Dr. Jörg Philipp Terhechte hat in einem gerade erschienenen Aufsatz das Urteil des EuGH (Urt. v. 10.2.2009 – C‑301/06) zur (formellen) Rechtmäßigkeit der Vorratsdatenspeicherungsrichtlinie untersucht (Klageschrift, Schlussanträge und Urteil hier).
In eigener Sache:
In der JurPC ist heute eine Anmerkung zum Urteil des OLG Hamburg v. 4.2.2009 – Az. 5 U 167/07 erschienen (JurPC Web-Dok. 69/2009, s. dazu schon Artikel bei heise), das im Bereich der Störerhaftung eine Entscheidung des LG Hamburg aufgehoben hat. Das OLG Hamburg hat die bisherige Linie des LG Hamburg in sehr deutlicher Form kritisiert.
Zur Anmerkung hier.
EuGH, Urt. v. 19.2.2009, C-557/07 – LSG ./. Gesellschaft zur Wahrnehmung von Leistungsschutzrechten
Mit Urteil vom 19.2.2009 – Az. C 557/07 – hat der Europäische Gerichtshof (EuGH) auf eine Vorlage des Österreichischen Obersten Gerichtshofs hin einen Beschluss gefasst, der die Regelungen des Auskunftsanspruchs nach Art. 8 der Enforcement-Richtlinie 2004/48/EG, den Begriff des Access Providers als “Vermittler” im Sinne des Art. 8 Abs. 3 der InfoSoc-Richtlinie 2001/29/EG sowie erneut das Verhältnis zwischen der TK-Datenschutzrichtlinie 2002/58/EG und den anderen Richtlinien näher beleuchtet.
Leitsätze:
1. Das Gemeinschaftsrecht, insbesondere Art. 8 Abs. 3 der Richtlinie 2004/48/EG (Enforcement-RL) i.V.m.Art. 15 Abs. 1 der Richtlinie 2002/58/EG (TK-Datenschutzrichtlinie), hindert die Mitgliedstaaten nicht daran, eine Verpflichtung zur Weitergabe personenbezogener Verkehrsdaten an private Dritte zum Zweck der zivilgerichtlichen Verfolgung von Urheberrechtsverstößen aufzustellen. Die Mitgliedstaaten sind aber gemeinschaftsrechtlich verpflichtet, darauf zu achten, dass ihrer Umsetzung der Richtlinien 2000/31/EG, 2001/29/EG, 2002/58 und 2004/48 eine Auslegung derselben zugrunde liegt, die es erlaubt, die verschiedenen beteiligten Grundrechte miteinander zum Ausgleich zu bringen. Außerdem müssen die Behörden und Gerichte der Mitgliedstaaten bei der Durchführung der Maßnahmen zur Umsetzung dieser Richtlinien nicht nur ihr nationales Recht im Einklang mit Letzteren auslegen, sondern auch darauf achten, dass sie sich nicht auf eine Auslegung dieser Richtlinien stützen, die mit den Grundrechten oder den anderen allgemeinen Grundsätzen des Gemeinschaftsrechts wie etwa dem Grundsatz der Verhältnismäßigkeit kollidiert.
2. Ein Access-Provider, der den Nutzern nur den Zugang zum Internet verschafft, ohne weitere Dienste wie insbesondere E‑Mail, FTP oder File-Sharing anzubieten oder eine rechtliche oder faktische Kontrolle über den genutzten Dienst auszuüben, ist „Vermittler“ im Sinne des Art. 8 Abs. 3 der Richtlinie 2001/29.
Hintergrund
Grundlage des Verfahrens vor den österreichischen Gerichten war der Streit zwischen dem Access Provider Tele2 und der Verwertungsgessellschaft LSG, die die Inhaber von Tonträgerherstellerrechten vertrat. Die LSG hatte von Tele2 Auskunft über durch die IP-Adresse identifizierte Filesharing-Nutzer nach § 87b Abs. 3 Ö-UrhG verlangt. Tele2 hatte dagegen eingewandt, dass sie kein Vermittler i.S.d. Art. 8 Abs. 3 der …-Richtlinie 2001/29/EG (§ 81 Abs. 1a Ö-UrhG) sei, da sie keine rechtliche oder faktische Kontrolle über die vom Nutzer verwendeten Dienste ausübe. Die TK-Datenschutzrichtlinie habe zudem das Spannungsverhältnis zwischen dem Auskunftsanspruch und dem Interesse an der Geheimhaltung zugunsten des Datenschutzes gelöst.
Der EuGH sprach sich gegen beide Argumente aus.
Begriff des Access Providers vs. “Vermittler”
Rn. 43-44:
“Ein Access-Provider, der dem Kunden lediglich den Zugang zum Internet verschafft, ohne überhaupt weitere Dienste anzubieten oder eine rechtliche oder faktische Kontrolle über den genutzten Dienst auszuüben, stellt einen Dienst bereit, der von einem Dritten genutzt werden kann, um ein Urheberrecht oder ein verwandtes Schutzrecht zu verletzen, da er dem Nutzer zu der Verbindung verhilft, die diesem die Verletzung solcher Rechte ermöglicht.
Es steht aber fest, dass der Access-Provider durch die Gewährung des Internetzugangsdie Übertragung solcher Rechtsverletzungen zwischen einem Kunden und einem Dritten ermögliche.”
Der EuGH bezieht sich ferner zur Beantwortung der Frage auf sein Urteil “Promusicae” (Urt. v. 29.1.2008 – Az. C-275/06, MMR 2008, 227; s. dazu Spindler, GRUR 2008, 574), in der bereits die Möglichkeit der Mitgliedsstaaten zur Regelung eines Auskunftsanspruchs gegen Access Provider als rechtmäßig angesehen wurde.
Vorrang der europarechtlichen Datenschutzregelungen
Hinsichtlich eines von der Auslegung der entsprechenden Richtlinien (insb. Datenschutz-RL und TK-Datenschutz-RL) durchaus vertretbaren Vorrangs des Datenschutzrechts (dazu ausführlich Mantz, Rechtsfragen offener Netze, S. 308 ff. mit weiteren Nachweisen) hat der EuGH unter Bezugnahme auf das Urteil Promusicae, wo diese Frage bereits geklärt wurde, festgestellt:
Der Gerichtshof hat daraus in den Randnrn. 54 und 55 des Urteils Promusicae abgeleitet, dass die Richtlinie 2002/58, insbesondere ihr Art. 15 Abs. 1, es den Mitgliedstaaten nicht verwehrt, eine Pflicht zur Weitergabe personenbezogener Daten im Rahmen eines zivilrechtlichen Verfahrens vorzusehen, sie dazu aber auch nicht verpflichtet.
Mit anderen Worten: Die Datenschutzregelungen stehen einem Auskunftsanspruch nicht entgegen.
Folgerungen
Europarechtlich dürften die aufgeworfenen Fragen nun geklärt sein. Fraglich ist nun, wie das österreichische Gericht (und auch die deutschen Gerichte) mit dem Urteil umgeht – also wie der Bezug zu nationalem Recht gelöst wird. Denn der EuGH hat (wie auch schon in der Promusicae-Entscheidung) dem nationalen *Gesetzgeber* auferlegt, einen Ausgleich zwischen den beeinträchtigten Rechten herzustellen. Ob z.B. die deutsche Regelung in § 101 UrhG, die eine Verhältnismäßigkeitsprüfung sowie einen Richtervorbehalt vorsieht, hierfür ausreicht, ist fraglich. Die Anwendung durch die Gerichte ist bisher noch vollkommen uneinheitlich, bei den oberlandesgerichtlichen Entscheidungen hat bisher nur das OLG Oldenburg (s. hier, sowie allgemein Urteile und Meldungen zu § 101 UrhG) tatsächlich eine Verhältnismäßigkeitsabwägung vorgenommen. Wenn durch die gerichtliche Praxis aber kein tragfähiger Grundrechtsausgleich vor dem Hintergrund der sehr generischen Vorgaben des Gesetzgebers erreicht wird, könnte nach dem Urteil des EuGH eine Pflicht des Gesetzgebers zur Herbeiführung eines solchen gesetzlichen Ausgleichs durch entsprechende Vorgaben bestehen. Denn der EuGH hat hierzu festgestellt:
“Die Mitgliedstaaten sind aber gemeinschaftsrechtlich verpflichtet, darauf zu achten, dass ihrer Umsetzung der Richtlinien 2000/31/EG, 2001/29/EG, 2002/58 und 2004/48 eine Auslegung derselben zugrunde liegt, die es erlaubt, die verschiedenen beteiligten Grundrechte miteinander zum Ausgleich zu bringen.”
Weitere Besprechung:
In der aktuellen Ausgabe der JurPC hat Robert Künnemann einen Überblick über die WLAN und Sicherheitsstandards dargestellt (Künnemann, Funknetzwerke und ihre Sicherheit, JurPC Web.-Dok. 62/2009).
Übersichtlich, kurz gehalten und verständlich beschreibt er WLAN, Sicherheitstechniken und teilweise auch Angriffsmethoden.
LG Frankenthal, Beschl. v. 6.3.2009 – 6 O 60/09
Das LG Frankenthal hat ausführlich zum Auskunftsanspruch nach § 101 UrhG Stellung genommen (Volltext s.u.). Interessant ist, dass es auch auf die Beweisführung eingegangen ist (s. dazu eingehend Gietl/Mantz, CR 2008, 810, 815 ff., BibTex-Eintrag hier) und sich näher mit Hash-Werten beschäftigt hat.
Ein weiterer sehr interssanter Gesichtspunkt ist, dass das Angebot einer unvollständigen Datei (was beim Filesharing sehr häufig passiert, solange man selber noch herunterlädt) nach Auffassung des LG Frankenthal richtigerweise gegen das Vorliegen eines gewerblichen Ausmaßes spricht. Denn auch im Geschäft würde man sich ja nur mit dem ganze Produkt, nicht aber nur einzelnen Teilen davon zufrieden geben.
S. auch: Weitere Meldungen zu § 101 UrhG
Hier das Urteil im Volltext:
Leitsätze (nicht amtlich):
- Das gewerbliche Ausmaß nach § 101 UrhG einer Rechtsverletzung ist in jedem Einzelfall zu prüfen.
- Wird nur ein Bruchteil einer Datei angeboten, spricht dies gegen das Vorliegen eines gewerblichen Ausmaßes.
- Zur Beweisführung mit Hash-Werten von Dateien.
- Die gesamten Kosten des Verfahrens nach § 101 UrhG trägt (zunächst) der Antragssteller.
Tenor
1. Der Antrag wird zurückgewiesen.
2. Die Kosten des Verfahrens hat die Antragstellerin zu tragen.
Gründe
I.
Die Antragstellerin ist ein auf Marketing und Vertrieb von Computerspielen spezialisiertes Unternehmen; bei der Beteiligten zu 2) handelt es sich um einen bekannten Internet-Provider.
Die Antragstellerin macht geltend, die ausschließlichen Nutzungsrechte an einem von einem US-Amerikanischen Unternehmen (G. Entertainment) entwickelten, seit 6. Februar 2009 im Handel erhältlichen Computerspielprogramm namens “X.” zu besitzen. Das sog. „Anti-Piracy-Unternehmen“ L. AG aus der Schweiz hat im Auftrag der Antragstellerin festgestellt, dass am 19. bzw. 20. Februar 2009 drei verschiedene Internetnutzer unter den in dem als Anlage AS 3 vorgelegten Datenblatt (Bl. 29 d.A.) angeführten IP-Adressen eine als „www.torrent.to…X…“ bezeichnete Datei bzw. Bruchteile hiervon über eine sog. Tauschbörse anderen Nutzern des Internets zum Herunterladen angeboten und damit öffentlich zugänglich gemacht haben.
Die Antragstellerin trägt vor, dass es sich bei der genannten Datei um eine Version des oben näher bezeichneten Spieleprogrammes handle. Dies stehe aufgrund des von der L. AG ermittelten „Hashwertes“ fest, der aufgrund einer mathematischen Funktion die eindeutige Identifizierung der Datei ermögliche. Der Umstand, dass die in der Anlage AS 3 aufgelisteten Hashwerte teilweise nicht identisch seien, lasse sich damit erklären, dass auch der jeweilige Inhalt der Dateien aufgrund marginaler Änderungen unterschiedlich, das “Endprodukt” jedoch dasselbe sei.
Die Antragstellerin ist der Ansicht, dass ihr ein Auskunftsanspruch gegen die Antragsgegnerin aufgrund der Vorschrift des § 101 Abs. 9 iVm Abs. 2 Satz 1 Nr. 3 UrhG zustehe. Die Rechtsverletzung sei offensichtlich, wobei es im Rahmen der hier begehrten Auskunft nicht darauf ankomme, ob diese durch die Inhaber der jeweiligen Internetanschlüsse erfolgt sei. Die sich hinter den mitgeteilten IP-Adressen verbergenden Nutzer hätten zudem – sofern dies für den von ihr geltend gemachten Anspruch überhaupt Voraussetzung sei – in gewerblichem Ausmaß gehandelt, indem sie die eingangs genannte Datei anderen Internetnutzern zum Download zur Verfügung gestellt hätten. Das ergebe sich hier aus dem Umstand, dass es sich bei der zum Herunterladen bereit gestellten Datei um ein besonders umfangreiches, erst vor kurzem veröffentlichtes Programm handle und die Verletzung ihrer Rechte daher besonders schwer wiege.
Die Antragstellerin beantragt, der Beteiligten zu 2) zu gestatten, der Antragstellerin unter Verwendung der vorhandenen Verkehrsdaten im Sinne des § 3 Nr. 30 TKG Auskunft zu erteilen über Vorname, Name, Straße, Hausnummer sowie Postleitzahl und Ort derjenigen Internetnutzer, denen zur angegebenen Zeit die angegebene IP-Adresse zugewiesen war:
89.13.10.192 19.02.2009 22:31:39 MEZ …
77.188.166.205 19.02.2009 22:47:05 MEZ …
93.128.31.234 20.02.2009 02:41:06 MEZ …
und zwar in geordneter Form.
Die Beteiligte zu 2) beantragt, den Antrag zurückzuweisen.
Sie trägt vor,
Ein Urheber- oder Lizenzrecht der Antragstellerin an einer eventuell existierenden russischen Version des Spieles bestehe nicht; aufgrund der von ihr angestellten Recherchen stehen derartige Rechte neben der G. E. Inc. vielmehr einer Z. E. AG zu. Weiter sei unklar, ob es sich bei den von der Antragstellerin in ihrem Antrag wiedergegebenen IP-Adressen überhaupt um solche handle, die von der Beteiligten zu 2) vergeben worden seien. Die von der L. AG eingesetzte Software arbeite nicht immer korrekt; Fehler, Fehlbedienungen und Manipulationen seien vielmehr nicht auszuschließen, was insbesondere auch für die ermittelten Zeiten der zugewiesenen IP-Adressen gelte. Die Identifizierung von in Tauschbörsen angebotenen Dateien über den sog. „Hash-Wert“ sei nicht sicher möglich. Zudem könne bei Einstellung einer Datei in ein Tauschbörsenprogramm jeder Nutzer selbst das Herunterladen dieser Datei durch entsprechende Vorkehrungen technisch verhindern, so dass nicht automatisch davon ausgegangen werden könne, dass das Programm in den genannten Fällen tatsächlich zum Herunterladen zur Verfügung stand. Selbst wenn ein Download im Einzelfall – unter Umständen sogar ohne Wissen des jeweiligen Nutzers – möglich gewesen sein sollte, könne dieser sich auch lediglich auf einen geringfügigen und für sich genommen wertlosen Teil der Datei beziehen. Im Übrigen gebe es bei Nutzung eines Internetzugangs durch Dritte keine geeigneten Schutzmöglichkeiten, die Installation und Benutzung einer Tauschbörsensoftware zu verhindern. Eine Vermutung für die konkrete Nutzung des Zugangs durch den jeweiligen Anschlussinhaber gebe es nicht. Ferner seien keine Anhaltspunkte vorhanden, die auf ein Handeln in gewerblichem Ausmaß hindeuten könnten, zumal die Nutzung, d.h. Up- und Download von Daten in Tauschbörsen für alle Beteiligten stets kostenfrei erfolge. Die Auslegung des vom Gesetzgeber nicht näher definierten Begriffs des gewerblichen Ausmaßes habe im Lichte von Verfassungs- und Europarecht zu erfolgen. Schließlich dürfe auf gespeicherte Verkehrsdaten nach der aktuellen Rechtsprechung des Bundesverfassungsgerichts derzeit nur bei Verdacht auf Vorliegen einer Straftat nach § 100a Satz 2 StPO zugegriffen werden.
II.
1. Der Antrag ist nach § 101 Abs. 9 UrhG zulässig, insbesondere statthaft.
Bei den zur Ermittlung von Namen und Anschriften der jeweiligen Internetnutzer notwendigen dynamischen IP-Adressen handelt es sich um Verkehrsdaten im Sinne des § 101 Abs. 9 Satz 1 UrhG; davon, sowie von einem den Richtervorbehalt des § 101 Abs. 9 UrhG erforderlich machenden, durch Auskunft unter Verwendung dieser Daten stattfindenden Grundrechtseingriff gehen Gesetz (§ 101 Abs. 10 UrhG) und Gesetzgeber (vgl. BT-Drs. 16/5048 S. 39) offensichtlich aus (ebenso statt vieler OLG Zweibrücken, GRUR-RR 2009, 12; LG Frankenthal K&R 2008, 467; Kitz, NJW 2008, 2374, 2376 [Fn. 52] jew. m.v.w.N.; offen gelassen allerdings bei OLG Zweibrücken MMR 2009, 45, 46 mit krit. Anm. Höfinger, ZUM 2009, 75). Da es maßgeblich auf die Verwendung der Verkehrsdaten ankommt, ist es unerheblich, dass die von der Beteiligten zu 2) im Ergebnis begehrte Auskunft sich lediglich auf Name und Anschrift bestimmter Personen bezieht, weil diese nur durch Zuordnung zu der mitgeteilten IP-Adresse ermittelt werden können.
2. Der Antrag führt jedoch in der Sache nicht zu dem mit ihm erstrebten Erfolg, weil die Voraussetzungen für den Erlass eine Anordnung nach § 101 Abs. 9 UrhG nicht vorliegen.
a) Aus dem Vorbringen der Antragstellerin lässt sich bereits nicht entnehmen, an welcher konkreten Version der Unterhaltungssoftware “X.” die Klägerin Urheberrechte geltend macht. Der Kammer ist aus einem früheren Verfahren (Az. 6 O 374/08) bekannt, dass mehrere unterschiedliche, für verschiedene Märkte produzierte und zum Teil unter anderem Namen (“O.”) vertriebene Versionen dieses Spielprogrammes existieren. Ob die Antragstellerin ausschließliche Nutzungsrechte an sämtlichen dieser Versionen für alle in Frage kommenden Märkte behauptet und von wem sie diese Rechte in welcher Weise übertragen bekommen hat, geht weder aus ihrem Vortrag, noch aus der eidesstattlichen Versicherung ihres Geschäftsführers vom 20. Februar 2009 (Bl. 25 d.A.) hervor. Insbesondere hat sie auch auf ausdrückliche Anfrage der Kammer vom 23. Februar 2009 in ihrer Stellungnahme vom 2. März 2009 hierzu nicht weiter vorgetragen. Hinzu kommt, dass nach Überprüfung der Kammer vom heutigen Tag auf der deutschsprachigen Internetseite des Spieles (http://www.x. …) das Unternehmen G. E. Inc. und die Z. E. AG aus Karlsruhe als Rechteinhaber an dem Programm genannt werden, wobei die Z. E. AG ausweislich des Impressums auch für die Internetseite selbst verantwortlich zeichnet. Dagegen findet die Antragstellerin in diesem Zusammenhang keine Erwähnung. Es kann daher nicht festgestellt werden, dass der Antragstellerin Urheber- oder Nutzungsrechte an einer oder mehreren konkreten Version(en) der Software zustehen.
b) Weiter ist nicht ersichtlich, dass es sich bei den von der Antragstellerin genannten IP-Adressen, von denen sie wissen möchte, welchen Internetnutzern sie zu den aufgelisteten Zeitpunkten zugewiesen waren, um solche handelt, die zu den fraglichen Zeitpunkten Kunden der Beteiligte zu 2) zugeordnet waren und zu denen diese mithin überhaupt Auskünfte erteilen kann. Zweifel daran sind insbesondere vor dem Hintergrund angezeigt, dass die Antragstellerin selbst hierzu ebenso wenig ausgeführt hat, wie der Mitarbeiter der L. AG W. in seinen eidesstattlichen Versicherungen vom 5. Februar 2009 (also rund 14 Tage vor der Erfassung der verfahrensgegenständlichen Daten; Bl. 26 f. d.A.) und 2. März 2009 (Bl. 92 f. d.A.), während der Geschäftsführer der Antragstellerin in seiner eidesstattlichen Versicherung vom 20. Februar 2009 (Bl. 25 d.A.) ausdrücklich von der Identifizierung solcher IP-Adressen spricht, die der H. T. GmbH zuzuordnen seien.
c) Selbst wenn man zu Gunsten der Antragstellerin unterstellte, dass sie Inhaberin ausschließlicher Nutzungsrechte an der aktuell in Deutschland vertriebenen Version des Computerprogrammes “X.” wäre, kann ferner nicht festgestellt werden, dass unter den ermittelten IP-Adressen zu den mitgeteilten Zeitpunkten im Internet aktive Kunden eine Datei zum Herunterladen zur Verfügung gestellt haben, an der die Antragstellerin Rechte geltend macht. Zwar ist es technisch grundsätzlich möglich, mittels der „Hash-Funktion“ zu ermitteln, ob zwei zu vergleichende Dateien (höchstwahrscheinlich) gleich oder (mit Sicherheit) verschieden sind, wobei das Risiko von als „Kollisionen“ bezeichnete Fehlidentifikationen zwar nicht gänzlich ausgeschlossen, durch den Einbau bestimmter mathematischer Mechanismen aber minimiert werden kann. Ob der dabei von der L. AG verwendete Algorithmus – wie die Beteiligte zu 2) meint – im Hinblick auf derartige Kollisionen besonders fehleranfällig ist, kann dahinstehen. Die Antragstellerin hat nämlich trotz entsprechender Aufforderung der Kammer vom 23. Februar 2009 nicht dargelegt, welchen „Hashwert“ diejenige Version des Spielprogramms aufweist, an dem sie Rechte geltend macht und damit einen Vergleich mit dem von der L. AG ermittelten Hashwerten der zum Download angebotenen Dateien nicht ermöglicht. Im Übrigen ist nach den durch die Erläuterungen des Mitarbeiters der L. AG W. in seiner eidesstattlichen Versicherung vom 2. März 2009 gestützten Darlegungen der Antragstellerin im Schriftsatz vom gleichen Tag ohnehin äußerst fraglich, inwieweit dem ermittelten, in ihrer Antragsschrift noch als “genetischer Fingerabdruck” der Datei bezeichneten Hashwert überhaupt eine Aussagekraft für Verfahren der vorliegenden Art zukommt. Danach genügen nämlich bereits geringfügigste Änderungen an einer Datei (etwa die Hinzufügung eines Satzzeichens bei einer viele Millionen Zeichen enthaltenden Programmdatei), um einen völlig anderen Hashwert zu erhalten.
d) Offen bleiben kann, ob hier von einer offensichtlichen Rechtsverletzung durch die zu ermittelnden Inhaber der jeweiligen Internetanschlüsse im Sinne des § 101 Abs. 2 Satz 1 UrhG auszugehen und ob dies Voraussetzung für einen Anspruch nach § 101 Abs. 9 UrhG ist.
Nach der auch von der Antragstellerin zitierten Auffassung erfordert das Gesetz lediglich das Vorliegen einer offensichtlichen Rechtsverletzung, nicht aber, dass die Rechtsverletzung offensichtlich durch den Inhaber des jeweiligen Anschlusses begangen wurde, bezüglich dessen die Auskunft vom Provider begehrt wird, weil der Zweck der Regelung des § 101 Abs. 2 UrhG ansonsten vollkommen leer laufe (OLG Köln, GRUR-RR 2009, 9, 10). Diese ergebnisorientierte Argumentation lässt sich nach Auffassung der Kammer mit dem Wortlaut der Regelung durchaus in Einklang bringen, erscheint im Hinblick auf den bereits mit der Erteilung der Auskunft verbundenen, nicht rückgängig zu machenden Eingriff in die Grundrechte Anschlussinhabers, der möglicherweise weder Verletzer noch Störer ist, aber dennoch nicht unbedenklich (zum besonderen verfassungsrechtlichen Schutz von Verkehrsdaten vgl. OLG Oldenburg, OLGR 2009, 109).
Am Vorliegen einer (offensichtlichen) Rechtsverletzung durch die Anschlussinhaber selbst bestehen jedenfalls schon deshalb nicht unerhebliche Zweifel, weil diese mit den potentiellen Verletzern keineswegs zwingend identisch sein müssen. Zwar treffen den Inhaber eines Anschlusses nach der Rechtsprechung gewisse Prüf- und Überwachungspflichten, sofern er seinen Internetzugang auch Dritten (etwa Familienmitgliedern) zugänglich macht, so dass er für eventuelle Rechtsverletzungen Dritter unter Umständen als Störer einzustehen hat (vgl. etwa LG Mannheim, MMR 2007, 267). Dies kann nach Auffassung der Kammer allerdings nicht uneingeschränkt gelten. So haften Inhaber eines (drahtlosen) WLAN-Anschlusses im privaten Bereich jedenfalls nicht generell wegen der abstrakten Gefahr eines Missbrauchs von außen als Störer, sondern erst, wenn konkrete Anhaltspunkte für einen derartigen Missbrauch bestehen (OLG Frankfurt, GRUR-RR 2008, 279). Nichts anderes kann für die immer zahlreicher werdenden Betreiber eines öffentlichen WLAN- oder WiFi-Anschlusses (sog. „HotSpots“), wie Internet-Cafés, Flughäfen, Hotels, Büchereien, Gemeinden etc. gelten. Gerade bei diesen vermag auch das Argument, es sei dem Anschlussinhaber technisch möglich und wirtschaftlich zuzumuten, seinen Anschluss durch Verschlüsselung zu schützen, nicht zu verfangen, da das Wesen dieser „HotSpots“ gerade darin besteht, jedermann – je nach Ausgestaltung unentgeltlich oder gegen Bezahlung – einen Internetzugang für einen gewissen Zeitraum zur Verfügung zu stellen, ohne auf das individuelle Surf- oder Downloadverhalten des jeweiligen Nutzers maßgeblichen Einfluss nehmen zu können.
e) Zudem sind in den von der Antragstellerin vorgetragenen konkreten Einzelfällen keine hinreichenden Anhaltspunkte dafür ersichtlich, dass die jeweils zu ermittelnden Nutzer möglicherweise urheberrechtlich geschütztes Material in gewerblichem Ausmaß zum Herunterladen anbieten bzw. angeboten haben.
Die Voraussetzungen des Merkmals des gewerblichen Ausmaßes im Zusammenhang mit dem urheberrechtlichen Auskunftsanspruch ist unklar und vom Gesetzgeber nicht näher umrissen oder gar definiert worden (vgl. ausführlich Braun, jurisPR-ITR 17/2008 Anm. 4 unter D., der die Regelung des § 109 Abs. 2 UrhG aus diesem Grunde sogar für verfassungswidrig hält). Lediglich § 109 Abs. 1 Satz 2 weist darauf hin, dass sich ein derartiges Ausmaß sowohl aus der Anzahl der Rechtsverletzungen, als auch aus deren Schwere ergeben könne. Im Gesetzentwurf der Bundesregierung, der insoweit noch vom „geschäftlichen Verkehr“ sprach, ist in diesem Zusammenhang von einer wirtschaftlichen Betätigung die Rede, mit der in Wahrnehmung oder Förderung eigener oder fremder Geschäftsinteressen am Erwerbsleben teilgenommen wird (vgl. BT-Drs. 16/5408, S. 49 iVm S. 44). Damit scheint an eine Anknüpfung an den handels- und zivilrechtlichen Gewerbebegriff gedacht worden zu sein, wonach unter gewerblichem Handeln jede rechtlich selbständige, planmäßig und auf Dauer angelegte, mit der Absicht der Gewinnerzielung oder laufender Einnahmen ausgeübte und äußerlich erkennbar auf zumindest einem Markt hervortretende Tätigkeit zu verstehen ist (vgl. etwa Staudinger/Weick, BGB [2004] § 13 Rn. 51; MK-BGB/Micklitz, 5. Aufl. § 14 Rn. 18). Bezogen auf sog. „Internet-Piraterie“, also mittels des Internets begangener Urheberrechtsverletzungen, hat sich in der Praxis der Generalstaatsanwaltschaften als Kriterium für die Annahme eines Handelns im gewerblichen Ausmaß im Wesentlichen die Anzahl der zum Herunterladen zur Verfügung gestellten Dateien unter Berücksichtigung der Art (z.B. einzelne Musiktitel, ganze Alben, vollständige Filme) und der Aktualität und damit des Marktwertes (z.B. Kinofilm vor Start in deutschen Lichtspielhäusern) der jeweiligen Werke herausgebildet. Danach wird ein gewerbliches Handeln etwa ab einer Anzahl von etwa 3.000 Musikstücken oder 200 Filmen – und damit einem Marktwert von ca. 3.000.- € – angenommen (Braun aaO mwN).
Unabhängig davon, dass diese Zahlen nach Ansicht der Kammer nur allgemeine Orientierungswerte darstellen können, die eine Überprüfung im Einzelfall nicht entbehrlich machen, kann in den vorliegenden Fällen ein gewerbliches Ausmaß der Zurverfügungstellung von urheberrechtlich geschützten Daten durch die sich hinter den mitgeteilten IP-Adressen verbergenden Internetnutzern nicht angenommen werden. Weder für eine Planmäßigkeit oder Dauerhaftigkeit des Handelns der Betroffenen, noch für eine Gewinn- oder Einnahmeerzielungsabsicht oder eine nach außen deutlich werdende Teilnahme am Erwerbsleben sind irgendwelche Anhaltspunkte aufgezeigt worden oder sonst erkennbar. Solche ergeben sich insbesondere weder aus der Anzahl und Art der zur Verfügung gestellten Datei (hier: eine Computerspieldatei), noch aus der Schwere des beanstandeten Verstoßes, obwohl es sich um eine in Deutschland erst kürzlich veröffentlichte Software handelt, wobei der bloße, in Byte gemessene Umfang des Programms von vornherein als Kriterium für eine besondere Schwere ungeeignet erscheint. Es ist nicht erkennbar, weshalb ein Programm ab einer bestimmten Größe schützenswerter sein soll, als eine Software, welche nur einen geringeren Umfang aufweist.
Aus dem Gesetzgebungsverfahren lässt sich ein Wille des Gesetzgebers dahingehend, dass bei Zurverfügungstellung bereits einer beliebigen urheberrechtlich geschützten Datei in Internet-Tauschbörsen das Erfordernis des gewerblichen Ausmaßes der Tätigkeit als gegeben anzusehen sein soll, nicht entnehmen. Im Gegenteil hat der Bundesrat in seiner im Rahmen des Gesetzgebungsverfahrens abgegebenen Stellungnahme zu § 101 Abs. 2 UrhG ausdrücklich darauf hingewiesen, dass die meisten Teilnehmer einer Internet-Tauschbörse gerade nicht am Erwerbsleben teilnehmen und damit die Gefahr bestehe, dass die neue Regelung weitgehend leer laufe (BT-Drs. 16/5048, S. 59). Er hat daher angeregt, auf das Erfordernis des Handelns in gewerblichem Ausmaß ganz zu verzichten, weil ein derart eingeschränkter Auskunftsanspruch weder wirksam noch abschreckend wäre (BT-Drs. 16/5048, S. 59/60). Dies zur Kenntnis nehmend hat die Bundesregierung dennoch bewusst am Merkmal des gewerblichen Ausmaßes festgehalten; nicht zuletzt deshalb, weil man damit einen Gleichlauf mit den anderen Gesetzen zum Schutz geistigen Eigentums erreichen wollte, die ebenfalls nicht greifen, „wenn nur eine nichtgeschäftliche Verletzung durch einen Endverbraucher vorliegt“ (BT-Drs. 16/5048 S. 65). Somit hat der Gesetzgeber nicht lediglich „übersehen“, dass im Urheberrecht ansonsten auch kein gewerbliches Handeln oder ein Handeln im geschäftlichen Verkehr erforderlich ist (so aber Czychowski, GRUR-RR 2008, 265, 267), sondern letztlich zielgerichtet eine eindeutige Entscheidung zu Gunsten privater Nutzer von Tauschbörsen getroffen, gegenüber denen der neu geschaffene Anspruch häufig oder gar regelmäßig nicht greifen wird. Solange mithin nur feststeht, dass ein Internetnutzer lediglich ein einziges urheberrechtlich geschütztes Werk zum Download zur Verfügung gestellt hat kann von einem gewerblichen Ausmaß im Sinne der Norm grundsätzlich nicht ausgegangen werden (vgl. OLG Zweibrücken, GRUR-RR 2009, 12; OLG Oldenburg, OLGR 2009, 109). Ein Ausnahmefall, in dem nach Auffassung der Kammer schon das Anbieten nur einer Datei einen besonders schweren Verstoß und damit ein Indiz für ein Handeln in gewerblichem Ausmaß darstellen kann (vgl. B. der Kammer v. 3. November 2008 – 6 O 374/08) – sofern es sich nämlich etwa um ein (in Deutschland) noch gar nicht veröffentlichtes Werk handelt – ist hier unzweifelhaft nicht gegeben.
Hinzu kommt hier zumindest bezüglich der beiden zu den fraglichen Zeitpunkten unter den mitgeteilten IP-Adressen 89.13.10.192 und 93.128.31.234 am Internetverkehr teilnehmenden Nutzer, dass diese nach der auf Anfrage der Kammer erfolgten, durch die eidesstattliche Versicherung des Mitarbeiters der L. AG vom 2. März 2009 bestätigten Mitteilung der Antragstellerin lediglich einen Bruchteil von jeweils rd. 20% der fraglichen Datei zum Download angeboten hatten. Bei einem solch unvollständigen Bruchteil eines Softwareprogramms handelt es sich jedoch um eine für sich genommen unbrauchbare, weil nicht selbständig lauffähige Ansammlung von Daten. Dies steht der Annahme eines besonders schweren Verstoßes sowie einem Rückschluss auf ein gewerbliches Handeln der anbietenden Internetnutzer unmittelbar entgegen. Etwas anderes folgt auch nicht aus den Ausführungen der Antragstellerin, wonach diese Nutzer nach Feststellung der L. AG die Datei “im Nachgang” weiter heruntergeladen haben sollen, weil sich aus diesem Vorbringen gerade nicht ergibt, dass das fragliche Werk von diesen Nutzern überhaupt zu irgendeinem Zeitpunkt in nutzbarer Form zum Download zur Verfügung gestellt worden ist.
f) Da bereits das Vorliegen eines Anspruchs nach § 101 Abs. 9 iVm Abs. 2 UrhG nicht festgestellt werden kann, kommt es auf die Frage, ob ein solcher Anspruch im konkreten Einzelfall möglicherweise unverhältnismäßig wäre (§ 101 Abs. 4 UrhG) – wofür etwa sprechen könnte, dass hier nur eine Programmdatei bzw. ein für sich genommen unbrauchbarer Teil davon zum Herunterladen angeboten wurde, deren Marktwert sich nach Recherchen der Kammer in der neuen, spielbaren und deutschsprachigen Verkaufsversion (mit Verpackung und Zubehör) auf etwa 40.- € beläuft – nicht entscheidend an.
Gleichfalls kann offen bleiben, ob unter Berücksichtigung der jüngeren Rechtsprechung des Bundesverfassungsgerichts (vgl. MMR 2008, 303) Verkehrsdaten zur Ermittlung von Personendaten auch dann nur bei Verdacht auf Vorliegen einer Katalogtat des § 100a StPO genutzt werden dürfen, wenn sie nicht im Rahmen der Vorratsdatenspeicherung, sondern im eigenen Interesse des Providers (zur Entgeltabrechnung) gespeichert wurden (vgl. dazu Braun aaO; OLG Zweibrücken aaO) und ob bei Verneinung dieser Frage eine entsprechende Einschränkung hinsichtlich des von der Antragstellerin begehrten Auskunftsanspruchs zu machen wäre. Dass diese Daten unabhängig vom Anlass ihrer Speicherung nur aufgrund vorheriger richterlicher Anordnung zum Zwecke der Erteilung von Auskünften genutzt werden dürfen, ist durch die Einführung des § 101 Abs. 9 und 10 UrhG jedenfalls als geklärt anzusehen (so bereits LG Frankenthal aaO).
g) Die Kosten des Verfahrens hat die Antragstellerin zu tragen. Für die Gerichtskosten gilt dies bereits nach der allgemeinen Regelung des § 2 KostO. Hinsichtlich der außergerichtlichen Kosten folgt die vom Erfolg des Antrags unabhängige Kostentragungspflicht der Antragstellerin aus § 101 Abs. 9 Satz 5 UrhG, der als Spezialregelung der Vorschrift des § 13a Abs. 1 Satz 1 FGG und dem ansonsten im Verfahren der Freiwilligen Gerichtsbarkeit geltenden Grundsatz, wonach jeder Beteiligte seine außergerichtlichen Kosten selbst zu tragen hat, vorgeht. Zwar trifft § 101 Abs. 9 Satz 5 UrhG seinem Wortlaut nach nur eine Regelung für den Fall der Anordnung der Zulässigkeit der Verwendung von Verkehrsdaten, während der Fall der Zurückweisung des Antrags nicht ausdrücklich erwähnt wird. Aus den gesetzgeberischen Erwägungen folgt jedoch, dass es Ziel der Kostenregelung in § 101 Abs. 9 Satz 5 UrhG ist, den nicht als potentiellen Störer anzusehenden, möglicherweise zur Auskunft Verpflichteten nicht mit Verfahrenskosten zu belasten, sondern diese – jedenfalls zunächst – dem Anspruchsberechtigten aufzubürden (BT-Drs. 16/5048, S. 49 iVm S. 40). Mit dieser Absicht wäre es nur schwer zu vereinbaren, wenn derjenige, der die Auskunft erteilen soll, die jeweils schon allein durch seine Beteiligung an dem vom Antragsteller veranlassten Verfahren entstandenen außergerichtlichen Kosten selbst zu tragen hätte (vgl. B. der Kammer v. 26.9.2008 – 6 O 340/08).
Das Verwaltungsgericht Wiesbaden hält in einem Beschluss (v. 27.02.2009 – Az. 6 K 1045/08.WI) die Vorratsdatenspeicherungsrichtlinie (VSRL) für “ungültig” und hat sie dem EuGH zur Beantwortung (inhaltlicher, nicht nur formeller) Fragen diesbezüglich vorgelegt.
“Vorratsdatenspeicherungsrichtlinie ungültig”
Es hat ein laufendes Verfahren ausgesetzt und dem EuGH wegen der Notwendigkeit der Beurteilung der Rechtmäßigkeit der Vorratsdatenspeicherungsrichtlinie im konkreten Fall nach Art. 234 Abs. 2 EGV vorgelegt.
Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden [...] Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie nicht gewahrt, weshalb sie ungültig ist.
Das VG Wiesbaden lehnt sich also insgesamt sehr weit aus dem Fenster und macht schon von vornherein deutlich, in welche Richtung es seiner Ansicht nach gehen sollte. Das ist eine sehr erfrischende Vorgehensweise. Häufig legen Gerichte nur die Entscheidungsfrage(n) vor und stellen die Wirksamkeit oder Interpretation einer europäischen Rechtsgrundlage lediglich mit Begründung in Frage.
Personenbezug von IP-Adressen
Sehr interessant ist auch, dass das VG Wiesbaden klar Stellung zur Frage bezieht, ob (dynamisch zugeteilte) IP-Adressen als personenbezogene Daten anzusehen sind (dazu eine Übersicht, s. auch AG München). Das VG Wiesbaden folgt hierbei der herrschenden Meinung sowie dem Schlussantrag der Generalanwältin in der Sache Promusicae (dem der EuGH in weiten Teilen aber nicht gefolgt ist!) und sieht IP-Adressen als personenbezogen und damit von den datenschutzrechtlichen Vorschriften erfasst an.
Die Vorlagefrage könnte dem EuGH (gesetzt den Fall, er sieht die Beantwortung der Fragen als für den konkreten Fall erheblich an) in die Lage versetzen, auch inhaltlich zur VSRL Stellung zu nehmen, was er im Rahmen des Verfahrens der Republik Irland (dazu hier) vermieden hatte (allerdings auch nicht musste).
Ausblick
Das Urteil des VG Wiesbaden zeigt, dass rund um die Vorratsdatenspeicherung weiter einiges in Bewegung bleibt. Nicht nur die beim Bundesverfassungsgericht (BVerfG) anhängigen Verfassungsbeschwerden, jetzt auch die Überprüfung der europarechtlichen Grundlage, die das BVerfG wahrscheinlich nicht vornehmen wird, stehen in nächster Zeit an. Es bleibt zu hoffen, dass hier eine ausgewogene und gut begründete inhaltliche Entscheidung gefällt wird.
Die Gerichtsentscheidung im Volltext (via AK-Vorratsdatenspeicherung, Hervorhebungen übernommen):
Verwaltungsgericht Wiesbaden
6 K 1045/08.WI
BeschlussIn dem Verwaltungsstreitverfahren
[...]
hat die 6. Kammer des Verwaltungsgerichts Wiesbaden durch Vorsitzenden Richter am VG [...] aufgrund der mündlichen Verhandlung vom 16. Februar 2009 am 27. Februar 2009 verkündet:
Das Verfahren wird ausgesetzt.
Dem Gerichtshof der Europäischen Gemeinschaften werden folgende Fragen zur Vorabentscheidung vorgelegt:
1. Sind die Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (Abl. L 209 vom 11.08.2005, S. 1), eingefügt durch Verordnung 1437/2007 vom 26. November 2007 zur Änderung der Verordnung 1290/2005 über die Finanzierung der gemeinsamen Agrarpolitik (Abl. L 322 vom 07.12.2007, S. 1), ungültig?
2. Ist die Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (Abl. L 76 vom 19.03.2008, S. 28)
a) ungültig
b) oder nur deshalb gültig, weil die Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 174 vom 28.06.2006, S. 5) ungültig ist?
Falls die in der ersten und zweiten Frage genannten Vorschriften gültig sind:
3. Ist Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die in diesem Artikel vorgesehene Verfahrensweise, die die Meldung an die Kontrollstelle ersetzt, durchgeführt worden ist?
4. Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die Vorabkontrolle erfolgt ist, die das nationale Recht für diesen Fall vorschreibt?
5. Falls die vierte Frage bejaht wird: Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass keine wirksame Vorabkontrolle vorliegt, wenn sie auf der Grundlage eines Verzeichnisses nach Art. 18 Abs. 2 2. Spiegelstrich dieser Richtlinie erfolgt ist, das eine vorgeschriebene Information nicht enthält?
6. Ist Art. 7 – und hier insbesondere Buchstabe e – der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass er einer Praxis, die IP-Adressen der Benutzer einer Homepage ohne deren ausdrücklicher Einwilligung zu speichern, entgegensteht?
Gründe
I.
1. Die Klägerin wendet sich gegen die Veröffentlichung ihrer Daten als Empfängerin von Agrarbeihilfen nach der Verordnung 259/2008 der Kommission.
2. Bei der Klägerin handelt es sich um eine Gesellschaft bürgerlichen Rechts. Die Gesellschafter sind … und … Sie betreibt einen landwirtschaftlichen Vollerwerbsbetrieb und nimmt an dem Verfahren über eine Betriebsprämie teil. Sie stellte einen Gemeinsamen Antrag als Sammelantrag. Mit Bescheid vom 31.12.2008 bewilligte der Landrat des Main-Kinzig-Kreises eine Betriebsprämie von … Euro. Im Antragsformular auf Seite 15 im letzten Absatz befand sich folgender Hinweis: “Mir ist bekannt, dass nach Art. 44a der VO (EG) Nr. 1290/2005 vorgeschrieben ist, Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie die Beträge, die jeder Begünstigte erhalten hat, zu veröffentlichen. Die Veröffentlichung betrifft alle Maßnahmen, die im Zusammenhang mit dem Gemeinsamen Antrag als Sammelantrag im Sinne von Art. 11 der VO (EG) Nr. 796/2004 beantragt werden und erfolgt alljährlich bis spätestens zum 31. März des Folgejahres.” Auf der Internetseite der Beigeladenen http://www.agrar-fischerei-zahlungen.de werden Namen der Empfänger, Ort mit Postleitzahl und die Höhe der Jahresbeträge bereit gestellt. Die Seite ist mit einer Suchfunktion ausgestattet. Dafür genügt es, Eingaben für ein Feld zu machen, also etwa nur die Postleitzahl einzugeben, um eine entsprechende Aufstellung zu erhalten. In den Hinweisen zum Datenschutz im Impressum der Webseite heißt es: “Bei jedem Zugriff auf den Server werden Daten für statistische und Sicherungszwecke gespeichert. Für eine begrenzte Zeit wird die IP-Adresse des Internet-Service-Providers, Datum und Uhrzeit sowie die besuchte Internetseite gespeichert. Diese Daten werden ausschließlich zur Verbesserung des Internetdienstes genutzt und nicht an Dritte weitergegeben oder auf den Adressaten zurückführbar ausgewertet.” (www.agrar-fischerei-zahlungen.de/impressum.html, Stand: 10.02.2009)
3. Die Klägerin hat am 26.09.2008 Klage erhoben. Sie ist der Ansicht, dass Art. 44a der Verordnung 1290/2005 gegen Datenschutzrecht der Gemeinschaft verstoße. Bei den veröffentlichten Informationen handele es sich um persönliche Daten, die auch Rückschlüsse auf den Betrieb zuließen. Überwiegende Allgemeininteressen könnten nicht zur Rechtfertigung herangezogen werden. Eine Veröffentlichung der Beihilfen für jeden Landkreis sei ausreichend, an betriebsspezifischen Daten hätten die Steuerzahler kein Interesse. In den Regeln zum Europäischen Sozialfonds sei keine namentliche Nennung der Empfänger vorgesehen. Es sei außerdem technisch nicht auszuschließen, dass die im Internet zugänglichen Daten von Dritten unkontrolliert gespeichert und weiterverarbeitet würden.
4. Die Klägerin beantragt,
das Land Hessen zu verpflichten, die Weitergabe oder Veröffentlichung aller Daten aus dem gemeinsamen Antrag 2008/Sammelantrag im Sinne von Artikel 11 der Verordnung 796/2004 an die Bundesrepublik Deutschland und die Europäische Union zu unterlassen bzw. durch Anordnung zu untersagen, soweit die Weitergabe zum Zwecke der allgemeinen Veröffentlichung von Informationen über die der Klägerin gewährten finanziellen Beträge aus dem Europäischen Garantiefonds für Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erfolgen soll.
5. Der Beklagte beantragt,
die Klage abzuweisen.
6. Der Beklagte hält die Klage für unzulässig und unbegründet. Die Pflicht der Mitgliedstaaten, die Daten im Internet zu veröffentlichen, ergebe sich aus Art. 44a der Verordnung 1290/2005 und der DurchführungsVerordnung 259/2008. Die Vorschriften seien zweifelsfrei gültig. Die Veröffentlichung erfolge in einem überwiegenden Allgemeininteresse. Sie diene der Transparenz der Agrarausgaben und gehe nicht über das hinaus, was in einer demokratischen Gesellschaft zur Verhütung von Unregelmäßigkeiten erforderlich sei. Die Klägerin sei über die Veröffentlichung informiert worden und könne diese durch den Verzicht auf die Beihilfen abwenden.
7. Die Beigeladene stellt keinen Antrag. Sie ist trägt vor, dass die Internetseite so aufgebaut sei, dass Antworten auf Suchanfragen aus der Datenbank generiert würden. Daher sei die Erschließbarkeit durch allgemeine Suchmechanismen (sogenannte Webcrawler) wie Google derzeit konstruktionsbedingt erschwert. Nach zwei Jahren würden die Daten aus der Datenbank entfernt. Es sei allerdings technisch nicht möglich zu verhindern, dass nach Ablauf des Veröffentlichungszeitraums Datenspuren der betroffenen Personen im Internet zu finden seien.
8. In der mündlichen Verhandlung hat das Gericht Vertreter des Hessischen Datenschutzbeauftragten, Herrn … und Herrn …, als Sachverständige gehört. Wegen der Einzelheiten wird auf das Sitzungsprotokoll der mündlichen Verhandlung vom 16.02.2009 verwiesen.
9. Der Beklagte hat in der mündlichen Verhandlung zugesichert, dass die Klägerin mit ihren Beträgen nicht vor dem rechtskräftigen Abschluss des Hauptsacheverfahrens veröffentlicht wird.
10. Die Durchführung der Verordnung 259/08 der Kommission richtet sich in Deutschland nach dem Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei (Agrar- und Fischereifonds-Informationen-Gesetz – AFIG) vom 26. November 2008 (BGBl. I S. 2330) und der Verordnung über die Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und für Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung – AFIVO) vom 10.12.2008 (eBAnz. 2008, AT147 V1).
11. Die Vorschriften lauten wie folgt:
Agrar- und Fischereifonds-Informationen-Gesetz (AFIG)
§ 1 Zweck und Anwendungsbereich
Dieses Gesetz dient
1. der Durchführung der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (ABl. EU Nr. L 209 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin eine Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums sowie über die Beträge, die jeder Empfänger erhalten hat, vorgesehen ist;
2. der Durchführung der Verordnung 1198/2006 vom 27. Juli 2006 über den Europäischen Fischereifonds (ABl. EU Nr. L 223 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin Aufgaben der Verwaltungsbehörde im Zusammenhang mit den Informationsmaßnahmen im Sinne des Artikels 51 der Verordnung 1198/2006 vorgesehen sind.
§ 2 Veröffentlichung
(1) Die für die Zahlung von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums zuständigen Stellen des Bundes und, soweit diese Mittel von den Ländern gezahlt werden, die hierfür zuständigen Stellen der Länder und im Fall des Europäischen Fischereifonds die zuständige Verwaltungsbehörde veröffentlichen die Informationen nach
1. Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. EU Nr. L 76 S. 28) und
2. den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. EU Nr. L 120 S. 1) in den jeweils geltenden Fassungen im Wege der Direkteingabe auf einer gemeinsamen, von der Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) betriebenen Internetseite nach Maßgabe des Artikels 2 der Verordnung 259/2008 und im Fall des Europäischen Fischereifonds nach Maßgabe des Artikels 31 Buchstabe d der Verordnung 498/2007. Satz 1 gilt im Fall einer Gemeinde oder eines Gemeindeverbandes nur, wenn der Gemeinde oder dem Gemeindeverband die Aufgaben nach diesem Gesetz durch Landesrecht übertragen worden sind.
(2) Jede veröffentlichende Stelle trägt die datenschutzrechtliche Verantwortung für die von ihr veröffentlichten Informationen, insbesondere für die Rechtmäßigkeit ihrer Erhebung, die Zulässigkeit der Veröffentlichung und die Richtigkeit der Informationen. Betroffene können ihre Datenschutzrechte bei jeder der veröffentlichenden Stellen geltend machen, von denen sie Zahlungen erhalten haben. Diese Stelle leitet den Antrag nach Klärung der Verantwortlichkeiten an die zuständige Stelle weiter.
(3) Die Bundesanstalt erstellt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein Sicherheitskonzept für die Internetseite, das insbesondere die nach § 9 des Bundesdatenschutzgesetzes erforderlichen, von der Bundesanstalt zu treffenden technischen und organisatorischen Maßnahmen umfasst. Das Sicherheitskonzept ist spätestens sechs Monate nach Verkündung dieses Gesetzes zu erstellen und in regelmäßigen Abständen daraufhin zu überprüfen, ob es dem Stand der Technik entspricht.
(4) Die Einsicht in die Internetseite steht jedem verwaltungskostenfrei zu.
(5) Die veröffentlichten Informationen werden zwei Jahre nach dem ersten Tag der Veröffentlichung auf der Internetseite gelöscht.
§ 3 Verordnungsermächtigungen
(1) Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz trifft im Einvernehmen mit dem Bundesministerium der Finanzen durch RechtsVerordnung mit Zustimmung des Bundesrates nähere Bestimmungen über Einzelheiten des Verfahrens oder technische und organisatorische Maßnahmen für die Veröffentlichung der Informationen im Internet, insbesondere über
1. den Inhalt und Aufbau der Internetseite,
2. die Eingabe, Berichtigung, Sperrung und Löschung von Informationen,
3. die Einsicht in die Internetseite,
4. den Datenschutz und die Datensicherheit, wobei sicherzustellen ist, dass die Veröffentlichungen unversehrt, vollständig und aktuell bleiben und jederzeit ihrem Ursprung nach zugeordnet werden können.
(2) Abweichend von Absatz 1 kann bis zum 31. März 2009 die RechtsVerordnung nach Absatz 1 ohne Zustimmung des Bundesrates erlassen werden. Die RechtsVerordnung tritt spätestens sechs Monate nach ihrem In-Kraft-Treten außer Kraft. Ihre Geltungsdauer kann nur mit Zustimmung des Bundesrates verlängert werden.
§ 4 Verkündung von Rechtsverordnungen
Die Rechtsverordnungen nach diesem Gesetz können abweichend von § 1 des Gesetzes über die Verkündung von Rechtsverordnungen auch im elektronischen Bundesanzeiger verkündet werden. Auf Rechtsverordnungen, die im elektronischen Bundesanzeiger verkündet werden, ist unter Angabe der Stelle ihrer Verkündung und des Tages ihres In-Kraft-Tretens nachrichtlich im Bundesgesetzblatt hinzuweisen.
§ 5 In-Kraft-Treten
Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.
Agrar- und Fischereifonds-Informationen-Verordnung (AFIVO)
§ 1 Anwendungsbereich
Diese Verordnung gilt für Veröffentlichungen nach dem Agrar- und Fischereifonds-Informationen-Gesetz.
§ 2 Inhalt und Aufbau der Internetseite
(1) Auf der in § 2 Abs. 1 des Agrar- und Fischereifonds-Informationen-Gesetzes bezeichneten Internetseite werden nur die
1. in Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. L 76 vom 19.3.2008, S. 28) und
2. in den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. L 120 vom 10.5.2008, S. 1)
in der jeweils geltenden Fassung genannten Informationen veröffentlicht.
(2) Innerhalb der Datenbank ist für die die Europäischen Fonds für Landwirtschaft betreffenden Informationen eine Suchfunktion vorzusehen, die eine Suche nach den genannten Informationen ermöglicht.
§ 3 Berichtigung, Sperrung und Löschung von Informationen
(1) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen eine Berichtigung der veröffentlichten Informationen erforderlich ist, hat die veröffentlichende Stelle unverzüglich die Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu ändern.
(2) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen Veröffentlichungen unzulässig sind oder unzulässig werden, hat die veröffentlichende Stelle unverzüglich die der Veröffentlichung zugrunde liegenden Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu löschen. Die Löschung unterbleibt, wenn Grund zu der Annahme besteht, dass anderenfalls schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. In diesem Fall sind die Informationen unverzüglich zu sperren.
(3) Die jeweils veröffentlichende Stelle löscht die veröffentlichten Daten zwei Jahre nach dem ersten Tag ihrer Veröffentlichung.
§ 4 Einsichtnahme
(1) Die Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei sind ausschließlich über das Internet einsehbar.
(2) Die Barrierefreie Informationstechnik-Verordnung vom 17. Juli 2002 (BGBl. I S. 2654) in der jeweils geltenden Fassung gilt entsprechend.
§ 5 Datensicherheit
(1) Die Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) stellt durch technische und organisatorische Maßnahmen eines Sicherheitskonzeptes sicher, dass
1. die Veröffentlichung der Daten in einem nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbund erfolgt und alle internen technischen und organisatorischen Maßnahmen in der Bundesanstalt unter den Bedingungen des nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbundes der Bundesanstalt ablaufen,
2. die auf der Internetseite veröffentlichten Informationen nur durch die jeweils veröffentlichende Stelle verändert, gesperrt oder gelöscht werden können,
3. die veröffentlichten Informationen während ihrer Veröffentlichung im Internet unversehrt, vollständig und aktuell bleiben.
Die Bundesanstalt hat das Sicherheitskonzept nach Maßgabe der Bedingungen der DIN ISO/IEC 27001, Ausgabe 2008-09, Zertifizierung auf der Basis von IT-Grundschutz, regelmäßig daraufhin zu überprüfen oder überprüfen zu lassen, ob es noch dem Stand der Technik entspricht oder an die technische Entwicklung anzupassen ist. Die Frist des Satzes 2 beginnt mit dem Abschluss der Erstzertifizierung nach Satz 1 Nr. 1.
(2) Die Bundesanstalt hat
1. durch organisatorische und technische Vorkehrungen sicherzustellen, dass sie von auftretenden Fehlfunktionen unverzüglich Kenntnis erlangt, und
2. diese unverzüglich zu beheben.
(3) Kommt es während einer Datenübermittlung zu Störungen oder Unterbrechungen, hat die Bundesanstalt dies der übermittelnden Stelle unverzüglich anzuzeigen. In diesem Fall verlangt die Bundesanstalt eine erneute Übermittlung.
§ 6 In-Kraft-Treten, Außerkrafttreten
(1) Diese Verordnung tritt am Tag nach der Verkündung in Kraft.
(2) Die Verordnung tritt am 12. Juni 2009 außer Kraft, sofern nicht mit Zustimmung des Bundesrates etwas anderes verordnet wird.
1. Nach diesen Vorschriften wird die für die Veröffentlichungen bestimmte Homepage von der Beigeladenen im Rahmen der Auftragsdatenverarbeitung für den Beklagten betrieben. Die Beigeladene bedient sich dabei wiederum eines zertifizierten privaten Providers. Die Regelungen mit dem Provider sind dem Gericht nur allgemein bekannt, da das Verfahrensverzeichnis auf Module Bezug nimmt, die nur allgemein erläutert sind und keine konkreten Maßnahmen für den Leser beinhalten. Die Beigeladene bzw. der von ihr beauftragte Provider speichert auch die IP-Adressen der Benutzer. Die Vertreterin der Beigeladenen erklärte in der mündlichen Verhandlung, dies würde anonymisiert geschehen, genau wisse sie es jedoch nicht.
2. Datenschutzrechtlich bleibt die Verantwortung jedoch bei den zuständigen Stellen der Länder (§ 2 Abs. 2 AFIG). Zuständig für Hessen ist das Hessische Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz (jetzt: Hessisches Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz) als Zahlstelle; zumindest bei Klageerhebung. Zwar wurden durch Vertrag vom 11.07.2008 die Aufgabe auf die Investitionsbank Hessen (IBH) übertragen. Dieser Vertrag liegt dem auch Gericht vor. Darin wird nicht speziell auf die Frage der Veröffentlichung nach der Verordnung 259/2008 eingegangen. In § 14 Abs. 2 des Vertrags ist vorgesehen, dass das Ministerium die Beauftragung der IBH und ihre Zulassung als Zahlstelle im Staatsanzeiger bekannt macht. Das ist jetzt bis zum Zeitpunkt der Entscheidung nicht erfolgt. In dem Erlass des Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz zur Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums und dem europäischen Fischereifonds vom 10.11.2008 (Staatsanzeiger 2008, S. 3038 f.) bezeichnet sich dieses selbst als Zahlstelle. Der Erlass ist nicht aufgehoben. Außerdem besteht zwischen Bund und Ländern ein Verwaltungsabkommen, das jedoch vor allem die Kostenverteilung regelt. Hierin ist von einer Weiterdelegierung keine Rede. Die IBH ist eine Anstalt des öffentlichen Rechts, über die das Ministerium die Aufsicht ausübt; dies auch, wenn der IBH wirksam die Zahlstellenfunktion übertragen worden wäre. Dem Gericht liegt auch nur das Verfahrensverzeichnis des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz vor, in dem als dieses sich selbst als verantwortliche Stelle und EU-Zahlstelle bezeichnet. Ferner liegt das Verfahrensverzeichnis der Beigeladenen vor.
3. Die Art. 18 bis 21 der Richtlinie 95/46/EG wurden durch die folgenden Vorschriften umgesetzt. Für die Beigeladene gilt Bundesrecht, für das Ministerium und die IBH hessisches Landesrecht.
Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66)
§ 4d Meldepflicht
(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.
(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat
(3-4) (…)
(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder
2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.
(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.
§ 4e Inhalt der Meldepflicht
Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:
1. Name oder Firma der verantwortlichen Stelle,
2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Anschrift der verantwortlichen Stelle,
4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
7. Regelfristen für die Löschung der Daten,
8. eine geplante Datenübermittlung in Drittstaaten,
9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. § 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.
§ 4g Aufgaben des Beauftragten für den Datenschutz
(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.
(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.
(3) (…)
Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 07. Januar 1999 (GVBl. I S. 98)
§ 5 Behördlicher Datenschutzbeauftragter
(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.
(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere
1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen, hinzuwirken,
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,
3. die datenverarbeitende Stelle bei der Umsetzung der nach den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,
4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht nach § 6 Abs. 2 bereitzuhalten,
5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall den … Datenschutzbeauftragten zu hören.
Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.
(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören, sind dem … Datenschutzbeauftragten mitzuteilen.
§ 6 Verfahrensverzeichnis
(1) Wer für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten zuständig ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:
1. Name und Anschrift der datenverarbeitenden Stelle,
2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,
3. die Art der gespeicherten Daten,
4. den Kreis der Betroffenen,
5. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,
6. die zugriffsberechtigten Personen oder Personengruppen,
7. die technischen und organisatorischen Maßnahmen nach § 10,
8. die Technik des Verfahrens,
9. Fristen für die Löschung nach § 19 Abs. 3,
10. eine beabsichtigte Datenübermittlung nach § 17 Abs. 2,
11. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.
(2) (…)
§ 7 Zulässigkeit der Datenverarbeitung
(1-5) (…)
(6) Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.
(7) (…)
1. Die Verarbeitung von Daten der Nutzer einer Internetseite ist im Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179) geregelt.
§ 15 Nutzungsdaten
(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere
1. Merkmale zur Identifikation des Nutzers,
2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und
3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.
(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.
(5) Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. § 14 Abs. 2 findet entsprechende Anwendung.
(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis.
(7) Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist.
(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.
II.
1. Das Gericht setzt das Verfahren aus und reicht beim Gerichtshof ein Vorabentscheidungsersuchen zur Gültigkeit der Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 und der Verordnung 259/2008 sowie zur Auslegung der Richtlinie 95/46/EG ein, weil eine Entscheidung darüber zum Erlass seines Urteils erforderlich ist.
2. Die Klage richtete und richtet sich gegen den richtigen Beklagten, da die Funktion als Zahlstelle während des laufenden gerichtlichen Verfahrens nicht wirksam auf die Investitionsbank Hessen übertragen wurde. Es fehlt schon an der notwendigen öffentlichen Bekanntmachung. Denn es handelt sich bei den Aufgaben der IBH im Bereich Agrarförderung nicht um eine originäre Zuständigkeit der IBH, sondern es ist ein vertraglicher Übergang vorausgesetzt. Daraus folgt auch, dass das Ministerium in jedem Fall weiterhin eine Restverantwortung innehat (vgl. auch die Aufsichtsregelung in § 12 des Vertrags), die über die allgemeine gesetzliche Rechtsaufsicht hinausgeht. Andernfalls hätte die IBH und nicht das Ministerium ein Verfahrensverzeichnis aufstellen müssen, was gerade nicht der Fall ist. Von der Verantwortung des Ministeriums geht wohl auch die Beigeladene aus, da auf der Internetseite zur Veröffentlichung als verantwortliche Stelle für Hessen weiterhin das Ministerium genannt ist (www.agrar-fischerei-zahlungen.de/impressum.html, Stand 24.02.2009).
3. Ob die Klage begründet ist, hängt zunächst von der Gültigkeit der vorgelegten Gemeinschaftsvorschriften ab. Erweist sich die Verordnung 259/2008 als ungültig, fehlt es an einer Rechtsgrundlage für die Verarbeitung (§ 7 Abs. 1 Nr. 1 HDSG) und der Klage ist stattzugeben. Die Klägerin kann sich als Gesellschaft ebenfalls auf das Recht der informationellen Selbstbestimmung nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und Art. 14 Abs. 1 sowie Art. 19 Abs. 3 GG insoweit berufen, als ihren Trägern Schutz gegen unbegrenzte Erhebung, Speicherung, Verwendung oder Weitergabe der betreffenden individualisierte oder individualisierbarer Daten zusteht (vgl. BVerwG, Urteil vom 20.12.2001, Az.: 6 C 7/01, Rdnr. 18 – nach Juris; BVerfG, Beschluss vom 01.10.1987, Az.: 2 BvR 1178/86 u. a., Rdnr. 126 – nach Juris; BVerfG, Urteil vom 17.07.1984, Az.: 2 BvE 11/83, 2 BvE 15/83, Rdnr. 135 f. – nach Juris; VG Wiesbaden, Urteil vom 07.12.2007, Az.: 6 E 928/07, S. 11). Insoweit sind die Ausführungen des Hessischen Datenschutzgesetzes auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben ist, entsprechend anzuwenden. Eine Ungültigkeit der Verordnung kann sich aus dieser selbst oder daraus ergeben, dass die Vorschriften aus der Verordnung 1290/2007, deren Durchführung sie dient, ungültig sind. Sind diese Gemeinschaftsvorschriften gültig, ergibt sich ein Unterlassungsanspruch der Klägerin, wenn die Regelungen der Gemeinschaft zum Datenschutz nicht beachtet wurden. Um das zu prüfen, ist eine Auslegung durch den Gerichtshof nötig.
4. Nach Auffassung des Gerichts verstoßen die Art. 44a und 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gegen primäres Gemeinschaftsrecht.
5. Nach Art. 44a der Verordnung 1290/2005 veröffentlichen die Mitgliedstaaten Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie der Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat. Diesem Artikel entnimmt das Gericht, dass über jeden Empfänger eine Veröffentlichung erfolgen muss. Darin liegt ein Eingriff in das Grundrecht auf Datenschutz, der nicht gerechtfertigt ist.
6. Dass Datenschutz auf Gemeinschaftsebene ein Grundrecht ist, ergibt sich aus dem Schutz des Privatlebens in Art. 8 EMRK und den Verfassungstraditionen der Mitgliedstaaten. Dies wird bekräftigt durch die Charta der Grundrechte der Europäischen Union, die in Art. 7 den Schutz des Privatlebens und in Art. 8 den Schutz der persönlichen Daten als Grundrecht enthält (vgl. das Urteil des Gerichtshofs vom 28.01.2008 in der Rechtsache C-275/06, Promusicae/Telefonica, Slg. 2008, I-271, Rn. 63 und die Schlussanträge der Generalanwältin Kokott vom 18.07.2007 in dieser Rechtssache, Rn. 51 ff.). Berufliche Tätigkeiten sind mit geschützt (vgl. das Urteil des Gerichtshofs vom 20.05.2003 in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 73). Auch soweit wie im vorliegenden Fall Daten einer Gesellschaft betroffen sind, sieht das Gericht diese als vom Schutz des Grundrechts mit umfasst. In der Charta der Grundrechte wird der Datenschutz, den Verfassungsüberlieferungen der Mitgliedstatten folgend, als eigenes Grundrecht erwähnt und so vom Schutz des Privatlebens abgekoppelt. Auch der Europäische Gerichtshof für Menschenrechte sieht durch Art. 8 EMRK juristischen Personen geschützt (vgl. zusammenfassend Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl., § 22 Rn. 4). Hier kommt dazu, dass der Name der Gesellschaft aus den Namen der Gesellschafter besteht, so dass zu veröffentlichende Informationen diesen persönlich zuzurechnen sind. In jeder Veröffentlichung liegt ein Eingriff in dieses Grundrecht, weil es sich um die denkbar breiteste Übermittlung handelt.
7. Das Gericht weist darauf hin, dass Gesellschaften bürgerlichen Rechts in Deutschland erst seit kurzen als rechtsfähig und in gerichtlichen Verfahren beteiligtenfähig angesehen werden. Nach früherer Rechtsprechung wären die Gesellschafter persönlich die Kläger gewesen. Im Übrigen unterscheidet Art. 44a der Verordnung nicht zwischen natürlichen und juristischen Personen, so dass dieser in jedem Fall am Grundrecht auf Schutz von Daten natürlicher Personen zu messen ist.
8. Der Eingriff ist nicht gerechtfertigt. Zu dieser Frage zieht das Gericht die Schranke in Art. 8 Abs. 2 EMRK heran (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 80 ff.). Danach muss der Eingriff zur Erreichung eines dort genannten Zwecks in einer demokratischen Gesellschaft notwendig sein. Die Maßnahme muss demnach in einem angemessenen Verhältnis zu dem verfolgten berechtigten Zweck stehen (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 83) und es muss ein zwingendes gesellschaftliches Bedürfnis bestehen (vgl. Schlussanträge, Promusicae/Telefonica, a. a. O., Rn. 54). Nach der 14. Begründungserwägung der Verordnung 1437/2007 verfolgt die Veröffentlichung das Ziel, die Transparenz in Bezug auf die Verwendung der Gemeinschaftsmittel zu erhöhen und durch eine öffentliche Kontrolle die Wirtschaftlichkeit der Haushaltsführung der betroffenen Fonds zu verbessern. Dazu ist anzumerken, dass die Transparenz keinen eigenständigen Zweck darstellt, sondern das Ergebnis der Maßnahme beschreibt. Die Verbesserung der Haushaltskontrolle dient zwar – bei weiter Auslegung des Art. 8 Abs. 2 EMRK – dem wirtschaftlichen Wohl des Landes. Sie ist jedoch vorliegend nicht angemessen. Das Gericht bezweifelt schon, ob die Veröffentlichung überhaupt geeignet ist. Die Beigeladene hat ein Schreiben des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz vorgelegt (Bl. 114, 116 d. A. 6 K 1045/08.WI, Band I). Daraus geht hervor, dass aus dessen fachlicher Sicht die Kontrolle der verwendeten Mittel und die Verhütung von Unregelmäßigkeiten nicht verbessert werden. Es bestünden schon umfangreiche Kontrollmechanismen, die weiterentwickelt würden.
9. Jedenfalls steht die Veröffentlichung nicht in einem angemessenen Verhältnis zu dem verfolgten Zweck. Bei dieser Bewertung stütz sich das Gericht auf das Urteil des Gerichtshofs in der Rechtssache Rechnungshof/Österreichischer Rundfunk und das daraufhin ergangene Urteil des Österreichischen Verfassungsgerichtshofs vom 28.11.2003 (Aktenzeichen KR 1/00-33, verfügbar im Internet unter http://www.verfassungsgerichtshof.at/cms/vfgh-site/attachments/4/4/5/CH0007/CMS1113226398381/kr1-33-00.pdf). Nach der Rechtsprechung des Gerichtshofs in diesem Vorabentscheidungsverfahren ist es zwingende Voraussetzung, dass die Veröffentlichung – in dem Fall ging es die Bezüge von Bediensteten bestimmter juristischer Personen des öffentlichen Rechts – wirklich erforderlich ist. Das ist nur dann der Fall, wenn der Zweck nicht ebenso erreicht werden könnte, indem die Informationen nur den Kontrollorganen mitgeteilt oder nur Gesamtbeträge veröffentlicht würden (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 88). In seinem Urteil hat der Österreichische Verfassungsgerichtshof entschieden, dass die Veröffentlichung von Bezügen einzelner Beschäftigter nicht erforderlich ist. Dazu führt er aus (S. 30 unterer Absatz):
“Auch die Bundesregierung behauptet in ihrer Stellungnahme nicht, dass die Veröffentlichung der Bezüge unter Nennung der Namen der Bezügeempfänger im Sinne der Entscheidung des Europäischen Gerichtshofes zur effizienten Mittelverwendung notwendig sei. Sie argumentiert mehrfach damit, dass die personenbezogene Einkommensveröffentlichung einem dringenden sozialen Bedürfnis nach Transparenz bei der Verwendung öffentlicher Mittel und nach Vermeidung deren Missbrauchs bestehe, tut aber nicht dar, wieso es notwendig sein soll, die Namen von Personen und ihre Bezüge zu veröffentlichen, um die ordnungsgemäße Verwendung öffentlicher Mittel sicherzustellen; darauf kommt es aber nach der – den Verfassungsgerichtshof bindenden – Entscheidung des Europäischen Gerichtshofes vom 20. Mai 2003, Rs. C-465/00 ua., Rechnungshof gegen ORF ua., an.”
10. Dem schließt sich das Gericht für den vorliegenden Fall an. Ein entsprechender Vortrag fehlt. Außerdem ergibt sich aus den Erwägungsgründen nichts, was eine Erforderlichkeit im Sinne dieser Rechtsprechung auch nur im Ansatz begründet. In wie weit unter diesem Umständen eine Veröffentlichung der Daten auch nur im Ansatz dem öffentlichen Wohl des Landes dienen kann (Art. 8 Abs. 2 EMRK) oder ein zwingendes öffentliches Interesse besteht, ist nicht dargetan.
11. Art. 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 hält nach Ansicht des Gerichts einer Überprüfung an Hand der Art. 202 4. Spiegelstrich EG und Art. 211 3. Spiegelstrich EG nicht Stand. Dieser Artikel 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 regelt, dass die Kommission die Bestimmungen zur Durchführung des Art. 44a der Verordnung 1290/2005 erlässt. Hier erhält die Kommission einen sehr weiten Spielraum, welche Daten in welcher Weise veröffentlicht werden. Insbesondere bleibt offen, ob auch eine Veröffentlichung im ausschließlich im Internet erfolgt, was nach einen besonders gravierenden Grundrechtseingriff darstellt. Auch wenn der Begriff der Durchführung weit ausgelegt wird, müssen doch die wesentlichen Grundzüge der geregelten Materie in dem Basisrechtsakt festgelegt werden, um noch von einer Durchführung sprechen zu können. Ansonsten würde das institutionelle Gleichgewicht gestört, insbesondere zulasten der Mitwirkung des Europäischen Parlaments. Dabei ist auch zu berücksichtigen, dass Art. 8 Abs. 2 EMRK an eine demokratische Gesellschaft anknüpft. Das muss bei der Einhaltung des institutionellen Gleichgewichts berücksichtigt werden.
12. Selbst wenn Art. 44a oder 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gültig sind, ergibt sich die Ungültigkeit der Verordnung 259/2008 aus Verstößen gegen das Grundrecht auf Datenschutz, die die Verordnung selbst enthält. Sie sieht vor, dass die Informationen ausschließlich im Internet auf einer speziellen Website veröffentlicht werden. Angegeben werden der Name des Empfängers und die Beträge, aufgeschlüsselt nach “EGFL” und “ELER”. Diese Veröffentlichung geht nach Auffassung des Gerichts weit über das hinaus, was in einer demokratischen Gesellschaft notwendig ist.
13. Bei der Veröffentlichung im Internet handelt es sich um einen besonders tiefgreifenden Eingriff. Informationen sind weltweit einsehbar, und zwar auch in solchen Staaten, deren Datenschutzniveau nicht dem in der Gemeinschaft entspricht. Es wäre jedoch nach den Darlegungen der Sachverständigen möglich, den Zugriff auf IP-Adressen aus der Europäischen Union zu beschränken. Das wäre ein weniger tiefer Eingriff, die Verordnung sieht das aber nicht vor. Da es um die Schwere des Eingriffs und nicht die Einordnung nach sekundärem Gemeinschaftsrecht geht, ist es nach Auffassung des Gerichts unerheblich, ob es sich nicht um eine Übermittlung in ein Drittland im Sinne von Art. 29 der Richtlinie 95/46/EG handelt, wie es der Gerichtshof in dem Urteil vom 06.11.2003 in der Rechtssache C-101/01, Bodil Lindqvist, Slg. 2003, I-12971, entschieden hat. Vielmehr kommt es darauf an, dass es nicht möglich ist, die Daten nach zwei Jahren aus dem Internet zu entfernen. Art. 3 Abs. 3 der Verordnung, der eine Löschung nach 2 Jahren vorsieht, kann demnach technisch nicht umgesetzt werden. Zwar werden die Daten aus der Datenbank der Beigeladenen gelöscht, die Speicherung der Informationen durch andere Webdienste kann aber weder verhindert noch rückgängig gemacht werden. Zwar findet wohl keine Speicherung in Zwischenspeichern von Suchmaschinen (z. B. Google-Cache) statt, weil jede Anzeige aus der Datenbank generiert wird. Es kann aber nicht verhindert werden, dass ein Nutzer legalerweise abgefragte Daten speichert und dann selbst ins Internet stellt, etwa im html oder pdf Format. Dann ist auch ein Zugriff über Suchmaschinen möglich. Diese Vorgehensweise wird durch die Suchfunktion erleichtert, für die nach Art. 2 der Verordnung 259/2008 eine Angabe nach deren Art. 1 Abs. 1 (etwa nur der Name der Gemeinde oder die Postleitzahl) ausreicht, um eine Suche durchzuführen.
14. Die bloße Veröffentlichung im Internet ist auch zur Information der Bürger nicht geeignet. Es ist anzumerken, dass die Nennung der beiden Fonds mit ihren Abkürzungen die Bürger eher verwirren als informieren könnte. Dabei ist nach dem Ziel der Transparenz nicht auf die Fachöffentlichkeit, sondern auf den interessierten “Durchschnittsbürger” abzustellen. Da jedenfalls die Maßstäbe der Beihilfenvergabe nicht gleichzeitig erläutert werden und von dem Namen und Ort des Empfängers nicht auf dessen Betrieb und seine Lage geschlossen werden kann, erreicht die Verordnung 259/2008 höchstens einen minimalen Informationsmehrwert. Hinzu kommt, dass die ausschließliche Veröffentlichung im Internet abschreckenden Charakter hat. Diejenigen Bürger, die überhaupt Zugang zum Internet haben und sich informieren wollen, werden gezwungen, sich einer Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG auszusetzen. Das Gericht sieht es als einen Wertungswiderspruch an, einerseits die Telekommunikation verstärkt zu überwachen, aber andererseits Informationen, die der Teilnahme der Bürger an öffentlichen Angelegenheiten dienen sollen, nur elektronisch zugänglich zu machen. Da der Gerichtshof in die Lage kommen kann, dass er die Gültigkeit der Verordnung (EG) 259/2008 nur bejaht, wenn die Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG entfällt, legt das Gericht auch die Frage der Gültigkeit dieser Richtlinie mit vor. Dadurch ist der Gerichtshof befugt, die Vereinbarkeit der Richtlinie mit Grundrechten, insbesondere dem Rechts auf Datenschutz, zu prüfen. Er ist daran auch nicht durch das Urteil vom 10.02.2009 in der Rechtssache Irland/Parlament und Rat, C-301/06, gehindert, weil Irland die Klage nur auf den Klagegrund der Unzuständigkeit gestützt hat (vgl. Rn. 57 dieses Urteils). Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 82). Die Generalanwältin hat ausgeführt: “Man kann daran zweifeln, ob die Speicherung von Verkehrsdaten aller Nutzer – gewissermaßen auf Vorrat – mit Grundrechten vereinbar ist, insbesondere da dies ohne konkreten Verdacht geschieht.” Auf die von ihr in den Fußnoten 42 und 43 (Schlussanträge Promusicae/Telefonica, a. a. O.) bezeichneten Quellen wird voll inhaltlich Bezug genommen.
15. Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie 2006/24/EG nicht gewahrt, weshalb sie ungültig ist (zum engen Verhältnismäßigkeitsgrundsatz siehe zuletzt Europäischer Gerichtshof für Menschenrechte, Urteil vom 04.12.2008, Az. 30562/04 und 30566/04, Rdnr. 103 ff.).
16. Soweit die in den ersten beiden Fragen bezeichneten Gemeinschaftsvorschriften gültig sind, kommt es darauf an, wie es sich auswirkt, wenn die an der Veröffentlichung beteiligten Stellen eines Mitgliedstaats das Verfahren der Meldung nach Art. 18 der Richtlinie 95/46/EG nicht eingehalten haben. Nach Art. 5 der Richtlinie 95/46/EG richten sich die Voraussetzungen, unter denen die Verarbeitung von Daten rechtmäßig ist, nach dem Kapitel II der Richtlinie. Dazu gehört der Abschnitt IX “Meldung”. Diese Regelungen der Richtlinie 95/46/EG werden durch bereichsspezifische Vorschriften nicht verdrängt. Der Erwägungsgrund Nr. 7 der Verordnung 259/2008 geht von der Anwendung der Richtlinie aus und nimmt auf diese Bezug. Die Umsetzungen der Meldepflicht erfolgte sowohl im Bundesrecht als auch im Hessischen Landesrecht. Die Regelungen beruhen auf Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG.
17. Die Meldung bei einer Kontrollstelle wird durch die Führung eines Verzeichnisses mit den Informationen, die in das Register der Kontrollstelle einzutragen wären, bei dem behördlichen Datenschutzbeauftragte ersetzt, welcher an die Stelle der Kontrollstelle tritt (§ 5 Abs. 2 Satz 2 Nr. 4 HDSG). In diesem Fall sind die Verzeichnisse (Meldungen) aber fehlerhaft. So ist die Auftragsdatenverarbeitung durch die Beigeladene – und ggf. eines privaten Dritten – bei der Meldung des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz nicht ausgewiesen. Es ist unter anderem auch unvollständig, weil konkrete Angaben zu den Löschfristen fehlen. In dem Verfahrensverzeichnis der Beigeladenen ist der private Provider nicht erwähnt. Angaben über die Speicherung von IP-Adressen fehlen gänzlich (zur statistischen Auswertung und zu Zwecken der Datensicherheit). Das Gericht geht davon aus, dass eine Verarbeitung von personenbezogenen Daten und damit eine Veröffentlichung von personenbezogenen Daten erst erfolgen darf, wenn die Maßnahmen nach den Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG durchgeführt worden sind in dem Sinne, das eine vollständige, aussagekräftige Meldung vorliegt. Andernfalls wäre eine Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise (Art. 6 Buchstabe a der Richtlinie 95/46/EG) nicht möglich; konkrete Zwecke sind nicht benannt. Würde man eine unvollständige Meldung (unvollständiges Verfahrensverzeichnis) nicht im Sinne von Art. 6 der Richtlinie 95/46/EG als Wirksamkeitsvoraussetzung ansehen, wäre die praktische Wirksamkeit der Vorschriften über die Meldung beeinträchtigt – gar aufgehoben -, weil der Verstoß für die weitere Verarbeitung mit personenbezogenen Daten folgenlos bliebe. Ein Ergebnis, welches schier untragbar sein dürfte.
18. Nach § 7 Abs. 6 Satz 3 HDSG (siehe auch § 4d Abs. 5 Satz 1 BDSG) ist für die Veröffentlichung nach der Verordnung 259/2008 eine Vorabkontrolle nach Art. 20 der Richtlinie 95/46/EG durch den behördlichen Datenschutzbeauftragten durchzuführen. Nach beiden Gesetzen erfolgt die Vorabkontrolle nicht durch eine zentrale Kontrollstelle, sondern bei der verantwortlichen Stelle durch deren betrieblichen oder behördlichen Datenschutzbeauftragten. Da im vorliegenden Fall auch Art. 20 der Richtlinie anwendbar ist, darf die Veröffentlichung wegen Art. 6 Buchstabe a der Richtlinie nach Ansicht des Gerichts erst erfolgen, wenn die Vorabkontrolle nach Art. 20 der Richtlinie durchgeführt worden ist. Andernfalls wäre dieses Instrument nicht effektiv und es würde sich die Frage stellen, warum diese Regelung überhaupt aufgenommen wurde.
19. Wenn die vierte Frage bejaht wird, kommt es darauf an, ob die Vorabkontrolle hier ordnungsgemäß durchgeführt wurde. Die Vorabkontrolle erfolgte jedoch aufgrundlage unvollständiger Verfahrensverzeichnisse (Meldungen). Da die Bewertung nach der Richtlinie 95/46/EG auf der Grundlage der in den Verzeichnissen enthaltenen Informationen erfolgt, kann sie nur wirksam durchgeführt werden, wenn diese richtig und vollständig sind. Nur dann ist die Grundlage für einen effektiven Schutz der Betroffenen gegeben.
20. Weiter stellt sich die Frage, ob die IP-Adressen der Benutzer, die die Daten nach der Verordnung (EG) 259/2008 auf der Internetseite der Beigeladenen abrufen, gespeichert werden dürfen. Zur Überzeugung des Gerichts steht fest, dass die Speicherung der IP Adressen – wie auf der Webseite angegeben – erfolgt. Jedenfalls muss sich die Beigeladene an ihrer Erklärung festhalten lassen. Der Anwendungsbereich der Datenschutzrichtlinie 95/46/EG und des deutschen Datenschutzrechts einschließlich § 15 TMG hängt davon ab, ob es sich dabei um ein personenbezogenes Datum handelt, weil eine Zuordnung zu einer bestimmbaren Person möglich ist, gleichwohl, ob es sich um eine statische oder dynamische IP-Adresse handelt.
21. Die IP-Adresse ist ein numerisches Adressformat, welches die Kommunikation vernetzter Geräte (Server oder Privatcomputer) im Internet ermöglicht. Bei Abruf einer Seite wird dem Server, auf dem die Seite gespeichert ist, die Adresse des abrufenden Computers mitgeteilt, so dass die Daten über das Internet von dem einen an den anderen Rechner geleitet wird en können. Für die Verbindung von Privatanwendern mit dem Internet können feste IP-Adressen vergeben werden. Dabei handelt es sich nach Ansicht des Gerichts ohne weiteres um ein personenbezogenes Datum. Üblicherweise werden dynamische IP-Adressen verwendet. Dabei weist der Anbieter des Zugangs dem Kunden bei jedem Zugang eine Adresse aus seinem Adresskontingent zu. Aus der Adresse kann der Einwahlstandort des Benutzers abgelesen werden.
22. In der Rechtssache Promusicae/Telefonica hat die Generalanwältin die Ansicht vertreten, dass eine dynamischen IP-Adresse personenbezogene Daten enthält (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 61 und die Nachweise in Fußnote 31). In seinem Urteil vom 29.01.2008 in dieser Rechtssache hat sich der Gerichtshof ausdrücklich mit dieser Frage aber nicht beschäftigt. Das Amtsgericht Berlin-Mitte hat einer Klage eines Benutzers der Internetseite des Bundesministeriums der Justiz gegen die Speicherung seiner IP-Adresse stattgegeben, weil über die dynamische IP-Adresse der Benutzer identifiziert werden könne (Urteil vom 27.03.2007, 5 C 314/06, zitiert nach juris). Das Amtsgericht Berlin-Mitte stützte sich maßgeblich auf die 26. Begründungserwägung der Richtlinie 95/46/EG. Danach sollten bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Berufung der Beklagten erstreckte sich nur auf die Reichweite der Unterlassungsverpflichtung. Der Rechtstreit ist rechtskräftig abgeschlossen (vgl. Landgericht Berlin, Urteil vom 06.09.2007, 23 S 3/07, zitiert nach juris). In der deutschen Literatur wurde dieser Rechtsprechung widersprochen. Das Gericht ist aber der Auffassung, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum ist. Davon geht auch die Artikel 29-Datenschutzgruppe in ihrem Arbeitsdokument WP 104 vom 18.01.2005 aus (Nr. III. 3., S. 19 ff., 01248/07/DE); bekräftigend in der Stellungnahme WP 150 vom 15.05.2008 (Nr. 3b, S. 8, 00989/08/DE). Da die Speicherung der IP-Adresse nicht erforderlich ist, steht die Richtlinie 95/46/EG ihr entgegen.
23. Nach den Angaben des Sachverständigen … sollen in Zukunft bei den Internetseiten hessischer Behörden die IP-Adressen zu statistischen Zwecken anonymisiert werden, aus Gründen der Datensicherheit aber ungekürzt gespeichert werden. Die Speicherfristen für die vollständig gespeicherten IP-Adressen durfte er auf Nachfrage des Gerichts aus Geheimhaltungsgründen nicht angeben. Da die Beigeladene ihre Seite im Auftrag auch des Landes Hessen betreibt, geht das Gericht davon aus, dass eine Speicherung nach der Praxis hessischer Behörden stattfindet. Diese wäre mangels einer gesetzlichen Grundlage im Hessischen Landesrecht nur zulässig, wenn es sich bei einer IP-Adresse nicht um ein personenbezogenes Datum handelt.
24. In diesem Zusammenhang ist auf folgendes hinzuweisen: Nach einem Gesetzentwurf der Bundesregierung eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes (Bundesrats-Drucksache 62/09) ist geplant, dem Bundesamt für die Sicherheit in der Informationstechnik die Befugnis einzuräumen, zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten und solche Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, auszuwerten. Zur Informationstechnik des Bundes gehört auch die Internetseite der Beigeladenen. Bei der Verabschiedung des Entwurfs, der als besonders dringlich bezeichnet ist, würde sich die Überwachung der Nutzung der nach der Verordnung 259/2008 veröffentlichten Daten noch verstärken. Mit einem In-Kraft-Treten des neuen Gesetzes ist in einigen Monaten zu rechnen, so dass es schon für das Vorabentscheidungsverfahren vor dem Gerichtshof relevant ist und sich die Frage nach dem Anwendungsbereich der Richtlinie 95/46/EG hinsichtlich von IP-Adressen besonders dringlich stellt.
25. Es wird angeregt, dieses Vorabentscheidungsersuchen mit demjenigen in dem Verfahren … gegen Land Hessen (6 K 1352/08.WI) zu verbinden.
26. Dieser Beschluss ist unanfechtbar.
Wem bisher immer noch etwas unklar ist, was offene oder freie Netze sind, wie sie funktionieren und wie man an ihnen teilnimmt, für den hat Freifunk Potsdam ein schönes Video zur Erläuterung erstellt (knappe 8 Minuten), in dem das Wichtigste erklärt wird.
Das Video ist sowohl bei YouTube (s.u.) als auch zum Download ebenfalls in höherer Qualität unter http://blog.freifunk-potsdam.de/freifunk-das-video/ verfügbar, es steht unter einer Creative Commons BY-NC-SA-Lizenz.
Weitere Erklärungen zu Freifunk und offenen Netzen finden sich bei Freifunk, Freifunk Potsdam und auch in meiner Diss, S. 8 ff.
Mittlerweile steht der Beitrag “Die Auswirkungen von sozialen Motiven auf die Rechts- und Haftungssituation am Beispiel offener Netze” im Volltext zum Download online.
Der Beitrag war Teil des Tracks “Rechtfragen, Geistiges Eigentum” auf der 9. Internationalen Tagung für Wirtschaftsinformatik, 25.-27.2.2009 in Wien (WI 2009). Der zugehörige Vortrag wurde am 25.2.2009 gehalten. Die Folien dazu können ebenfalls heruntergeladen werden (hier, zugehörige Meldung).
Abstract:
Business Services im Internet sind extrem vielfältig. Sowohl die beteiligten Personen, die ausgetauschten Leistungen, die Form des Austauschs sowie die Motive der Beteiligten sind unterschiedlich. Die folgende Arbeit soll klären, ob und inwiefern soziale oder altruistische Motive Einfluss auf die Rechtsgestaltung, also die vertragliche Auslegung und Einordnung, sowie die Haftungssituation bei typischen und untypischen IT-Verträgen haben können. Dafür sollen zunächst anhand des Beispiels offener Netze soziale Motive erarbeitet und erläutert werden.
Anschließend werden die Auswirkungen dieser Motivation auf die vertragliche Auslegung durch Betrachtung zweier Situationen der Leistungserbringung (anonyme Kommunikation ohne explizite (AGB-ähnliche) Vertragsgrundlage einerseits und Verwendung eines offenen „Vertrages“ andererseits) anhand des deutschen Rechts untersucht. Nach der Gestaltung ist die Frage nach dem Einfluss der Motivation auf die Haftung der Beteiligten zu stellen. Hierfür soll die aktuelle Rechtslage im Bereich der Störerhaftung sowie des Auskunftsanspruchs beleuchtet werden.
Weitere Publikationen können hier eingesehen und heruntergeladen werden.
Außerdem steht auch der gesamte Tagungsband der WI 2009 zum Download bereit (Band 1 (33 MB), Band 2 (25 MB)).
