201721.07.

Datenschutz im Verein: Herausgabe der Mitgliederliste an Vereinsmitglied

Die unmittelbare Kommunikation der Vereinsmitglieder untereinander ist ein elementarer Bestandteil des Vereinswesens und ein zwingend erforderliches Instrument zur Förderung eines meinungsbildenden Diskurses innerhalb des Vereins. Das Interesse der Vereinsmitglieder an der Kommunikation mit anderen Vereinsmitgliedern kann hierbei jedoch mit dem Recht auf informationelle Selbstbestimmung der anderen Mitglieder kollidieren.

Vereinsmitglieder müssen sich dennoch nicht auf die bloße Übermittlung ihrer Anliegen durch die entsprechenden Organe des Vereins beschränken lassen. Vielmehr sind die Vereine verpflichtet, die Möglichkeit der Kontaktaufnahme zu anderen Vereinsmitgliedern zu schaffen. Dies kann geschehen, indem die erforderlichen Kontaktdaten den Vereinsmitgliedern zur Verfügung gestellt werden. Dabei muss letztlich die freie Auswahl der Kommunikationsmittel durch die Vereinsmitglieder gewahrt bleiben, da einzig diesen die Entscheidung obliegt, welches Mittel die Kommunikation am zielführendsten gewährleistet.

Die Rechtsprechung verortet bei den einzelnen Vereinsmitgliedern nicht nur den Anspruch gegen den Verein auf die Übermittlung von Anschriften, sondern auch zur Übermittlung von Geburtsdaten, Berufsangaben bzw. Branchen- oder Geschäftsbezeichnungen. Die Übermittlung solcher Daten berühre keine besonderen Belange der Mitglieder und des Vereins, wenn die Vereinsmitglieder in freier Entscheidung über den Eintritt in oder den Austritt aus dem Verein entscheiden können. Die Auskunft ist keineswegs daran gebunden, dass ein Mitglied ausdrücklich der Weitergabe zugestimmt hat. Bereits durch Eintritt einer Person in einen Verein entsteht ein berechtigtes Interesse anderer Vereinsmitglieder, unmittelbar mit dieser beitretenden Person in Kontakt zu treten – ohne einen Umweg über den Vorstand des Vereins.

Insbesondere bei einer großen Mitgliederzahl, bei der sich die wenigsten Mitglieder persönlich kennen, ist die weitere Darlegung des erforderlichen berechtigten Interesses „entbehrlich“. Denn nur bei Vorliegen der Mitgliederkontaktdaten ist die Möglichkeit zum erforderlichen Austausch unter den Mitgliedern überhaupt erst eröffnet. Eine aktive Betätigung eines Mitglieds im Verein bestätigt dessen Anspruch auf Übermittlung der Mitgliederkontaktdaten – und damit denknotwendig auch auf die Speicherung dieser Daten.

Im Einzelnen

Die datenschutzrechtliche Zulässigkeit einer Datenverarbeitung bestimmt sich nach dem im Datenschutzrecht vorherrschenden Prinzip des Verbots mit Erlaubnisvorbehalt. Nach § 4 BDSG und den entsprechenden Normen spezialgesetzlicher Datenschutzregelungen sind grundsätzlich alle datenrelevanten Maßnahmen rechtswidrig, es sei denn, ein gesetzlich normierter Erlaubnistatbestand oder die Einwilligung des Betroffenen rechtfertigen sie.

Nach § 28 Abs. 1 Nr. 2 BDSG ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszweckedie zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Entsprechendes gilt nach § 28 Abs. 2 Nr. 2a BDSG auch hinsichtlich der Übermittlung oder Nutzung für einen anderen Zweck.

Das Merkmal „berechtigtes Interesse“ umschreibt das Spannungsverhältnis zwischen der informationellen Selbstbestimmung der Betroffenen und dem Informationsbedarf Dritter.[1] Die berechtigten Interessen können dabei sowohl wirtschaftlicher als auch ideeller Natur sein.[2]

Ob und in welchem Umfang ein berechtigtes Interesse besteht, ergibt sich aus dem Vereinsrecht. Als berechtigtes Interesse könnte beispielsweise die beabsichtigte Verfolgung vereinspolitischer Ziele anzusehen sein. Dieses Interesse ist ideeller Natur, es ergibt sich aus dem Wesen des Vereins. Die vereinsrechtlichen Aspekte sind im Rahmen der datenschutzrechtlich vorzunehmenden Interessenabwägung nach § 28 BDSG maßgeblich.

Diese Interessenabwägung wurde im Vereinsrecht durch die Rechtsprechung bereits umfangreich erörtert. Es hat sich eine eindeutige Rechtsprechung ergeben, die ein berechtigtes Interesse eines Vereinsmitglieds an Kenntnis von Namen und Anschriften der übrigen Mitglieder ausdrücklich bestätigt.

Die Rechtsprechung

Hierzu urteilte zunächst das Oberlandesgericht München folgendermaßen:

OLG München, Urteil vom 15. November 1990 – 19 U 3483/90

Das Wesensmerkmal eines Vereins (ebenso wie einer Gesellschaft), der auf eine gewisse Dauer angelegte Zusammenschluss von Personen zur Verwirklichung eines gemeinsamen Zweckes (vgl. Palandt, BGB, 48. Aufl., Einf. 7 vor § 21), bedingt ein grundsätzliches Interesse der Mitglieder, auch unmittelbar miteinander in Verbindung treten zu können. Wie schon vom Erstgericht dargestellt wurde, wird ein solches Bedürfnis nach Kontaktnahme insbesondere auch durch das vom Kläger konkret in Anspruch genommene, aus dem Mitverwaltungsrecht der Mitglieder fließende Minderheitenrecht, eine Einberufung der Mitgliederversammlung nach § 37 BGB zu erzwingen, bestimmt. Eine Folge der personenrechtlichen Art der zum Verein durch die Aufnahme als Mitglied geschaffenen Beziehung muss es sein, dem grundsätzlichen Anliegen des einzelnen Mitglieds, sich auch an andere Mitglieder wenden zu können, den vorhandenen Umständen entsprechend Rechnung zu tragen, das heißt im Falle der Existenz einer Mitgliederliste die Möglichkeit zuzulassen, dass das Mitglied diese nützt, um sich die Kenntnis darüber zu beschaffen, an welche weiteren Mitglieder es wegen vereinsrechtlicher Belange herantreten könnte. Deshalb wird auch nach heute herrschender Auffassung die Verpflichtung eines Vereins, einer Gesellschaft oder Genossenschaft, dem Mitglied Einsicht in auskunftsgewährende Unterlagen zu verschaffen, grundsätzlich bejaht (vgl. die vom Beklagten angeführten Zitate: Soergel/Hadding, BGB, 12. Aufl., Rdnr. 17 zu § 38 für das Vereinsrecht; Schopp GmbHR 1976, 129 und Baumbach/Hueck/Zöllner GmbHG, 15. Aufl., Rdnr. 13 sowie Scholz/Karsten/Schmidt GmbHG, 7. Aufl., Rdnr. 25, je zu § 50 für das GmbH-Recht; Lang/Weidmüller/Metz GenG, 32. Aufl., § 18, Rdnr. 8 und § 45 Rdnr. 7 für das Genossenschaftsrecht).

Zu Unrecht verweist der Beklagte den Kläger auf sein Angebot, ihm, wie jedem anderen Mitglied auch, jederzeit Auskunft über die Anzahl der Mitglieder zu geben, sein Anliegen in der Mitgliederzeitung zu veröffentlichen oder etwaige persönliche Schreiben den übrigen Mitgliedern zuzuleiten, weil, wie vom Erstgericht schon dargetan, damit dem Kläger Auswahlmöglichkeiten genommen würden. Auch muß es ihm überlassen bleiben, auf welchem Weg und in welcher Weise er mit anderen Mitgliedern in Verbindung treten will. Weder ist es die Sache des Klägers noch war es – wie der Beklagte meint – die des Erstgerichts, Angaben bzw. Ausführungen darüber zu machen, wie die Auswahl erfolgen solle, und ob etwaige in der Mitgliederliste enthaltene Daten genügten, um eine sinnvolle Auswahl zu treffen. Eine Überprüfung, ob und inwieweit dem Verlangen des Mitglieds auch auf einem anderen Wege als dem der Einsichtnahme entsprochen werden kann, braucht, wenn es – wie hier – lediglich um eine Mitgliederauflistung geht, nicht vorgenommen zu werden. Das Klagebegehren “Einsicht in die Mitgliederliste des Beklagten” ist lediglich auf Kenntnisnahme von einer Aufstellung der durch Namen, Anschriften, Geburtsdaten, Berufsangaben bzw. Branchen- oder Geschäftsbezeichnung, identifizierten Vereinsmitglieder gerichtet und berührt keine besonderen Belange der Mitglieder und des Vereins, wie dies etwa bei Einsichtnahme in sonstige und weitere Angaben enthaltenden Urkunden oder Bücher der Fall sein könnte (vgl. hierzu Palandt, Anm. 1 zu § 38 BGB). Als “berechtigtes Interesse” (Palandt a.a.O.; Sauter/Schweyer Der eingetragene Verein, 14. Aufl., Rdnr. 336) reicht vorliegend schon das grundsätzliche Interesse an der Möglichkeit zur Kontaktaufnahme aus. Ausreichende Hinweise dafür, daß es dem Kläger, wie der Beklagte behauptet, nicht um ein ernsthaftes und berechtigtes Anliegen, etwa um die Einberufung einer außerordentlichen Mitgliederversammlung, sondern ausschließlich um die Klärung einer Rechtsfrage ginge, sein Begehren also rechtsmißbräuchlich wäre, sind nicht gegeben. Auch mußte der Kläger nicht etwa, wie der Beklagte geltend macht, konkret dartun, daß die Voraussetzungen für die Einberufung einer außerordentlichen Mitgliederversammlung vorliegen und welchen Antrag er in diesem Zusammenhang stellen möchte; gerade auch ein berechtigtes Anliegen des Klägers wäre es, sich durch die von ihm gewünschte Kontaktnahme mit anderen Mitgliedern Erkenntnisse für eine Beurteilung zu verschaffen, ob man eine außerordentliche Mitgliederversammlung für geboten erachte.

Diese Entscheidung legte den Grundstein der Rechtsprechung und ihr folgten dann, ausdrücklich bestätigend, sämtliche Gerichte, die sich mit dieser Thematik befasst haben. Gefolgt sind dieser Entscheidung diverse Landgerichte, Oberlandesgerichte bis hin zum Bundesgerichtshof und dem Bundesverfassungsgericht. Letzteres befasste sich unmittelbar im Anschluss mit diesem Urteil und entschied folgendermaßen:

BVerfG, Kammerbeschluss vom 18.Februar 1991 – 1 BvR 185/91

Es ist verfassungsrechtlich nicht zu beanstanden, aus BGB § 37 ein berechtigtes Interesse auf Einsicht in die Mitgliederliste eines Vereins mit dem Ziel der Kontaktaufnahme mit anderen Vereinsmitgliedern zur Erörterung vereinsrechtlicher Belange herzuleiten und dabei eine Beeinträchtigung schutzwürdiger Belange eines Vereinsmitglieds nicht schon wegen der hypothetischen Möglichkeit des Missbrauchs der Einsicht in die Mitgliederliste anzunehmen.

Sodann folgte:

Bayerischer Verwaltungsgerichtshof, Beschluss vom 05.10.1998 – 21 ZE 98.2707

Während bei privatrechtlichen Vereinen dieser Informationsanspruch der Mitglieder darauf beruht, daß sich der einzelne freiwillig dem Verein angeschlossen hat und damit mit den anderen Mitgliedern in eine gewollte Rechtsgemeinschaft eingetreten ist, die von ihm auch forde

201729.06.

Die (vorläufige) Rückkehr des Staatstrojaners

Der Entwurf eines Gesetzes zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens (BT-Drs. 18/11277), der vom Bundestag am 22. Juni 2017 verabschiedet wurde, sieht eine Änderung der Strafprozessordnung vor, mit der die Überwachungsmöglichkeiten des Staates erneut massiv ausgeweitet werden.

Mit der Einsatzerlaubnis für den sog. Staatstrojaner oder Bundestrojaner und andere Spionagesoftware soll der zunehmenden Verschlüsselung der Kommunikation durch die Bevölkerung entgegengewirkt werden. Der Einsatz von Software, die auf dem Gerät des Betroffenen installiert wird, erlaubt das Mitlesen und Abgreifen der Kommunikation, bevor diese verschlüsselt und an den Empfänger übertragen wird. Hierbei sollen die Geräte der Betroffenen auf Hinweise zu einer Vielzahl von Straftaten untersucht werden dürfen (z.B. Hehlerei, Geldwäsche, Bestechung) ohne dass die Betroffenen die Überwachung bemerken oder von dieser Kenntnis erlangen. Damit wird eine Maßnahme, die zuvor als Maßnahme gegen Terrorismus im Gesetz verankert wurde, zur Standardmaßnahme der Polizei erhoben, die unverhältnismäßig in das Recht auf informationelle Selbstbestimmung eingreift.

Die Bundesregierung hat die Anwendung von Spionagesoftware in dem Maßnahmenpaket “Programm zur Stärkung der Inneren Sicherheit” (PSIS, vom 9. November 2006) als Maßnahme beschrieben, um “entfernte PCs auf verfahrensrelevante Inhalte hin zu durchsuchen, ohne tatsächlich am Standort des Gerätes anwesend zu sein”.

Der BGH hatte sich in dem Beschluss vom 31. Januar 2007 (Az. StB 18/06) mit der Anwendung von Spionagesoftware zur verdeckten Durchsuchung eines Computers auseinandergesetzt und hohe Hürden formuliert. Kurz danach, im Februar 2008 hat auch das Bundesverfassungsgericht (Az. 1 BvR 370/07) gegen die Anwendung des Staatstrojaners in Nordrhein-Westfalen geurteilt. Es wurde festgestellt, dass das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG auch das Recht auf Gewärhleistung der Vertraulichkeit und der Integrität informationstechnischer Systeme umfasse. Das heimliche Infiltrieren von informationstechnischen Systemen zur Überwachung und Durchsuchung sei nur dann gestattet, wenn eine konkrete Gefahr für ein überragend wichtiges Rechtsgut, wie das menschliche Leben, bestehe oder allgemeine Rechtsgüter, wie die Grundlagen der Existenz der Menschen oder der Bestand des Staates bedroht seien. Es wurde zudem der Vorbehalt einer entsprechenden richterlichen Anordnung für die verfassungsrechtliche Zulässigkeit vorausgesetzt. Das zum Eingriff ermächtigende Gesetz sollte auch Vorkehrungen enthalten, um den Kernbereich der privaten Lebensgestaltung möglichst zu schützen.

Das jetzt vom Bundestag verabschiedete Gesetz ist unverhältnismäßig, da es weit über die vom Bundesverfassungsgericht geforderten überragend wichtigen Rechtsgüter hinausgeht und etwa Vermögensdelikte des Strafrechts erfasst werden. Das Gesetz wird einer verfassungsrechtlichen Kontrolle des Bundesverfassungsgericht nicht standhalten. Die Gesellschaft für Freiheitsrechte hat erfreulicherweise bereits eine entsprechende Verfassungsbeschwerde angekündigt.

Die Kritik an solchen Überwachungsgesetzen drängt sich zwingend auf. Die Heimlichkeit eines exekutiven Handelns in Form von polizeilichen Maßnahmen verstößt grundsätzlich gegen rechtsstaatliche Prinzipien. Rechtsstaatlichkeit erfordert die Kontrolle durch die Öffentlichkeit oder zumindest durch unabhängige Stellen, die wiederum der Kontrolle der Öffentlichkeit ausgesetzt sind. Dieser Wesenskern der Rechtsstaatlichkeit wird durch die Anwendung des Staatstrojaners untergraben und kann durch die vom Bundesverfassungsgericht formulierten Voraussetzungen für die Anwendung der Spionagesoftware nur teilweise abgefedert werden.

Auch das Missbrauchspotential ist nicht zu unterschätzen. Die Spionagesoftware ist auch ohne die richterliche Freigabe den Mitarbeitern der Behörden zugänglich und kann unrechtmäßig benutzt werden, wie ein im August 2007 bekannt gewordener Fall aufzeigt, in dem der BND-Mitarbeiter den Staatstrojaner zu privaten Zwecken nutzte. Dem steht gegenüber, dass die Spionagesoftware ohnehin nicht dem Verhältnismäßigkeitsgrundsatz genügen könnte. Während Beteiligte an schwerer Kriminalität immer ein gewisses Maß an Vorsicht und des organisierten Schutzes gegen bekanntermaßen angewendete Ermittlungsmöglichkeiten vorweist, sind es gerade die höchstens leicht kriminellen Menschen oder auch nur fälschlicherweise verdächtigten Bürger, die durch den Staatstrojaner ausgespäht werden können. Auch ein so bestehender Anfangsverdacht, der sich als unbegründet erweist, kann durch die Anwendung des Staatstrojaners zum Fund von Hinweisen auf Bagatelldelikte bzw. auf geringfügige Straftaten führen, für dessen Ermittlungen der Staatstrojaner gerade nicht ein verhältnismäßiges Mittel zur Beweiserhebung darstellt oder dazu dienen sollte. Es bleibt auch zu befürchten, dass der Anfangsverdacht, so unbegründet er eigentlich sein mag, mangels der rechtsstaatlichen Kontrolle und mangels der Möglichkeiten einer Entgegnung durch den Überwachten oder dessen anwaltlichen Beirat, von den Behörden auf eine Art und Weise dem zuständigen Richter glaubhaft gemacht wird, der sich, zumindest mit Rückblick auf die tatsächlichen Begebenheiten, für dessen Ermittlung die beantragende Polizei ohnehin selbst verantwortlich wäre, nicht gebietet.

Schließlich ist darauf hinzuweisen, dass der Einsatz von solchen Staatstrojanern immer auch die Ausnutzung von Sicherheitslücken voraussetzt. Dies wird dazu führen, dass der Staat in Zukunft Sicherheitslücken nicht den Softwareherstellern melden, sondern vielmehr für das eigene “Staatstrojaner-Arsenal” sammeln wird. Diese Überlegungen widersprechen dem Verständnis der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. Computergrundrecht) das vom Bundesverfassungsgericht im Grundsatzurteil 2008 formuliert wurde.

Es bleibt abzuwarten, ob der Staat wegen seiner eigenen technischen Unfähigkeit (siehe Bayerntrojaner) gezwungen sein wird, entsprechende Trojanersoftware bei Drittanbietern auf dem “Schwarzmarkt” einzukaufen und so unkalkulierbare Risiken für die Betroffenen in Kauf nehmen wird (etwa Datenabfluss an Dritte). Hintergrund dieser Überlegungen ist, dass bei solchen Drittanbietern der Quellcode typischerweise nicht offen gelegt wird, sodass Käufer nicht vollständig nachvollziehen können, welche Funktionen oder auch Sicherheitslücken die Trojanersoftware hat (z.B. Datenabfluss an Dritte, Zugriff vom Hersteller, Bugs).

RA Sebastian Schwiering
Wiss. Mit. Burak Zurel

201729.06.

Bundesnetzagentur setzt Vorratsdatenspeicherung vorerst aus

Nach dem Urteil des Oberverwaltungsgericht NRW vom 22.06.2017 hat die Bundesnetzagentur die logischen Konsequenzen gezogen und die Vorratsdatenspeicherung bis zur Entscheidung im Hauptsacheverfahren ausgesetzt.

Dazu die BNetzA:

Mitteilung zur Speicherverpflichtung nach § 113b TKG

Die Erbringer öffentlich zugänglicher Telefondienste und Internetzugangsdienste sind gemäß § 113b TKG zur Speicherung der dort genannten Verkehrsdaten ab dem 01.07.2017 von Gesetzes wegen verpflichtet. Mit Beschluss vom 22.06.2017 hat das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in einem Verfahren des einstweiligen Rechtsschutzes festgestellt, dass der klagende Internetzugangsdiensteanbieter bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens nicht verpflichtet ist, die in § 113b Abs. 3 TKG genannten Telekommunikationsverkehrsdaten zu speichern (Az. 13 B 238/17). Aufgrund dieser Entscheidung und ihrer über den Einzelfall hinausgehenden Begründung sieht die Bundesnetzagentur bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber allen verpflichteten Unternehmen ab. Bis dahin werden auch keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung gegen die verpflichteten Unternehmen eingeleitet.

201726.06.

OVG NRW: Vorratsdatenspeicherung verstößt gegen Unionsrecht

Die verdachtsunabhängige, flächendeckende Speicherung von IP-Adressen, zu der Internetprovider ab dem 1. Juli 2017 gemäß des Gesetzes zur Vorratsdatenspeicherung vom Dezember 2015 verpflichtet sind, sei nicht mit Unionsrecht vereinbar. So entschied das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW, Beschluss v. 22.06.2017 – Az. 13 B 238/17) im Eilverfahren, das der Internetprovider SpaceNet AG mit der Unterstützung des Verbandes der Internetwirtschaft (ECO) angestrengt hatte. Das Unternehmen SpaceNet ist somit von der Pflicht zur anlasslosen Speicherung ausgenommen.

SpaceNet hatte argumentiert, das Gesetz verletze Freiheits- und Schutzrechte, die durch die Grundrechtecharta der EU (GRCh) besonders geschützt seien, etwa die Berufsfreiheit, die unternehmerische Freiheit, den Schutz der Privatsphäre, des Familienlebens und auch den Schutz von personenbezogenen Daten. Das Verwaltungsgericht Köln folgte dieser Argumentation nicht und lehnte den Antrag SpaceNets auf Erlass einer einstweiligen Anordnung ab (VG Köln, Beschluss v. 25.01.2017 – Az.  9L 1009/16). Den Erfolg erreichte SpaceNet dann aber vor dem OVG des Landes NRW in Münster. Die Richter verwiesen auf die Entscheidungen des EuGH vom Dezember 2016 (Az.: C-203/15 u. C-698/15) in denen ein Verstoß der Vorratsdatenspeicherung gegen die europäische Datenschutzrichtlinie von 2002 festgestellt wurde und deuteten damit den wahrscheinlichen Ausgang im nun anstehenden Hauptverfahren an.

Obwohl nur SpaceNet von der Pflicht zur Vorratsdatenspeicherung ausgenommen ist, hat das Unternehmen durch die Bemühungen wichtige Vorarbeit für andere Unternehmen geleistet, die nun mit einer gewissen Sicherheit dem Beispiel folgen könnten. Der Verein Digitale Gesellschaft hat in einer Stellungnahme alle Verbraucher dazu aufgerufen, bei ihren Internetprovidern die Gegenwehr zu fordern und entsprechend Druck aufzubauen.

Die Telekom argumentiert momentan vor dem VG Köln, die anlasslose Speicherung von IP-Adressen sei nicht geeignet, um die Strafverfolgung zu unterstützen. IP-Adressen würden nur begrenzt vergeben und besonders bei mehreren Nutzern, die nicht individuell identifizierbar seien, wie in den Fällen eines HotSpots, sei die Speicherung von weiteren Daten notwendig, aber nach geltender Rechtslage unzulässig.

Die Bundesregierung hat durch den erneuten Anlauf, eine flächendeckende, anlasslose Vorratsdatenspeicherung einzuführen, möglicherweise (Fehl-)Investitionen in Millionenhöhe in die für die Speicherung notwendige Infrastruktur durch die Internetprovider erzwungen. Ab dem 1. Juli sind die Provider mit der Ausnahme von aktuell SpaceNet jedenfalls dazu verpflichtet, ein unionsrechtswidriges Gesetz umzusetzen, um nicht die Verhängung von Bußgeldern durch die Bundesnetzagentur fürchten zu müssen. Es ist zwar denkbar, dass die Maßnahmen der Bundesnetzagentur bis zur endgültigen Klärung der Rechtslage ausgesetzt werden, jedoch gibt es bisher keine offiziellen Stellungnahmen, die der nun geschaffenen großen Rechtsunsicherheit für Internetprovider entgegenwirken könnten.

In einer Stellungnahme äußerte sich der Verband ECO erfreut, der Vorstand Oliver Süme teilte mit:

„Die Entscheidung des Oberverwaltungsgerichts Nordrhein-Westfalen ist der erste Schritt in die richtige Richtung. Aber jetzt ist es an der Zeit für eine Grundsatzentscheidung, um die Vorratsdatenspeicherung endgültig zu stoppen, andernfalls laufen die Unternehmen Gefahr, ein europarechts- und verfassungswidriges Gesetz umsetzen zu müssen und damit Gelder in Millionenhöhe in den Sand zu setzen. Die Vorratsdatenspeicherung ist eine netzpolitische Fehlentscheidung, vor der wir in der Vergangenheit immer wieder gewarnt haben und die vermeidbar gewesen wäre, wenn sich die Bundesregierung sorgfältiger mit den Einwänden der Wirtschaft auseinandergesetzt hätte“.

Und auch der Vorstand der SpaceNet AG, Sebastian von Bomhard, sieht die Position des Unternehmens SpaceNet bestätigt:

Es ist schön zu sehen, dass wir mit unserer Klage und dem Eilantrag den richtigen Weg gegangen sind. Auch wenn das Gericht formal zunächst nur über den Eilantrag entschieden hat, findet sich in der Urteilsbegründung einiges, was den Ausgang der Sache zu Gunsten der Position der Spacenet AG präjudiziert.

201713.06.

KG Berlin zum Streit mit Facebook: Datenschutz und digitales Erbrecht; Revision zugelassen

Das KG Berlin hat mit Urteil vom 31. Mai 2017 (Az. 21 U 9/16) die Klage einer Mutter abgewiesen, die einen erbrechtlichen Anspruch gegen Facebook auf den Zugang zum Facebook-Konto ihres verstorbenen Kindes durchsetzen wollte. Das Gericht war der Ansicht, dem Anspruch stände das Fernmeldegeheimnis entgegen, das durch die Einsichtnahme in die Kommunikation der Tochter mit Dritten verletzt würde.

Das KG Berlin befasste sich nicht abschließend mit der Frage, ob die Eltern des Kindes als Erben den Nutzungsvertrag mit Facebook übernommen hatten. Zwar sei es grundsätzlich möglich, dass die Übernahme des Nutzungsvertrages durch die Erben eingetreten sei, obgleich nur durch Erhalt eines passiven Leserechts anstelle eines aktiven Rechts auf die Fortführung des Profils. Insbesondere stände der Vererbung keine Regelung in den Nutzungsbedingungen von Facebook und auch nicht das wesentliche Leistungsprinzip eines solchen Nutzungsvertrages entgegen. Social Media-Netzwerke seien Kommunikationsplattformen und vermittelten nur Inhalte. Diese Leistung könne auch nach einem Todesfall unverändert und weiterhin angeboten und von den Erben beansprucht werden.

Andererseits gehe aus den Regelungen des deutschen Erbrechts nicht hervor, ob höchstpersönliche Rechtspositionen ohne vermögensrechtliche Auswirkungen vererbbar seien. Die Vererbung setze die Verkörperung im Eigentum des Verstorbenen voraus und könne deshalb nicht E-Mails und ähnliche lediglich virtuell existierende Gegebenheiten betreffen. Die Abgrenzung solcher Sachverhalte von den Fällen, in denen die Inhalte aufgrund ihres nicht nur höchstpersönlichen, sondern auch wirtschaftlichen Bezuges vermögensrechtlich bedeutsam und damit wiederum vererbbar seien, würde auf erhebliche Probleme und Abgrenzungsschwierigkeiten stoßen.

Deshalb verzichtete das KG Berlin auf die abschließende Beurteilung der erbrechtsbezogenen Fragen und widmete sich dem Fernmeldegeheimnis und den Bestimmungen des Telekommunikationsgesetzes (TKG). Das TKG habe ursprünglich nur Telefonanrufe betreffen wollen, das dem TKG zugrundeliegende Fernmeldegeheimnis in Art. 10 Grundgesetz stelle aber unabhängig davon eine objektive Wertentscheidung unserer Verfassung dar. Aus ihr ergäben sich weitergehende Schutzpflichten des Staates und auch privater Telekommunikationsdienstleister, um diese grundgesetzliche Wertentscheidung ausreichend abzubilden.

Das Gericht verweist auf eine Entscheidung des BVerfG vom 16.09.2009 (Az.: 2 BvR 9002/06), das den Schutzbereich des Fernmeldegeheimnisses auf E-Mails ausweitete, die auf den Servern eines Diensteanbieters gespeichert sind. Es wurde eine grundsätzliche Schutzbedürftigkeit der Nutzer angenommen, der nicht die notwendigen technischen Möglichkeiten habe, um eine Weitergabe der E-Mails durch den Diensteanbieter zu verhindern. Diese Ausführungen seien entsprechend auf Kommunikationsverläufe anzuwenden, die bei Facebook gespeichert und ebenso nur für einen beschränkten Nutzerkreis bestimmt sind. Die Anwendung von gesetzlichen Ausnahmetatbeständen und die Einschränkung des Fernmeldegeheimnisses durch das Erbrecht lehnte das KG Berlin entschieden ab.

Eine Besonderheit des verhandelten Sachverhalts ist der Umstand, dass die verstorbene Tochter der erbenden Mutter ihre Zugangsdaten vor dem Erbfall mitgeteilt hatte. Die klagende Mutter sah darin einen Verzicht auf den Schutz des Fernmeldegeheimnisses, wurde jedoch vom Gericht darauf hingewiesen, dass durch die Einsichtnahme auch das Fernmeldegeheimnis aller in den Kommunikationsverläufen abgebildeten Personen berührt und somit die Verzichtserklärung aller Betroffenen erforderlich wäre.

Damit wird eine rechtliche Hürde aufgestellt, die praktisch unmöglich zu überwinden ist. Nicht nur der nötige Aufwand für die Ermittlung der Betroffenen ohne vorherige Einsicht in das Benutzerkonto ist unermesslich. Selbst wenn dies praktisch möglich wäre, ist nicht davon auszugehen, dass ausnahmslos alle Beteiligten eine entsprechen Verzichterklärung abgeben und so jegliche private Daten einem Dritten zugänglich machen würden.

Das Gericht lehnte auch einen Zugangsanspruch außerhalb des Erbrechts, etwa aus dem Recht der elterlichen Fürsorge und dem Totenfürsorgerecht ab. Ersteres erlösche mit dem Tode des Kindes, während Letzteres nicht zur Begründung eines solchen Zugangsanspruchs dienen könne. Den durchaus verständlichen Wunsch der Eltern, die Umstände, die zum Tod ihres Kindes geführt haben zu erforschen, könne auch nicht mit Rücksicht auf das durchaus berührte allgemeine Persönlichkeitsrecht entsprochen werden. Das allgemeine Persönlichkeitsrecht müsse dann auch vielfältige andere Ereignisse umfassen, womit es zu einem konturenlosen bzw. nicht mehr handhabbaren Grundrecht gewandelt würde.

Das Kammergericht hat die Revision zugelassen; man darf auf die weitere Entwicklung gespannt sein.

201628.09.

Google Analytics: Neuer Vertrag mit aktualisierten Datenschutzbestimmungen

Google verarbeitet durch das Web-Analyse-Tool Google Analytics personenbezogene Daten von Webseitenbesuchern im Auftrag des Webseitenbetreibers. Für diese Konstellation, dass ein Dienstleister für seinen Kunden personenbezogene Daten im Auftrag verarbeitet, schreibt das Bundesdatenschutzgesetz zwingend den Abschluss eines Vertrags zur Auftragsdatenverarbeitung vor, § 11 BDSG.

Nach dem der europäische Gerichtshof das Datentransfer Abkommen Safe Harbor Ende 2015 für ungültig erklärt hat, hat Google nunmehr seine Verträge zu Google Analytics, insbesondere den Vertrag zur Auftragsdatenverarbeitung, dieser Rechtsprechung angepasst.

Als Nachfolger von Safe Harbor wurde im Februar 2016 das neue „Privacy Shield“-Abkommen beschlossen, dem Google diesen Sommer beigetreten ist. Neben der Einhaltung der bislang schon geltenden Anforderungen an die datenschutzkonforme Nutzung von Google Analytics (IP-Anonymisierung, Information per Datenschutzerklärung, Opt-Out) empfehlen wir, den aktualisierten Vertrag mit Google abzuschließen.

Der aktualisierte Vertrag inkl. Anleitung kann hier heruntergeladen werden.


201627.09.

Smart Home vs. informationelles Selbstbestimmungsrecht: Vortrag bei Aachen2025

Im Rahmen des Themenparks Wohnen, Energie & Wasser der Veranstaltung Aachen 2025 habe ich am 24. und 25. September den folgenden Vortrag zum Thema Smart Home vs. Recht der Bürger auf informationelle Selbstbestimmung gehalten.

Im Vortrag und der anschließenden Diskussion ging es insbesondere um datenschutzrechtlichen Grundsätze, Herausforderungen durch das Internet der Dinge sowie um Handlungsempfehlungen, wie Produkte und Dienstleistungen datenschutzkonform ausgestaltet werden können.

201620.09.

Buchveröffentlichung: Transparente Staatstätigkeit

Abedin & Schwiering Anwälte Aachen Transparente Staatstätigkeit Cover FrontWir freuen uns über die Veröffentlichung des Buches “Transparente Staatstätigkeit“, an dessen Entstehung RA Sebastian Schwiering als Co-Autor mitgewirkt hat.

Offenheit und Transparenz sind im Informationszeitalter entscheidende politische Schlagworte und Gradmesser für Demokratie und Innovation. Sie sind Bedingung für persönliche und politische Freiheit, ökonomischen Erfolg und demokratische Teilhabe. Das vorliegende Werk ist das Ergebnis eines gemeinsamen Buchprojekts, in dem Praxisbeispiele erörtert und Möglichkeiten und Grenzen transparenter Staatstätigkeit auf den verschiedenen Gebieten diskutiert werden.

Mit dem eigenen Beitrag “Datenschutzrechtliche Grenzen verwaltungsseitiger Transparenz” geht RA Sebastian Schwiering auf die datenschutzrechtlichen Implikationen eines durchgeführten Open Data-Ansatzes ein und erläutert anhand relevanter Rechtsprechung die gesetzlichen Rahmenbedingungen, die insbesondere durch spezialgesetzliche Regelungen, die Open Data direkt betreffen, geschaffen werden.

Die Beiträge des Herausgebers Benjamin Fadavian und der Co-Autoren Dieter Rehfeld, René Schneider, Jorma Klauss, Dieter Hofmann, Benjamin Heese, Oliver Mersmann / Jonas Abs, Hanna Brauers und Georg Dietlein beleuchten den Themenkomplex der öffentlichen Transparenz jeweils aus einer anderen Perspektive und bieten dem Leser und Interessenten damit die Möglichkeit einer intensiven, wissenschaftlichen Auseinandersetzung mit der Thematik. Hierbei gewährleisten die vielfältigen Hintergründe der Co-Autoren aus Politik, Wirtschaft und Verwaltung eine extensive Darstellung des Themenkomplexes und die dazu notwendige Diversifikation der Inhalte.

Das Buch kann auf der verlagseigenen Seite tedition.de oder bei Amazon erworben werden.

201612.04.

Stellungnahme der Datenschutzbehörden zur EU-Datenschutzgrundverordnung

Im Anschluss an die 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, die vom 6 – 7. April 2016 in Schwerin stattfand, haben sich die Datenschutzbehörden in einer Entschließung zur neuen EU-Datenschutzgrundverordnung geäußert:

Mit der Grundverordnung verfügt die EU über ein weiterentwickeltes, einheitliches Datenschutzrecht, das für Unternehmen und Behörden in Deutschland weitgehend Kontinuität gewährleistet. Überall in Europa soll künftig dasselbe Schutzniveau für das Grundrecht auf Datenschutz gelten. Ebenso wird feststehen, dass sich auch außereuropäische Anbieter, die ihre Waren und Dienstleistungen auf dem europäischen Markt anbieten, an das europäische Datenschutzrecht halten müssen.

Wichtige datenschutzrechtliche Prinzipien wie der Grundsatz des Verbots mit Erlaubnisvorbehalt, der Zweckbindungsgrundsatz und der Grundsatz der Datensparsamkeit sind in den Verhandlungen weitgehend erhalten geblieben.

Die Aufsichtsbehörden fordern die Bundes- und Landesgesetzgeber jedoch auch auf, die in der Grundverordnung enthaltenen Öffnungs- und Konkretisierungsklauseln zu Gunsten des Rechts auf informationelle Selbstbestimmung zu nutzen und in allen gesetzgeberischen Bereichen die nationalen Spielräume im Sinne des Grundrechts auf informationelle Selbstbestimmung umzusetzen.

Insbesondere folgenden Regelungen komme in diesem Zusammenhang hohe Bedeutung zu:

  • Schaffung eines Beschäftigtendatenschutzgesetzes, mindestens jedoch Beibehaltung der §§ 3 Abs. 11, 32 BDSG (Art. 88 i.V.m. Erwägungsgrund [EG] 155),
  • Beschränkungen für die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten (Art. 9 Abs. 4 i.V.m. EG 53, letzte beide Sätze),
  • Stärkung der Befugnisse der Aufsichtsbehörden, insbesondere Schaffung von Klagebefugnissen und effektiven Sanktionen auch gegenüber Behörden (Art. 58 und 83 Abs. 7 i.V.m. EG 150, vorletzter Satz),
  • jedenfalls im öffentlichen Bereich durch die Nennung der Schutzziele Datensparsamkeit, Vertraulichkeit, Integrität, Verfügbarkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit, um einen einfachen, flexiblen und praxistauglichen technischen und organisatorischen Datenschutz zu konkretisieren (Art. 6 Abs. 2, 25, 32),
  • Begrenzung der Zweckänderung bei Videoüberwachung öffentlich zugänglicher Räume durch Private, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist (Art. 6 Abs. 4),
  • Beibehaltung der Verpflichtung in § 4f Abs. 1 BDSG einen betrieblichen Datenschutzbeauftragten zu bestellen (Art. 37 Abs. 4).
201609.03.

LG Düsseldorf: Facebook-Like-Button datenschutzrechtlich unzulässig

Der berühmte Like-Button, den man auch außerhalb von Facebook immer wieder vortrifft, ist Datenschützern schon lange ein Dorn im Auge. Diesmal richtet sich der Ärger jedoch nicht gegen Facebook selbst, sondern gegen Unternehmen, die einen solchen, mit Facebook verbundenen Social-Media Button auf ihren eigenen Internetpräsenzen einbinden (LG Düsseldorf, Urteil vom 09.03.2016, AZ: 12 O 151/15).

Die Verbraucherzentrale NRW hatte Bedenken gegen diese Praxis und reichte vor dem LG Düsseldorf Klage gegen den Bekleidungshändler Peek & Cloppenburg ein. Der Like-Button leite Informationen über das Surfverhalten der Nutzer bereits beim bloßen Aufruf der Webseiten an Facebook weiter, die sich daraus ergebenden Aufklärungspflichten bei der Weitergabe von Daten würden nicht erfüllt.

Konkret werde unter anderem die IP-Adresse des Nutzers in Verbindung mit Informationen zu der aufgerufenen Seite an Facebook übermittelt. Das LG Düsseldorf urteilte, Unternehmen dürften den Like-Button nicht ohne Angaben über Zweck und Funktion  und ohne ausdrückliche Einwilligung der Seitenbesucher auf ihren Internetseiten integrieren und folgte damit den Ausführungen der Verbraucherschützer. Unter anderem wurden im Frühjahr 2015 auch HRS, Nivea, Payback, Eventim, Fashion ID und KIK wegen des Like-Buttons abgemahnt.

Peek & Cloppenburg nutzt mittlerweile eine Two-Step Lösung, die erfordert, dass der Nutzer die Social-Media Buttons durch Einwilligung in die Übermittlung der Daten aktiviert, bevor sie ausgeführt und genutzt werden können. Eine solche datenschutzfreundliche Lösung bietet heise bereits seit 2011 als Open Source-Projekt auf Github an.