Schlagwort-Archive: Anonymität

J!Cast 79: Anonymisierungsdienste und die Haftung für Rechtsverletzungen

Der Jura-Podcast Nr. 79 behandelt Anonmyisierungsdienste und die Haftung hierfür. Dabei werden die Autoren des Artikels „Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen“ (K&R 2009, 766) (s. dazu ausführlich hier) befragt, die die Problematik darstellen.

„In Zeiten der „Datensammelwut“ und des An- und Verkaufs von Daten ist es erstaunlich, dass sogenannte Anonymisierungsdienste in der allgemeinen Wahrnehmung  eine noch untergeordnete Rolle spielen. Diese Dienste ermöglichen es, sich gegen das Sammeln von Daten beim Internetsurfen zu schützen, was insbesondere für Freunde des Selbstdatenschutzes von Interesse ist.

Zu der technischen Umsetzung, der Nutzung der Angebote zum Selbstdatenschutz und der Haftung von Anbietern dieser Dienste bei Rechtsverstößen sprach Christoph Golla mit Dr. Marco Rau , Rechtsanwalt bei Buse Heberer und Fromm in Frankfurt, und Herrn Martin Behrens , Systemadministrator bei Global Aid Network.“

Links:

Zum Schutz der IP-Adresse und zum Recht auf Anonymität

Im Blog des AK Vorratsdatenspeicherung ist ein kurzer Beitrag als Antwort auf Härting, NJW-aktuell 3/2010, S. 10: „Spuren im Netz“, erschienen.
Darin belegt er erneut, dass die IP-Adresse ein personenbezogenes Datum ist, und setzt sich kurz mit der entgegenstehenden mM auseinander, der sich Härting angeschlossen hatte (s. zur IP-Adresse und Personenbezug ausführlich hier und hier und hier).
Weiter behandelt der Beitrag kurz das vom BGH statuierte Recht auf Anonymität (BGH NJW 2009, 2888, 2893; eingehend Mantz, Rechtsfragen offener Netze, 2008, S. 67 ff.).

Ein lesenswerter Beitrag, der auch in NJW-aktuell 11/2010, S. 18 erschienen ist.

BGH: Verhandlung zur Haftung für offenes WLAN

Der BGH hat am 18.3.2010 in der Revisionssache zum Thema Haftung für ein offenes WLAN verhandelt (Vorinstanz: OLG Frankfurt a.M, Urteil vom 01.07.2008 – Az. 11 U 52/07, s. dazu hier).

In dem Fall hatte der Beklagte ein unverschlüsseltes WLAN betrieben. Während seines Urlaubs nutzte ein unbekannter Dritter seinen Zugang für Filesharing. Der Beklagte wurde daraufhin abgemahnt und anschließend auf Schadensersatz und Ersatz der Rechtsverfolgungskosten verklagt. Das LG Frankfurt hatte in der ersten Instanz der Klage stattgegeben, das OLG Frankfurt hatte die Klage abgewiesen.

Das Urteil des BGH wird auch deshalb mit großem Interesse erwartet, weil sich die oberinstanzlichen Gerichte in vergleichbaren Fällen widersprochen haben.

Bisher sind über die Verhandlung nur Presseberichte verfügbar. Aus diesem Grund lässt sich nur wenig über den Inhalt sagen. Allerdings weisen fast alle Berichte auf eine gewisse Grundtendenz des BGH hin: Der Berichterstatter hat wohl von der „Eröffnung einer Gefahrenquelle“ gesprochen. Zusätzlich deutet sich an, dass eine Haftung (auch für die Kosten einer Abmahnung) erst nach einem Hinweis entstehen könnte. Letzteres würde im Rahmen der Entwicklung der Rechtsprechung der letzten Jahre zu den Prüfungs- und Überwachungspflichten nicht verwundern und würde auf ein sogenanntes „Notice-and-Takedown“ hinauslaufen (s. dazu hier und hier).

Mit diesen Andeutung ist allerdings noch nicht ausreichend viel bekannt, um über eine Entscheidung des BGH inhaltlich etwas auszusagen. Die Unkenrufe des Rückbaus von offenen Hotspots und offenen Netzen wie Freifunk sind allerdings zu vernehmen.

Dabei hat insbesondere Thomas Stadler in seinem Blog kurz vor der Verhandlung noch einmal sehr eindringlich deutlich gemacht, wo die Unterschiede liegen und warum der BGH sich mit der Problematik intensiver auseinander setzen müsste (s. hier).

Wenn man ein Notice-and-Takedown auf den Betreiber eines Hotspots überträgt, dann ist technisch die Schließung des Knotens allerdings auch die einzige sichere Lösung – was der BGH hoffentlich nicht verkennen wird.

Denn egal wie das Urteil ausfällt: Ob es überhaupt Auswirkungen auf Freifunk haben wird, ist noch nicht klar. Denn der verhandelte Fall liegt einfach anders. Freifunk ist ein Spezialfall, der hohe Grundrechtsrelevanz hat. Ob sich der BGH auch hierzu in seiner Entscheidung äußern wird, muss abgewartet werden.

Verkündungstermin ist am 12.5.2010.

Berichte zur Verhandlung:

Update: Laut Bericht von Thomas Stadler zum 1. LawCamp haben sich dort wohl einige, die bei der Verhandlung anwesend waren, nicht so negativ über die Verhandlung äußern wollen, wie dies in den Presseberichten durchscheint.

Lesetipp: Rau/Behrens, Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen, K&R 2009, 766

Im aktuellen Heft der K&R ist ein Aufsatz von Marco Rau und Martin Behrens mit dem Titel „Catch me if you can … Anonymisierungsdienste und die Haftung für mittelbare Rechtsverletzungen“ (K&R 2009, 766) erschienen.

Die Autoren beschreiben zunächst technische Grundlagen von Anonymisierungsdiensten wie TOR und AN.ON (Test von Anonymisierungsdiensten hier). Anschließend untersuchen sie, ob Anonymisierungsdienste als Telekommunikations- oder Telemediendienste anzusehen sind, wobei sie im Ergebnis eine Differenzierung vornehmen: Teile des Dienstes seien als TK-Dienst, andere als Telemediendienst zu behandeln.

Anschließend wird betrachtet, ob Anonymisierungsdienste der Vorratsdatenspeicherung unterfallen, wobei sie auf die Unterschiede der europäischen Richtlinie und der deutschen Regelung in § 113a TKG hinweisen. Insbesondere bezweifeln Rau und Behrens, dass die Vorratsdatenspeicherung geeignet und erforderlich ist und verweisen auf die ausstehende Entscheidung des BVerfG.

Schließlich untersuchen die Autoren das zivilrechtliche Haftungsregime. Dabei stellen sie insbesondere den Schwenk der BGH-Rechtsprechung von der Störerhaftung zur „Verletzung wettbewerbsrechtlicher Verkehrssicherungspflichten“ heraus (s. insbesondere BGH – Jugendgefährdende Medien bei eBay (GRUR 2007, 890), dazu Meldung bei heise-online). Diese Rechtsprechung sei aber auf Anonymisierungsdienste nicht übertragbar. Stattdessen sei eine Haftung weiter nach den Grundsätzen der Störerhaftung zu beurteilen. Dabei sehen die Autoren Prüfungspflichten zwar grundsätzlich als problematisch, aber insbesondere Blockadelisten für IPs als zumutbar an.

Insgesamt ein lesenswerter Artikel. Was die Zumutbarkeit der Prüfungspflichten bei der Störerhaftung angeht, bleiben allerdings noch Fragen offen. Als zumutbare Pflicht sehen die Autoren Access Control Lists an. Im Artikel heißt es dazu:

„Als Filter ausgestaltete Prüfungspflichten erscheinen damit zumutbar. Die Ansiedlung bei den Diensteanbietern trägt dem Grundsatz Rechnung, dass derjenige, der in seinem Herrschaftsbereich eine Gefahrenquelle eröffnet, Vorkehrungen zum Schutz der Rechtsgüter Dritter treffen muss. Hierdurch wird derjenige verpflichtet, der die Risiken am besten beherrschen kann.“

Bezug nehmen die Autoren auf die Access Control Lists von Squid. Allerdings betreffen diese wohl nur die Zieladresse einer Kommunikation. Denn dem Rechtsinhaber ist nur die Adresse des Exit-Nodes bekannt, dieser kennt aber die IP-Adresse des Nutzers nicht. Damit dürfte es sich nur um eine Lösung handeln, die den Internetsperren vergleichbar ist und den Zugriff auf bestimmte Seiten verhindert. Damit können also Quellen von rechtswidrigen Inhalten im Internet blockiert werden. Es kann aber nicht verhindert werden, dass der Nutzer rechtswidrige Inhalte verbreitet.

Außerdem ziehen Rau und Behrens „Hinweis-, Informationssicherungs- und Auskunftspflichten“ in Betracht. Zudem seien Auskunftspflichten für den Verletzten günstiger, die „eine Sicherung der zur Auskunft vorgesehenen Informationen voraussetzen“. Unklar ist, ob damit eine Pflicht zur Erhebung und Speicherung von Informationen einhergehen soll (was datenschutzrechtlich bedenklich wäre). Denn ohne Erhebung und Speicherung gibt es auch nichts zum Herausgeben.

Näher dazu

Dossier zur Anonymisierungssoftware TOR im Kontext Zensur in TR 7/2009

In der aktuellen Ausgabe der Technology Review (TR Heft 7/2009) ist ein Dossier zur Verwendung der Anonymisierungssoftware TOR erschienen. Der darin enthaltene Artikel „Retter für die freie Meinungsäußerung“ von David Talbot ist online verfügbar und sehr lesenswert. Er beschreibt die Verwendung von Tor in Zensurländern.

Auch im Kontext der in Deutschland gerade beschlossenen Zensurinfrastruktur ein wichtiger Artikel.

Weiteres:

Lesetipp: Datenschutz bei Google

In der MMR ist ein Aufsatz von Paul Voigt mit dem Titel „Datenschutz bei Google“ (MMR 2009, 377) erschienen.

Der Autor untersucht hierbei die datenschutzrechtliche Relevanz der Erstellung von Profilen, die über die Verknüpfung von IP-Adressen und Cookies gespeichert werden. Dabei stellt er auch die Ansichten zum Personenbezug der IP-Adresse dar. Im Ergebnis geht er davon aus, dass jedenfalls bei Google aufgrund der Vielzahl personalisierter Dienste ein Personenbezug besteht oder hergestellt werden kann. Als Folge daraus sei die Speicherung über einen längeren Zeitraum als die reine Nutzungszeit nach § 12 Abs. 1 TMG datenschutz- und damit rechtswidrig.

Interessant finde ich die Einschränkung, die der Autor macht: Google sei nur bei anmeldepflichtigen Diensten in der Lage, Personenbezug herzustellen.

Schließlich liegt eine datenschutzrechtliche Relevanz im Regelfall nur dann vor, wenn der Nutzer ein Konto bei einem anmeldepflichtigen Google-Dienst hat. In allen anderen Fällen wäre bei IP-Adressen und Cookies nach dem oben Gesagten nicht von einem Personenbezug auszugehen.

Das ist meiner Auffassung nach zu eng. Denn in vielen Fällen kann Google über andere, frei verfügbare Informationen seine Profile mit ebensolchen Personeninformationen kombinieren (s. zur Lösbarkeit der Anonymität über Personenprofilgraphen hier) und damit Personenbezug herstellen. Im Fazit stellt der Autor doch darauf ab, dass die Gefährdung des Allgemeinen Persönlichkeitsrechts zu verhindern sei:

Das Datenschutzrecht soll aber das Allgemeine Persönlichkeitsrecht einfachrechtlich schützen. Verhindert werden soll nicht nur tatsächlicher Missbrauch, sondern bereits die Gefährdung des Rechts auf informationelle Selbstbestimmung.

Wenn man diesem Gedanken aber konsequent folgt, dann besteht wenigstens die Gefahr, dass Google auch bei den nicht anmeldepflichtigen Diensten Personenbezug herstellt – mit dem Ergebnis einer Rechtswidrigkeit der Speicherung.

Der Autor empfiehlt Google zur Lösung, seine Datensätze um „personenbeziehbare Daten zu entschlacken“, also im Grunde alles zu löschen, was eine Deanonymisierung nach § 3 Abs. 9 BDSG ermöglichen würde. Die technischen Schwierigkeiten für die Dienste von Google nimmt der Autor dabei in Kauf – in Anbetracht des rechtsverletzenden Verhaltens bei der Speicherung von Daten auch eine Selbstverständlichkeit.

S. auch:

Keine Pflicht zur Vorratsdatenspeicherung für unentgeltliche Dienste

Patrick Breyer vom AK-Vorratsdatenspeicherung hat sich über die Frage Gedanken gemacht, ob die Pflicht zur Vorratsdatenspeicherung nach § 113a TKG auch denjenigen trifft, der seine Dienste unentgeltlich erbringt (hier) und ist zu dem Schluss gekommen, dass eine solche Pflicht nicht besteht.

Dafür wendet er insbesondere eine europarechtliche Auslegung des Merkmals „gewöhnlich gegen Entgelt“ an.

Alexander Alvaro von der FDP hat eine entsprechende Anfrage zur Auslegung an die EU-Kommission gestellt. Die EU-Kommission hat nun darauf geantwortet (hier, mit kurzer Besprechung bei daten-speicherung.de).

Volltext:

Parlamentarische Anfragen
16. April 2009
E-0969/2009
Antwort von Herrn Barrot im Namen der Kommission

Der Herr Abgeordnete fragt bei der Kommission an, ob unter den in Artikel 3 Absatz 1 der Richtlinie 2006/24/EG verwendeten Begriff „Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste“ (Richtlinie zur Vorratsdatenspeicherung) unentgeltliche Dienste fallen.

Gemäß Artikel 2 der Richtlinie über die Datenvorratsspeicherung finden u. a. die Begriffsbestimmungen der Rahmenrichtlinie 2002/21/EG Anwendung. In Artikel 2 Buchstabe c) der Rahmenrichtlinie wird der Begriff „elektronische Kommunikationsdienste“ definiert. Eine Komponente der Begriffsbestimmung besteht darin, dass der Dienst „gewöhnlich gegen Entgelt erbracht“ wird. Dies gibt den Wortlaut von Artikel 50 des Vertrages zur Gründung der Europäischen Gemeinschaft wieder, der den Begriff „Dienstleistungen“ im Zusammenhang mit der Freizügigkeit und dem freien Dienstleistungs- und Kapitalverkehr definiert. Diese Begriffsbestimmung ist für die Auslegung der Rahmenrichtlinie und der Richtlinie über die Datenvorratsspeicherung maßgeblich, da sich beide Richtlinien auf Artikel 95 EG-Vertrag stützen, der Maßnahmen für das Funktionieren des Waren-, Personen-, Dienstleistungs- und Kapitalbinnenmarktes zum Gegenstand hat.

Die Begriffsbestimmung der Dienstleistung laut EG-Vertrag verlangt nicht, dass die Gebühr von dem Dienstleistungsnutzer oder –teilnehmer erhoben wird, sondern sie deckt auch Sachverhalte ab, bei denen Dritte die Gebühr bezahlen(1). Unter die Begriffsbestimmung fallen insbesondere Dienstleistungen kommerzieller Art. Andererseits handelt es sich bei einer Tätigkeit, die nicht selbst wirtschaftlicher oder kommerzieller Art ist oder mit einer solchen Tätigkeit in Verbindung steht, nicht um eine Dienstleistung im Sinne des EG-Vertrags(2).

Nicht die Kommission ist für die Auslegung des Gemeinschaftsrechts zuständig, sondern die Gerichte und in letzter Instanz der Europäische Gerichtshof. Um festzustellen, ob eine Tätigkeit eine Dienstleistung darstellt, muss jeder Fall einzeln geprüft werden.

(1)    Siehe Rechtssache C-352/85 Bond van Adverteerders/NL.
(2)    Siehe Rechtssache C-159/90 SPUC/Grogan.

Diese Antwort belegt, dass auch die EU-Kommission von dieser Auslegung der Richtlinie zur Vorratsdatenspeicherung ausgeht, und dass ein Präjudiz dafür besteht, dass unentgeltliche Dienste nicht erfasst werden. Einen Haken enthält der letzte Satz, dass (richtigerweise) nur die Gerichte dies prüfen und die Auslegung vornehmen können.

Ob sich die Auffassung der Kommission zur EU-Vorratsdatenspeicherungsrichtlinie 1:1 auf das deutsche Recht übertragen lässt, ist nicht ganz klar. Schließlich ist der deutsche Gesetzgeber in einigen Punkten über den Regelungsgehalt der Richtlinie hinaus gegangen (z.B. Anonymisierungs-Server). Es lässt sich aber eines festhalten: Wenn die Richtlinie unentgeltliche Dienste nicht erfasst, dann wäre eine Auslegung des deutschen Gesetzes dahingehend, dass unentgeltliche Dienste speichern müssen, ebenfalls eine darüber hinausgehende deutsche Regelung. Und die wäre dann in dem Rahmen, in dem sie über den europarechtlichen Rahmen hinausgeht, vom Bundesverfassungsgericht überprüfbar. Der Ausgang der bisherigen Verfassungsbeschwerden bleibt abzuwarten, aber der europäische Gesetzgeber ist an einigen Stellen in den Erwägungsgründen zur Vorratsdatenspeicherungsrichtlinie selbst davon ausgegangen, dass er schon bis an die Grenzen des Möglichen gegangen ist. Wer noch weitergehend regelt, bewegt sich also auf unsicherem Terrain.

Die Schlussfolgerung von daten-speicherung.de dürfte vor diesem Hintergrund richtig sein:

Bietet beispielsweise eine Privatperson oder ein Verein einen E-Mail-Dienst, einen öffentlichen WLAN-Internetzugang oder einen Tor-Server unentgeltlich an, den sie im Wesentlichen aus eigenen Mitteln und nicht aus Einnahmen der Nutzer oder von Werbekunden finanzieren, so gilt die Vorratsdatenspeicherungspflicht nicht.

Gute Nachrichten also für Freifunk und die anderen Initiativen.

Vorratsdatenspeicherung: VG Wiesbaden legt Vorratsdatenspeicherungsrichtlinie dem EuGH vor

Das Verwaltungsgericht Wiesbaden hält in einem Beschluss (v. 27.02.2009 – Az. 6 K 1045/08.WI) die Vorratsdatenspeicherungsrichtlinie (VSRL) für „ungültig“ und hat sie dem EuGH zur Beantwortung (inhaltlicher, nicht nur formeller) Fragen diesbezüglich vorgelegt.

„Vorratsdatenspeicherungsrichtlinie ungültig“

Es hat ein laufendes Verfahren ausgesetzt und dem EuGH wegen der Notwendigkeit der Beurteilung der Rechtmäßigkeit der Vorratsdatenspeicherungsrichtlinie im konkreten Fall nach Art. 234 Abs. 2 EGV vorgelegt.

Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden […] Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie nicht gewahrt, weshalb sie ungültig ist.

Das VG Wiesbaden lehnt sich also insgesamt sehr weit aus dem Fenster und macht schon von vornherein deutlich, in welche Richtung es seiner Ansicht nach gehen sollte. Das ist eine sehr erfrischende Vorgehensweise. Häufig legen Gerichte nur die Entscheidungsfrage(n) vor und stellen die Wirksamkeit oder Interpretation einer europäischen Rechtsgrundlage lediglich mit Begründung in Frage.

Personenbezug von IP-Adressen

Sehr interessant ist auch, dass das VG Wiesbaden klar Stellung zur Frage bezieht, ob (dynamisch zugeteilte) IP-Adressen als personenbezogene Daten anzusehen sind (dazu eine Übersicht,  s. auch AG München). Das VG Wiesbaden folgt hierbei der herrschenden Meinung sowie dem Schlussantrag der Generalanwältin in der Sache Promusicae (dem der EuGH in weiten Teilen aber nicht gefolgt ist!) und sieht IP-Adressen als personenbezogen und damit von den datenschutzrechtlichen Vorschriften erfasst an.

Die Vorlagefrage könnte dem EuGH (gesetzt den Fall, er sieht die Beantwortung der Fragen als für den konkreten Fall erheblich an) in die Lage versetzen, auch inhaltlich zur VSRL Stellung zu nehmen, was er im Rahmen des Verfahrens der Republik Irland (dazu hier) vermieden hatte (allerdings auch nicht musste).

Ausblick

Das Urteil des VG Wiesbaden zeigt, dass rund um die Vorratsdatenspeicherung weiter einiges in Bewegung bleibt. Nicht nur die beim Bundesverfassungsgericht (BVerfG) anhängigen Verfassungsbeschwerden, jetzt auch die Überprüfung der europarechtlichen Grundlage, die das BVerfG wahrscheinlich nicht vornehmen wird, stehen in nächster Zeit an. Es bleibt zu hoffen, dass hier eine ausgewogene und gut begründete inhaltliche Entscheidung gefällt wird.

Die Gerichtsentscheidung im Volltext (via AK-Vorratsdatenspeicherung, Hervorhebungen übernommen):

Verwaltungsgericht Wiesbaden

6 K 1045/08.WI

Beschluss

In dem Verwaltungsstreitverfahren

[…]

hat die 6. Kammer des Verwaltungsgerichts Wiesbaden durch Vorsitzenden Richter am VG […] aufgrund der mündlichen Verhandlung vom 16. Februar 2009 am 27. Februar 2009 verkündet:

Das Verfahren wird ausgesetzt.

Dem Gerichtshof der Europäischen Gemeinschaften werden folgende Fragen zur Vorabentscheidung vorgelegt:

1. Sind die Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (Abl. L 209 vom 11.08.2005, S. 1), eingefügt durch Verordnung 1437/2007 vom 26. November 2007 zur Änderung der Verordnung 1290/2005 über die Finanzierung der gemeinsamen Agrarpolitik (Abl. L 322 vom 07.12.2007, S. 1), ungültig?

2. Ist die Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (Abl. L 76 vom 19.03.2008, S. 28)

a) ungültig

b) oder nur deshalb gültig, weil die Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 174 vom 28.06.2006, S. 5) ungültig ist?

Falls die in der ersten und zweiten Frage genannten Vorschriften gültig sind:

3. Ist Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die in diesem Artikel vorgesehene Verfahrensweise, die die Meldung an die Kontrollstelle ersetzt, durchgeführt worden ist?

4. Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die Vorabkontrolle erfolgt ist, die das nationale Recht für diesen Fall vorschreibt?

5. Falls die vierte Frage bejaht wird: Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass keine wirksame Vorabkontrolle vorliegt, wenn sie auf der Grundlage eines Verzeichnisses nach Art. 18 Abs. 2 2. Spiegelstrich dieser Richtlinie erfolgt ist, das eine vorgeschriebene Information nicht enthält?

6. Ist Art. 7 – und hier insbesondere Buchstabe e – der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass er einer Praxis, die IP-Adressen der Benutzer einer Homepage ohne deren ausdrücklicher Einwilligung zu speichern, entgegensteht?

Gründe

I.

1. Die Klägerin wendet sich gegen die Veröffentlichung ihrer Daten als Empfängerin von Agrarbeihilfen nach der Verordnung 259/2008 der Kommission.

2. Bei der Klägerin handelt es sich um eine Gesellschaft bürgerlichen Rechts. Die Gesellschafter sind … und … Sie betreibt einen landwirtschaftlichen Vollerwerbsbetrieb und nimmt an dem Verfahren über eine Betriebsprämie teil. Sie stellte einen Gemeinsamen Antrag als Sammelantrag. Mit Bescheid vom 31.12.2008 bewilligte der Landrat des Main-Kinzig-Kreises eine Betriebsprämie von … Euro. Im Antragsformular auf Seite 15 im letzten Absatz befand sich folgender Hinweis: „Mir ist bekannt, dass nach Art. 44a der VO (EG) Nr. 1290/2005 vorgeschrieben ist, Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie die Beträge, die jeder Begünstigte erhalten hat, zu veröffentlichen. Die Veröffentlichung betrifft alle Maßnahmen, die im Zusammenhang mit dem Gemeinsamen Antrag als Sammelantrag im Sinne von Art. 11 der VO (EG) Nr. 796/2004 beantragt werden und erfolgt alljährlich bis spätestens zum 31. März des Folgejahres.“ Auf der Internetseite der Beigeladenen http://www.agrar-fischerei-zahlungen.de werden Namen der Empfänger, Ort mit Postleitzahl und die Höhe der Jahresbeträge bereit gestellt. Die Seite ist mit einer Suchfunktion ausgestattet. Dafür genügt es, Eingaben für ein Feld zu machen, also etwa nur die Postleitzahl einzugeben, um eine entsprechende Aufstellung zu erhalten. In den Hinweisen zum Datenschutz im Impressum der Webseite heißt es: „Bei jedem Zugriff auf den Server werden Daten für statistische und Sicherungszwecke gespeichert. Für eine begrenzte Zeit wird die IP-Adresse des Internet-Service-Providers, Datum und Uhrzeit sowie die besuchte Internetseite gespeichert. Diese Daten werden ausschließlich zur Verbesserung des Internetdienstes genutzt und nicht an Dritte weitergegeben oder auf den Adressaten zurückführbar ausgewertet.“ (www.agrar-fischerei-zahlungen.de/impressum.html, Stand: 10.02.2009)

3. Die Klägerin hat am 26.09.2008 Klage erhoben. Sie ist der Ansicht, dass Art. 44a der Verordnung 1290/2005 gegen Datenschutzrecht der Gemeinschaft verstoße. Bei den veröffentlichten Informationen handele es sich um persönliche Daten, die auch Rückschlüsse auf den Betrieb zuließen. Überwiegende Allgemeininteressen könnten nicht zur Rechtfertigung herangezogen werden. Eine Veröffentlichung der Beihilfen für jeden Landkreis sei ausreichend, an betriebsspezifischen Daten hätten die Steuerzahler kein Interesse. In den Regeln zum Europäischen Sozialfonds sei keine namentliche Nennung der Empfänger vorgesehen. Es sei außerdem technisch nicht auszuschließen, dass die im Internet zugänglichen Daten von Dritten unkontrolliert gespeichert und weiterverarbeitet würden.

4. Die Klägerin beantragt,

das Land Hessen zu verpflichten, die Weitergabe oder Veröffentlichung aller Daten aus dem gemeinsamen Antrag 2008/Sammelantrag im Sinne von Artikel 11 der Verordnung 796/2004 an die Bundesrepublik Deutschland und die Europäische Union zu unterlassen bzw. durch Anordnung zu untersagen, soweit die Weitergabe zum Zwecke der allgemeinen Veröffentlichung von Informationen über die der Klägerin gewährten finanziellen Beträge aus dem Europäischen Garantiefonds für Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erfolgen soll.

5. Der Beklagte beantragt,

die Klage abzuweisen.

6. Der Beklagte hält die Klage für unzulässig und unbegründet. Die Pflicht der Mitgliedstaaten, die Daten im Internet zu veröffentlichen, ergebe sich aus Art. 44a der Verordnung 1290/2005 und der DurchführungsVerordnung 259/2008. Die Vorschriften seien zweifelsfrei gültig. Die Veröffentlichung erfolge in einem überwiegenden Allgemeininteresse. Sie diene der Transparenz der Agrarausgaben und gehe nicht über das hinaus, was in einer demokratischen Gesellschaft zur Verhütung von Unregelmäßigkeiten erforderlich sei. Die Klägerin sei über die Veröffentlichung informiert worden und könne diese durch den Verzicht auf die Beihilfen abwenden.

7. Die Beigeladene stellt keinen Antrag. Sie ist trägt vor, dass die Internetseite so aufgebaut sei, dass Antworten auf Suchanfragen aus der Datenbank generiert würden. Daher sei die Erschließbarkeit durch allgemeine Suchmechanismen (sogenannte Webcrawler) wie Google derzeit konstruktionsbedingt erschwert. Nach zwei Jahren würden die Daten aus der Datenbank entfernt. Es sei allerdings technisch nicht möglich zu verhindern, dass nach Ablauf des Veröffentlichungszeitraums Datenspuren der betroffenen Personen im Internet zu finden seien.

8. In der mündlichen Verhandlung hat das Gericht Vertreter des Hessischen Datenschutzbeauftragten, Herrn … und Herrn …, als Sachverständige gehört. Wegen der Einzelheiten wird auf das Sitzungsprotokoll der mündlichen Verhandlung vom 16.02.2009 verwiesen.

9. Der Beklagte hat in der mündlichen Verhandlung zugesichert, dass die Klägerin mit ihren Beträgen nicht vor dem rechtskräftigen Abschluss des Hauptsacheverfahrens veröffentlicht wird.

10. Die Durchführung der Verordnung 259/08 der Kommission richtet sich in Deutschland nach dem Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei (Agrar- und Fischereifonds-Informationen-Gesetz – AFIG) vom 26. November 2008 (BGBl. I S. 2330) und der Verordnung über die Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und für Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung – AFIVO) vom 10.12.2008 (eBAnz. 2008, AT147 V1).

11. Die Vorschriften lauten wie folgt:

Agrar- und Fischereifonds-Informationen-Gesetz (AFIG)

§ 1 Zweck und Anwendungsbereich

Dieses Gesetz dient

1. der Durchführung der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (ABl. EU Nr. L 209 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin eine Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums sowie über die Beträge, die jeder Empfänger erhalten hat, vorgesehen ist;

2. der Durchführung der Verordnung 1198/2006 vom 27. Juli 2006 über den Europäischen Fischereifonds (ABl. EU Nr. L 223 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin Aufgaben der Verwaltungsbehörde im Zusammenhang mit den Informationsmaßnahmen im Sinne des Artikels 51 der Verordnung 1198/2006 vorgesehen sind.

§ 2 Veröffentlichung

(1) Die für die Zahlung von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums zuständigen Stellen des Bundes und, soweit diese Mittel von den Ländern gezahlt werden, die hierfür zuständigen Stellen der Länder und im Fall des Europäischen Fischereifonds die zuständige Verwaltungsbehörde veröffentlichen die Informationen nach

1. Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. EU Nr. L 76 S. 28) und

2. den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. EU Nr. L 120 S. 1) in den jeweils geltenden Fassungen im Wege der Direkteingabe auf einer gemeinsamen, von der Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) betriebenen Internetseite nach Maßgabe des Artikels 2 der Verordnung 259/2008 und im Fall des Europäischen Fischereifonds nach Maßgabe des Artikels 31 Buchstabe d der Verordnung 498/2007. Satz 1 gilt im Fall einer Gemeinde oder eines Gemeindeverbandes nur, wenn der Gemeinde oder dem Gemeindeverband die Aufgaben nach diesem Gesetz durch Landesrecht übertragen worden sind.

(2) Jede veröffentlichende Stelle trägt die datenschutzrechtliche Verantwortung für die von ihr veröffentlichten Informationen, insbesondere für die Rechtmäßigkeit ihrer Erhebung, die Zulässigkeit der Veröffentlichung und die Richtigkeit der Informationen. Betroffene können ihre Datenschutzrechte bei jeder der veröffentlichenden Stellen geltend machen, von denen sie Zahlungen erhalten haben. Diese Stelle leitet den Antrag nach Klärung der Verantwortlichkeiten an die zuständige Stelle weiter.

(3) Die Bundesanstalt erstellt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein Sicherheitskonzept für die Internetseite, das insbesondere die nach § 9 des Bundesdatenschutzgesetzes erforderlichen, von der Bundesanstalt zu treffenden technischen und organisatorischen Maßnahmen umfasst. Das Sicherheitskonzept ist spätestens sechs Monate nach Verkündung dieses Gesetzes zu erstellen und in regelmäßigen Abständen daraufhin zu überprüfen, ob es dem Stand der Technik entspricht.

(4) Die Einsicht in die Internetseite steht jedem verwaltungskostenfrei zu.

(5) Die veröffentlichten Informationen werden zwei Jahre nach dem ersten Tag der Veröffentlichung auf der Internetseite gelöscht.

§ 3 Verordnungsermächtigungen

(1) Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz trifft im Einvernehmen mit dem Bundesministerium der Finanzen durch RechtsVerordnung mit Zustimmung des Bundesrates nähere Bestimmungen über Einzelheiten des Verfahrens oder technische und organisatorische Maßnahmen für die Veröffentlichung der Informationen im Internet, insbesondere über

1. den Inhalt und Aufbau der Internetseite,

2. die Eingabe, Berichtigung, Sperrung und Löschung von Informationen,

3. die Einsicht in die Internetseite,

4. den Datenschutz und die Datensicherheit, wobei sicherzustellen ist, dass die Veröffentlichungen unversehrt, vollständig und aktuell bleiben und jederzeit ihrem Ursprung nach zugeordnet werden können.

(2) Abweichend von Absatz 1 kann bis zum 31. März 2009 die RechtsVerordnung nach Absatz 1 ohne Zustimmung des Bundesrates erlassen werden. Die RechtsVerordnung tritt spätestens sechs Monate nach ihrem In-Kraft-Treten außer Kraft. Ihre Geltungsdauer kann nur mit Zustimmung des Bundesrates verlängert werden.

§ 4 Verkündung von Rechtsverordnungen

Die Rechtsverordnungen nach diesem Gesetz können abweichend von § 1 des Gesetzes über die Verkündung von Rechtsverordnungen auch im elektronischen Bundesanzeiger verkündet werden. Auf Rechtsverordnungen, die im elektronischen Bundesanzeiger verkündet werden, ist unter Angabe der Stelle ihrer Verkündung und des Tages ihres In-Kraft-Tretens nachrichtlich im Bundesgesetzblatt hinzuweisen.

§ 5 In-Kraft-Treten

Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

Agrar- und Fischereifonds-Informationen-Verordnung (AFIVO)

§ 1 Anwendungsbereich

Diese Verordnung gilt für Veröffentlichungen nach dem Agrar- und Fischereifonds-Informationen-Gesetz.

§ 2 Inhalt und Aufbau der Internetseite

(1) Auf der in § 2 Abs. 1 des Agrar- und Fischereifonds-Informationen-Gesetzes bezeichneten Internetseite werden nur die

1. in Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. L 76 vom 19.3.2008, S. 28) und

2. in den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. L 120 vom 10.5.2008, S. 1)

in der jeweils geltenden Fassung genannten Informationen veröffentlicht.

(2) Innerhalb der Datenbank ist für die die Europäischen Fonds für Landwirtschaft betreffenden Informationen eine Suchfunktion vorzusehen, die eine Suche nach den genannten Informationen ermöglicht.

§ 3 Berichtigung, Sperrung und Löschung von Informationen

(1) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen eine Berichtigung der veröffentlichten Informationen erforderlich ist, hat die veröffentlichende Stelle unverzüglich die Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu ändern.

(2) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen Veröffentlichungen unzulässig sind oder unzulässig werden, hat die veröffentlichende Stelle unverzüglich die der Veröffentlichung zugrunde liegenden Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu löschen. Die Löschung unterbleibt, wenn Grund zu der Annahme besteht, dass anderenfalls schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. In diesem Fall sind die Informationen unverzüglich zu sperren.

(3) Die jeweils veröffentlichende Stelle löscht die veröffentlichten Daten zwei Jahre nach dem ersten Tag ihrer Veröffentlichung.

§ 4 Einsichtnahme

(1) Die Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei sind ausschließlich über das Internet einsehbar.

(2) Die Barrierefreie Informationstechnik-Verordnung vom 17. Juli 2002 (BGBl. I S. 2654) in der jeweils geltenden Fassung gilt entsprechend.

§ 5 Datensicherheit

(1) Die Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) stellt durch technische und organisatorische Maßnahmen eines Sicherheitskonzeptes sicher, dass

1. die Veröffentlichung der Daten in einem nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbund erfolgt und alle internen technischen und organisatorischen Maßnahmen in der Bundesanstalt unter den Bedingungen des nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbundes der Bundesanstalt ablaufen,

2. die auf der Internetseite veröffentlichten Informationen nur durch die jeweils veröffentlichende Stelle verändert, gesperrt oder gelöscht werden können,

3. die veröffentlichten Informationen während ihrer Veröffentlichung im Internet unversehrt, vollständig und aktuell bleiben.

Die Bundesanstalt hat das Sicherheitskonzept nach Maßgabe der Bedingungen der DIN ISO/IEC 27001, Ausgabe 2008-09, Zertifizierung auf der Basis von IT-Grundschutz, regelmäßig daraufhin zu überprüfen oder überprüfen zu lassen, ob es noch dem Stand der Technik entspricht oder an die technische Entwicklung anzupassen ist. Die Frist des Satzes 2 beginnt mit dem Abschluss der Erstzertifizierung nach Satz 1 Nr. 1.

(2) Die Bundesanstalt hat

1. durch organisatorische und technische Vorkehrungen sicherzustellen, dass sie von auftretenden Fehlfunktionen unverzüglich Kenntnis erlangt, und

2. diese unverzüglich zu beheben.

(3) Kommt es während einer Datenübermittlung zu Störungen oder Unterbrechungen, hat die Bundesanstalt dies der übermittelnden Stelle unverzüglich anzuzeigen. In diesem Fall verlangt die Bundesanstalt eine erneute Übermittlung.

§ 6 In-Kraft-Treten, Außerkrafttreten

(1) Diese Verordnung tritt am Tag nach der Verkündung in Kraft.

(2) Die Verordnung tritt am 12. Juni 2009 außer Kraft, sofern nicht mit Zustimmung des Bundesrates etwas anderes verordnet wird.

1. Nach diesen Vorschriften wird die für die Veröffentlichungen bestimmte Homepage von der Beigeladenen im Rahmen der Auftragsdatenverarbeitung für den Beklagten betrieben. Die Beigeladene bedient sich dabei wiederum eines zertifizierten privaten Providers. Die Regelungen mit dem Provider sind dem Gericht nur allgemein bekannt, da das Verfahrensverzeichnis auf Module Bezug nimmt, die nur allgemein erläutert sind und keine konkreten Maßnahmen für den Leser beinhalten. Die Beigeladene bzw. der von ihr beauftragte Provider speichert auch die IP-Adressen der Benutzer. Die Vertreterin der Beigeladenen erklärte in der mündlichen Verhandlung, dies würde anonymisiert geschehen, genau wisse sie es jedoch nicht.

2. Datenschutzrechtlich bleibt die Verantwortung jedoch bei den zuständigen Stellen der Länder (§ 2 Abs. 2 AFIG). Zuständig für Hessen ist das Hessische Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz (jetzt: Hessisches Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz) als Zahlstelle; zumindest bei Klageerhebung. Zwar wurden durch Vertrag vom 11.07.2008 die Aufgabe auf die Investitionsbank Hessen (IBH) übertragen. Dieser Vertrag liegt dem auch Gericht vor. Darin wird nicht speziell auf die Frage der Veröffentlichung nach der Verordnung 259/2008 eingegangen. In § 14 Abs. 2 des Vertrags ist vorgesehen, dass das Ministerium die Beauftragung der IBH und ihre Zulassung als Zahlstelle im Staatsanzeiger bekannt macht. Das ist jetzt bis zum Zeitpunkt der Entscheidung nicht erfolgt. In dem Erlass des Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz zur Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums und dem europäischen Fischereifonds vom 10.11.2008 (Staatsanzeiger 2008, S. 3038 f.) bezeichnet sich dieses selbst als Zahlstelle. Der Erlass ist nicht aufgehoben. Außerdem besteht zwischen Bund und Ländern ein Verwaltungsabkommen, das jedoch vor allem die Kostenverteilung regelt. Hierin ist von einer Weiterdelegierung keine Rede. Die IBH ist eine Anstalt des öffentlichen Rechts, über die das Ministerium die Aufsicht ausübt; dies auch, wenn der IBH wirksam die Zahlstellenfunktion übertragen worden wäre. Dem Gericht liegt auch nur das Verfahrensverzeichnis des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz vor, in dem als dieses sich selbst als verantwortliche Stelle und EU-Zahlstelle bezeichnet. Ferner liegt das Verfahrensverzeichnis der Beigeladenen vor.

3. Die Art. 18 bis 21 der Richtlinie 95/46/EG wurden durch die folgenden Vorschriften umgesetzt. Für die Beigeladene gilt Bundesrecht, für das Ministerium und die IBH hessisches Landesrecht.

Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66)

§ 4d Meldepflicht

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat

(3-4) (…)

(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

§ 4e Inhalt der Meldepflicht

Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. § 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.

§ 4g Aufgaben des Beauftragten für den Datenschutz

(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere

1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.

(3) (…)

Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 07. Januar 1999 (GVBl. I S. 98)

§ 5 Behördlicher Datenschutzbeauftragter

(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.

(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere

1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen, hinzuwirken,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,

3. die datenverarbeitende Stelle bei der Umsetzung der nach den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,

4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht nach § 6 Abs. 2 bereitzuhalten,

5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall den … Datenschutzbeauftragten zu hören.

Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.

(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören, sind dem … Datenschutzbeauftragten mitzuteilen.

§ 6 Verfahrensverzeichnis

(1) Wer für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten zuständig ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:

1. Name und Anschrift der datenverarbeitenden Stelle,

2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,

3. die Art der gespeicherten Daten,

4. den Kreis der Betroffenen,

5. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,

6. die zugriffsberechtigten Personen oder Personengruppen,

7. die technischen und organisatorischen Maßnahmen nach § 10,

8. die Technik des Verfahrens,

9. Fristen für die Löschung nach § 19 Abs. 3,

10. eine beabsichtigte Datenübermittlung nach § 17 Abs. 2,

11. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.

(2) (…)

§ 7 Zulässigkeit der Datenverarbeitung

(1-5) (…)

(6) Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.

(7) (…)

1. Die Verarbeitung von Daten der Nutzer einer Internetseite ist im Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179) geregelt.

§ 15 Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,

2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und

3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.

(5) Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. § 14 Abs. 2 findet entsprechende Anwendung.

(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis.

(7) Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist.

(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

II.

1. Das Gericht setzt das Verfahren aus und reicht beim Gerichtshof ein Vorabentscheidungsersuchen zur Gültigkeit der Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 und der Verordnung 259/2008 sowie zur Auslegung der Richtlinie 95/46/EG ein, weil eine Entscheidung darüber zum Erlass seines Urteils erforderlich ist.

2. Die Klage richtete und richtet sich gegen den richtigen Beklagten, da die Funktion als Zahlstelle während des laufenden gerichtlichen Verfahrens nicht wirksam auf die Investitionsbank Hessen übertragen wurde. Es fehlt schon an der notwendigen öffentlichen Bekanntmachung. Denn es handelt sich bei den Aufgaben der IBH im Bereich Agrarförderung nicht um eine originäre Zuständigkeit der IBH, sondern es ist ein vertraglicher Übergang vorausgesetzt. Daraus folgt auch, dass das Ministerium in jedem Fall weiterhin eine Restverantwortung innehat (vgl. auch die Aufsichtsregelung in § 12 des Vertrags), die über die allgemeine gesetzliche Rechtsaufsicht hinausgeht. Andernfalls hätte die IBH und nicht das Ministerium ein Verfahrensverzeichnis aufstellen müssen, was gerade nicht der Fall ist. Von der Verantwortung des Ministeriums geht wohl auch die Beigeladene aus, da auf der Internetseite zur Veröffentlichung als verantwortliche Stelle für Hessen weiterhin das Ministerium genannt ist (www.agrar-fischerei-zahlungen.de/impressum.html, Stand 24.02.2009).

3. Ob die Klage begründet ist, hängt zunächst von der Gültigkeit der vorgelegten Gemeinschaftsvorschriften ab. Erweist sich die Verordnung 259/2008 als ungültig, fehlt es an einer Rechtsgrundlage für die Verarbeitung (§ 7 Abs. 1 Nr. 1 HDSG) und der Klage ist stattzugeben. Die Klägerin kann sich als Gesellschaft ebenfalls auf das Recht der informationellen Selbstbestimmung nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und Art. 14 Abs. 1 sowie Art. 19 Abs. 3 GG insoweit berufen, als ihren Trägern Schutz gegen unbegrenzte Erhebung, Speicherung, Verwendung oder Weitergabe der betreffenden individualisierte oder individualisierbarer Daten zusteht (vgl. BVerwG, Urteil vom 20.12.2001, Az.: 6 C 7/01, Rdnr. 18 – nach Juris; BVerfG, Beschluss vom 01.10.1987, Az.: 2 BvR 1178/86 u. a., Rdnr. 126 – nach Juris; BVerfG, Urteil vom 17.07.1984, Az.: 2 BvE 11/83, 2 BvE 15/83, Rdnr. 135 f. – nach Juris; VG Wiesbaden, Urteil vom 07.12.2007, Az.: 6 E 928/07, S. 11). Insoweit sind die Ausführungen des Hessischen Datenschutzgesetzes auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben ist, entsprechend anzuwenden. Eine Ungültigkeit der Verordnung kann sich aus dieser selbst oder daraus ergeben, dass die Vorschriften aus der Verordnung 1290/2007, deren Durchführung sie dient, ungültig sind. Sind diese Gemeinschaftsvorschriften gültig, ergibt sich ein Unterlassungsanspruch der Klägerin, wenn die Regelungen der Gemeinschaft zum Datenschutz nicht beachtet wurden. Um das zu prüfen, ist eine Auslegung durch den Gerichtshof nötig.

4. Nach Auffassung des Gerichts verstoßen die Art. 44a und 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gegen primäres Gemeinschaftsrecht.

5. Nach Art. 44a der Verordnung 1290/2005 veröffentlichen die Mitgliedstaaten Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie der Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat. Diesem Artikel entnimmt das Gericht, dass über jeden Empfänger eine Veröffentlichung erfolgen muss. Darin liegt ein Eingriff in das Grundrecht auf Datenschutz, der nicht gerechtfertigt ist.

6. Dass Datenschutz auf Gemeinschaftsebene ein Grundrecht ist, ergibt sich aus dem Schutz des Privatlebens in Art. 8 EMRK und den Verfassungstraditionen der Mitgliedstaaten. Dies wird bekräftigt durch die Charta der Grundrechte der Europäischen Union, die in Art. 7 den Schutz des Privatlebens und in Art. 8 den Schutz der persönlichen Daten als Grundrecht enthält (vgl. das Urteil des Gerichtshofs vom 28.01.2008 in der Rechtsache C-275/06, Promusicae/Telefonica, Slg. 2008, I-271, Rn. 63 und die Schlussanträge der Generalanwältin Kokott vom 18.07.2007 in dieser Rechtssache, Rn. 51 ff.). Berufliche Tätigkeiten sind mit geschützt (vgl. das Urteil des Gerichtshofs vom 20.05.2003 in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 73). Auch soweit wie im vorliegenden Fall Daten einer Gesellschaft betroffen sind, sieht das Gericht diese als vom Schutz des Grundrechts mit umfasst. In der Charta der Grundrechte wird der Datenschutz, den Verfassungsüberlieferungen der Mitgliedstatten folgend, als eigenes Grundrecht erwähnt und so vom Schutz des Privatlebens abgekoppelt. Auch der Europäische Gerichtshof für Menschenrechte sieht durch Art. 8 EMRK juristischen Personen geschützt (vgl. zusammenfassend Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl., § 22 Rn. 4). Hier kommt dazu, dass der Name der Gesellschaft aus den Namen der Gesellschafter besteht, so dass zu veröffentlichende Informationen diesen persönlich zuzurechnen sind. In jeder Veröffentlichung liegt ein Eingriff in dieses Grundrecht, weil es sich um die denkbar breiteste Übermittlung handelt.

7. Das Gericht weist darauf hin, dass Gesellschaften bürgerlichen Rechts in Deutschland erst seit kurzen als rechtsfähig und in gerichtlichen Verfahren beteiligtenfähig angesehen werden. Nach früherer Rechtsprechung wären die Gesellschafter persönlich die Kläger gewesen. Im Übrigen unterscheidet Art. 44a der Verordnung nicht zwischen natürlichen und juristischen Personen, so dass dieser in jedem Fall am Grundrecht auf Schutz von Daten natürlicher Personen zu messen ist.

8. Der Eingriff ist nicht gerechtfertigt. Zu dieser Frage zieht das Gericht die Schranke in Art. 8 Abs. 2 EMRK heran (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 80 ff.). Danach muss der Eingriff zur Erreichung eines dort genannten Zwecks in einer demokratischen Gesellschaft notwendig sein. Die Maßnahme muss demnach in einem angemessenen Verhältnis zu dem verfolgten berechtigten Zweck stehen (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 83) und es muss ein zwingendes gesellschaftliches Bedürfnis bestehen (vgl. Schlussanträge, Promusicae/Telefonica, a. a. O., Rn. 54). Nach der 14. Begründungserwägung der Verordnung 1437/2007 verfolgt die Veröffentlichung das Ziel, die Transparenz in Bezug auf die Verwendung der Gemeinschaftsmittel zu erhöhen und durch eine öffentliche Kontrolle die Wirtschaftlichkeit der Haushaltsführung der betroffenen Fonds zu verbessern. Dazu ist anzumerken, dass die Transparenz keinen eigenständigen Zweck darstellt, sondern das Ergebnis der Maßnahme beschreibt. Die Verbesserung der Haushaltskontrolle dient zwar – bei weiter Auslegung des Art. 8 Abs. 2 EMRK – dem wirtschaftlichen Wohl des Landes. Sie ist jedoch vorliegend nicht angemessen. Das Gericht bezweifelt schon, ob die Veröffentlichung überhaupt geeignet ist. Die Beigeladene hat ein Schreiben des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz vorgelegt (Bl. 114, 116 d. A. 6 K 1045/08.WI, Band I). Daraus geht hervor, dass aus dessen fachlicher Sicht die Kontrolle der verwendeten Mittel und die Verhütung von Unregelmäßigkeiten nicht verbessert werden. Es bestünden schon umfangreiche Kontrollmechanismen, die weiterentwickelt würden.

9. Jedenfalls steht die Veröffentlichung nicht in einem angemessenen Verhältnis zu dem verfolgten Zweck. Bei dieser Bewertung stütz sich das Gericht auf das Urteil des Gerichtshofs in der Rechtssache Rechnungshof/Österreichischer Rundfunk und das daraufhin ergangene Urteil des Österreichischen Verfassungsgerichtshofs vom 28.11.2003 (Aktenzeichen KR 1/00-33, verfügbar im Internet unter http://www.verfassungsgerichtshof.at/cms/vfgh-site/attachments/4/4/5/CH0007/CMS1113226398381/kr1-33-00.pdf). Nach der Rechtsprechung des Gerichtshofs in diesem Vorabentscheidungsverfahren ist es zwingende Voraussetzung, dass die Veröffentlichung – in dem Fall ging es die Bezüge von Bediensteten bestimmter juristischer Personen des öffentlichen Rechts – wirklich erforderlich ist. Das ist nur dann der Fall, wenn der Zweck nicht ebenso erreicht werden könnte, indem die Informationen nur den Kontrollorganen mitgeteilt oder nur Gesamtbeträge veröffentlicht würden (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 88). In seinem Urteil hat der Österreichische Verfassungsgerichtshof entschieden, dass die Veröffentlichung von Bezügen einzelner Beschäftigter nicht erforderlich ist. Dazu führt er aus (S. 30 unterer Absatz):

„Auch die Bundesregierung behauptet in ihrer Stellungnahme nicht, dass die Veröffentlichung der Bezüge unter Nennung der Namen der Bezügeempfänger im Sinne der Entscheidung des Europäischen Gerichtshofes zur effizienten Mittelverwendung notwendig sei. Sie argumentiert mehrfach damit, dass die personenbezogene Einkommensveröffentlichung einem dringenden sozialen Bedürfnis nach Transparenz bei der Verwendung öffentlicher Mittel und nach Vermeidung deren Missbrauchs bestehe, tut aber nicht dar, wieso es notwendig sein soll, die Namen von Personen und ihre Bezüge zu veröffentlichen, um die ordnungsgemäße Verwendung öffentlicher Mittel sicherzustellen; darauf kommt es aber nach der – den Verfassungsgerichtshof bindenden – Entscheidung des Europäischen Gerichtshofes vom 20. Mai 2003, Rs. C-465/00 ua., Rechnungshof gegen ORF ua., an.“

10. Dem schließt sich das Gericht für den vorliegenden Fall an. Ein entsprechender Vortrag fehlt. Außerdem ergibt sich aus den Erwägungsgründen nichts, was eine Erforderlichkeit im Sinne dieser Rechtsprechung auch nur im Ansatz begründet. In wie weit unter diesem Umständen eine Veröffentlichung der Daten auch nur im Ansatz dem öffentlichen Wohl des Landes dienen kann (Art. 8 Abs. 2 EMRK) oder ein zwingendes öffentliches Interesse besteht, ist nicht dargetan.

11. Art. 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 hält nach Ansicht des Gerichts einer Überprüfung an Hand der Art. 202 4. Spiegelstrich EG und Art. 211 3. Spiegelstrich EG nicht Stand. Dieser Artikel 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 regelt, dass die Kommission die Bestimmungen zur Durchführung des Art. 44a der Verordnung 1290/2005 erlässt. Hier erhält die Kommission einen sehr weiten Spielraum, welche Daten in welcher Weise veröffentlicht werden. Insbesondere bleibt offen, ob auch eine Veröffentlichung im ausschließlich im Internet erfolgt, was nach einen besonders gravierenden Grundrechtseingriff darstellt. Auch wenn der Begriff der Durchführung weit ausgelegt wird, müssen doch die wesentlichen Grundzüge der geregelten Materie in dem Basisrechtsakt festgelegt werden, um noch von einer Durchführung sprechen zu können. Ansonsten würde das institutionelle Gleichgewicht gestört, insbesondere zulasten der Mitwirkung des Europäischen Parlaments. Dabei ist auch zu berücksichtigen, dass Art. 8 Abs. 2 EMRK an eine demokratische Gesellschaft anknüpft. Das muss bei der Einhaltung des institutionellen Gleichgewichts berücksichtigt werden.

12. Selbst wenn Art. 44a oder 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gültig sind, ergibt sich die Ungültigkeit der Verordnung 259/2008 aus Verstößen gegen das Grundrecht auf Datenschutz, die die Verordnung selbst enthält. Sie sieht vor, dass die Informationen ausschließlich im Internet auf einer speziellen Website veröffentlicht werden. Angegeben werden der Name des Empfängers und die Beträge, aufgeschlüsselt nach „EGFL“ und „ELER“. Diese Veröffentlichung geht nach Auffassung des Gerichts weit über das hinaus, was in einer demokratischen Gesellschaft notwendig ist.

13. Bei der Veröffentlichung im Internet handelt es sich um einen besonders tiefgreifenden Eingriff. Informationen sind weltweit einsehbar, und zwar auch in solchen Staaten, deren Datenschutzniveau nicht dem in der Gemeinschaft entspricht. Es wäre jedoch nach den Darlegungen der Sachverständigen möglich, den Zugriff auf IP-Adressen aus der Europäischen Union zu beschränken. Das wäre ein weniger tiefer Eingriff, die Verordnung sieht das aber nicht vor. Da es um die Schwere des Eingriffs und nicht die Einordnung nach sekundärem Gemeinschaftsrecht geht, ist es nach Auffassung des Gerichts unerheblich, ob es sich nicht um eine Übermittlung in ein Drittland im Sinne von Art. 29 der Richtlinie 95/46/EG handelt, wie es der Gerichtshof in dem Urteil vom 06.11.2003 in der Rechtssache C-101/01, Bodil Lindqvist, Slg. 2003, I-12971, entschieden hat. Vielmehr kommt es darauf an, dass es nicht möglich ist, die Daten nach zwei Jahren aus dem Internet zu entfernen. Art. 3 Abs. 3 der Verordnung, der eine Löschung nach 2 Jahren vorsieht, kann demnach technisch nicht umgesetzt werden. Zwar werden die Daten aus der Datenbank der Beigeladenen gelöscht, die Speicherung der Informationen durch andere Webdienste kann aber weder verhindert noch rückgängig gemacht werden. Zwar findet wohl keine Speicherung in Zwischenspeichern von Suchmaschinen (z. B. Google-Cache) statt, weil jede Anzeige aus der Datenbank generiert wird. Es kann aber nicht verhindert werden, dass ein Nutzer legalerweise abgefragte Daten speichert und dann selbst ins Internet stellt, etwa im html oder pdf Format. Dann ist auch ein Zugriff über Suchmaschinen möglich. Diese Vorgehensweise wird durch die Suchfunktion erleichtert, für die nach Art. 2 der Verordnung 259/2008 eine Angabe nach deren Art. 1 Abs. 1 (etwa nur der Name der Gemeinde oder die Postleitzahl) ausreicht, um eine Suche durchzuführen.

14. Die bloße Veröffentlichung im Internet ist auch zur Information der Bürger nicht geeignet. Es ist anzumerken, dass die Nennung der beiden Fonds mit ihren Abkürzungen die Bürger eher verwirren als informieren könnte. Dabei ist nach dem Ziel der Transparenz nicht auf die Fachöffentlichkeit, sondern auf den interessierten „Durchschnittsbürger“ abzustellen. Da jedenfalls die Maßstäbe der Beihilfenvergabe nicht gleichzeitig erläutert werden und von dem Namen und Ort des Empfängers nicht auf dessen Betrieb und seine Lage geschlossen werden kann, erreicht die Verordnung 259/2008 höchstens einen minimalen Informationsmehrwert. Hinzu kommt, dass die ausschließliche Veröffentlichung im Internet abschreckenden Charakter hat. Diejenigen Bürger, die überhaupt Zugang zum Internet haben und sich informieren wollen, werden gezwungen, sich einer Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG auszusetzen. Das Gericht sieht es als einen Wertungswiderspruch an, einerseits die Telekommunikation verstärkt zu überwachen, aber andererseits Informationen, die der Teilnahme der Bürger an öffentlichen Angelegenheiten dienen sollen, nur elektronisch zugänglich zu machen. Da der Gerichtshof in die Lage kommen kann, dass er die Gültigkeit der Verordnung (EG) 259/2008 nur bejaht, wenn die Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG entfällt, legt das Gericht auch die Frage der Gültigkeit dieser Richtlinie mit vor. Dadurch ist der Gerichtshof befugt, die Vereinbarkeit der Richtlinie mit Grundrechten, insbesondere dem Rechts auf Datenschutz, zu prüfen. Er ist daran auch nicht durch das Urteil vom 10.02.2009 in der Rechtssache Irland/Parlament und Rat, C-301/06, gehindert, weil Irland die Klage nur auf den Klagegrund der Unzuständigkeit gestützt hat (vgl. Rn. 57 dieses Urteils). Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 82). Die Generalanwältin hat ausgeführt: „Man kann daran zweifeln, ob die Speicherung von Verkehrsdaten aller Nutzer – gewissermaßen auf Vorrat – mit Grundrechten vereinbar ist, insbesondere da dies ohne konkreten Verdacht geschieht.“ Auf die von ihr in den Fußnoten 42 und 43 (Schlussanträge Promusicae/Telefonica, a. a. O.) bezeichneten Quellen wird voll inhaltlich Bezug genommen.

15. Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie 2006/24/EG nicht gewahrt, weshalb sie ungültig ist (zum engen Verhältnismäßigkeitsgrundsatz siehe zuletzt Europäischer Gerichtshof für Menschenrechte, Urteil vom 04.12.2008, Az. 30562/04 und 30566/04, Rdnr. 103 ff.).

16. Soweit die in den ersten beiden Fragen bezeichneten Gemeinschaftsvorschriften gültig sind, kommt es darauf an, wie es sich auswirkt, wenn die an der Veröffentlichung beteiligten Stellen eines Mitgliedstaats das Verfahren der Meldung nach Art. 18 der Richtlinie 95/46/EG nicht eingehalten haben. Nach Art. 5 der Richtlinie 95/46/EG richten sich die Voraussetzungen, unter denen die Verarbeitung von Daten rechtmäßig ist, nach dem Kapitel II der Richtlinie. Dazu gehört der Abschnitt IX „Meldung“. Diese Regelungen der Richtlinie 95/46/EG werden durch bereichsspezifische Vorschriften nicht verdrängt. Der Erwägungsgrund Nr. 7 der Verordnung 259/2008 geht von der Anwendung der Richtlinie aus und nimmt auf diese Bezug. Die Umsetzungen der Meldepflicht erfolgte sowohl im Bundesrecht als auch im Hessischen Landesrecht. Die Regelungen beruhen auf Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG.

17. Die Meldung bei einer Kontrollstelle wird durch die Führung eines Verzeichnisses mit den Informationen, die in das Register der Kontrollstelle einzutragen wären, bei dem behördlichen Datenschutzbeauftragte ersetzt, welcher an die Stelle der Kontrollstelle tritt (§ 5 Abs. 2 Satz 2 Nr. 4 HDSG). In diesem Fall sind die Verzeichnisse (Meldungen) aber fehlerhaft. So ist die Auftragsdatenverarbeitung durch die Beigeladene – und ggf. eines privaten Dritten – bei der Meldung des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz nicht ausgewiesen. Es ist unter anderem auch unvollständig, weil konkrete Angaben zu den Löschfristen fehlen. In dem Verfahrensverzeichnis der Beigeladenen ist der private Provider nicht erwähnt. Angaben über die Speicherung von IP-Adressen fehlen gänzlich (zur statistischen Auswertung und zu Zwecken der Datensicherheit). Das Gericht geht davon aus, dass eine Verarbeitung von personenbezogenen Daten und damit eine Veröffentlichung von personenbezogenen Daten erst erfolgen darf, wenn die Maßnahmen nach den Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG durchgeführt worden sind in dem Sinne, das eine vollständige, aussagekräftige Meldung vorliegt. Andernfalls wäre eine Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise (Art. 6 Buchstabe a der Richtlinie 95/46/EG) nicht möglich; konkrete Zwecke sind nicht benannt. Würde man eine unvollständige Meldung (unvollständiges Verfahrensverzeichnis) nicht im Sinne von Art. 6 der Richtlinie 95/46/EG als Wirksamkeitsvoraussetzung ansehen, wäre die praktische Wirksamkeit der Vorschriften über die Meldung beeinträchtigt – gar aufgehoben -, weil der Verstoß für die weitere Verarbeitung mit personenbezogenen Daten folgenlos bliebe. Ein Ergebnis, welches schier untragbar sein dürfte.

18. Nach § 7 Abs. 6 Satz 3 HDSG (siehe auch § 4d Abs. 5 Satz 1 BDSG) ist für die Veröffentlichung nach der Verordnung 259/2008 eine Vorabkontrolle nach Art. 20 der Richtlinie 95/46/EG durch den behördlichen Datenschutzbeauftragten durchzuführen. Nach beiden Gesetzen erfolgt die Vorabkontrolle nicht durch eine zentrale Kontrollstelle, sondern bei der verantwortlichen Stelle durch deren betrieblichen oder behördlichen Datenschutzbeauftragten. Da im vorliegenden Fall auch Art. 20 der Richtlinie anwendbar ist, darf die Veröffentlichung wegen Art. 6 Buchstabe a der Richtlinie nach Ansicht des Gerichts erst erfolgen, wenn die Vorabkontrolle nach Art. 20 der Richtlinie durchgeführt worden ist. Andernfalls wäre dieses Instrument nicht effektiv und es würde sich die Frage stellen, warum diese Regelung überhaupt aufgenommen wurde.

19. Wenn die vierte Frage bejaht wird, kommt es darauf an, ob die Vorabkontrolle hier ordnungsgemäß durchgeführt wurde. Die Vorabkontrolle erfolgte jedoch aufgrundlage unvollständiger Verfahrensverzeichnisse (Meldungen). Da die Bewertung nach der Richtlinie 95/46/EG auf der Grundlage der in den Verzeichnissen enthaltenen Informationen erfolgt, kann sie nur wirksam durchgeführt werden, wenn diese richtig und vollständig sind. Nur dann ist die Grundlage für einen effektiven Schutz der Betroffenen gegeben.

20. Weiter stellt sich die Frage, ob die IP-Adressen der Benutzer, die die Daten nach der Verordnung (EG) 259/2008 auf der Internetseite der Beigeladenen abrufen, gespeichert werden dürfen. Zur Überzeugung des Gerichts steht fest, dass die Speicherung der IP Adressen – wie auf der Webseite angegeben – erfolgt. Jedenfalls muss sich die Beigeladene an ihrer Erklärung festhalten lassen. Der Anwendungsbereich der Datenschutzrichtlinie 95/46/EG und des deutschen Datenschutzrechts einschließlich § 15 TMG hängt davon ab, ob es sich dabei um ein personenbezogenes Datum handelt, weil eine Zuordnung zu einer bestimmbaren Person möglich ist, gleichwohl, ob es sich um eine statische oder dynamische IP-Adresse handelt.

21. Die IP-Adresse ist ein numerisches Adressformat, welches die Kommunikation vernetzter Geräte (Server oder Privatcomputer) im Internet ermöglicht. Bei Abruf einer Seite wird dem Server, auf dem die Seite gespeichert ist, die Adresse des abrufenden Computers mitgeteilt, so dass die Daten über das Internet von dem einen an den anderen Rechner geleitet wird en können. Für die Verbindung von Privatanwendern mit dem Internet können feste IP-Adressen vergeben werden. Dabei handelt es sich nach Ansicht des Gerichts ohne weiteres um ein personenbezogenes Datum. Üblicherweise werden dynamische IP-Adressen verwendet. Dabei weist der Anbieter des Zugangs dem Kunden bei jedem Zugang eine Adresse aus seinem Adresskontingent zu. Aus der Adresse kann der Einwahlstandort des Benutzers abgelesen werden.

22. In der Rechtssache Promusicae/Telefonica hat die Generalanwältin die Ansicht vertreten, dass eine dynamischen IP-Adresse personenbezogene Daten enthält (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 61 und die Nachweise in Fußnote 31). In seinem Urteil vom 29.01.2008 in dieser Rechtssache hat sich der Gerichtshof ausdrücklich mit dieser Frage aber nicht beschäftigt. Das Amtsgericht Berlin-Mitte hat einer Klage eines Benutzers der Internetseite des Bundesministeriums der Justiz gegen die Speicherung seiner IP-Adresse stattgegeben, weil über die dynamische IP-Adresse der Benutzer identifiziert werden könne (Urteil vom 27.03.2007, 5 C 314/06, zitiert nach juris). Das Amtsgericht Berlin-Mitte stützte sich maßgeblich auf die 26. Begründungserwägung der Richtlinie 95/46/EG. Danach sollten bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Berufung der Beklagten erstreckte sich nur auf die Reichweite der Unterlassungsverpflichtung. Der Rechtstreit ist rechtskräftig abgeschlossen (vgl. Landgericht Berlin, Urteil vom 06.09.2007, 23 S 3/07, zitiert nach juris). In der deutschen Literatur wurde dieser Rechtsprechung widersprochen. Das Gericht ist aber der Auffassung, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum ist. Davon geht auch die Artikel 29-Datenschutzgruppe in ihrem Arbeitsdokument WP 104 vom 18.01.2005 aus (Nr. III. 3., S. 19 ff., 01248/07/DE); bekräftigend in der Stellungnahme WP 150 vom 15.05.2008 (Nr. 3b, S. 8, 00989/08/DE). Da die Speicherung der IP-Adresse nicht erforderlich ist, steht die Richtlinie 95/46/EG ihr entgegen.

23. Nach den Angaben des Sachverständigen … sollen in Zukunft bei den Internetseiten hessischer Behörden die IP-Adressen zu statistischen Zwecken anonymisiert werden, aus Gründen der Datensicherheit aber ungekürzt gespeichert werden. Die Speicherfristen für die vollständig gespeicherten IP-Adressen durfte er auf Nachfrage des Gerichts aus Geheimhaltungsgründen nicht angeben. Da die Beigeladene ihre Seite im Auftrag auch des Landes Hessen betreibt, geht das Gericht davon aus, dass eine Speicherung nach der Praxis hessischer Behörden stattfindet. Diese wäre mangels einer gesetzlichen Grundlage im Hessischen Landesrecht nur zulässig, wenn es sich bei einer IP-Adresse nicht um ein personenbezogenes Datum handelt.

24. In diesem Zusammenhang ist auf folgendes hinzuweisen: Nach einem Gesetzentwurf der Bundesregierung eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes (Bundesrats-Drucksache 62/09) ist geplant, dem Bundesamt für die Sicherheit in der Informationstechnik die Befugnis einzuräumen, zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten und solche Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, auszuwerten. Zur Informationstechnik des Bundes gehört auch die Internetseite der Beigeladenen. Bei der Verabschiedung des Entwurfs, der als besonders dringlich bezeichnet ist, würde sich die Überwachung der Nutzung der nach der Verordnung 259/2008 veröffentlichten Daten noch verstärken. Mit einem In-Kraft-Treten des neuen Gesetzes ist in einigen Monaten zu rechnen, so dass es schon für das Vorabentscheidungsverfahren vor dem Gerichtshof relevant ist und sich die Frage nach dem Anwendungsbereich der Richtlinie 95/46/EG hinsichtlich von IP-Adressen besonders dringlich stellt.

25. Es wird angeregt, dieses Vorabentscheidungsersuchen mit demjenigen in dem Verfahren … gegen Land Hessen (6 K 1352/08.WI) zu verbinden.

26. Dieser Beschluss ist unanfechtbar.

Lesetipp: Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324

Schon ein bisschen älter, aber nicht zuletzt aufgrund des Hinweises im Datenwachschutzblog zu Akisment weiter aktuell: Steidle/Pordesch, Im Netz von Google. Web-Tracking und Datenschutz, DuD 2008, 324

Die Autoren untersuchen Web-Tracking, insb. Google Analytics, in datenschutzrechtlicher Hinsicht.

Das Fazit:

„Gegen die Zulässigkeit einer Nutzung von Google Analytics in der von Google praktizierten Form bestehen erhebliche datenschutzrechtliche Bedenken. … Unter dem Blickwinkel der Informationssicherheit ist zudem problematisch, dass IP-Adressen in Verbindung mit weiteren Nutzungsdaten in einen fremden Rechtsraum übermittelt werden und dabei von einem Diensteanbieter genutzt werden, der sehr vielfältige kommerzielle Verwendungsinteressen und -möglichkeiten hat.“

S. dazu auch: