das Erfordernis, dass diese Stellen ihre Aufgaben „in völliger Unabhängigkeit“ wahrnehmen, falsch umgesetzt hat.
“Trotz EuGH-Vertragsverletzungsverfahren bisher kaum Umsetzung der Datenschutzrichtlinie – EuGH vom 9. März 2010 C‑518/07” weiterlesen

JMStV-E: “Freiwillige Selbstkontrolle” für alle, die es sich leisten wollen.

Derzeit besteht die Befürchtung, dass ein neuer Jugendmedienstaatsvertrag (JMStV) zu einer quasi-Zensur von Internetangeboten bzw. einer allgemeinen Verpflichtung zur Angabe von Altersstufen sowie der Kontrolle von “integrierten Inhalten” führt. Dies wird aus § 5 JMStV-E abgeleitet.

Eine allgemeine Kennzeichnungspflicht von Internetangeboten erscheint praktisch unwahrscheinlich. Vielmehr belegt der Entwurf erneut eindrucksvoll, wie weit sich der Gesetzgeber von der Realität und seinen eigenen Zielen – Jugendmedienschutz – sowohl im derzeit geltenden als auch im entworfenen JMStV entfernt. Jugendmedienschutz ist so nicht realisierbar.

Hauptanknüpfungspunkt ist derzeit § 5 JMStV-E:
§ 5
Entwicklungsbeeinträchtigende Angebote
(1) Sofern Anbieter Angebote, die geeignet sind, die Entwicklung von Kindern
oder Jugendlichen zu einer eigenverantwortlichen und gemeinschaftsfähigen
Persönlichkeit zu beeinträchtigen, verbreiten oder zugänglich machen, haben sie
dafür Sorge zu tragen, dass Kinder oder Jugendliche der betroffenen Altersstufen
sie üblicherweise nicht wahrnehmen. Die Altersstufen sind:
1. ab 6 Jahren,
2. ab 12 Jahren,
3. ab 16 Jahren,
4. ab 18 Jahren.
Die Altersstufe „ab 0 Jahre“ kommt für offensichtlich nicht entwicklungsbeeinträchtigende
Angebote in Betracht.
(2) Angebote können entsprechend der Altersstufen gekennzeichnet werden. Die
Kennzeichnung muss die Altersstufe sowie die Stelle, die die Bewertung vorgenommen
hat, eindeutig erkennen lassen. Private Anbieter können ihre Bewertung
einer nach § 19 anerkannten Einrichtung der Freiwilligen Selbstkontrolle zur
Überprüfung und Bestätigung vorlegen. Durch die KJM bestätigte Altersbewertungen
von anerkannten Einrichtungen der Freiwilligen Selbstkontrolle sind von
den obersten Landesjugendbehörden für die Freigabe und Kennzeichnung inhaltsgleicher
oder im Wesentlichen inhaltsgleicher Angebote nach dem Jugendschutzgesetz
zu übernehmen. Die Kennzeichnung von Angeboten, die den Zugang
zu Inhalten vermitteln, die gemäß §§ 7 ff. des Telemediengesetzes nicht
vollständig in den Verantwortungsbereich des Anbieters fallen, insbesondere weil
diese von Nutzern in das Angebot integriert werden oder das Angebot durch
Nutzer verändert wird, setzt voraus, dass der Anbieter nachweist, dass die Einbeziehung
oder der Verbleib von Inhalten im Gesamtangebot verhindert wird, die
geeignet sind, die Entwicklung von jüngeren Personen zu beeinträchtigen. Der
Anbieter hat nachzuweisen, dass er ausreichende Schutzmaßnahmen ergriffen
hat. Dieser Nachweis gilt als erbracht, wenn sich der Anbieter dem Verhaltenskodex
einer anerkannten Einrichtung der Freiwilligen Selbstkontrolle unterwirft.
(3) Altersfreigaben nach § 14 Abs. 2 des Jugendschutzgesetzes sind für die Bewertung
zu übernehmen. Es sind die Kennzeichen der Selbstkontrollen nach
dem Jugendschutzgesetz oder ein dafür von der KJM zur Verfügung gestelltes
Kennzeichen zu verwenden. Satz 1 gilt entsprechend für Angebote, die mit den
bewerteten Angeboten im Wesentlichen inhaltsgleich sind.
(4) Der Anbieter kann seiner Pflicht aus Absatz 1 dadurch entsprechen, dass er
1. durch technische oder sonstige Mittel die Wahrnehmung des Angebots
durch Kinder oder Jugendliche der betroffenen Altersstufe unmöglich macht
oder wesentlich erschwert oder
2. die Zeit, in der die Angebote verbreitet oder zugänglich gemacht werden, so
wählt, dass Kinder oder Jugendliche der betroffenen Altersstufe üblicherweise
die Angebote nicht wahrnehmen.
(5) Ist eine entwicklungsbeeinträchtigende Wirkung im Sinne von Absatz 1 auf
Kinder oder Jugendliche anzunehmen, erfüllt der Anbieter seine Verpflichtung
nach Absatz 1, wenn das Angebot nur zwischen 23 Uhr und 6 Uhr verbreitet oder
zugänglich gemacht wird. Wenn eine entwicklungsbeeinträchtigende Wirkung auf
Kinder oder Jugendliche unter 16 Jahren zu befürchten ist, erfüllt der Anbieter
seine Verpflichtung nach Absatz 1, wenn das Angebot nur zwischen 22 Uhr und
6 Uhr verbreitet oder zugänglich gemacht wird. Bei der Wahl der Sendezeit und
des Sendeumfelds für Angebote der Altersstufe „ab 12 Jahren“ ist dem Wohl jüngerer
Kinder Rechnung zu tragen.
(6) Ist eine entwicklungsbeeinträchtigende Wirkung im Sinne von Absatz 1 nur
auf Kinder unter 12 Jahren zu befürchten, erfüllt der Anbieter von Telemedien
seine Verpflichtung nach Absatz 1, wenn das Angebot getrennt von für Kinder
bestimmten Angeboten verbreitet wird oder abrufbar ist.
(7) Absatz 1 gilt nicht für Nachrichtensendungen, Sendungen zum politischen
Zeitgeschehen im Rundfunk und vergleichbare Angebote bei Telemedien, soweit
ein berechtigtes Interesse gerade an dieser Form der Darstellung oder Berichterstattung
vorliegt.“
“JMStV-E: “Freiwillige Selbstkontrolle” für alle, die es sich leisten wollen.” weiterlesen

Datenschutz wiegt mehr als Veröffentlichungsinteresse über Agrarsubventionen

Die Verpflichtung zur Veröffentlichung der Namen natürlicher Personen, die Empfänger einer solchen Beihilfe sind, und der genauen Beträge, die sie erhalten haben, ist im Hinblick auf das Ziel der Transparenz eine unverhältnismäßige Maßnahme

Nach dem für die Finanzierung der Ausgaben im Rahmen der Gemeinsamen Agrarpolitik geltenden Unionsrecht gewährleisten die Mitgliedstaaten jedes Jahr die nachträgliche Veröffentlichung der Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) sowie der Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat1.

Auf der Internetseite der deutschen Bundesanstalt für Landwirtschaft und Ernährung werden die Namen der Empfänger von EGFL- und ELER-Mitteln, der Niederlassungs- oder Wohnort der Empfänger mit Postleitzahl und die Höhe der Jahresbeträge bereitgestellt. Die Seite ist mit einer Suchfunktion ausgestattet.

Die Volker und Markus Schecke GbR, ein landwirtschaftlicher Betrieb (Rechtssache C-92/09), und Hartmut Eifert, Inhaber eines landwirtschaftlichen Vollerwerbsbetriebs (Rechtssache C-93/09), hatten für das Wirtschaftsjahr 2008 bei der zuständigen lokalen Behörde Anträge auf Agrarbeihilfen aus dem EGFL und dem ELER gestellt, denen mit Bescheiden vom Dezember 2008 entsprochen wurde.

Mit ihren Klagen haben die Volker und Markus Schecke GbR und Hartmut Eifert beim Verwaltungsgericht Wiesbaden beantragt, das Land Hessen zu verpflichten, die sie betreffenden Daten nicht zu veröffentlichen. Da das nationale Gericht in den Rechtsvorschriften der Europäischen Union über die Pflicht zur Veröffentlichung dieser Daten durch die Bundesanstalt einen nicht gerechtfertigten Eingriff in das Grundrecht auf Schutz der personenbezogenen Daten sieht, hat es den Gerichtshof ersucht, die Gültigkeit dieser Rechtsvorschriften zu prüfen.

Der Gerichtshof stellt fest, dass sich die in der Charta der Grundrechte der Europäischen Union anerkannte Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten auf jede Information erstreckt, die eine bestimmte oder bestimmbare natürliche Person betrifft, dass aber auch Einschränkungen des Rechts auf Schutz der personenbezogenen Daten gerechtfertigt sein können, wenn sie denen entsprechen, die im Rahmen der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten geduldet werden.

1 Verordnung (EG) Nr. 1290/2005 des Rates vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (ABl. L 209, S. 1) in der durch die Verordnung (EG) Nr. 1437/2007 des Rates vom 26. November 2007 (ABl. L 322, S. 1) geänderten Fassung und Verordnung (EG) Nr. 259/2008 der Kommission vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung Nr. 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. L 76, S. 28).

www.curia.europa.eu

Die Veröffentlichung von Daten mit den Namen der Empfänger von EGFL- und ELER-Mitteln und der genauen Beträge, die sie erhalten haben, auf einer Internetseite stellt, wie der Gerichtshof weiter ausführt, aufgrund der Tatsache, dass Dritte Zugang zu diesen Daten erhalten, eine Verletzung des Rechts der betroffenen Empfänger auf Achtung ihres Privatlebens im Allgemeinen und auf Schutz ihrer personenbezogenen Daten im Besonderen dar. Eine solche Verletzung ist nur dann gerechtfertigt, wenn sie gesetzlich vorgesehen ist, den Wesensgehalt dieser Rechte achtet und unter Wahrung des Grundsatzes der Verhältnismäßigkeit erforderlich ist und den von der Union anerkannten dem Gemeinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der Rechte und Freiheiten anderer tatsächlich entspricht. Außerdem müssen sich die Ausnahmen und Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten auf das absolut Notwendige beschränken.

Der Gerichtshof befindet in diesem Zusammenhang, dass zwar in einer demokratischen Gesellschaft die Steuerzahler einen Anspruch darauf haben, über die Verwendung der öffentlichen Gelder informiert zu werden, dass aber gleichwohl eine ausgewogene Gewichtung der verschiedenen beteiligten Interessen vor dem Erlass der angefochtenen Bestimmungen die Prüfung der Frage durch die betreffenden Organe erforderte, ob die Veröffentlichung von Daten unter namentlicher Nennung aller betroffenen Empfänger und der genauen Beträge, die jeder von ihnen aus dem EGFL und dem ELER erhalten hat, in jedem Mitgliedstaat auf einer speziellen frei zugänglichen Internetseite – und zwar ohne dass nach Bezugsdauer, Häufigkeit oder Art und Umfang der erhaltenen Beihilfen unterschieden wird – nicht über das hinausging, was zur Erreichung der verfolgten berechtigten Ziele erforderlich war. Es ist jedoch nicht ersichtlich, dass der Rat und die Kommission bestrebt gewesen wären, hinsichtlich natürlicher Personen als Empfänger von EGFL- und ELER-Mitteln eine solche ausgewogene Gewichtung vorzunehmen.

Der Gerichtshof gelangt somit zu dem Ergebnis, dass der Rat und die Kommission die durch die Wahrung des Grundsatzes der Verhältnismäßigkeit vorgegebenen Grenzen überschritten haben, indem sie die Veröffentlichung der personenbezogenen Daten aller natürlichen Personen, die Empfänger von EGFL- und ELER-Mitteln sind, vorgeschrieben haben, ohne nach einschlägigen Kriterien wie den Zeiträumen, während deren sie solche Beihilfen erhalten haben, der Häufigkeit oder auch Art und Umfang dieser Beihilfen zu unterscheiden. Insoweit erklärt der Gerichtshof daher bestimmte Vorschriften der Verordnung Nr. 1290/2005 und die Verordnung Nr. 259/2008 als Ganzes für ungültig.

Gesamtkonzept für den Datenschutz in der Europäischen Union

Gesamtkonzept für den Datenschutz in der Europäischen Union

1. NEUE HERAUSFORDERUNGEN FÜR DEN DATENSCHUTZ
Die Datenschutzrichtlinie von 19951 war ein Meilenstein in der Entwicklung der
Datenschutzpolitik der Europäischen Union. Die Richtlinie bestätigt zwei der ältesten,
gleichermaßen wichtigen Ziele des europäischen Integrationsprozesses: einerseits den Schutz
der Grundrechte und der Grundfreiheiten des Einzelnen, insbesondere des Grundrechts auf
Datenschutz, und andererseits die Vollendung des Binnenmarktes – in diesem Fall den freien
Verkehr personenbezogener Daten.
Diese beiden Ziele sowie die Grundsätze der Richtlinie gelten fünfzehn Jahre später
unverändert. Die Welt um uns herum hat sich hingegen infolge der raschen
technologischen Entwicklung und der Globalisierung tiefgreifend verändert, was den
Datenschutz vor neue Herausforderungen stellt.
Moderne Technologien ermöglichen es dem Einzelnen, in einem nie zuvor dagewesenen
Ausmaß im Handumdrehen Informationen über seine Verhaltensweisen und Vorlieben
weiterzugeben und sie öffentlich und weltweit zugänglich zu machen. Soziale Netzwerke,
denen Hunderte Millionen Mitglieder aus aller Welt angehören, sind vielleicht das
augenfälligste, aber nicht das einzige Beispiel für dieses Phänomen. „Cloud-Computing“ –
also die Datenverarbeitung über das Internet, bei der sich Software, Ressourcen und
Informationen auf andernorts untergebrachten Servern („in the cloud“, also „in der Wolke“)
befinden – könnte ebenfalls Datenschutzrisiken bergen: der Einzelne könnte die Kontrolle
über potenziell sensible Informationen zu seiner Person verlieren, wenn er Daten mit
Programmen abspeichert, die auf den Rechnern anderer Personen installiert sind. Einer
aktuellen Studie zufolge besteht inzwischen unter den Datenschutzbehörden,
Unternehmensverbänden und Verbraucherorganisationen weitgehend Einigkeit darüber, dass
mit den Online-Aktivitäten zunehmende Risiken für den Schutz der Privatsphäre und
personenbezogener Daten verbunden sind.

“Gesamtkonzept für den Datenschutz in der Europäischen Union” weiterlesen

Bundesdatenschutzbeauftragter: Hohe Zahl der Widersprüche gegen Google Street View unterstreicht Handlungsbedarf

Anlässlich der Veröffentlichung der Widerspruchszahlen zum Google-Dienst Street View erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar:
Ich kenne kein vergleichbares System, bei dem so viele Menschen in so kurzer Zeit der Verwendung ihrer Daten widersprochen haben – und das sogar schon vor Inbetriebnahme des Dienstes. Die hohe Zahl der Widersprüche gegen Google Street View zeigt, dass die Bürgerinnen und Bürger selbst darüber entscheiden wollen, welche Daten über sie im Internet veröffentlicht werden. Diese Entscheidung der Bürgerinnen und Bürger darf aber nicht vom Good Will einzelner Unternehmen abhängen. Ein verbrieftes und allgemeines Widerspruchsrecht der Betroffenen gegen die Veröffentlichung ihrer Daten im Internet ist deshalb dringend erforderlich.

Schaar ist der Auffassung, dass es noch viel mehr Widersprüche gegeben hätte, wenn hierfür ein einfacheres Verfahren zur Verfügung stehen würde. Ihm liegen zahlreiche Beschwerden darüber vor, dass man Google weitere personenbezogene Daten geben muss, damit der Widerspruch berücksichtigt wird.

Schaar fordert: “Wichtig ist es, dass die Betroffenen nicht separat gegenüber allen Internetdiensteanbietern der Veröffentlichung widersprechen müssen. Daher brauchen wir ein unbürokratisches Widerspruchsregister, das von einer vertrauenswürdigen Stelle geführt wird. Nur so kann sichergestellt werden, dass ein einziger Widerspruch die Betroffenen gegen die Veröffentlichung ihrer personenbezogenen Daten im Internet schützt. Außerdem müssten die Unternehmen bei einem solchen Verfahren gar nicht erfahren, von welcher Person der Widerspruch stammt. Sie müssten sich lediglich darüber informieren, ob zu einer bestimmten Anschrift ein Widerspruch vorliegt.

Ich erwarte von der Internetwirtschaft entsprechende Vorschläge in ihrem Datenschutz-Kodex, den sie Anfang Dezember vorgelegen will. Sollte diese Selbstregulierung nicht gelingen, muss der Gesetzgeber entsprechende Vorgaben machen.”

Quelle

Landesdatenschutzgesetz am Beispiel des Niedersächsischen Datenschutzgesetzes (NDSG)

Niedersächsisches Datenschutzgesetz (NDSG)
in der Fassung vom 29. Januar 2002 (Nds. GVBl. S. 22), zuletzt geändert durch
Artikel 10 des Gesetzes vom 25. März 2009 (Nds. GVBl. S. 71 – VORIS 20600 02 -)
I n h a l t s ü b e r s i c h t
E r s t e r A b s c h n i t t
Allgemeine Bestimmungen
§ 1 Aufgabe des Gesetzes
§ 2 Anwendungsbereich
§ 3 Begriffsbestimmungen
§ 4 Zulässigkeit der Datenverarbeitung
§ 5 Datengeheimnis
§ 6 Verarbeitung personenbezogener Daten im Auftrag
§ 6 a Mobile personenbezogene Speicher- und Verarbeitungsmedien
§ 7 Technische und organisatorische Maßnahmen
§ 8 Verfahrensbeschreibung
§ 8 a Behördliche Datenschutzbeauftragte
Z w e i t e r A b s c h n i t t
Rechtsgrundlagen der Datenverarbeitung
§ 9 Erhebung
§ 10 Speicherung, Veränderung, Nutzung; Zweckbindung
§ 10 a Automatisierte Einzelentscheidung
§ 11 Übermittlung innerhalb des öffentlichen Bereichs
§ 12 Automatisiertes Abrufverfahren
§ 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen
Bereichs
§ 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des
Europäischen Wirtschaftsraums
§ 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften
D r i t t e r A b s c h n i t t
Rechte der Betroffenen
§ 16 Auskunft, Einsicht in Akten
§ 17 Berichtigung, Löschung und Sperrung
§ 17 a Widerspruchsrecht
§ 18 Schadensersatz
§ 19 Anrufung der Landesbeauftragten oder des Landesbeauftragten
§ 20 Verzicht auf Rechte der Betroffenen
V i e r t e r A b s c h n i t t
Landesbeauftragte oder Landesbeauftragter für den Datenschutz
§ 21 Rechtsstellung der Landesbeauftragten oder des
Landesbeauftragten
§ 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des
Landesbeauftragten
§ 23 Beanstandungen durch die Landesbeauftragte oder den
Landesbeauftragten
F ü n f t e r A b s c h n i t t
Besonderer Datenschutz
§ 24 – aufgehoben –
§ 25 Verarbeitung personenbezogener Daten für Forschungsvorhaben
§ 25 a Beobachtung durch Bildübertragung
§ 26 Fernmessen und Fernwirken
§ 27 Öffentliche Auszeichnungen
S e c h s t e r A b s c h n i t t
Übergangs- und Schlussvorschriften
§ 28 Straftaten
§ 29 Ordnungswidrigkeiten
§ 30 Übergangsvorschrift
§ 31 Aufhebung von Rechtsvorschriften
§ 32 Änderung des Niedersächsischen Meldegesetzes
§ 33 Änderung des Niedersächsischen Verfassungsschutzgesetzes
§ 34 In-Kraft-Treten
Erster Abschnitt
Allgemeine Bestimmungen
§ 1
Aufgabe des Gesetzes
1Aufgabe dieses Gesetzes ist es, das Recht einer jeden Person zu gewährleisten,
selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Recht auf
informationelle Selbstbestimmung). 2Dieses Gesetz bestimmt, unter welchen
Voraussetzungen personenbezogene Daten durch öffentliche Stellen verarbeitet
werden dürfen.
§ 2
Anwendungsbereich
(1) 1Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch
Behörden und sonstige öffentliche Stellen
1. des Landes,
2. der Gemeinden und Landkreise,
3. der sonstigen der Aufsicht des Landes unterstehenden Körperschaften, Anstalten
und Stiftungen des öffentlichen Rechts
und deren Vereinigungen. 2Sind einer Person oder Stelle außerhalb des öffentlichen
Bereichs Aufgaben der öffentlichen Verwaltung übertragen, so ist sie insoweit
öffentliche Stelle im Sinne dieses Gesetzes.
(2) Der Landtag, seine Mitglieder, die Fraktionen sowie ihre jeweiligen Verwaltungen
und Beschäftigten unterliegen nicht den Bestimmungen dieses Gesetzes, soweit sie
bei der Wahrnehmung parlamentarischer Aufgaben personenbezogene Daten
verarbeiten und dabei die vom Landtag erlassene Datenschutzordnung anzuwenden
haben.
(3) 1Abweichend von Absatz 1 gelten nur die §§ 8, 19 und 26 sowie die Regelungen
des Vierten Abschnitts, soweit personenbezogene Daten in Ausübung ihrer
wirtschaftlichen Tätigkeit verarbeitet werden von
1. juristischen Personen des öffentlichen Rechts oder deren organisatorisch
selbständigen Einrichtungen, die am Wettbewerb teilnehmen,
2. wirtschaftlichen Unternehmen der Gemeinden und Landkreise ohne eigene
Rechtspersönlichkeit (Eigenbetriebe) und Zweckverbänden, die überwiegend
wirtschaftliche Aufgaben wahrnehmen,
3. öffentlichen Einrichtungen, die entsprechend den Vorschriften über die
Eigenbetriebe geführt werden.
2Für diese finden im Übrigen die für nicht öffentliche Stellen geltenden Vorschriften
des Bundesdatenschutzgesetzes in der Fassung vom 14. Januar 2003
(BGBl. I S. 66) Anwendung1).
(4) Auf öffentlich-rechtliche Kreditinstitute und öffentlich-rechtliche
Versicherungsanstalten sowie deren Vereinigungen finden § 24 des
Niedersächsischen Datenschutzgesetzes vom 17. Juni 1993 (Nds. GVBl. S. 141) 2)
und im Übrigen die Vorschriften des Bundesdatenschutzgesetzes über nicht
öffentliche Stellen Anwendung.
(5) Für öffentlich-rechtliche Rundfunkanstalten gilt das Recht des jeweiligen
Sitzlandes.
(6) Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten
gehen den Bestimmungen dieses Gesetzes vor.
(7) Die Vorschriften dieses Gesetzes gehen denen des Niedersächsischen
Verwaltungsverfahrensgesetzes vor, soweit bei der Ermittlung des Sachverhaltes
personenbezogene Daten verarbeitet werden.
(8) Auf das Gnadenverfahren findet dieses Gesetz mit Ausnahme des Vierten
Abschnitts keine Anwendung.
Hinweis der Redaktion:
1) Vgl. BDSG, zuletzt geändert durch Artikel 1 des Gesetzes vom 22. August 2006 (BGBl. I S. 1970)
§ 3
Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche
Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (Betroffene).
(2) 1Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren,
Löschen und Nutzen personenbezogener Daten. 2Im Einzelnen ist
1. Erheben das Beschaffen von Daten über die Betroffenen,
2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem
Datenträger,
3. Verändern das inhaltliche Umgestalten von Daten,
4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass
a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder
b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder
abrufen,
5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung
einzuschränken,
6. Löschen das Unkenntlichmachen von Daten,
7. Nutzen jede sonstige Verwendung von Daten.
(3) Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst
verarbeitet oder durch andere im Auftrag verarbeiten lässt.
(4) 1Empfänger ist jede Person oder Stelle, die Daten erhält. 2Dritte sind Personen
oder Stellen außerhalb der Daten verarbeitenden Stelle. 3Dritte sind nicht die
Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag
personenbezogene Daten verarbeiten (Auftragnehmer).
(5) Automatisierte Verarbeitung ist die Verarbeitung personenbezogener Daten unter
Einsatz von Datenverarbeitungsanlagen.
(6) 1Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende
Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und
Tonträger. 2Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil
eines Vorgangs werden sollen.
§ 4
Zulässigkeit der Datenverarbeitung
(1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder
2. die Betroffenen eingewilligt haben.
(2) 1Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer
Umstände eine andere Form angemessen ist. 2Soweit die Einwilligung
personenbezogene Angaben über die rassische und ethnische Herkunft, politische
Meinungen, religiöse oder weltanschauliche Überzeugungen,
Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich
ausdrücklich auf diese Angaben beziehen. 3Soll die Einwilligung zusammen mit
anderen Erklärungen schriftlich erteilt werden, so ist die Einwilligungserklärung im
äußeren Erscheinungsbild der Erklärung hervorzuheben. 4Die Betroffenen sind in
geeigneter Weise über die Bedeutung der Einwilligung, insbesondere über den
Verwendungszweck der Daten, bei einer beabsichtigten Übermittlung auch über die
Empfänger der Daten aufzuklären. 5Die Betroffenen sind unter Darlegung der
Rechtsfolgen darauf hinzuweisen, dass sie die Einwilligung verweigern oder mit
Wirkung für die Zukunft widerrufen können.
(3) Die Einwilligung ist unwirksam, wenn sie durch Androhung rechtswidriger
Nachteile oder durch Fehlen der Aufklärung bewirkt wurde.
§ 5
Datengeheimnis
Den Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen
Zugang zu personenbezogenen Daten haben, ist es untersagt, diese zu einem
anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten
oder zu offenbaren; dies gilt auch nach Beendigung ihrer Tätigkeit.
§ 6
Verarbeitung personenbezogener Daten im Auftrag
(1) 1Werden personenbezogene Daten im Auftrag öffentlicher Stellen verarbeitet, so
bleiben diese für die Einhaltung der Vorschriften dieses Gesetzes und anderer
Vorschriften über den Datenschutz verantwortlich. 2Die im Dritten Abschnitt
genannten Rechte sind ihnen gegenüber geltend zu machen.
(2) 1Die Auftragnehmer dürfen personenbezogene Daten nur im Rahmen der
Weisungen der Auftraggeber verarbeiten. 2Auftraggeber haben sich über die
Beachtung der Maßnahmen nach § 7 und der erteilten Weisungen zu vergewissern.
(3) 1Auftragnehmer müssen Gewähr für die Einhaltung der technischen und
organisatorischen Maßnahmen nach § 7 bieten. 2Aufträge, Weisungen zu
technischen und organisatorischen Maßnahmen und die Zulassung von
Unterauftragsverhältnissen sind schriftlich festzuhalten.
(4) 1Sofern die Vorschriften dieses Gesetzes auf Auftragnehmer keine Anwendung
finden, hat die Daten verarbeitende Stelle den Auftragnehmer zu verpflichten,
jederzeit vom Auftraggeber veranlasste Kontrollen zu ermöglichen. 2Wird der Auftrag
außerhalb des Geltungsbereichs dieses Gesetzes durchgeführt, so unterrichtet der
Auftraggeber die zuständige Datenschutzkontrollbehörde.
§ 6 a
Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Stellen, die personenbezogene Speicher- und Verarbeitungsmedien herausgeben
oder die auf solchen Medien Verfahren zur automatisierten Verarbeitung
personenbezogener Daten aufbringen oder ändern, müssen die betroffene Person in
allgemein verständlicher Form
1. über ihre Identität und Anschrift,
2. über die Funktionsweise des Mediums einschließlich der Art der zu
verarbeitenden personenbezogenen Daten,
3. darüber, wie die betroffene Person ihre Rechte nach den §§ 16 und 17 ausüben
kann, und
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen
unterrichten, soweit die oder der Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichteten Stellen haben dafür Sorge zu tragen, dass die
zur Wahrnehmung der Rechte nach den §§ 16 und 17 erforderlichen Geräte oder
Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur
Verfügung stehen.
(3) Die Tatsache der Kommunikation des mobilen personenbezogenen Speicherund
Verarbeitungsmediums muss für die betroffene Person eindeutig erkennbar sein.
§ 7
Technische und organisatorische Maßnahmen
(1) 1Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu
treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes
entsprechende Verarbeitung personenbezogener Daten sicherzustellen. 2Der
Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik
in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen.
(2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen
zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind,
1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren
(Zugangskontrolle),
2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder
entfernt werden können (Datenträgerkontrolle),
3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme,
Veränderung oder Löschung gespeicherter Daten zu verhindern
(Speicherkontrolle),
4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur
Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle),
5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden
Daten zugreifen können (Zugriffskontrolle),
6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu
welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle),
7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu
welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind
(Eingabekontrolle),
8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung
oder Verlust geschützt sind (Verfügbarkeitskontrolle),
9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen der Auftraggeber verarbeitet werden können
(Auftragskontrolle),
10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von
Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht
werden können (Transportkontrolle),
11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie
den besonderen Anforderungen des Datenschutzes gerecht wird
(Organisationskontrolle).
(3) 1Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert
werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu
verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können,
durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. 2Die nach
Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten.
(4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem
Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu
verarbeiten.
(5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz
automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff
Unbefugter zu schützen.
§ 8
Verfahrensbeschreibung
1Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung
personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung
festzulegen:
1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung,
2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung,
3. den Kreis der Betroffenen,
4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des
§ 6 auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten,
5. die Absicht, Daten in Staaten nach § 14 zu übermitteln,
6. Fristen für die Sperrung und Löschung der Daten,
7. die technischen und organisatorischen Maßnahmen nach § 7,
8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur
Übermittlung, Sperrung, Löschung und Auskunftserteilung.
2Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck
als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach
§ 8 a Abs. 4 und Verarbeitungen nach § 8 a Abs. 5 Satz 1.
§ 8 a
Behördliche Datenschutzbeauftragte
(1) 1Jede öffentliche Stelle, die personenbezogene Daten automatisiert verarbeitet,
hat eine Beauftragte oder einen Beauftragten für den Datenschutz zu bestellen. 2Mit
dieser Aufgabe kann auch eine Person beauftragt werden, die nicht der
verarbeitenden Stelle angehört. 3Ist die Person bereits von einer anderen Stelle zur
Beauftragten für den Datenschutz bestellt worden, so setzt die weitere Bestellung
das Einvernehmen mit der anderen Stelle voraus.
(2) 1Bestellt werden darf nur, wer die erforderliche Sachkenntnis und Zuverlässigkeit
besitzt und durch die Bestellung keinem Interessenkonflikt mit anderen dienstlichen
Aufgaben ausgesetzt ist. 2Beauftragte sind in dieser Eigenschaft weisungsfrei; sie
können sich unmittelbar an die Behördenleitung wenden und dürfen wegen der
Erfüllung ihrer Aufgaben nicht benachteiligt werden. 3Sie unterstützen die öffentliche
Stelle bei der Sicherstellung des Datenschutzes und wirken auf die Einhaltung der
datenschutzrechtlichen Vorschriften hin. 4Sie sind über geplante Verfahren der
automatisierten Verarbeitung personenbezogener Daten zu unterrichten. 5Sie
erhalten eine Übersicht der automatisierten Verarbeitungen mit den Angaben nach
§ 8 Satz 1. 6Die öffentlichen Stellen haben die Beauftragten für den Datenschutz bei
der Aufgabenerfüllung zu unterstützen.
(3) 1Die Beauftragten haben auf Antrag die Angaben gemäß § 8 Satz 1 Nrn. 1 bis 6
jedermann in geeigneter Weise verfügbar zu machen. 2Hiervon ausgenommen sind
Beschreibungen nach § 22 Abs. 5 und Beschreibungen für Verarbeitungen zum
Zweck der Strafverfolgung. 3Den Beauftragten obliegt die Vorabprüfung von
Verfahren nach § 7 Abs. 3, wobei in Zweifelsfällen die Landesbeauftragte oder der
Landesbeauftragte für den Datenschutz zu beteiligen ist. 4Betroffene können sich
unmittelbar an die Beauftragte oder den Beauftragten für den Datenschutz wenden.
(4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der
Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen
Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen
steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere
automatisierte Verarbeitungen stattfinden.
(5) 1Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur
Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz
einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen
solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf
informationelle Selbstbestimmung nicht zu erwarten ist. 2In der Verordnung sind die
Zweckbestimmungen der Verarbeitung, die Kategorien der Daten, die Empfänger,
denen die Daten übermittelt werden dürfen, und die Dauer der Aufbewahrung
festzulegen.
Zweiter Abschnitt
Rechtsgrundlagen der Datenverarbeitung
§ 9
Erhebung
(1)1Personenbezogene Daten dürfen erhoben werden, wenn ihre Kenntnis zur
Erfüllung der Aufgaben der erhebenden Stelle erforderlich ist. 2Die Daten sind bei
den Betroffenen mit ihrer Kenntnis zu erheben. 3Bei Dritten dürfen
personenbezogene Daten nur erhoben werden, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,
2. die Erhebung zur Abwehr von Gefahren für Leib, Leben oder die persönliche
Freiheit erforderlich ist,
3. Angaben der Betroffenen überprüft werden müssen,
4. offensichtlich ist, dass die Erhebung im Interesse der Betroffenen liegt und sie
einwilligen würden,
5. die Daten aus allgemein zugänglichen Quellen entnommen werden können,
soweit nicht schutzwürdige Interessen der Betroffenen offensichtlich
entgegenstehen, oder
6. a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen
oder Stellen erforderlich macht oder
b) die Erhebung bei den Betroffenen einen unverhältnismäßigen Aufwand
erfordern würde
und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige
Interessen der Betroffenen beeinträchtigt werden.
(2) 1Werden Daten bei den Betroffenen erhoben, so sind sie über den Zweck der
Erhebung aufzuklären. Werden die Daten aufgrund einer Rechtsvorschrift erhoben,
so sind die Betroffenen in geeigneter Weise über diese aufzuklären. 2Soweit eine
Auskunftspflicht besteht oder die Gewährung von Rechtsvorteilen die Angabe von
Daten voraussetzt, sind die Betroffenen hierauf, sonst auf die Freiwilligkeit ihrer
Angaben hinzuweisen.
(3) 1Werden Daten bei einer dritten Person oder einer Stelle außerhalb des
öffentlichen Bereichs erhoben, so ist diese auf Verlangen über den
Verwendungszweck aufzuklären. 2Soweit eine Auskunftspflicht besteht, ist sie
hierauf, sonst auf die Freiwilligkeit ihrer Angaben hinzuweisen.
§ 10
Speicherung, Veränderung, Nutzung; Zweckbindung
(1) 1Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig,
wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die
Daten für diese Zwecke erhoben worden sind. 2Erlangt die öffentliche Stelle Kenntnis
von personenbezogenen Daten, ohne diese erhoben zu haben, so darf sie diese
Daten nur für Zwecke verarbeiten, für die sie diese Daten erstmals speichert.
(2) 1Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig,
1. wenn die Betroffenen eingewilligt haben,
2. in den Fällen des § 9 Abs. 1 Satz 3 Nrn. 1 bis 5 oder
3. wenn sich bei Gelegenheit der rechtmäßigen Aufgabenerfüllung Anhaltspunkte
für Straftaten oder Ordnungswidrigkeiten ergeben und die Unterrichtung der für
die Verfolgung oder Vollstreckung zuständigen Behörden geboten ist.
2Unterliegen die personenbezogenen Daten einem Berufs- oder besonderen
Amtsgeheimnis und sind sie der Daten verarbeitenden Stelle von der zur
Verschwiegenheit verpflichteten Person in Ausübung ihrer Berufs- oder Amtspflicht
übermittelt worden, so dürfen sie für andere Zwecke nur gespeichert, verändert oder
genutzt werden, wenn die Betroffenen eingewilligt haben oder wenn eine
Rechtsvorschrift dies zulässt.
(3) 1Ein Speichern, Verändern oder Nutzen zu anderen Zwecken liegt nicht vor, wenn
dies zur Wahrnehmung von Aufsichts- und Kontrollbefugnissen, zur
Rechnungsprüfung oder zur Durchführung von Organisationsuntersuchungen erfolgt.
2Zulässig ist auch die Verarbeitung zu Ausbildungs- und Prüfungszwecken, soweit
nicht berechtigte Interessen der Betroffenen an der Geheimhaltung der Daten
offensichtlich überwiegen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der
Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des
ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden,
dürfen nicht für andere Zwecke verarbeitet werden.
§ 10 a
Automatisierte Einzelentscheidung
(1) Entscheidungen, die für die Betroffenen eine rechtliche Folge nach sich ziehen
oder sie erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte
Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung
einzelner Persönlichkeitsmerkmale dienen.
(2) 1Dies gilt nicht, wenn
1. eine Rechtsvorschrift dies vorsieht,
2. dem Begehren der Betroffenen stattgegeben wurde oder
3. die Wahrung der berechtigten Interessen der Betroffenen durch geeignete
Maßnahmen gewährleistet und den Betroffenen von der verantwortlichen Stelle
die Tatsache, dass eine Entscheidung nach Absatz 1 vorliegt, mitgeteilt wird.
2Als geeignete Maßnahme im Sinne der Nummer 3 gilt insbesondere die Möglichkeit
der Betroffenen, ihren Standpunkt geltend zu machen; die verantwortliche Stelle ist
verpflichtet, ihre Entscheidung erneut zu prüfen.
(3) Das Recht der Betroffenen auf Auskunft nach § 16 erstreckt sich in den Fällen
des Absatzes 1 auch auf den logischen Aufbau der automatisierten Verarbeitung der
sie betreffenden Daten.
§ 11
Übermittlung innerhalb des öffentlichen Bereichs
(1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist nur
zulässig, wenn die Übermittlung zur Erfüllung der Aufgaben der übermittelnden Stelle
oder des Empfängers erforderlich ist und die Daten nach § 10 verarbeitet werden
dürfen.
(2) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden
dürfen, weitere personenbezogene Daten der Betroffenen oder Dritter in Akten so
verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich
ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte
Interessen der Betroffenen oder Dritter an deren Geheimhaltung offensichtlich
überwiegen; eine weitere Verarbeitung dieser Daten ist unzulässig.
(3) 1Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde
Stelle. 2Erfolgt die Übermittlung aufgrund eines Ersuchens, so hat die übermittelnde
Stelle lediglich zu prüfen, ob sich das Übermittlungsersuchen im Rahmen der
Aufgaben der empfangenden Stelle hält. 3Die Rechtmäßigkeit des Ersuchens prüft
sie nur, wenn im Einzelfall hierzu Anlass besteht; die empfangende Stelle hat der
übermittelnden Stelle die für diese Prüfung erforderlichen Angaben zu machen.
4Erfolgt die Übermittlung durch automatisierten Abruf (§ 12), so trägt die
Verantwortung für die Rechtmäßigkeit des Abrufs die empfangende Stelle.
(4) Die Absätze 1 bis 3 gelten entsprechend, wenn personenbezogene Daten
innerhalb einer öffentlichen Stelle weitergegeben werden.
§ 12
Automatisiertes Abrufverfahren
(1) 1Ein automatisiertes Verfahren, das die Übermittlung personenbezogener Daten
durch Abruf eines Dritten ermöglicht, darf nur eingerichtet werden, wenn eine
Rechtsvorschrift dies zulässt. 2Die Zulässigkeit des einzelnen Abrufs bestimmt sich
nach den Vorschriften dieses Gesetzes.
(2) 1Die Landesregierung wird ermächtigt, durch Verordnung für die Behörden und
Einrichtungen des Landes sowie für die der Aufsicht des Landes unterliegenden
sonstigen öffentlichen Stellen die Einrichtung automatischer Abrufverfahren
zuzulassen. 2Für die Zulassung solcher Verfahren innerhalb des Geschäftsbereichs
eines Ministeriums wird das jeweilige Ministerium ermächtigt, die Verordnung zu
erlassen. 3Ein solches Verfahren darf nur eingerichtet werden, soweit dies unter
Berücksichtigung der schutzwürdigen Interessen des betroffenen Personenkreises
und der Aufgaben der beteiligten Stellen angemessen ist. 4In der Verordnung sind
die Datenempfänger, die Art der zu übermittelnden Daten, der Zweck des Abrufs
sowie die wesentlichen bei den beteiligten Stellen zu treffenden Maßnahmen zur
Kontrolle der Verarbeitung festzulegen. 5Die Landesbeauftragte für den Datenschutz
oder der Landesbeauftragte für den Datenschutz (die Landesbeauftragte oder der
Landesbeauftragte) ist vorher zu hören.
(3) Sind automatisierte Abrufverfahren in einer Verordnung nach Absatz 2
zugelassen, so dürfen sie auf Verlangen des Landesrechnungshofs auch für die
Rechnungsprüfung eingesetzt werden.
(4) 1Personenbezogene Daten dürfen nicht zum Abruf durch Personen oder Stellen
außerhalb des öffentlichen Bereichs bereitgehalten werden. 2Dies gilt nicht für den
Abruf durch Betroffene.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf aus solchen Datenbeständen, die
jeder Person offen stehen oder deren Inhalt veröffentlicht werden darf.
§ 13
Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs
(1) 1Die Übermittlung personenbezogener Daten an Personen oder Stellen außerhalb
des öffentlichen Bereichs ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,
2. die Empfänger ein rechtliches Interesse an der Kenntnis der zu übermittelnden
Daten glaubhaft machen und kein Grund zu der Annahme besteht, dass das
schutzwürdige Interesse der Betroffenen an der Geheimhaltung überwiegt, oder
3. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend
gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht
widersprochen haben.
2In den Fällen des Satzes 1 Nr. 3 sind die Betroffenen über die beabsichtigte
Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in
geeigneter Weise und rechtzeitig zu unterrichten.
(2) Die übermittelnde Stelle hat die Empfänger zu verpflichten, die Daten nur für die
Zwecke zu verarbeiten, zu denen sie ihnen übermittelt wurden.
§ 14
Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen
Wirtschaftsraums
(1) 1Die Übermittlung personenbezogener Daten an Personen und Stellen in Staaten
außerhalb der Europäischen Union und der Vertragsstaaten des Abkommens über
den Europäischen Wirtschaftsraum sowie an über- und zwischenstaatliche Stellen ist
zulässig, soweit die Übermittlung in einem Gesetz, einem Rechtsakt der
Europäischen Gemeinschaften oder einem internationalen Vertrag geregelt ist. 2Eine
Übermittlung an öffentliche Stellen darf auch erfolgen, wenn die Voraussetzungen
des § 11 Abs. 1 sowie an andere Empfänger, wenn die Voraussetzungen des § 13
Abs. 1 erfüllt sind und im Empfängerland gleichwertige Datenschutzregelungen
gelten. 3Die Übermittlung nach Satz 2 darf nicht erfolgen, soweit Grund zu der
Annahme besteht, dass die Übermittlung einen Verstoß gegen wesentliche
Grundsätze des deutschen Rechts, insbesondere gegen Grundrechte, zur Folge
haben würde.
(2) Eine Übermittlung ist abweichend von Absatz 1 Satz 2 auch dann zulässig, wenn
sie
1. für die Wahrnehmung eines wichtigen öffentlichen Interesses oder zur
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor
Gericht erforderlich ist,
2. für die Wahrung lebenswichtiger Interessen der Betroffenen erforderlich ist oder
3. aus einem Register erfolgt,
a) das zur Information der Öffentlichkeit bestimmt ist oder
b) in das alle Personen, die ein berechtigtes Interesse an der Einsichtnahme
haben, Einsicht nehmen können,
soweit der ausländische Empfänger die Voraussetzungen für die Einsichtnahme
erfüllt.
§ 15
Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften
1Die Übermittlung personenbezogener Daten an Stellen öffentlich-rechtlicher
Religionsgesellschaften ist zulässig, wenn
1. die Betroffenen eingewilligt haben,
2. eine Rechtsvorschrift dies vorsieht,
3. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Daten nach § 10 verarbeitet werden dürfen,
4. offensichtlich ist, dass die Übermittlung im Interesse der Betroffenen liegt und sie
einwilligen würden, oder
5. sie im öffentlichen Interesse liegt oder hierfür ein berechtigtes Interesse geltend
gemacht wird und die Betroffenen in diesen Fällen der Übermittlung nicht
widersprochen haben
und sichergestellt ist, dass bei den Empfängern ausreichende
Datenschutzmaßnahmen, insbesondere Regelungen zur Zweckbindung, getroffen
sind. 2In den Fällen des Satzes 1 Nr. 5 sind die Betroffenen über die beabsichtigte
Übermittlung, die Art der zu übermittelnden Daten und den Verwendungszweck in
geeigneter Weise und rechtzeitig zu unterrichten.
Dritter Abschnitt
Rechte der Betroffenen
§ 16
Auskunft, Einsicht in Akten
(1) 1Betroffenen ist von der Daten verarbeitenden Stelle auf Antrag Auskunft zu
erteilen über
1. die zu ihrer Person gespeicherten Daten,
2. den Zweck und die Rechtsgrundlage der Speicherung,
3. die Herkunft der Daten, die Empfänger von Übermittlungen, in den Fällen des § 6
auch die Auftragnehmer, sowie
4. in den Fällen des § 10 a über die Art und Struktur der automatisierten
Verarbeitung.
2Dies gilt nicht für personenbezogene Daten, die ausschließlich zu Zwecken der
Datensicherung oder der Datenschutzkontrolle gespeichert sind. 3Für gesperrte
Daten, die nur deshalb noch gespeichert sind, weil sie auf Grund gesetzlicher
Aufbewahrungsvorschriften nicht gelöscht werden dürfen, gilt die Verpflichtung zur
Auskunftserteilung nur, wenn Betroffene ein berechtigtes Interesse an der Erteilung
der Auskunft über diese Daten glaubhaft machen.
(2) 1In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft
begehrt wird, näher bezeichnet werden. 2Die Daten verarbeitende Stelle bestimmt
das Verfahren, insbesondere die Form der Auskunftserteilung, nach pflichtgemäßem
Ermessen.
(3) Sind die Daten in Akten gespeichert, so können Betroffene Auskunft aus Akten
oder Akteneinsicht verlangen, soweit sie Angaben machen, die das Auffinden der
Daten mit angemessenem Aufwand ermöglichen.
(4) Anträge nach Absatz 1 oder 3 können abgelehnt werden, soweit und solange
1. die Erfüllung des Auskunfts- oder Einsichtsverlangens die ordnungsgemäße
Wahrnehmung der übrigen Aufgaben der datenverarbeitenden Stelle gefährden
würde,
2. die Auskunft oder Einsicht die öffentliche Sicherheit gefährden oder sonst dem
Wohle des Bundes oder eines Landes Nachteile bereiten würde oder
3. die personenbezogenen Daten oder die Tatsache ihrer Speicherung nach einer
Rechtsvorschrift oder wegen der berechtigten Interessen von Dritten geheim zu
halten sind.
(5) 1Die Ablehnung der Auskunft oder der Akteneinsicht bedarf keiner Begründung,
soweit durch die Begründung der Zweck der Ablehnung gefährdet würde. 2Die
Gründe der Ablehnung sind aktenkundig zu machen.
(6) Wird die Auskunft oder die Akteneinsicht abgelehnt, so sind die Betroffenen
darauf hinzuweisen, dass sie sich an die Landesbeauftragte oder den
Landesbeauftragten wenden können.
(7) Auskunft und Akteneinsicht sind kostenfrei.
§ 17
Berichtigung, Löschung und Sperrung
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind.
(2) 1Personenbezogene Daten sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die Daten verarbeitende Stelle zur Aufgabenerfüllung nicht mehr
erforderlich ist.
2In den Fällen des Satzes 1 Nr. 2 tritt an die Stelle der Löschung die Abgabe an das
zuständige Archiv, soweit dies in den entsprechenden Rechtsvorschriften
vorgesehen ist. 3Sind personenbezogene Daten in Akten gespeichert, so ist die
Löschung nach Satz 1 Nr. 2 durchzuführen, wenn die gesamte Akte nach Maßgabe
der entsprechenden Rechts- oder Verwaltungsvorschriften zur Aufgabenerfüllung
nicht mehr erforderlich ist. 4Werden durch die weitere Speicherung nach Satz 3
schutzwürdige Belange der Betroffenen erheblich beeinträchtigt, so sind die
entsprechenden Daten zu sperren.
(3) 1Personenbezogene Daten sind zu sperren,
1. solange und soweit ihre Richtigkeit von den Betroffenen bestritten wird und sich
weder die Richtigkeit noch die Unrichtigkeit feststellen lässt,
2. wenn die Betroffenen anstelle der Löschung unzulässig gespeicherter Daten die
Sperrung verlangen oder die weitere Speicherung im Interesse der Betroffenen
geboten ist, oder
3. solange sie auf Grund gesetzlicher Aufbewahrungsvorschriften nicht gelöscht
werden dürfen.
2Gesperrte Daten sind mit einem Sperrvermerk zu versehen; in automatisierten
Verfahren ist die Sperrung durch zusätzliche technische Maßnahmen zu
gewährleisten. 3Gesperrte Daten dürfen nicht mehr weiter verarbeitet werden, es sei
denn, dass dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im
überwiegenden Interesse der speichernden Stelle oder Dritter liegenden Gründen
unerlässlich ist oder die Betroffenen eingewilligt haben. 4Die Gründe für die
Verarbeitung gesperrter Daten sind aufzuzeichnen.
(4) 1Sind Daten nach den Absätzen 1 bis 3 berichtigt, gesperrt oder gelöscht worden,
so sind die Personen oder Stellen unverzüglich zu unterrichten, denen die Daten
übermittelt worden sind. 2Die Unterrichtung kann unterbleiben, wenn sie einen
unverhältnismäßigen Aufwand erfordern würde und kein Grund zu der Annahme
besteht, dass dadurch schutzwürdige Belange der Betroffenen beeinträchtigt werden.
§ 17 a
Widerspruchsrecht
1Betroffene haben gegenüber der Daten verarbeitenden Stelle das Recht, der
Verarbeitung der sie betreffenden Daten aus schutzwürdigen persönlichen Gründen
zu widersprechen. 2Soweit diese Gründe überwiegen, ist die Verarbeitung der Daten
unzulässig. 3Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Verarbeitung
verpflichtet.
§ 18
Schadensersatz
(1) 1Wird den Betroffenen durch eine nach datenschutzrechtlichen Vorschriften
unzulässige Verarbeitung ihrer personenbezogenen Daten ein Schaden zugefügt, so
sind ihnen die Träger der Daten verarbeitenden Stellen unabhängig von einem
Verschulden zum Ersatz des daraus entstehenden Schadens verpflichtet; im Fall
einer nicht automatisierten Verarbeitung besteht die Ersatzpflicht nicht, wenn die
Daten verarbeitende Stelle nachweist, dass die Unzulässigkeit nicht von ihr zu
vertreten ist. 2Bei einer schweren Verletzung des Persönlichkeitsrechts kann auch
wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in
Geld verlangt werden. 3Ersatzpflichtige haften gegenüber jeder betroffenen Person
für jedes schädigende Ereignis bis zu einem Betrag von 250 000 Euro. Mehrere
Ersatzpflichtige haften als Gesamtschuldner.
(2) Auf ein Mitverschulden der Betroffenen ist § 254 und auf die Verjährung des
Schadensersatzanspruchs § 852 des Bürgerlichen Gesetzbuchs1) entsprechend
anzuwenden.
1) Hinweis der Redaktion:
§ 852 BGB in der bis zum 31. Dezember 2001 gültigen Fassung. Neue Regelung s. § 199 Abs. 3 BGB, in der ab
01. Januar 2002 gültigen Fassung.
§ 19
Anrufung der Landesbeauftragten oder des Landesbeauftragten
(1) 1Jede Person, die meint, durch die Verarbeitung ihrer personenbezogenen Daten
in ihren Rechten durch eine Stelle verletzt worden zu sein, die der Kontrolle nach den
Vorschriften dieses Gesetzes unterliegt, kann sich an die Landesbeauftragte oder
den Landesbeauftragten wenden. 2Keine Person darf deswegen benachteiligt
werden.
(2) 1Die Bediensteten der Behörden und sonstigen öffentlichen Stellen, auf die dieses
Gesetz Anwendung findet, dürfen sich unbeschadet ihres Rechts nach Absatz 1 in
allen Angelegenheiten des Datenschutzes jederzeit an die Landesbeauftragte oder
den Landesbeauftragten wenden. 2Der Einhaltung des Dienstweges bedarf es nicht,
wenn die Bedienstete oder der Bedienstete auf einen Verstoß gegen
datenschutzrechtliche Vorschriften oder auf die Gefahr hingewiesen hat, dass eine
Person in unzulässiger Weise in ihrem Recht auf informationelle Selbstbestimmung
beeinträchtigt wird, und diesem Hinweis binnen angemessener Frist nicht abgeholfen
worden ist. 3Im Übrigen bleiben die dienstrechtlichen Pflichten der Bediensteten
unberührt.
§ 20
Verzicht auf Rechte der Betroffenen
Die in diesem Abschnitt genannten Rechte können auch durch die Einwilligung der
Betroffenen nicht im Voraus ausgeschlossen oder beschränkt werden.
Vierter Abschnitt
Landesbeauftragte oder Landesbeauftragter für den Datenschutz
§ 21
Rechtsstellung der Landesbeauftragten oder des Landesbeauftragten
(1) 1Die Landesbeauftragte oder der Landesbeauftragte muss das 35. Lebensjahr
vollendet und soll die Befähigung zum Richteramt haben. 2Sie oder er wird nach der
Wahl durch den Landtag auf die Dauer von acht Jahren in ein Beamtenverhältnis auf
Zeit berufen. 3Die Wiederwahl und die Berufung für eine weitere Amtszeit sind
zulässig. 4Das Amt ist im Übrigen bis zum Eintritt der Nachfolge weiterzuführen. 5Die
Landesbeauftragte oder der Landesbeauftragte kann außer auf Antrag nur entlassen
werden, wenn der Pflicht nach Satz 4 nicht nachgekommen wird oder wenn Gründe
vorliegen, die bei einem Richterverhältnis auf Lebenszeit die Entlassung aus dem
Dienst rechtfertigen.
(2) 1Die Landesbeauftragte oder der Landesbeauftragte ist oberste Dienstbehörde im
Sinne des § 96 der Strafprozessordnung und trifft die Entscheidungen nach § 37
Abs. 3 bis 5 des Beamtenstatusgesetzes für sich selbst und die zugeordneten
Bediensteten. 2Im Übrigen untersteht sie oder er der Dienstaufsicht der
Landesregierung.
(3) 1Die Geschäftsstelle der Landesbeauftragten oder des Landesbeauftragten wird
beim Innenministerium eingerichtet. 2Die der Landesbeauftragten oder dem
Landesbeauftragten zugeordneten Stellen werden auf ihren oder seinen Vorschlag
besetzt. 3Die Bediensteten können ohne ihre Zustimmung nur im Einvernehmen mit
der Landesbeauftragten oder dem Landesbeauftragten versetzt, abgeordnet oder
umgesetzt werden.
(4) 1Ist die Landesbeauftragte oder der Landesbeauftragte länger als sechs Wochen
an der Ausübung des Amtes verhindert, so kann die Landesregierung eine
Vertreterin oder einen Vertreter mit der Wahrnehmung der Geschäfte beauftragen.
2Die Landesbeauftragte oder der Landesbeauftragte soll dazu gehört werden. 3Bei
einer kürzeren Verhinderung oder bis zu einer Regelung nach Satz 1 führt die
leitende Beamtin oder der leitende Beamte der Geschäftsstelle die Geschäfte.
§ 22
Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des
Landesbeauftragten
(1) 1Die Landesbeauftragte oder der Landesbeauftragte kontrolliert die Einhaltung
der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz
bei den Behörden und sonstigen öffentlichen Stellen. 2Der Landtag, die Gerichte und
der Landesrechnungshof unterliegen dieser Kontrolle aber nur, soweit sie in
Verwaltungsangelegenheiten tätig werden. 3Außerdem kann die Landesbeauftragte
oder der Landesbeauftragte den Landtag, die Landesregierung, die übrigen
Behörden und sonstigen öffentlichen Stellen über Verbesserungen des
Datenschutzes beraten. 4Die Landesbeauftragte oder der Landesbeauftragte ist bei
der Ausarbeitung von Rechts- und Verwaltungsvorschriften anzuhören, die
Regelungen zum Recht auf informationelle Selbstbestimmung zum Gegenstand
haben.
(2) Die Landesbeauftragte oder der Landesbeauftragte ist rechtzeitig über Planungen
des Landes und der kommunalen Gebietskörperschaften zum Aufbau automatisierter
Informationssysteme zu unterrichten.
(3) 1Die Landesbeauftragte oder der Landesbeauftragte legt dem Landtag jeweils für
zwei Kalenderjahre einen Tätigkeitsbericht vor. 2Die Landesregierung nimmt hierzu
gegenüber dem Landtag innerhalb von sechs Monaten Stellung. 3 Die
Landesbeauftragte oder der Landesbeauftragte unterrichtet den Landtag und die
Öffentlichkeit auch über wesentliche Entwicklungen des Datenschutzes. 4Auf
Ersuchen des Landtages, seines zuständigen Ausschusses oder der
Landesregierung hat die Landesbeauftragte oder der Landesbeauftragte ferner
Angelegenheiten von besonderer datenschutzrechtlicher Bedeutung zu untersuchen
und über die Ergebnisse zu berichten. 5Die Landesbeauftragte oder der
Landesbeauftragte hat in bedeutsamen Fällen alsbald dem Landtag schriftlich oder in
den Sitzungen seiner Ausschüsse mündlich zu berichten. 6Schriftliche Äußerungen
gegenüber dem Landtag sind gleichzeitig der Landesregierung vorzulegen.
(4) 1Die Behörden und sonstigen öffentlichen Stellen sind verpflichtet, die
Landesbeauftragte oder den Landesbeauftragten bei der Erfüllung der Aufgaben zu
unterstützen. 2Dazu haben sie insbesondere
1. Auskunft zu erteilen sowie Einsicht in alle Unterlagen zu gewähren, die die
Landesbeauftragte oder der Landesbeauftragte zur Erfüllung der Aufgaben für
erforderlich hält,
2. die in Nummer 1 genannten Unterlagen auf Verlangen innerhalb einer
bestimmten Frist zu übersenden,
3. jederzeit Zutritt in alle Diensträume zu gewähren.
3Die oberste Landesbehörde entscheidet, ob der Landesbeauftragten oder dem
Landesbeauftragten personenbezogene Daten einer betroffenen Person zu
offenbaren sind, wenn dieser Vertraulichkeit besonders zugesichert worden ist.
(5) Beschreibungen nach § 8 sind der Landesbeauftragten oder dem
Landesbeauftragten zu übersenden, wenn die Verarbeitungen zur Erfüllung
1. der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder
2. polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz1)
erfolgen.
1) Hinweis der Redaktion:
Seit 01. Januar 2005 „Niedersächsisches Gesetz über die öffentliche Sicherheit und Ordnung
(Nds. SOG)“
(6) 1Die Landesregierung kann der Landesbeauftragten oder dem
Landesbeauftragten die Aufgaben der Aufsichtsbehörde für die Datenverarbeitung im
nicht öffentlichen Bereich nach den Bestimmungen des Bundesdatenschutzgesetzes
übertragen. 2Abweichend von § 21 Abs. 2 unterliegt sie oder er insoweit der
Fachaufsicht der Landesregierung. 3Auch für diesen Tätigkeitsbereich ist ein Bericht
nach Absatz 3 vorzulegen.
§ 23
Beanstandungen durch die Landesbeauftragte oder den Landesbeauftragten
(1) 1Stellt die Landesbeauftragte oder der Landesbeauftragte Verstöße gegen die
Vorschriften dieses Gesetzes oder gegen andere Datenschutzbestimmungen fest, so
ist dies
1. bei der Landesverwaltung gegenüber der zuständigen obersten Landesbehörde,
2. bei den Gemeinden, Landkreisen und den sonstigen der Aufsicht des Landes
unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
sowie bei Vereinigungen solcher Körperschaften, Anstalten und Stiftungen
gegenüber dem vertretungsberechtigten Organ
mit der Aufforderung zu beanstanden, innerhalb einer bestimmten Frist Stellung zu
nehmen. 2In den Fällen des Satzes 1 Nr. 2 ist gleichzeitig auch die zuständige
Aufsichtsbehörde zu unterrichten.
(2) 1Die Stellungnahme soll auch die Maßnahmen darstellen, die der Beanstandung
abhelfen sollen. 2Die in Absatz 1 Satz 1 Nr. 2 genannten Stellen leiten der
zuständigen Aufsichtsbehörde eine Abschrift ihrer Stellungnahme zu.
(3) Die Landesbeauftragte oder der Landesbeauftragte kann insbesondere dann von
einer Beanstandung absehen oder auf eine Stellungnahme der betroffenen Stelle
verzichten, wenn es sich um unerhebliche Mängel handelt oder die Beseitigung der
Mängel sichergestellt ist.
Fünfter Abschnitt
Besonderer Datenschutz
§ 24
– aufgehoben –
§ 25
Verarbeitung personenbezogener Daten für Forschungsvorhaben
(1) Für die Verarbeitung personenbezogener Daten zur Durchführung von
wissenschaftlichen Forschungsvorhaben sind die §§ 9 bis 15 nach Maßgabe der
Absätze 2 bis 5 und 7 anzuwenden.
(2) Für wissenschaftliche Forschungsvorhaben dürfen personenbezogene Daten, die
für andere Zwecke oder für ein anderes Forschungsvorhaben erhoben oder
gespeichert worden sind, verarbeitet werden, wenn
1. die Betroffenen eingewilligt haben,
2. eine Rechtsvorschrift dies vorsieht oder
3. Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges
Interesse der Betroffenen der Verarbeitung der Daten für das
Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der
Durchführung des Forschungsvorhabens das schutzwürdige Interesse der
Betroffenen erheblich überwiegt. Das Ergebnis der Abwägung und seine
Begründung sind aufzuzeichnen. Über die Verarbeitung ist die
Datenschutzbeauftragte oder der Datenschutzbeauftragte nach § 8 a zu
unterrichten.
(3) Die für ein Forschungsvorhaben gespeicherten oder übermittelten Daten dürfen
nur für Zwecke der wissenschaftlichen Forschung verarbeitet werden.
(4) Sobald der Stand des Forschungsvorhabens es gestattet, sind die Merkmale, mit
deren Hilfe ein Bezug auf eine bestimmte natürliche Person hergestellt werden kann,
gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck dies
gestattet.
(5) Im Rahmen von wissenschaftlichen Forschungsvorhaben dürfen
personenbezogene Daten nur veröffentlicht werden, wenn
1. die Betroffenen eingewilligt haben oder
2. dies für die Darstellung von Forschungsergebnissen über Ereignisse der
Zeitgeschichte unerlässlich ist.
(6) Die Einwilligung der Betroffenen bedarf nicht der Schriftform, wenn hierdurch das
Forschungsvorhaben erheblich beeinträchtigt würde.
(7) 1Eine Übermittlung personenbezogener Daten an Empfänger, auf die dieses
Gesetz keine Anwendung findet, ist nach Maßgabe des Absatzes 2 zulässig, wenn
sich die Empfänger verpflichten, die Daten nur für das von ihnen zu bezeichnende
Forschungsvorhaben und nach Maßgabe der Absätze 3 bis 5 zu verarbeiten. 2Die
Übermittlung ist der Landesbeauftragten oder dem Landesbeauftragten rechtzeitig
vorher anzuzeigen.
§ 25 a
Beobachtung durch Bildübertragung
(1) Die Beobachtung öffentlich zugänglicher Räume durch Bildübertragung
(Videoüberwachung) ist nur zulässig, soweit sie
1. zum Schutz von Personen, die der beobachtenden Stelle angehören oder diese
aufsuchen, oder
2. zum Schutz von Sachen, die zu der beobachtenden Stelle oder zu den
Personen nach Nummer 1 gehören,
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen
der von der Beobachtung betroffenen Personen überwiegen.
(2) 1Die Verarbeitung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum
Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen,
dass schutzwürdige Interessen der Betroffenen überwiegen. 2Für einen anderen
Zweck dürfen sie nur verarbeitet werden, soweit dies zur Abwehr von Gefahren für
die öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder die
Betroffenen ausdrücklich eingewilligt haben.
(3) Die Möglichkeiten der Beobachtung und der Aufzeichnung sowie die
verarbeitende Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(4) 1Werden durch Videoüberwachung erhobene Daten einer bestimmten Person
zugeordnet und verarbeitet, so ist diese über die jeweilige Verarbeitung zu
unterrichten. 2Von einer Unterrichtung kann abgesehen werden,
1. solange das öffentliche Interesse an einer Strafverfolgung das
Unterrichtungsrecht der betroffenen Person erheblich überwiegt oder
2. wenn die Unterrichtung im Einzelfall einen unverhältnismäßigen Aufwand
erfordert.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks
nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer
weiteren Speicherung entgegenstehen.
(6) Dem Einsatz der Videoüberwachung muss stets eine Prüfung nach § 7 Abs. 3
vorausgehen.
§ 26
Fernmessen und Fernwirken
(1) 1Ferngesteuerte Messungen oder Beobachtungen (Fernmessdienste) dürfen in
Wohnungen oder Geschäftsräumen nur vorgenommen werden, wenn die
Betroffenen zuvor über den Verwendungszweck sowie über Art, Umfang und
Zeitraum des Einsatzes unterrichtet worden sind und nach der Unterrichtung
schriftlich eingewilligt haben. 2Entsprechendes gilt, soweit eine
Übertragungseinrichtung dazu dienen soll, in Wohnungen oder Geschäftsräumen
Wirkungen auszulösen (Fernwirkdienste). 3Die Einrichtung von Fernmess- und
Fernwirkdiensten ist nur zulässig, wenn die Betroffenen erkennen können, wann ein
Dienst in Anspruch genommen wird und welcher Art dieser Dienst ist. 4Die
Betroffenen können ihre Einwilligung jederzeit widerrufen, soweit dies mit der
Zweckbestimmung des Dienstes vereinbar ist. 5Das Abschalten eines Dienstes gilt im
Zweifel als Widerruf der Einwilligung.
(2) 1Eine Leistung, der Abschluss oder die Abwicklung eines Vertragsverhältnisses
dürfen nicht von der Einwilligung nach Absatz 1 abhängig gemacht werden.
2Betroffenen dürfen keine Nachteile entstehen, die über die unmittelbaren
Folgekosten hinausgehen, wenn sie ihre Einwilligung verweigern oder widerrufen.
(3) 1Die im Rahmen von Fernmess- oder Fernwirkdiensten erhobenen Daten dürfen
nur zu den vereinbarten Zwecken verarbeitet werden. 2Sie sind zu löschen, sobald
sie zur Erfüllung dieser Zwecke nicht mehr erforderlich sind.
§ 27
Öffentliche Auszeichnungen
(1) 1Zur Vorbereitung öffentlicher Auszeichnungen dürfen die dazu erforderlichen
personenbezogenen Daten auch ohne Kenntnis der Betroffenen bei anderen
Personen oder Stellen erhoben werden. 2Auf Anforderung dürfen öffentliche Stellen
die erforderlichen Daten übermitteln.
(2) § 16 findet keine Anwendung.
Sechster Abschnitt
Übergangs- und Schlussvorschriften
§ 28
Straftaten
(1) 1Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern
oder einen anderen zu schädigen, personenbezogene Daten, die nicht allgemein
zugänglich sind,
1. unbefugt erhebt, speichert, verändert, löscht, übermittelt oder nutzt oder
2. durch Vortäuschung falscher Tatsachen ihre Weitergabe an sich oder andere
veranlasst,
wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. 2Ebenso wird
bestraft, wer unter den in Satz 1 genannten Voraussetzungen Einzelangaben über
persönliche oder sachliche Verhältnisse einer nicht mehr bestimmbaren Person mit
anderen Informationen zusammenführt und dadurch die betroffene Person wieder
bestimmbar macht.
(2) Der Versuch ist strafbar.
§ 29
Ordnungswidrigkeiten
(1) Ordnungswidrig handelt, wer personenbezogene Daten, die nicht allgemein
zugänglich sind,
1. entgegen § 5 zu einem anderen als dem zur jeweiligen rechtmäßigen
Aufgabenerfüllung gehörenden Zweck verarbeitet oder offenbart oder
2. sich durch Vortäuschung falscher Tatsachen verschafft oder an sich oder andere
übermitteln lässt.
(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu 50 000 Euro geahndet
werden.
§§ 30 bis 34
Vom Abdruck der §§
30 (Übergangsvorschrift)
31 (Aufhebung von Rechtsvorschriften)
32 (Änderung des Niedersächsischen Meldegesetzes)
33 (Änderung des Niedersächsischen Verfassungsschutzgesetzes) und
34 (In-Kraft-Treten)
wird abgesehen.