Schlagwort-Archive: Vorratsdatenspeicherung

Lesetipp: Maaßen, Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung, MMR 2009, Heft 8, S. 511

In der aktuellen MMR (Heft 8 ) ist ein sehr interessanter Aufsatz von Stefan Maaßen mit dem Titel „Urheberrechtlicher Auskunftsanspruch und Vorratsdatenspeicherung“ erschienen.

Auf den urheberrechtlichen Auskunftsanspruch (hier) und die Problematik der Vorratsdatenspeicherung (hier) wurde schon des öfteren in diesem Blog hingewiesen.

Maaßen analysiert zunächst den aktuellen Stand der Rechtsprechung und weist auf die unterschiedlichen von den Gerichten angelegten Maßstäbe hin (dazu s. auch schon hier; ferner Mantz, K&R 2009, 21 m.w.N.; weitere Aufsätze zum Thema hier).

  • Datenschutzrecht

Anschließend geht der Autor auf die datenschutzrechtliche Problematik ein.

„Entscheidend ist insoweit, dass in jedem Einzelfall eine Abwägung zwischen dem Datenerhebungsinteresse und den schutzwürdigen Belangen des Betroffenen zu erfolgen hat. Die Praxis der Rechteinhaber, die IP-Adressen in einem automatisierten, softwaregestützten Verfahren zu erheben, genügt diesen Anforderungen schon deswegen nicht, weil eine Einzelfallabwägung nicht erfolgt. I.Ü. dürften die schutzwürdigen Belange des Dritten überwiegen. Denn zum Zeitpunkt der Erhebung ist nicht bekannt, ob der Anschlussinhaber als Verletzer oder Störer einer Urheberrechtsverletzung in Anspruch genommen werden kann. So ist denkbar, dass es sich bei dem Anschlussinhaber um den Betreiber eines Hot Spots oder den Inhaber eines unbefugt genutzten nicht-öffentlichen Internetzugangs handelt, die nicht Störer i.S.d. Urheberrechts sind. Die bloße Möglichkeit, dass die Datenerhebung zur Durchsetzung urheberrechtlicher Ansprüche erforderlich ist, vermag einen von privater Stelle initiierten und automatisiert durchgeführten Eingriff in das Recht auf informationelle Selbstbestimmung des betroffenen Anschlussinhabers jedenfalls nach gegenwärtiger Gesetzeslage nicht zu rechtfertigen und könnte sogar ein zivilprozessuales Beweisverwertungsverbot zur Folge haben.“

  • Vorratsdatenspeicherung

Zudem schließt sich der Autor der wohl mittlerweile h.M. an, dass eine Herausgabe von Daten, die nur für die Vorratsdatenspeicherung und zu keinem anderen Zweck (insb. nicht § 96 TKG wg. einer Flatrate) gespeichert wurden, *nicht* herausgegeben werden dürfen.

„Wenn der Provider keine auch nur kurzfristige Speicherung von Verkehrsdaten für eigene Zwecke vornimmt, sondern allein seiner Pflicht zur Vorratsdatenspeicherung aus § 113a TKG nachkommt, ist die Erfüllung des urheberrechtlichen Auskunftsanspruchs rechtlich unmöglich.“

S. zu dieser Thematik auch Gietl/Mantz, CR 2008, 810; Jenny, CR 2008, 82; Hoeren, NJW 2008, 3099.

  • Speicherung auf Zuruf (LG Hamburg)

Interessant sind weiter die Ausführungen zu einem Urteil des LG Hamburg zur Speicheranordnung zum Zweck späterer Auskunftserteilung (LG Hamburg, Urteil vom 11.03.2009 – 308 O 75/09, JurPC Web-Dok. 124/2009). Dieses hatte eine Verpflichtung des Provider zur Speicherung „auf Zuruf“ angenommen und mit einem gesetzlichen Schuldverhältnis begründet, das durch die rechtsverletzende Inanspruchnahme des Providers zwischen Rechteinhaber und Provider entstehen soll. Nach meiner Auffassung resultiert diese Ansicht gerade in einer Umkehr der gesetzlichen Regelungen in TKG und BDSG, nach denen eine Speicherung nur aufgrund einer gesetzlichen Grundlage und nicht aufgrund eines wie auch immer gearteten gesetzlichen Schuldverhältnisses gespeichert werden darf (zur fehlenden Verpflichtung zur Erhebung von Daten bei Access Providern, die ähnlich der Pflicht zur Datenspeicherung zu bewerten ist s. auch eingehend Mantz, Rechtsfragen offener Netze, S. 273 ff., Download hier). Selbst wenn man ein solches gesetzliches Schuldverhältnis annehmen würde, würde die Speicherung vermutlich trotzdem unter dem Vorbehalt der Einwilligung nach §§ 4, 4a BDSG stehen, denn ein „gesetzliches Schuldverhältnis“ ist noch lange keine „gesetzliche Regelung“ i.S.d. § 4 BDSG.
Maaßen steht dieser Lösung des LG Hamburg ebenfalls kritisch gegenüber und bezweifelt weiter, ob eine Umsetzung dieses „Hamburger Modells“ überhaupt verfassungsrechtlich zulässig wäre.

  • Schluss

Im Fazit schließlich verweist Maaßen darauf, dass ohne eine gesetzliche Regelung nichts geht.

„Um den berechtigten Interessen der Rechteinhaber an einer effektiven Durchsetzung ihrer Ansprüche Rechnung zu tragen, sind gesetzliche Vorgaben erforderlich, welche den Umgang mit IP-Adressen auf eine tragfähige datenschutzrechtliche Grundlage stellen. Eine Ausweitung des § 113b TKG dürfte aus verfassungsrechtlichen Gründen als Lösung ausscheiden.“

Vorratsdatenspeicherung-Verfassungsbeschwerde: Stellungnahmen online

Auf den Seiten des AK Vorratsdatenspeicherung sind die Stellungnahmen zur Vorratsdatenspeicherung aus dem Verfahren vor dem BVerfG online.

Im einzelnen sind dies:

  1. Stellungnahme von Prof. Dr. Ruland vom 08.06.2009
  2. Stellungnahme der Berliner Beauftragten für den Datenschutz vom 09.06.2009
  3. Stellungnahme des VATM Verbandes der Anbieter von Telekommunikations- und Mehrwertdiensten e.V. vom 09.06.2009
  4. Stellungnahme des BITKOM Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. vom 10.06.2009
  5. Stellungnahme der Bundesbeauftragten für den Datenschutz vom 10.06.2009
  6. Stellungnahme von Prof. Dr. Pfitzmann vom 10.06.2009
  7. Stellungnahme von Prof. Dr. Roßnagel vom 10.06.2009
  8. Stellungnahme des Chaos Computer Club e.V. vom 13.06.2009
  9. Stellungnahme des Herrn Freiling vom 20.06.2009

Die Stellungnahmen sind sehr aufschlussreich und interessant. Sie vermitteln auf der einen Seite ein Bild darüber, wie die Rechtmäßigkeit einzelner Maßnahmen bewertet wird und andererseits, wie in tatsächlicher Hinsicht die Vorratsdatenspeicherung durchgeführt wird und welche Auswirkungen das haben kann.

Im folgenden sollen ausgewählte Punkte aus den Stellungnahmen vorgestellt werden. Eine umfassende Besprechung aller Stellungnahmen ist mir leider nicht möglich.

1. CCC

Besonders hervorzuheben sind die Analysen des Chaos Computer Club e.V. (CCC). Die Schlussfolgerungen, die aufgrund von Verkehrsdaten mit aktuellen Methoden und Modellen gezogen werden können, sind tatsächlich beeindruckend. Constanze Kurz und Frank Rieger verstehen es, diese doch recht komplexen Methoden kurz und verständlich darzustellen. Die Autoren ziehen für die Bewertung zudem die Technische Richtlinie zur Umsetzung gesetzlicher Maßnahmen zur Überwachung der Telekommunikation heran – ein guter und gelungener Ansatz, denn tatsächlich lässt sich aus der technischen Umsetzung auf die Zielrichtung der Vorratsdatenspeicherung schließen.

Außerdem bewerten Kurz und Rieger die Sicherheit der Daten eher kritisch:

Das Risiko, daß auf die Verbindungsdaten unberechtigt zugegriffen wird, ist dabei keinesfalls theoretisch. Die Datenskandale der letzten Jahre haben deutlich gemacht, daß auch und gerade große Telekommunikationsunternehmen nicht in der Lage sind, sensible Datenbestände vor Mißbrauch oder Verlust zu schützen. […]

Die Gefahr von Datenmißbräuchen sowie die Möglichkeiten, Rückschlüsse auf intime Details, Aufenthaltsorte, Gewohnheiten und Vorlieben im Leben jedes einzelnen Bürgers zu ziehen, stehen in keinem Verhältnis zu dem möglicherweise
im Einzelfall bestehenden Vorteil bei der Strafverfolgung. Die Vorratsdatenspeicherung potenziert vielmehr die Risiken und Überwachungsfolgen in einer zunehmend digitalisierten Gesellschaft. Die Telekommunikationsunternehmen ohne konkreten Anlaß zu verpflichten, auf Vorrat alle Verbindungs- und Nutzungsdaten über den unmittelbaren Zweck der Abrechnung hinaus für die Verwendung gegen etwaige zukünftige
Verdächtige oder für geheimdienstliche Operationen zu speichern, muß daher unbedingt vermieden werden.

2. Bitkom e.V.

Spannend sind ferner die Antworten des Bitkom, der offenbar seine eigenen Mitglieder befragt hat.

Dass Internetzugangsnutzer mittlerweile dauerhaft bzw. länger eingewählt sind, „führt dazu, dass der Bedingungszusammenhang zwischen tatsächlicher Nutzung und Einwahlzeitraum im Internet nicht mehr notwendigerweise gilt.“

In diesem Zusammenhang stellt sich bereits jetzt die Frage nach der Verantwortlichkeit des Anschlussinhabers bzw. deren Beweisbarkeit (s. dazu die Musterklageerwiderung von Solmecke; Schultz, MIR 2008, Dok. 102; Gietl/Mantz, CR 2008, 810).

Interessant ist auch, dass die Provider nach Angaben des Bitkom Vorratsdaten tatsächlich physisch getrennt von den übrigen Daten vorhalten (s. dazu schon Gietl/Mantz, CR 2008, 810, 812).

3. Alexander Roßnagel, Universität Kassel

Bei Roßnagel finde ich insbesondere die Ausführungen zur Datensicherheit interessant. Roßnagel geht sehr stark ins Detail, welche Sicherungsmaßnahmen die Betreiber ergreifen könnten – und welche sie auch ergreifen müssen. Verschlüsselung als Form der Zugangs- und Änderungskontrolle, starke (möglichst physische) Trennung von Daten etc. Zusätzlich vertritt Roßnagel die Auffassung, dass Sicherungsmaßnahmen en detail im Gesetz geregelt werden müssen und nicht in eine Technische Richtlinie verschoben werden dürfen (S. 9).

Die Vorgabe von Sicherheitsmaßnahmen in Technischen Richtlinien, die ohne Beteiligung des Gesetzgebers geändert und gelockert werden können, kann den verfassungsrechtlichen Schutzauftrag nicht ausreichend erfüllen. Bereits auf Gesetzesebene müssen die Mindestanforderungen an die technisch/organisatorische Sicherheit verbindlich gemacht werden. Dies betrifft vor allem die Trennung der Daten, die Zugangsauthentifikation, die technische Sicherung durch Verschlüsselung der Daten und die Zugriffsdokumentation.

4. Andreas Pfitzmann, TU Dresden

Bereits die ersten Punkte, die „großen Fragen“ und Abwägungen sind deutlich:

Im Gegensatz zum Innenministerium sind wir der Meinung, dass überwachungsfreie Räume für Menschen als soziale Wesen notwendig sind (und technische Eliten sie sich und anderen sowieso schaffen werden).

5. Felix Freiling, Universität Mannheim

Es ist zudem absehbar, dass über Verkehrsdaten in Zukunft sehr viel stärker auf Kommunikationsinhalte geschlossen werden kann als heute, insbesondere durch die Erstellung von Bewegungsprofilen in der Mobilkommunikation. Kritisch ist vor allem die dynamische IP-Adresse zu sehen. Eine dynamische IP-Adresse verrät nicht nur die Tatsache, dass kommuniziert wurde. Sie lässt in Zukunft verstärkt auch Rückschlüsse über den aktuellen Aufenthaltsort zu. Eine dynamisch vergebene IP-Adresse hat somit klare Bezüge zu einem konkreten Telekommunikationsvorgang. Eine Zuordnung von dynamischer IP-Adresse zum Anschlussinhaber sollte also mindestens dieselben Eingriffsschranken besitzen wie eine reine Verkehrsdatenabfrage.

5. Bundesbeauftragter für den Datenschutz Peter Schaar

Schaar ist der Auffassung, dass entgeltliche und unentgeltliche Dienste gleich zu behandeln sind (S. 8 und 9). S. dazu näher hier und bei daten-speicherung.de.

6. Berliner Beauftragter für den Datenschutz Alexander Dix

Zwar sieht dies Dix ähnlich, er betrachtet die Einteilung aber vor dem Hintergrund der Richtlinie als „zweifelhaft“ (S. 9) und verweist hierfür auch auf die Ausführungen von Patrick Breyer bei daten-speicherung.de.

Dabei geht Dix insbesondere auf den Anonymisierungsdienst AN.ON ein – sehr interessant.

7. Fazit

Die verschiedenen Stellungnahmen offenbaren, dass die Sachverständigen die Pflicht zur Vorratsdatenspeicherung wenigstens in Teilen eher kritisch sehen. Sie legen bei unterschiedlichen Punkten den Finger offen in die Wunde. Nun wird das BVerfG sich daraus seine Meinung bilden müssen.

Meldungen zum Thema:

OLG Frankfurt: Keine Herausgabe von Daten, die aufgrund Vorratsdatenspeicherung gespeichert wurden (Update)

Das OLG Frankfurt hat zur Frage entschieden, ob der Provider, der Daten nur auf Vorrat und nicht für andere Zwecke speichert, diese bei einem Herausgabeverlangen nach § 101 UrhG herausgeben muss (OLG Frankfurt, Beschluss v. 12.05.2009 – 11 W 21/09 – Update: Volltext hier). Es hat dies abgelehnt.

Als Grund führte das OLG Frankfurt an, dass § 101 UrhG keine Rechtsgrundlage für die Herausgabe von Daten, die nur aufgrund der Vorratsdatenspeicherung gespeichert sind, darstellt (so schon Mantz/Gietl, MMR 2008, 606, 608; Gietl/Mantz, CR 2008, 810, 812; Hoeren, NJW 2008, 3099, 3101; Redeker, ITRB 2009, 112, 113; a.A. Czychowski/Nordemann, NJW 2008, 3095). Dies ist nur konsequent. Denn die Herausgabe von Daten, die der Vorratsdatenspeicherung unterliegen, darf nur für ganz enge und spezielle Zwecke erfolgen, die den Zielen der Vorratsdatenspeicherungsrichtlinie sowie des Umsetzungsgesetzes unterliegen. Art. 1 Abs. 1 VSRL formuliert diese strenge Zweckbindung der Daten. Die Herausgabe an private Dritte ist hiervon nicht gedeckt.  Erwägungsgrund 25 der VSRL lautet: „Diese Richtlinie berührt nicht das Recht der Mitgliedstaaten, Rechtsvorschriften über den Zugang zu und die Nutzung von Daten durch von ihnen benannte nationale Behörden zu erlassen.“ Im Umkehrschluss daraus ist gerade Privaten gegenüber die Herausgabe nicht erlaubt. In logischer Folge ist auch nach § 113b TKG die Herausgabe der Daten nicht zulässig.

Dabei ist zu beachten, dass die deutsche Gesetzgebung schon deutlich über die europäischen Vorgaben hinausgeht – einer der Punkte, an denen das BVerfG bei einer Überprüfung ansetzen kann (BVerfG, Beschl. v. 11.3.2008 – 1 BvR 256/08, Rn. 136).

Wenn die Herausgabe auch für andere Zwecke erlaubt würde, würde dies nicht nur einen klaren Verstoß gegen die gesetzgeberische Intention bedeuten, sondern auch einen deutlichen Eingriff in die Grundrechte der Nutzer, der kaum zu rechtfertigen wäre. Nicht zuletzt deshalb hat das BVerfG in seinen einstweiligen Anordnungen (s. nur BVerfG v. 11.3.2008 – 1 BvR 256/08) die Herausgabe der Daten vorläufig stark eingeschränkt.

Grundsätzlich sind daher die Befugnisse, auf die Daten zuzugreifen, sehr eng auszulegen. Eine Aufweichung durch andere einfach-gesetzliche Erlaubnistatbestände würde den Grundrechtseingriff, den schon der europäische Gesetzgeber sieht, nur noch verstärkt.

Bisher noch nicht entschieden ist die Frage, wie der Provider die Daten zur Vorratsdatenspeicherung zu speichern hat, also ob dies getrennt von den Daten, die er aus anderen Gründen (nach §§ 97 ff. TKG) speichert erfolgen muss (so Gietl/Mantz, CR 2008, 810, 812), oder ob Daten nach Ablauf der zulässigen Speicherung nach anderen Normen nur als „gesperrt“ markiert werden müssen (so wohl Redeker, ITRB 2009, 112, 113). Auch hier gilt meines Erachtens, dass der eklatante Grundrechtseingriff zu einer sehr rigiden Auslegung führen muss. Sofern also technische Maßnahmen den Schutz vor Zugriffen Dritter verbessern können, sind diese auch zu ergreifen.

Insgesamt hat das OLG Frankfurt mit diesem Beschluss eine folgerichtige und dennoch sehr wichtige Entscheidung gefällt.

Update:

Mittlerweile ist der Volltext verfügbar. Dazu noch ein paar Anmerkungen:

1. Vorwegnahme der Hauptsache

Das OLG Frankfurt ist dem OLG Köln (s. dazu hier und Mantz, K&R 2009, 21) dahingehend gefolgt, dass eine endgültige Verurteilung des Antragsgegners zur Herausgabe der Daten eine Vorwegnahme der Hauptsache darstellen würde. Dementsprechend hätte nur die Auferlegung der weiteren Speicherung bis zum Abschluss des Hauptverfahrens verlangt werden können. Im Ergebnis kommt es aufgrund der abweisenden Entscheidung des OLG Frankfurt aber nicht darauf an.

Als einstweilige Anordnung könnte die Entscheidung auch keinen Bestand haben, weil sie die Entscheidung in der Hauptsache vorwegnähme (OLG Köln, Beschluss vom 21.10.2008, 6 Wx 2/08, MMR 2008, 820).

2. Gewerbliches Ausmaß

Nach Ansicht des OLG Frankfurt liegt ein gewerbliches Ausmaß im vorliegenden Fall vor. Es handelte sich um die Verbreitung eines Pornofilms, der erst kurz vorher erschienen war.

Damit schließt sich das OLG Frankfurt dem OLG Köln an (s. dazu ebenfalls hier und Mantz, K&R 2009, 21).

Eine Rechtsverletzung in gewerblichem Ausmaß ist jedenfalls dann gegeben, wenn wie hier eine vollständige Film-DVD mit einer Laufzeit von 150 Minuten, die im Oktober 2008 veröffentlicht worden ist, wenig später am 12.1.2009 im Internet öffentlich zugänglich gemacht wird. Dies entspricht dem Willen des Gesetzgebers. Nach der Beschlussempfehlung und dem Bericht des Rechtsausschusses, dem der Gesetzgeber gefolgt ist, kommt eine Rechtsverletzung „in gewerblichem Ausmaß“ unter anderem dann in Betracht, wenn eine besonders umfangreiche Datei, wie ein vollständiger Kinofilm oder ein Musikalbum oder Hörbuch, kurz nach ihrer Veröffentlichung im Internet angeboten wird (BT-Drucks. 16/8783, S. 50). Dieser klar geäußerte Wille des Gesetzgebers ist im Gesetzeswortlaut hinreichend zum Ausdruck gekommen und daher, weil sich auch aus systematischen Erwägungen nichts anderes ergibt, für die Auslegung der Vorschrift maßgeblich (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 10 m.w.N.).

Der Gesetzgeber hat zum Ausdruck gebracht, dass er einen Gleichlauf des deutschen Urheberrechtsgesetzes mit der Richtlinie zur Durchsetzung der Rechte des geistigen Eigentums (2004/48/EG – nachfolgend: Richtlinie) wollte (siehe BT-Drucks. 16/8783, S. 50). Nach dem Erwägungsgrund 14 der Richtlinie zeichnen sich in gewerblichem Ausmaß vorgenommene Rechtsverletzungen dadurch aus, dass sie zwecks Erlangung eines unmittelbaren oder mittelbaren wirtschaftlichen oder kommerziellen Vorteils vorgenommen werden, so dass Handlungen, die in gutem Glauben von Endverbrauchern vorgenommen werden, in der Regel nicht erfasst sind. Gerade vor diesem Hintergrund hat der deutsche Gesetzgeber in § 101 Abs. 1 S. 2 UrhG durch objektive Kriterien die Voraussetzungen konkretisiert, bei deren Vorliegen in der Regel zugleich ein gewerbliches Ausmaß nach dem Verständnis der Richtlinie zu bejahen ist (BT-Drucks. 16/8783, S. 50). Da sich – worauf der Bundesrat in seiner Stellungnahme hingewiesen hatte (BT-Drucks. 16/5048 S. 59) – der Umfang der Rechtsverletzung bei den Internet-Tauschbörsen vor Erteilung der Auskunft nicht feststellen lässt, hat der Gesetzgeber klargestellt, dass sich das gewerbliche Ausmaß auch aus der Schwere der beim Rechtsinhaber eingetretenen einzelnen Rechtsverletzung ergeben kann.

Es reicht danach aus, dass die Rechtsverletzung ein Ausmaß aufweist, wie dies üblicherweise mit einer auf einem gewerblichen Handeln beruhenden Rechtsverletzung verbunden ist (OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 11). Verletzungshandlungen, die lediglich einzelne, vergleichsweise kleine Dateien betreffen, tragen die Annahme eines gewerblichen Ausmaßes nicht (vgl. Bohne in Wandtke/Bullinger, Urheberrecht, 3. Auflage, § 101 Rn. 19). Eine Rechtsverletzung im gewerblichen Ausmaß liegt jedoch vor, wenn eine umfangreiche Datei in eine Internet-Tauschbörse zum kostenlosen Herunterladen eingestellt wird. Das Anbieten in einer Tauschbörse ermöglicht die Verbreitung dieser Datei in einer unbestimmten Vielzahl von Fällen. Wer ein aktuell auf dem Markt befindliches, umfangreiches urheberrechtlich geschütztes Werk anbietet, dem ist dabei nach der Lebenserfahrung auch bekannt, dass er hierzu nicht berechtigt ist, so dass er nicht in gutem Glauben handelt (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 14). Wer sich an einer Tauschbörse mit dem Angebot eines urheberrechtlich geschützten Werks beteiligt, wird zudem nach der Lebenserfahrung regelmäßig zugleich in der Absicht handeln, selbst kostenlos widerrechtlich angebotene Werke herunterzuladen und dadurch einen wirtschaftlichen Vorteil zu erlangen (ebenso OLG Köln, Beschluss v. 09.02.2009, 6 W 182/08, zitiert nach Juris Rn. 13).

3. Keine Verwendung der Daten aus der Vorratsdatenspeicherung

Wie oben schon gezeigt, dürfen die Daten, die aufgrund der Vorratsdatenspeicherung gespeichert werden, jedenfalls nicht herausgegeben werden:

Die Gestattung gemäß § 101 Abs. 9 UrhG schafft zwar die datenschutzrechtliche Grundlage dafür, dass die Beschwerdeführerin berechtigt ist, die von der Antragstellerin begehrten Daten nicht zu löschen. Dass § 101 Abs. 9 UrhG nach dem Willen des Gesetzgebers auch eine datenschutzrechtliche Erlaubnis enthält, ergibt sich aus der Gesetzesbegründung zur Parallelvorschrift § 140 b PatG (BT-Drucks. 16/5048, S. 40). § 101 Abs. 9 Satz 9 UrhG stellt klar, dass die einschlägigen Datenschutzregelungen nur außerhalb des Anwendungsbereichs dieser Vorschriften uneingeschränkt gelten. § 101 Abs. 9 UrhG bildet einen Erlaubnistatbestand jedoch nur für die gemäß § 96 TKG gespeicherten Verkehrsdaten, nicht für die allein auf Grund der Speicherungsverpflichtung nach § 113a TKG gespeicherten Daten. § 113a Abs. 4 Nr. 1 TKG, der die Richtlinie zur Vorratsdatenspeicherung umsetzt, verpflichtet zwar seit 1. 1. 2009 zur Speicherung der IP Adressen für sechs Monate. Diese Daten dürfen die Diensteanbieter nach §§ 113b S. 1 Halbs. 2, 113 TKG zwar auch verwenden, um staatlichen Stellen zu bestimmten hoheitlichen Zwecken Auskunft über den Anschlussinhaber zu erteilen. Die Daten dürfen jedoch nicht für eine Auskunft an Private für deren Rechtsverfolgung genutzt werden (Kitz, NJW 2008, 2374, 2376; Hoeren, NJW 2008, 3099, 3101; Jüngel/Geißler, MMR 2008, 787, 791/792; Dreier/Schulze, UrhG, 3. Aufl., § 101 Rn. 37). Der Bundestag hat den Vorschlag des Bundesrats, auch insoweit die Nutzung der gespeicherten Daten zu ermöglichen, ausdrücklich abgelehnt (vgl. BT-Dr 16/6979, S. 48).

Zu diesem Komplex s. auch:

(via Beck-Blog)

Nachbereitung Wireless Community Weekend 2009 und Folien online

Und schon ist das Wireless Community Weekend (WCW) 2009 wieder vorbei. Von meiner Seite noch einmal vielen Dank an alle. Wieder eine Superatmosphäre, ein sehr spannendes und gleichzeitig sehr entspanntes Wochenende (ja, das geht). Es hat viel Spaß gemacht und bei so guten Vorzeichen werde ich nächstes Jahr sicher wieder dabei sein.
Wer nachlesen und/oder nachhören will, was auf dem WCW 2009 passiert ist, s. im Wiki hier, außerdem den Live-Radio-Beitrag von Radio Corax vom WCW hier (OGG, ca. 120min, ca 200 MB, das Interview mit mir findet sich auch hier).
Ich danke auch für die spannende Diskussion zum Thema „Update Recht“, die Folien mit dem Titel „Update Recht – Entwicklung des Rechts offener Netze 2008/2009“ dazu sind ebenfalls online (hier, die Folien wurden im Hinblick auf die Dateigröße (nur) im Design geändert). Wie gewohnt, ging der Vortrag natürlich nicht um 18h los, sondern ca. 19.45h, also quasi pünktlich. Aufgrund der intensiven Teilnahme und Diskussion ist außerdem aus einem geplanten 30-Minuten-Vortrag (plus reservierte 10 Minuten für Fragen) ein Vortrag von fast zwei Stunden geworden. In diesem Sinne können die Folien natürlich nur als grobe Leitlinie dienen.

Die Diskussion hat wieder einmal gezeigt, dass die Gesetzeslage und die technische Realität in vielen Punkten überhaupt nicht zusammenpassen. Dies zeigt sich ganz extrem an offenen Netzen, in denen ganz unterschiedliche technische Konstellation realisiert werden, die sich zudem schnell ändern können. Speziell Vorratsdatenspeicherung ist in offenen Netzen in aller Regel vollkommen sinnlos und trotzdem besteht hier sehr große Rechtsunsicherheit.

Vorratsdatenspeicherungspflicht für unentgeltliche Dienste? – Die Auslegung von § 3 Nr. 24 TKG

Wohl nicht zuletzt angestoßen von Patrick Breyer vom AK Vorratsdatenspeicherung (s. dazu hier und hier) ist nun in der juristischen Literatur die Debatte über die Pflicht zur Vorratsdatenspeicherung bei der Erbringung unentgeltlicher Dienste entbrannt. Christoph Mayer hat nun einen Aufsatz mit dem Titel „Pflicht zur Vorratsdatenspeicherung bei unentgeltlichen E-Mail-Diensten? – Die Definition des Telekommunikationsdienstes gem. § 3 Nr. 24 TKG und ihre Auswirkungen auf die Vorratsdatenspeicherung“ veröffentlicht (erschienen in: K&R 2009, 313).

— Knackpunkt: Auslegung von „in der Regel gegen Entgelt“ erbrachten Diensten —

Knackpunkt der Frage, ob jemand einen Telekommunikationsdienst i.S.d. § 3 Nr. 24 TKG anbietet, ist bei unentgeltlichen Diensten die Auslegung des Merkmals „in der Regel gegen Entgelt erbrachter Dienst“.

Mayers Aufsatz ist dabei durchaus als Gegenansicht zur Auffassung von Breyer (hier) zu verstehen. Während nämlich Breyer unter Verwendung einer europarechtlichen Auslegung und unter Bezug auf verschiedene Urteile des Europäischen Gerichtshofs (EuGH) von einer Auslegung im Einzelfall („Erbringt dieser Diensteanbieter den Dienst unentgeltlich?“) ausgeht, stellt Mayer darauf ab, ob die Entgeltlichkeit branchenüblich ist (in ungefähr: „Erbringt die Mehrzahl der Anbieter eines Dienstes dieser Art den Dienst unentgeltlich oder entgeltlich?“). Dabei ist zu beachten, dass bereits eine Finanzierung über Werbung durch den EuGH als „entgeltlich“ angesehen wird.

1. Auslegung

Mayer nimmt eine Auslegung des Begriffs „in der Regel gegen Entgelt“ nach der sprachlich-grammatikalischen, der systematischen und der teleologischen Auslegungsmethode vor.

Sprachlich-grammatikalisch sei auf jeden Fall auf Branchenüblichkeit abzustellen.
„Die Formulierung ‚in der Regel‘ macht aber letztlich keinen Sinn, wenn man sie lediglich auf einen konkreten Dienst bezieht. Dieser wird wohl kaum zeitweise unentgeltlich und zeitweise entgeltlich betrieben.“

Dieser Schluss klingt grundsätzlich logisch. Allerdings zeigt sich gerade bei Modellen wie (früher) bei FON (WLAN-Anbieter), dass es sowohl den Linus (unentgeltlich) und den Bill (entgeltlich) gab (mittlerweile hat FON das Modell geändert, s. hier), obwohl es sich um denselben Diensteanbieter (=Betreiber des Knotens) handelt. Ob jetzt der Linus-Nutzer wiederum eine Finanzierung durch die Möglichkeit der kostenlosen Nutzung „als Entgelt“ erhält, ist dann wohl wieder eine andere Frage. Das Beispiel zeigt jedoch, dass eine Teilung in entgeltlich und unentgeltlich bei der Vielzahl der möglichen Dienstmodelle durchaus denkbar ist, und der Anbieter zwischen diesen Modellen wechseln kann.

Andererseits hätte Mayer noch darauf abstellen können, dass das BGB einen sehr ähnlichen Ansatz im Werkvertragsrecht verfolgt: Nach § 632 BGB gilt beim Werkvertrag eine „Vergütung gilt als stillschweigend vereinbart, wenn die Herstellung des Werkes den Umständen nach nur gegen eine Vergütung zu erwarten ist.“ Dies könnte sich mit „in der Regel gegen Entgelt“ decken. Gegen die Heranziehung des BGB sprechen natürlich die zeitliche Differenz und die Verschiedenheit von Zielrichtung und Entstehung von § 632 BGB und § 113a TKG.

In der systematischen Auslegung bezieht Mayer die Verwendung des Begriffs „Telekommunikationsdienst“ und die Einstufung in die Begriffspaare „gewerblich“, „geschäftsmäßig“ und „in der Regel gegen Entgelt“ und deren (teilweise) Verwendung im TMG ein und folgert auch daraus, dass nicht auf den konkreten Dienst abzustellen sei.

Breyer hingegen ist der Auffassung, dass die Formulierung in § 113a TKG in Übernahme der Formulierung der europäischen Richtlinie erfolgte und deshalb dieser systematische Ansatz nicht zwingend sei.

Teleologisch schließlich geht Mayer davon aus, dass der Gesetzgeber „unentgeltliche Telekommunikationsdienste mit dem TKG erfassen und ihnen sowohl Rechte einräumen als auch Pflichten auferlegen“ wollte.

E-Mail-Diensteanbieter sind daher nach der Auffassung von Mayer in der Regel als „entgeltliche Dienste“ einzustufen.

2. Notwendige Einschränkung des § 113a TKG

Mayer geht weiter darauf ein, ob die Anwendbarkeit von § 113a TKG teleologisch zu reduzieren sei. Dem tritt er aber entgegen:

„Die Vorratsdatenspeicherung hingegen bezweckt insbesondere die Gewährleistung einer wirksamen Strafverfolgung. Es erscheint schon problematisch, welche nationale Stelle überhaupt befugt wäre, eine derartige teleologische Reduktion vorzunehmen. In jedem Fall würde es zu großen Lücken im Rahmen der Strafverfolgung kommen, wenn kleinere Anbieter von unentgeltlichen E-Mail-Diensten im Wege einer teleologischen Reduktion aus dem Anwendungsbereich der Vorratsdatenspeicherung herausgenommen würden. Damit würden Fluchtwege für Kriminelle geschaffen, die die Vorratsdatenspeicherung letzlich ins Leere laufen ließen.“

Zugunsten von Mayers Auffassung lässt sich zusätzlich argumentieren, dass der Gesetzgeber ausdrücklich auch Anonymisierungsdienste erfassen wollte (und damit Straflücken schließt). Allerdings ließe sich dieser Schluss auch für die anderen Maßnahmen der TK-Überwachung nach § 110 TKG ohne weiteres vertreten. Die TK-Überwachung ist aber nach § 3 Abs. 2 Nr. 6 TKÜV auf diejenigen Anbieter beschränkt, die min. 10.000 Nutzer/Teilnehmer haben (hierzu eingehend Mantz, Rechtsfragen offener Netze, S. 61 f.).

Zusätzlich lässt Mayer bei dieser Feststellung aber den Verhältnismäßigkeitsgrundsatz weitgehend außer Acht. Der europäische Gesetzgeber hat in den Erwägungsgründen der Vorratsdatenspeicherungsrichtlinie sehr deutlich darauf hingewiesen, dass die Vorratsdatenspeicherung schwere Eingriffe in Grundrechte der Diensteanbieter und der Nutzer bewirkt. Zwar hat das Bundesverfassungsgericht in seinen Eilbeschlüssen bisher nur den Zugriff auf die zu speichernden Daten beschränkt, sieht aber die Möglichkeit eines Grundrechtseingriffs offensichtlich auch. Vor diesem Hintergrund wäre eine verfassungskonforme Auslegung dahingehend angebracht, dass gerade solche kleinen, vollständig unentgeltlich (im Hinblick auf die Anzahl der Nutzer in Anwendung des Gedanken des § 3 Abs. 2 Nr. 5 TKÜV) erbrachten Dienste aus dem Anwendungsbereich auszunehmen sind.

Gerade im Bezug auf E-Mail-Dienste verfängt das Argument von Mayer ohnehin nur bedingt, denn es ist für niemanden problematisch, einen E-Mail-Diensteanbieter im Ausland zu wählen, der der deutschen (bzw. europäischen) Vorratsdatenspeicherung nicht unterliegt. Dass, wie von Mayer prognostiziert, unentgeltliche Dienste „geradezu Anziehungspunkte“ für Kriminelle wären, ist also wenigstens nicht zwingend.

3. Europarechtliche Auslegung?

Leider setzt sich Mayer nicht wirklich mit der von Breyer vorgeschlagenen europarechtlichen Auslegung des Begriffs „in der Regel gegen Entgelt“ auseinander. Denn Breyer hat in mehreren logischen und nachvollziehbaren Schritten eine solche für vorrangig erachtet und mit Rechtsprechung des Europäischen Gerichtshofs unterlegt.

So lobenswert und verständlich die ausführliche Befassung mit der Einbettung und Auslegung von § 113a TKG in das deutsche Rechtssystem ist, kann die europarechtliche Komponente vor dem Hintergrund der Entstehungsgeschichte von § 113a TKG nicht ausgeblendet werden.

4. Fazit

Mit dem Aufsatz von Mayer ist der Streit nun eröffnet – beide Seiten sind nun offen vertreten. Die Folgen der jeweiligen Auffassung sind gravierend (Investition in Infrastruktur und Betrieb, Vorhalt von Daten und Aufwand für die Herausgabe bei Anfrage oder nicht). Die Einschätzung durch die Gerichte lässt sich derzeit noch überhaupt nicht absehen. Es streiten gute Argumente für beide Seiten. Für den Ansatz von Breyer spricht insbesondere, dass die EU-Kommission auf Anfrage des FDP-Europaabgeordnetem Alvaro wohl eher von einer Einzelfallbetrachtung ausgeht (s. hier).

Es wäre jedenfalls wünschenswert, wenn Breyer seinen Blog-Eintrag noch einmal in einer juristischen Fachzeitschrift veröffentlichen würde, denn sein Blog dürfte für einen mit einem solchen Fall betrauten und nach Informationen suchenden Richter eher verborgen bleiben, auch wenn Mayer den Blog-Eintrag zitiert.

Keine Pflicht zur Vorratsdatenspeicherung für unentgeltliche Dienste

Patrick Breyer vom AK-Vorratsdatenspeicherung hat sich über die Frage Gedanken gemacht, ob die Pflicht zur Vorratsdatenspeicherung nach § 113a TKG auch denjenigen trifft, der seine Dienste unentgeltlich erbringt (hier) und ist zu dem Schluss gekommen, dass eine solche Pflicht nicht besteht.

Dafür wendet er insbesondere eine europarechtliche Auslegung des Merkmals „gewöhnlich gegen Entgelt“ an.

Alexander Alvaro von der FDP hat eine entsprechende Anfrage zur Auslegung an die EU-Kommission gestellt. Die EU-Kommission hat nun darauf geantwortet (hier, mit kurzer Besprechung bei daten-speicherung.de).

Volltext:

Parlamentarische Anfragen
16. April 2009
E-0969/2009
Antwort von Herrn Barrot im Namen der Kommission

Der Herr Abgeordnete fragt bei der Kommission an, ob unter den in Artikel 3 Absatz 1 der Richtlinie 2006/24/EG verwendeten Begriff „Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste“ (Richtlinie zur Vorratsdatenspeicherung) unentgeltliche Dienste fallen.

Gemäß Artikel 2 der Richtlinie über die Datenvorratsspeicherung finden u. a. die Begriffsbestimmungen der Rahmenrichtlinie 2002/21/EG Anwendung. In Artikel 2 Buchstabe c) der Rahmenrichtlinie wird der Begriff „elektronische Kommunikationsdienste“ definiert. Eine Komponente der Begriffsbestimmung besteht darin, dass der Dienst „gewöhnlich gegen Entgelt erbracht“ wird. Dies gibt den Wortlaut von Artikel 50 des Vertrages zur Gründung der Europäischen Gemeinschaft wieder, der den Begriff „Dienstleistungen“ im Zusammenhang mit der Freizügigkeit und dem freien Dienstleistungs- und Kapitalverkehr definiert. Diese Begriffsbestimmung ist für die Auslegung der Rahmenrichtlinie und der Richtlinie über die Datenvorratsspeicherung maßgeblich, da sich beide Richtlinien auf Artikel 95 EG-Vertrag stützen, der Maßnahmen für das Funktionieren des Waren-, Personen-, Dienstleistungs- und Kapitalbinnenmarktes zum Gegenstand hat.

Die Begriffsbestimmung der Dienstleistung laut EG-Vertrag verlangt nicht, dass die Gebühr von dem Dienstleistungsnutzer oder –teilnehmer erhoben wird, sondern sie deckt auch Sachverhalte ab, bei denen Dritte die Gebühr bezahlen(1). Unter die Begriffsbestimmung fallen insbesondere Dienstleistungen kommerzieller Art. Andererseits handelt es sich bei einer Tätigkeit, die nicht selbst wirtschaftlicher oder kommerzieller Art ist oder mit einer solchen Tätigkeit in Verbindung steht, nicht um eine Dienstleistung im Sinne des EG-Vertrags(2).

Nicht die Kommission ist für die Auslegung des Gemeinschaftsrechts zuständig, sondern die Gerichte und in letzter Instanz der Europäische Gerichtshof. Um festzustellen, ob eine Tätigkeit eine Dienstleistung darstellt, muss jeder Fall einzeln geprüft werden.

(1)    Siehe Rechtssache C-352/85 Bond van Adverteerders/NL.
(2)    Siehe Rechtssache C-159/90 SPUC/Grogan.

Diese Antwort belegt, dass auch die EU-Kommission von dieser Auslegung der Richtlinie zur Vorratsdatenspeicherung ausgeht, und dass ein Präjudiz dafür besteht, dass unentgeltliche Dienste nicht erfasst werden. Einen Haken enthält der letzte Satz, dass (richtigerweise) nur die Gerichte dies prüfen und die Auslegung vornehmen können.

Ob sich die Auffassung der Kommission zur EU-Vorratsdatenspeicherungsrichtlinie 1:1 auf das deutsche Recht übertragen lässt, ist nicht ganz klar. Schließlich ist der deutsche Gesetzgeber in einigen Punkten über den Regelungsgehalt der Richtlinie hinaus gegangen (z.B. Anonymisierungs-Server). Es lässt sich aber eines festhalten: Wenn die Richtlinie unentgeltliche Dienste nicht erfasst, dann wäre eine Auslegung des deutschen Gesetzes dahingehend, dass unentgeltliche Dienste speichern müssen, ebenfalls eine darüber hinausgehende deutsche Regelung. Und die wäre dann in dem Rahmen, in dem sie über den europarechtlichen Rahmen hinausgeht, vom Bundesverfassungsgericht überprüfbar. Der Ausgang der bisherigen Verfassungsbeschwerden bleibt abzuwarten, aber der europäische Gesetzgeber ist an einigen Stellen in den Erwägungsgründen zur Vorratsdatenspeicherungsrichtlinie selbst davon ausgegangen, dass er schon bis an die Grenzen des Möglichen gegangen ist. Wer noch weitergehend regelt, bewegt sich also auf unsicherem Terrain.

Die Schlussfolgerung von daten-speicherung.de dürfte vor diesem Hintergrund richtig sein:

Bietet beispielsweise eine Privatperson oder ein Verein einen E-Mail-Dienst, einen öffentlichen WLAN-Internetzugang oder einen Tor-Server unentgeltlich an, den sie im Wesentlichen aus eigenen Mitteln und nicht aus Einnahmen der Nutzer oder von Werbekunden finanzieren, so gilt die Vorratsdatenspeicherungspflicht nicht.

Gute Nachrichten also für Freifunk und die anderen Initiativen.

Lesetipp: Polenz, Speicherpflichten für Unternehmer nach § 113a TKG, CR 2009, 225

Von Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein ist in der CR (2009, 225) ein Aufsatz zu „Speicherpflichten für Unternehmer nach § 113a TKG“ erschienen.

Polenz untersucht insbesondere die Speicherpflicht für Arbeitgeber und Betreiber von WLAN-Hotspots.

Er leitet ein mit der Unsicherheit, die für den jeweiligen Betreiber besteht – insbesondere dadurch, dass entweder eine Speicherpflicht nach § 113a TKG besteht oder ein Speicherverbot nach BDSG. Eine Entscheidung in die eine oder andere Richtung ist daher notwendig.

1. Diensteanbieter

Da der Begriff des Diensteanbieters in § 3 Nr. 6, Nr. 10 TKG sehr weit ist, sieht Polenz den WLAN-Hotspot-Anbieter richtigerweise als Diensteanbieter i.S.d. TKG an – auch ohne Gewinnerzielungsabsicht. Ebenso ist der Arbeitgeber, der seinen Mitarbeitern die private Nutzung des Internet erlaubt, als Diensteanbieter anzusehen.

2. Speicherpflicht

Ob gespeichert werden muss, richtet sich insbesondere danach, ob es sich um ein „Angebot an die Öffentlichkeit“ handelt. Auch dieser Begriff wird in der Literatur grundsätzlich sehr weit verstanden. Polenz behandelt diese Frage über eine Einzelfallbetrachtung anhand der Zielrichtung des Angebots. Wenn sich das Angebot an einen unbestimmten Personenkreis richten soll, dann kann eine Speicherpflicht eintreten. Dementsprechend sieht Polenz den Arbeitgeber nicht als Anbieter für die Öffentlichkeit, sondern nur für seine Mitarbeiter, was auch durch die betrieblichen Regelungen zur Nutzung des Internet verdeutlicht werde. Als weitere Argumente führt er den enormen Aufwand bei der unterschiedlichen Behandlung (im Hinblick auf die Speicherung) von betrieblicher und privater Nutzung sowie einen Vergleich mit einem Urteil des OVG NW, Beschl. v. 13.3.2002 – 13 B 32/02, K&R 2003, 312, an.

Im Hinblick auf WLAN wird die Bezugnahme auf die Zielrichtung noch deutlicher:

„Richtet sich das Angebot zur Nutzung eines WLAN-Hotspot ausschließlich an die Gäste und/oder die Bediensteten eines Hotels oder an die Patienten und/oder das Pflegepersonal eines Krankenhauses, so steht zu gleich fest, dass kein Angebot für die Öffentlichkeit erbracht wird. Erfasst die Reichweite des WLAN neben dem Hotelkomplex auch den Bereich eines Restaurants, welches nicht nur den Hotelgästen, sondern auch Besuchern zur Verfügung steht, so richtet sich das Angebot an einen nicht mehr bestimmbaren Personenkreis. Gleiches gilt für die Besucherzahl in einem Einkaufszentrum, auf einem Bahnhof oder einem Flughafen, da diese ebenfalls keinen bestimmten Personenkreis umfasst. In diesen Fällen besteht die Zielrichtung des Angebots darin, öffentlich zugängliche Telekommunikationsdienste für Endnutzer zu erbringen.“ (CR 2009, 225, 228)

Bei WLAN-Hotspots, die ein Access Provider betreibt und für den das Unternehmen nur die Räumlichkeiten zur Verfügung stellt (z.B. Telekom-Hotspot in Restaurant), ist es ausreichend, wenn der Access Provider speichert (§ 113a Abs. 1 S. 2 TKG). Dabei ist die Speicherung durch den Access Provider aber vertraglich sicherzustellen.

3.

Polenz vertritt einen sehr interessanten Ansatz, der im Hinblick auf die Vorratsdatenspeicherung auch zielführend sein kann. Ob sich die Ansicht von Polenz im Hinblick auf die Auffassung der wohl h.M. in der Literatur,  die praktisch schon dann von einem Angebot an die Öffentlichkeit ausgeht, wenn nicht nur einer geschlossenen Nutzergruppe nur interne Kommunikation ermöglicht wird (Heun, in: Handbuch TK-Recht, 2. Aufl. 2007, Kap. A Rn. 55 unter Verweis auf Erwägungsgrund 3 der Richtlinie 98/10/EG – ONP-Sprachtelefondienstrichlinie II; Sörup, in: Heun, Handbuch TK-Recht, Kap. K Rn. 8; Kreitlow, in: Wissmann, TK-Recht, Kap. 6 Rn. 20; Schütz, Kommunikationsrecht, Rn. 17; Schütz, BeckTKG, 3. Aufl. 2006, § 6 Rn. 13, § 3 Rn. 25), durchsetzen wird, muss sich noch zeigen.

Lesetipp: Bleich (+Heidrich), Privat-Provider, c’t 2/2009, 132-134

Schon etwas länger her: In der c’t, Heft 2/2009, S. 132-134 stellt Holger Bleich unter dem Titel „Privat-Provider – Warum WLAN-Sharing hierzulande nicht in Gang kommt“ Modelle des WLAN-Sharing (insb. FON) vor und beschreibt – wie der Titel vermuten lässt – warum in Deutschland das Modell nicht so richtig ankommt.

„Diese Zurückhaltung nur damit zu begründen, dass die deutschen DSL-Nutzer angeblich per se ungerne teilen, greift allerdings zu kurz. Vorbehalte gegenüber dem WLAN-Sharing rühren auch aus den Techniken zur Umsetzung. Jeder Anbieter hat seine eigene Methode, beim Kunden einen Hotspot zu realisieren. Gemeinsam ist ihnen, dass entweder die Router-Software manipuliert oder ein zweites Gerät angeschafft werden muss. Vor beidem schrecken viele Anschlussinhaber zurück. Fon-Hotspot-Betreiber etwa müssen für mindestens 20 Euro einen zweiten Router namens La Fonera beim Anbieter kaufen, der dann in einen Ethernet-Port des heimischen DSL-Routers gesteckt wird. La Fonera bietet gleichzeitig ein ungesichertes WLAN für den Hotspot und ein WPA-geschütztes für die private Nutzung an. Das Gerät hängt hinter der Firewall des eigentlichen DSL-Routers, also de facto als Fremdkörper im internen Netz. Da muss man also dem Anbieter einiges Vertrauen entgegenbringen, der die Geräte vorkonfiguriert.“

Im Anschluss daran stellt Joerg Heidrich die rechtliche Situation dar – in deutlicher Weise unter der Überschrift „Rechtliche Unwägbarkeiten“. Dabei spricht er die divergierende Rechtsprechung (dazu u.a. hier) im Bereich der Störerhaftung kurz an.

„Unter diesen Gesichtspunkten bestehen für Anbieter von WLAN-Sharing, die zur Sicherheit Surferdaten mitloggen, zumindest juristische Unwägbarkeiten. Dies gilt für den Betreiber dann, wenn er mit seiner IP-Adresse sichtbar nach außen auftritt und daher derjenige ist, der im Rahmen einer Rechtsverletzung als erster „Verdächtiger“ ermittelt wird. Im Bereich des Zivilrechts besteht zwar unter Umständen die Möglichkeit, sich entstandene Kosten bei dem tatsächlichen Schädiger zurückzuholen. Doch dieses Verfahren ist natürlich umständlich und zeitintensiv.“

Anschließend geht er auf die Pflicht zur Vorratsdatenspeicherung ein. Auch hier sieht er richtigerweise Unsicherheiten darüber, ob der Betreiber eines offenen Netzes Daten nach § 113a TKG speichern muss (weitere Infos dazu hier).

„Dem Gesetzeswortlaut ist zu entnehmen, dass wohl insbesondere offene Projekte wie Freifunk, die auf eine Registrierung der teilnehmenden Nutzer verzichten, ab diesem Jahr in Konflikt mit der Verpflichtung zur Vorratsdatenspeicherung geraten dürften. Andererseits ergibt technisch in diesen Fällen eine Speicherung wenig Sinn. Denn da für die einzelnen Surfer ja nur lokale IPs vergeben werden und keine Möglichkeit der Rückverfolgung besteht, würde die Speicherungspflicht leer laufen. Die Folge könnte sein, dass der Betrieb von derlei WLAN-Roaming-Netzwerken ab 2009 rechtswidrig ist.“

Hier wird/wurde der Artikel diskutiert: http://www.fonboard.de/viewtopic.php?f=2&t=4273

Lesetipp: Terhechte, Rechtsangleichung zwischen Gemeinschafts- und Unionsrecht – die Richtlinie über die Vorratsdatenspeicherung vor dem EuGH, EuZW 2009, 199

Dr. Jörg Philipp Terhechte hat in einem gerade erschienenen Aufsatz das Urteil des EuGH (Urt. v. 10.2.2009 – C?301/06) zur (formellen) Rechtmäßigkeit der Vorratsdatenspeicherungsrichtlinie untersucht (Klageschrift, Schlussanträge und Urteil hier).

  • Terhechte, Rechtsangleichung zwischen Gemeinschafts- und Unionsrecht – die Richtlinie über die Vorratsdatenspeicherung vor dem EuGH, EuZW 2009, 199

Vorratsdatenspeicherung: VG Wiesbaden legt Vorratsdatenspeicherungsrichtlinie dem EuGH vor

Das Verwaltungsgericht Wiesbaden hält in einem Beschluss (v. 27.02.2009 – Az. 6 K 1045/08.WI) die Vorratsdatenspeicherungsrichtlinie (VSRL) für „ungültig“ und hat sie dem EuGH zur Beantwortung (inhaltlicher, nicht nur formeller) Fragen diesbezüglich vorgelegt.

„Vorratsdatenspeicherungsrichtlinie ungültig“

Es hat ein laufendes Verfahren ausgesetzt und dem EuGH wegen der Notwendigkeit der Beurteilung der Rechtmäßigkeit der Vorratsdatenspeicherungsrichtlinie im konkreten Fall nach Art. 234 Abs. 2 EGV vorgelegt.

Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden […] Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie nicht gewahrt, weshalb sie ungültig ist.

Das VG Wiesbaden lehnt sich also insgesamt sehr weit aus dem Fenster und macht schon von vornherein deutlich, in welche Richtung es seiner Ansicht nach gehen sollte. Das ist eine sehr erfrischende Vorgehensweise. Häufig legen Gerichte nur die Entscheidungsfrage(n) vor und stellen die Wirksamkeit oder Interpretation einer europäischen Rechtsgrundlage lediglich mit Begründung in Frage.

Personenbezug von IP-Adressen

Sehr interessant ist auch, dass das VG Wiesbaden klar Stellung zur Frage bezieht, ob (dynamisch zugeteilte) IP-Adressen als personenbezogene Daten anzusehen sind (dazu eine Übersicht,  s. auch AG München). Das VG Wiesbaden folgt hierbei der herrschenden Meinung sowie dem Schlussantrag der Generalanwältin in der Sache Promusicae (dem der EuGH in weiten Teilen aber nicht gefolgt ist!) und sieht IP-Adressen als personenbezogen und damit von den datenschutzrechtlichen Vorschriften erfasst an.

Die Vorlagefrage könnte dem EuGH (gesetzt den Fall, er sieht die Beantwortung der Fragen als für den konkreten Fall erheblich an) in die Lage versetzen, auch inhaltlich zur VSRL Stellung zu nehmen, was er im Rahmen des Verfahrens der Republik Irland (dazu hier) vermieden hatte (allerdings auch nicht musste).

Ausblick

Das Urteil des VG Wiesbaden zeigt, dass rund um die Vorratsdatenspeicherung weiter einiges in Bewegung bleibt. Nicht nur die beim Bundesverfassungsgericht (BVerfG) anhängigen Verfassungsbeschwerden, jetzt auch die Überprüfung der europarechtlichen Grundlage, die das BVerfG wahrscheinlich nicht vornehmen wird, stehen in nächster Zeit an. Es bleibt zu hoffen, dass hier eine ausgewogene und gut begründete inhaltliche Entscheidung gefällt wird.

Die Gerichtsentscheidung im Volltext (via AK-Vorratsdatenspeicherung, Hervorhebungen übernommen):

Verwaltungsgericht Wiesbaden

6 K 1045/08.WI

Beschluss

In dem Verwaltungsstreitverfahren

[…]

hat die 6. Kammer des Verwaltungsgerichts Wiesbaden durch Vorsitzenden Richter am VG […] aufgrund der mündlichen Verhandlung vom 16. Februar 2009 am 27. Februar 2009 verkündet:

Das Verfahren wird ausgesetzt.

Dem Gerichtshof der Europäischen Gemeinschaften werden folgende Fragen zur Vorabentscheidung vorgelegt:

1. Sind die Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (Abl. L 209 vom 11.08.2005, S. 1), eingefügt durch Verordnung 1437/2007 vom 26. November 2007 zur Änderung der Verordnung 1290/2005 über die Finanzierung der gemeinsamen Agrarpolitik (Abl. L 322 vom 07.12.2007, S. 1), ungültig?

2. Ist die Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (Abl. L 76 vom 19.03.2008, S. 28)

a) ungültig

b) oder nur deshalb gültig, weil die Richtlinie 2006/24/EG vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 174 vom 28.06.2006, S. 5) ungültig ist?

Falls die in der ersten und zweiten Frage genannten Vorschriften gültig sind:

3. Ist Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die in diesem Artikel vorgesehene Verfahrensweise, die die Meldung an die Kontrollstelle ersetzt, durchgeführt worden ist?

4. Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass die Veröffentlichung nach der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erst erfolgen darf, wenn die Vorabkontrolle erfolgt ist, die das nationale Recht für diesen Fall vorschreibt?

5. Falls die vierte Frage bejaht wird: Ist Art. 20 der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass keine wirksame Vorabkontrolle vorliegt, wenn sie auf der Grundlage eines Verzeichnisses nach Art. 18 Abs. 2 2. Spiegelstrich dieser Richtlinie erfolgt ist, das eine vorgeschriebene Information nicht enthält?

6. Ist Art. 7 – und hier insbesondere Buchstabe e – der Richtlinie 95/46/EG vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31) dahin auszulegen, dass er einer Praxis, die IP-Adressen der Benutzer einer Homepage ohne deren ausdrücklicher Einwilligung zu speichern, entgegensteht?

Gründe

I.

1. Die Klägerin wendet sich gegen die Veröffentlichung ihrer Daten als Empfängerin von Agrarbeihilfen nach der Verordnung 259/2008 der Kommission.

2. Bei der Klägerin handelt es sich um eine Gesellschaft bürgerlichen Rechts. Die Gesellschafter sind … und … Sie betreibt einen landwirtschaftlichen Vollerwerbsbetrieb und nimmt an dem Verfahren über eine Betriebsprämie teil. Sie stellte einen Gemeinsamen Antrag als Sammelantrag. Mit Bescheid vom 31.12.2008 bewilligte der Landrat des Main-Kinzig-Kreises eine Betriebsprämie von … Euro. Im Antragsformular auf Seite 15 im letzten Absatz befand sich folgender Hinweis: „Mir ist bekannt, dass nach Art. 44a der VO (EG) Nr. 1290/2005 vorgeschrieben ist, Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie die Beträge, die jeder Begünstigte erhalten hat, zu veröffentlichen. Die Veröffentlichung betrifft alle Maßnahmen, die im Zusammenhang mit dem Gemeinsamen Antrag als Sammelantrag im Sinne von Art. 11 der VO (EG) Nr. 796/2004 beantragt werden und erfolgt alljährlich bis spätestens zum 31. März des Folgejahres.“ Auf der Internetseite der Beigeladenen http://www.agrar-fischerei-zahlungen.de werden Namen der Empfänger, Ort mit Postleitzahl und die Höhe der Jahresbeträge bereit gestellt. Die Seite ist mit einer Suchfunktion ausgestattet. Dafür genügt es, Eingaben für ein Feld zu machen, also etwa nur die Postleitzahl einzugeben, um eine entsprechende Aufstellung zu erhalten. In den Hinweisen zum Datenschutz im Impressum der Webseite heißt es: „Bei jedem Zugriff auf den Server werden Daten für statistische und Sicherungszwecke gespeichert. Für eine begrenzte Zeit wird die IP-Adresse des Internet-Service-Providers, Datum und Uhrzeit sowie die besuchte Internetseite gespeichert. Diese Daten werden ausschließlich zur Verbesserung des Internetdienstes genutzt und nicht an Dritte weitergegeben oder auf den Adressaten zurückführbar ausgewertet.“ (www.agrar-fischerei-zahlungen.de/impressum.html, Stand: 10.02.2009)

3. Die Klägerin hat am 26.09.2008 Klage erhoben. Sie ist der Ansicht, dass Art. 44a der Verordnung 1290/2005 gegen Datenschutzrecht der Gemeinschaft verstoße. Bei den veröffentlichten Informationen handele es sich um persönliche Daten, die auch Rückschlüsse auf den Betrieb zuließen. Überwiegende Allgemeininteressen könnten nicht zur Rechtfertigung herangezogen werden. Eine Veröffentlichung der Beihilfen für jeden Landkreis sei ausreichend, an betriebsspezifischen Daten hätten die Steuerzahler kein Interesse. In den Regeln zum Europäischen Sozialfonds sei keine namentliche Nennung der Empfänger vorgesehen. Es sei außerdem technisch nicht auszuschließen, dass die im Internet zugänglichen Daten von Dritten unkontrolliert gespeichert und weiterverarbeitet würden.

4. Die Klägerin beantragt,

das Land Hessen zu verpflichten, die Weitergabe oder Veröffentlichung aller Daten aus dem gemeinsamen Antrag 2008/Sammelantrag im Sinne von Artikel 11 der Verordnung 796/2004 an die Bundesrepublik Deutschland und die Europäische Union zu unterlassen bzw. durch Anordnung zu untersagen, soweit die Weitergabe zum Zwecke der allgemeinen Veröffentlichung von Informationen über die der Klägerin gewährten finanziellen Beträge aus dem Europäischen Garantiefonds für Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) erfolgen soll.

5. Der Beklagte beantragt,

die Klage abzuweisen.

6. Der Beklagte hält die Klage für unzulässig und unbegründet. Die Pflicht der Mitgliedstaaten, die Daten im Internet zu veröffentlichen, ergebe sich aus Art. 44a der Verordnung 1290/2005 und der DurchführungsVerordnung 259/2008. Die Vorschriften seien zweifelsfrei gültig. Die Veröffentlichung erfolge in einem überwiegenden Allgemeininteresse. Sie diene der Transparenz der Agrarausgaben und gehe nicht über das hinaus, was in einer demokratischen Gesellschaft zur Verhütung von Unregelmäßigkeiten erforderlich sei. Die Klägerin sei über die Veröffentlichung informiert worden und könne diese durch den Verzicht auf die Beihilfen abwenden.

7. Die Beigeladene stellt keinen Antrag. Sie ist trägt vor, dass die Internetseite so aufgebaut sei, dass Antworten auf Suchanfragen aus der Datenbank generiert würden. Daher sei die Erschließbarkeit durch allgemeine Suchmechanismen (sogenannte Webcrawler) wie Google derzeit konstruktionsbedingt erschwert. Nach zwei Jahren würden die Daten aus der Datenbank entfernt. Es sei allerdings technisch nicht möglich zu verhindern, dass nach Ablauf des Veröffentlichungszeitraums Datenspuren der betroffenen Personen im Internet zu finden seien.

8. In der mündlichen Verhandlung hat das Gericht Vertreter des Hessischen Datenschutzbeauftragten, Herrn … und Herrn …, als Sachverständige gehört. Wegen der Einzelheiten wird auf das Sitzungsprotokoll der mündlichen Verhandlung vom 16.02.2009 verwiesen.

9. Der Beklagte hat in der mündlichen Verhandlung zugesichert, dass die Klägerin mit ihren Beträgen nicht vor dem rechtskräftigen Abschluss des Hauptsacheverfahrens veröffentlicht wird.

10. Die Durchführung der Verordnung 259/08 der Kommission richtet sich in Deutschland nach dem Gesetz zur Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei (Agrar- und Fischereifonds-Informationen-Gesetz – AFIG) vom 26. November 2008 (BGBl. I S. 2330) und der Verordnung über die Veröffentlichung von Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und für Fischerei (Agrar- und Fischereifonds-Informationen-Verordnung – AFIVO) vom 10.12.2008 (eBAnz. 2008, AT147 V1).

11. Die Vorschriften lauten wie folgt:

Agrar- und Fischereifonds-Informationen-Gesetz (AFIG)

§ 1 Zweck und Anwendungsbereich

Dieses Gesetz dient

1. der Durchführung der Verordnung 1290/2005 vom 21. Juni 2005 über die Finanzierung der Gemeinsamen Agrarpolitik (ABl. EU Nr. L 209 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin eine Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums sowie über die Beträge, die jeder Empfänger erhalten hat, vorgesehen ist;

2. der Durchführung der Verordnung 1198/2006 vom 27. Juli 2006 über den Europäischen Fischereifonds (ABl. EU Nr. L 223 S. 1) in der jeweils geltenden Fassung und der zu ihrer Durchführung erlassenen Rechtsakte der Europäischen Gemeinschaften, soweit darin Aufgaben der Verwaltungsbehörde im Zusammenhang mit den Informationsmaßnahmen im Sinne des Artikels 51 der Verordnung 1198/2006 vorgesehen sind.

§ 2 Veröffentlichung

(1) Die für die Zahlung von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums zuständigen Stellen des Bundes und, soweit diese Mittel von den Ländern gezahlt werden, die hierfür zuständigen Stellen der Länder und im Fall des Europäischen Fischereifonds die zuständige Verwaltungsbehörde veröffentlichen die Informationen nach

1. Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. EU Nr. L 76 S. 28) und

2. den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. EU Nr. L 120 S. 1) in den jeweils geltenden Fassungen im Wege der Direkteingabe auf einer gemeinsamen, von der Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) betriebenen Internetseite nach Maßgabe des Artikels 2 der Verordnung 259/2008 und im Fall des Europäischen Fischereifonds nach Maßgabe des Artikels 31 Buchstabe d der Verordnung 498/2007. Satz 1 gilt im Fall einer Gemeinde oder eines Gemeindeverbandes nur, wenn der Gemeinde oder dem Gemeindeverband die Aufgaben nach diesem Gesetz durch Landesrecht übertragen worden sind.

(2) Jede veröffentlichende Stelle trägt die datenschutzrechtliche Verantwortung für die von ihr veröffentlichten Informationen, insbesondere für die Rechtmäßigkeit ihrer Erhebung, die Zulässigkeit der Veröffentlichung und die Richtigkeit der Informationen. Betroffene können ihre Datenschutzrechte bei jeder der veröffentlichenden Stellen geltend machen, von denen sie Zahlungen erhalten haben. Diese Stelle leitet den Antrag nach Klärung der Verantwortlichkeiten an die zuständige Stelle weiter.

(3) Die Bundesanstalt erstellt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik ein Sicherheitskonzept für die Internetseite, das insbesondere die nach § 9 des Bundesdatenschutzgesetzes erforderlichen, von der Bundesanstalt zu treffenden technischen und organisatorischen Maßnahmen umfasst. Das Sicherheitskonzept ist spätestens sechs Monate nach Verkündung dieses Gesetzes zu erstellen und in regelmäßigen Abständen daraufhin zu überprüfen, ob es dem Stand der Technik entspricht.

(4) Die Einsicht in die Internetseite steht jedem verwaltungskostenfrei zu.

(5) Die veröffentlichten Informationen werden zwei Jahre nach dem ersten Tag der Veröffentlichung auf der Internetseite gelöscht.

§ 3 Verordnungsermächtigungen

(1) Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz trifft im Einvernehmen mit dem Bundesministerium der Finanzen durch RechtsVerordnung mit Zustimmung des Bundesrates nähere Bestimmungen über Einzelheiten des Verfahrens oder technische und organisatorische Maßnahmen für die Veröffentlichung der Informationen im Internet, insbesondere über

1. den Inhalt und Aufbau der Internetseite,

2. die Eingabe, Berichtigung, Sperrung und Löschung von Informationen,

3. die Einsicht in die Internetseite,

4. den Datenschutz und die Datensicherheit, wobei sicherzustellen ist, dass die Veröffentlichungen unversehrt, vollständig und aktuell bleiben und jederzeit ihrem Ursprung nach zugeordnet werden können.

(2) Abweichend von Absatz 1 kann bis zum 31. März 2009 die RechtsVerordnung nach Absatz 1 ohne Zustimmung des Bundesrates erlassen werden. Die RechtsVerordnung tritt spätestens sechs Monate nach ihrem In-Kraft-Treten außer Kraft. Ihre Geltungsdauer kann nur mit Zustimmung des Bundesrates verlängert werden.

§ 4 Verkündung von Rechtsverordnungen

Die Rechtsverordnungen nach diesem Gesetz können abweichend von § 1 des Gesetzes über die Verkündung von Rechtsverordnungen auch im elektronischen Bundesanzeiger verkündet werden. Auf Rechtsverordnungen, die im elektronischen Bundesanzeiger verkündet werden, ist unter Angabe der Stelle ihrer Verkündung und des Tages ihres In-Kraft-Tretens nachrichtlich im Bundesgesetzblatt hinzuweisen.

§ 5 In-Kraft-Treten

Dieses Gesetz tritt am Tage nach der Verkündung in Kraft.

Agrar- und Fischereifonds-Informationen-Verordnung (AFIVO)

§ 1 Anwendungsbereich

Diese Verordnung gilt für Veröffentlichungen nach dem Agrar- und Fischereifonds-Informationen-Gesetz.

§ 2 Inhalt und Aufbau der Internetseite

(1) Auf der in § 2 Abs. 1 des Agrar- und Fischereifonds-Informationen-Gesetzes bezeichneten Internetseite werden nur die

1. in Artikel 1 Abs. 1 der Verordnung 259/2008 vom 18. März 2008 mit Durchführungsbestimmungen zur Verordnung 1290/2005 hinsichtlich der Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft (EGFL) und dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) (ABl. L 76 vom 19.3.2008, S. 28) und

2. in den Artikeln 30 und 31 der Verordnung 498/2007 der Kommission vom 26. März 2007 mit Durchführungsbestimmungen zur Verordnung 1198/2006 über den Europäischen Fischereifonds (EFF) (ABl. L 120 vom 10.5.2008, S. 1)

in der jeweils geltenden Fassung genannten Informationen veröffentlicht.

(2) Innerhalb der Datenbank ist für die die Europäischen Fonds für Landwirtschaft betreffenden Informationen eine Suchfunktion vorzusehen, die eine Suche nach den genannten Informationen ermöglicht.

§ 3 Berichtigung, Sperrung und Löschung von Informationen

(1) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen eine Berichtigung der veröffentlichten Informationen erforderlich ist, hat die veröffentlichende Stelle unverzüglich die Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu ändern.

(2) Soweit nach den für die veröffentlichende Stelle geltenden datenschutzrechtlichen Bestimmungen Veröffentlichungen unzulässig sind oder unzulässig werden, hat die veröffentlichende Stelle unverzüglich die der Veröffentlichung zugrunde liegenden Informationen in der Veröffentlichungsdatei der Datenbank entsprechend zu löschen. Die Löschung unterbleibt, wenn Grund zu der Annahme besteht, dass anderenfalls schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. In diesem Fall sind die Informationen unverzüglich zu sperren.

(3) Die jeweils veröffentlichende Stelle löscht die veröffentlichten Daten zwei Jahre nach dem ersten Tag ihrer Veröffentlichung.

§ 4 Einsichtnahme

(1) Die Informationen über die Zahlung von Mitteln aus den Europäischen Fonds für Landwirtschaft und Fischerei sind ausschließlich über das Internet einsehbar.

(2) Die Barrierefreie Informationstechnik-Verordnung vom 17. Juli 2002 (BGBl. I S. 2654) in der jeweils geltenden Fassung gilt entsprechend.

§ 5 Datensicherheit

(1) Die Bundesanstalt für Landwirtschaft und Ernährung (Bundesanstalt) stellt durch technische und organisatorische Maßnahmen eines Sicherheitskonzeptes sicher, dass

1. die Veröffentlichung der Daten in einem nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbund erfolgt und alle internen technischen und organisatorischen Maßnahmen in der Bundesanstalt unter den Bedingungen des nach DIN ISO/IEC 27001, Ausgabe 2008-09, auf Basis IT-Grundschutz zertifizierten Informationsverbundes der Bundesanstalt ablaufen,

2. die auf der Internetseite veröffentlichten Informationen nur durch die jeweils veröffentlichende Stelle verändert, gesperrt oder gelöscht werden können,

3. die veröffentlichten Informationen während ihrer Veröffentlichung im Internet unversehrt, vollständig und aktuell bleiben.

Die Bundesanstalt hat das Sicherheitskonzept nach Maßgabe der Bedingungen der DIN ISO/IEC 27001, Ausgabe 2008-09, Zertifizierung auf der Basis von IT-Grundschutz, regelmäßig daraufhin zu überprüfen oder überprüfen zu lassen, ob es noch dem Stand der Technik entspricht oder an die technische Entwicklung anzupassen ist. Die Frist des Satzes 2 beginnt mit dem Abschluss der Erstzertifizierung nach Satz 1 Nr. 1.

(2) Die Bundesanstalt hat

1. durch organisatorische und technische Vorkehrungen sicherzustellen, dass sie von auftretenden Fehlfunktionen unverzüglich Kenntnis erlangt, und

2. diese unverzüglich zu beheben.

(3) Kommt es während einer Datenübermittlung zu Störungen oder Unterbrechungen, hat die Bundesanstalt dies der übermittelnden Stelle unverzüglich anzuzeigen. In diesem Fall verlangt die Bundesanstalt eine erneute Übermittlung.

§ 6 In-Kraft-Treten, Außerkrafttreten

(1) Diese Verordnung tritt am Tag nach der Verkündung in Kraft.

(2) Die Verordnung tritt am 12. Juni 2009 außer Kraft, sofern nicht mit Zustimmung des Bundesrates etwas anderes verordnet wird.

1. Nach diesen Vorschriften wird die für die Veröffentlichungen bestimmte Homepage von der Beigeladenen im Rahmen der Auftragsdatenverarbeitung für den Beklagten betrieben. Die Beigeladene bedient sich dabei wiederum eines zertifizierten privaten Providers. Die Regelungen mit dem Provider sind dem Gericht nur allgemein bekannt, da das Verfahrensverzeichnis auf Module Bezug nimmt, die nur allgemein erläutert sind und keine konkreten Maßnahmen für den Leser beinhalten. Die Beigeladene bzw. der von ihr beauftragte Provider speichert auch die IP-Adressen der Benutzer. Die Vertreterin der Beigeladenen erklärte in der mündlichen Verhandlung, dies würde anonymisiert geschehen, genau wisse sie es jedoch nicht.

2. Datenschutzrechtlich bleibt die Verantwortung jedoch bei den zuständigen Stellen der Länder (§ 2 Abs. 2 AFIG). Zuständig für Hessen ist das Hessische Ministerium für Umwelt, ländlichen Raum und Verbraucherschutz (jetzt: Hessisches Ministerium für Umwelt, Energie, Landwirtschaft und Verbraucherschutz) als Zahlstelle; zumindest bei Klageerhebung. Zwar wurden durch Vertrag vom 11.07.2008 die Aufgabe auf die Investitionsbank Hessen (IBH) übertragen. Dieser Vertrag liegt dem auch Gericht vor. Darin wird nicht speziell auf die Frage der Veröffentlichung nach der Verordnung 259/2008 eingegangen. In § 14 Abs. 2 des Vertrags ist vorgesehen, dass das Ministerium die Beauftragung der IBH und ihre Zulassung als Zahlstelle im Staatsanzeiger bekannt macht. Das ist jetzt bis zum Zeitpunkt der Entscheidung nicht erfolgt. In dem Erlass des Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz zur Veröffentlichung von Informationen über die Empfänger von Mitteln aus dem Europäischen Garantiefonds für die Landwirtschaft, dem Europäischen Landwirtschaftsfonds für die Entwicklung des ländlichen Raums und dem europäischen Fischereifonds vom 10.11.2008 (Staatsanzeiger 2008, S. 3038 f.) bezeichnet sich dieses selbst als Zahlstelle. Der Erlass ist nicht aufgehoben. Außerdem besteht zwischen Bund und Ländern ein Verwaltungsabkommen, das jedoch vor allem die Kostenverteilung regelt. Hierin ist von einer Weiterdelegierung keine Rede. Die IBH ist eine Anstalt des öffentlichen Rechts, über die das Ministerium die Aufsicht ausübt; dies auch, wenn der IBH wirksam die Zahlstellenfunktion übertragen worden wäre. Dem Gericht liegt auch nur das Verfahrensverzeichnis des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz vor, in dem als dieses sich selbst als verantwortliche Stelle und EU-Zahlstelle bezeichnet. Ferner liegt das Verfahrensverzeichnis der Beigeladenen vor.

3. Die Art. 18 bis 21 der Richtlinie 95/46/EG wurden durch die folgenden Vorschriften umgesetzt. Für die Beigeladene gilt Bundesrecht, für das Ministerium und die IBH hessisches Landesrecht.

Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. Januar 2003 (BGBl. I S. 66)

§ 4d Meldepflicht

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat

(3-4) (…)

(5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.

(6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz. Dieser nimmt die Vorabkontrolle nach Empfang der Übersicht nach § 4g Abs. 2 Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichtsbehörde oder bei den Post- und Telekommunikationsunternehmen an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu wenden.

§ 4e Inhalt der Meldepflicht

Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind folgende Angaben zu machen:

1. Name oder Firma der verantwortlichen Stelle,

2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,

3. Anschrift der verantwortlichen Stelle,

4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,

5. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,

6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,

7. Regelfristen für die Löschung der Daten,

8. eine geplante Datenübermittlung in Drittstaaten,

9. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. § 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 mitgeteilten Angaben sowie für den Zeitpunkt der Aufnahme und der Beendigung der meldepflichtigen Tätigkeit entsprechend.

§ 4g Aufgaben des Beauftragten für den Datenschutz

(1) Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin. Zu diesem Zweck kann sich der Beauftragte für den Datenschutz in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde wenden. Er kann die Beratung nach § 38 Abs. 1 Satz 2 in Anspruch nehmen. Er hat insbesondere

1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

(2) Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.

(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.

(3) (…)

Hessisches Datenschutzgesetz (HDSG) in der Fassung vom 07. Januar 1999 (GVBl. I S. 98)

§ 5 Behördlicher Datenschutzbeauftragter

(1) Die datenverarbeitende Stelle hat schriftlich einen behördlichen Datenschutzbeauftragten sowie einen Vertreter zu bestellen. Bestellt werden dürfen nur Beschäftigte, die dadurch keinem Interessenkonflikt mit sonstigen dienstlichen Aufgaben ausgesetzt werden. Für die Wahrnehmung seiner Aufgaben nach Abs. 2 muß der behördliche Datenschutzbeauftragte die erforderliche Sachkenntnis und Zuverlässigkeit besitzen. Wegen dieser Tätigkeit, bei der er frei von Weisungen ist, darf er nicht benachteiligt werden. Er ist insoweit unmittelbar der Leitung der datenverarbeitenden Stelle zu unterstellen; in Gemeinden und Gemeindeverbänden kann er auch einem hauptamtlichen Beigeordneten unterstellt werden. Der behördliche Datenschutzbeauftragte ist im erforderlichen Umfang von der Erfüllung anderer Aufgaben freizustellen sowie mit den zur Erfüllung seiner Aufgaben notwendigen räumlichen, personellen und sachlichen Mitteln auszustatten. Die Beschäftigten der datenverarbeitenden Stelle können sich ohne Einhaltung des Dienstweges in allen Angelegenheiten des Datenschutzes an ihn wenden.

(2) Der behördliche Datenschutzbeauftragte hat die Aufgabe, die datenverarbeitende Stelle bei der Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu unterstützen und Hinweise zur Umsetzung zu geben. Zu seinen Aufgaben gehört es insbesondere

1. auf die Einhaltung der Datenschutzvorschriften bei der Einführung von Maßnahmen, die das in § 1 Satz 1 Nr. 1 geschützte Recht betreffen, hinzuwirken,

2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen dieses Gesetzes sowie den sonstigen Vorschriften über den Datenschutz vertraut zu machen,

3. die datenverarbeitende Stelle bei der Umsetzung der nach den §§ 6, 10 und 29 erforderlichen Maßnahmen zu unterstützen,

4. das nach § 6 Abs. 1 zu erstellende Verzeichnis zu führen und für die Einsicht nach § 6 Abs. 2 bereitzuhalten,

5. das Ergebnis der Untersuchung nach § 7 Abs. 6 zu prüfen und im Zweifelsfall den … Datenschutzbeauftragten zu hören.

Soweit keine gesetzliche Regelung entgegensteht, kann er die zur Erfüllung seiner Aufgaben notwendige Einsicht in Akten und die automatisierte Datenverarbeitung nehmen. Vor einer beabsichtigten Maßnahme nach Satz 2 Nr. 1 ist er rechtzeitig umfassend zu unterrichten und anzuhören. Wird er nicht rechtzeitig an einer Maßnahme beteiligt, ist die Entscheidung über die Maßnahme auszusetzen und die Beteiligung nachzuholen.

(3) Die datenverarbeitende Stelle kann einen Beschäftigten ihrer Aufsichtsbehörde mit deren Zustimmung zum Beauftragten für den Datenschutz bestellen. Mehrere datenverarbeitende Stellen können gemeinsam einen ihrer Beschäftigten zum Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgabe nicht beeinträchtigt wird. Bestellungen von Personen, die nicht der datenverarbeitenden Stelle angehören, sind dem … Datenschutzbeauftragten mitzuteilen.

§ 6 Verfahrensverzeichnis

(1) Wer für den Einsatz eines Verfahrens zur automatisierten Verarbeitung personenbezogener Daten zuständig ist, hat in einem für den behördlichen Datenschutzbeauftragten bestimmten Verzeichnis festzulegen:

1. Name und Anschrift der datenverarbeitenden Stelle,

2. die Zweckbestimmung und die Rechtsgrundlage der Datenverarbeitung,

3. die Art der gespeicherten Daten,

4. den Kreis der Betroffenen,

5. die Art regelmäßig übermittelter Daten, deren Empfänger sowie die Art und Herkunft regelmäßig empfangener Daten,

6. die zugriffsberechtigten Personen oder Personengruppen,

7. die technischen und organisatorischen Maßnahmen nach § 10,

8. die Technik des Verfahrens,

9. Fristen für die Löschung nach § 19 Abs. 3,

10. eine beabsichtigte Datenübermittlung nach § 17 Abs. 2,

11. das begründete Ergebnis der Untersuchung nach § 7 Abs. 6 Satz 3.

(2) (…)

§ 7 Zulässigkeit der Datenverarbeitung

(1-5) (…)

(6) Wer für den Einsatz oder die wesentliche Änderung eines Verfahrens zur automatisierten Datenverarbeitung zuständig ist, hat vor dem Beginn der Verarbeitung zu untersuchen, ob damit Gefahren für die in § 1 Abs. 1 Nr. 1 geschützten Rechte verbunden sind; dies gilt in besonderem Maße für die in § 7 Abs. 4 genannten Daten. Das Verfahren darf nur eingesetzt werden, wenn sichergestellt ist, dass diese Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können. Das Ergebnis der Untersuchung und dessen Begründung sind aufzuzeichnen und dem behördlichen Datenschutzbeauftragten zur Prüfung zuzuleiten.

(7) (…)

1. Die Verarbeitung von Daten der Nutzer einer Internetseite ist im Telemediengesetz (TMG) vom 26. Februar 2007 (BGBl. I S. 179) geregelt.

§ 15 Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). Nutzungsdaten sind insbesondere

1. Merkmale zur Identifikation des Nutzers,

2. Angaben über Beginn und Ende sowie des Umfangs der jeweiligen Nutzung und

3. Angaben über die vom Nutzer in Anspruch genommenen Telemedien.

(2) Der Diensteanbieter darf Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.

(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.

(4) Der Diensteanbieter darf Nutzungsdaten über das Ende des Nutzungsvorgangs hinaus verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind (Abrechnungsdaten). Zur Erfüllung bestehender gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsfristen darf der Diensteanbieter die Daten sperren.

(5) Der Diensteanbieter darf an andere Diensteanbieter oder Dritte Abrechnungsdaten übermitteln, soweit dies zur Ermittlung des Entgelts und zur Abrechnung mit dem Nutzer erforderlich ist. Hat der Diensteanbieter mit einem Dritten einen Vertrag über den Einzug des Entgelts geschlossen, so darf er diesem Dritten Abrechnungsdaten übermitteln, soweit es für diesen Zweck erforderlich ist. Zum Zwecke der Marktforschung anderer Diensteanbieter dürfen anonymisierte Nutzungsdaten übermittelt werden. § 14 Abs. 2 findet entsprechende Anwendung.

(6) Die Abrechnung über die Inanspruchnahme von Telemedien darf Anbieter, Zeitpunkt, Dauer, Art, Inhalt und Häufigkeit bestimmter von einem Nutzer in Anspruch genommener Telemedien nicht erkennen lassen, es sei denn, der Nutzer verlangt einen Einzelnachweis.

(7) Der Diensteanbieter darf Abrechnungsdaten, die für die Erstellung von Einzelnachweisen über die Inanspruchnahme bestimmter Angebote auf Verlangen des Nutzers verarbeitet werden, höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung speichern. Werden gegen die Entgeltforderung innerhalb dieser Frist Einwendungen erhoben oder diese trotz Zahlungsaufforderung nicht beglichen, dürfen die Abrechnungsdaten weiter gespeichert werden, bis die Einwendungen abschließend geklärt sind oder die Entgeltforderung beglichen ist.

(8) Liegen dem Diensteanbieter zu dokumentierende tatsächliche Anhaltspunkte vor, dass seine Dienste von bestimmten Nutzern in der Absicht in Anspruch genommen werden, das Entgelt nicht oder nicht vollständig zu entrichten, darf er die personenbezogenen Daten dieser Nutzer über das Ende des Nutzungsvorgangs sowie die in Absatz 7 genannte Speicherfrist hinaus nur verwenden, soweit dies für Zwecke der Rechtsverfolgung erforderlich ist. Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen nach Satz 1 nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

II.

1. Das Gericht setzt das Verfahren aus und reicht beim Gerichtshof ein Vorabentscheidungsersuchen zur Gültigkeit der Art. 40 Abs. 1 Nr. 8b und 44a der Verordnung 1290/2005 und der Verordnung 259/2008 sowie zur Auslegung der Richtlinie 95/46/EG ein, weil eine Entscheidung darüber zum Erlass seines Urteils erforderlich ist.

2. Die Klage richtete und richtet sich gegen den richtigen Beklagten, da die Funktion als Zahlstelle während des laufenden gerichtlichen Verfahrens nicht wirksam auf die Investitionsbank Hessen übertragen wurde. Es fehlt schon an der notwendigen öffentlichen Bekanntmachung. Denn es handelt sich bei den Aufgaben der IBH im Bereich Agrarförderung nicht um eine originäre Zuständigkeit der IBH, sondern es ist ein vertraglicher Übergang vorausgesetzt. Daraus folgt auch, dass das Ministerium in jedem Fall weiterhin eine Restverantwortung innehat (vgl. auch die Aufsichtsregelung in § 12 des Vertrags), die über die allgemeine gesetzliche Rechtsaufsicht hinausgeht. Andernfalls hätte die IBH und nicht das Ministerium ein Verfahrensverzeichnis aufstellen müssen, was gerade nicht der Fall ist. Von der Verantwortung des Ministeriums geht wohl auch die Beigeladene aus, da auf der Internetseite zur Veröffentlichung als verantwortliche Stelle für Hessen weiterhin das Ministerium genannt ist (www.agrar-fischerei-zahlungen.de/impressum.html, Stand 24.02.2009).

3. Ob die Klage begründet ist, hängt zunächst von der Gültigkeit der vorgelegten Gemeinschaftsvorschriften ab. Erweist sich die Verordnung 259/2008 als ungültig, fehlt es an einer Rechtsgrundlage für die Verarbeitung (§ 7 Abs. 1 Nr. 1 HDSG) und der Klage ist stattzugeben. Die Klägerin kann sich als Gesellschaft ebenfalls auf das Recht der informationellen Selbstbestimmung nach Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und Art. 14 Abs. 1 sowie Art. 19 Abs. 3 GG insoweit berufen, als ihren Trägern Schutz gegen unbegrenzte Erhebung, Speicherung, Verwendung oder Weitergabe der betreffenden individualisierte oder individualisierbarer Daten zusteht (vgl. BVerwG, Urteil vom 20.12.2001, Az.: 6 C 7/01, Rdnr. 18 – nach Juris; BVerfG, Beschluss vom 01.10.1987, Az.: 2 BvR 1178/86 u. a., Rdnr. 126 – nach Juris; BVerfG, Urteil vom 17.07.1984, Az.: 2 BvE 11/83, 2 BvE 15/83, Rdnr. 135 f. – nach Juris; VG Wiesbaden, Urteil vom 07.12.2007, Az.: 6 E 928/07, S. 11). Insoweit sind die Ausführungen des Hessischen Datenschutzgesetzes auch auf juristische Personen, soweit ein grundrechtlich verbürgtes Recht auf informationelle Selbstbestimmung nach Art. 14 GG gegeben ist, entsprechend anzuwenden. Eine Ungültigkeit der Verordnung kann sich aus dieser selbst oder daraus ergeben, dass die Vorschriften aus der Verordnung 1290/2007, deren Durchführung sie dient, ungültig sind. Sind diese Gemeinschaftsvorschriften gültig, ergibt sich ein Unterlassungsanspruch der Klägerin, wenn die Regelungen der Gemeinschaft zum Datenschutz nicht beachtet wurden. Um das zu prüfen, ist eine Auslegung durch den Gerichtshof nötig.

4. Nach Auffassung des Gerichts verstoßen die Art. 44a und 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gegen primäres Gemeinschaftsrecht.

5. Nach Art. 44a der Verordnung 1290/2005 veröffentlichen die Mitgliedstaaten Informationen über die Empfänger von EGFL- und ELER-Mitteln sowie der Beträge, die jeder Begünstigte aus diesen Fonds erhalten hat. Diesem Artikel entnimmt das Gericht, dass über jeden Empfänger eine Veröffentlichung erfolgen muss. Darin liegt ein Eingriff in das Grundrecht auf Datenschutz, der nicht gerechtfertigt ist.

6. Dass Datenschutz auf Gemeinschaftsebene ein Grundrecht ist, ergibt sich aus dem Schutz des Privatlebens in Art. 8 EMRK und den Verfassungstraditionen der Mitgliedstaaten. Dies wird bekräftigt durch die Charta der Grundrechte der Europäischen Union, die in Art. 7 den Schutz des Privatlebens und in Art. 8 den Schutz der persönlichen Daten als Grundrecht enthält (vgl. das Urteil des Gerichtshofs vom 28.01.2008 in der Rechtsache C-275/06, Promusicae/Telefonica, Slg. 2008, I-271, Rn. 63 und die Schlussanträge der Generalanwältin Kokott vom 18.07.2007 in dieser Rechtssache, Rn. 51 ff.). Berufliche Tätigkeiten sind mit geschützt (vgl. das Urteil des Gerichtshofs vom 20.05.2003 in den verbundenen Rechtssachen C-465/00, C-138/01 und C-139/01, Rechnungshof/Österreichischer Rundfunk, Slg. 2003, I-4989, Rn. 73). Auch soweit wie im vorliegenden Fall Daten einer Gesellschaft betroffen sind, sieht das Gericht diese als vom Schutz des Grundrechts mit umfasst. In der Charta der Grundrechte wird der Datenschutz, den Verfassungsüberlieferungen der Mitgliedstatten folgend, als eigenes Grundrecht erwähnt und so vom Schutz des Privatlebens abgekoppelt. Auch der Europäische Gerichtshof für Menschenrechte sieht durch Art. 8 EMRK juristischen Personen geschützt (vgl. zusammenfassend Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl., § 22 Rn. 4). Hier kommt dazu, dass der Name der Gesellschaft aus den Namen der Gesellschafter besteht, so dass zu veröffentlichende Informationen diesen persönlich zuzurechnen sind. In jeder Veröffentlichung liegt ein Eingriff in dieses Grundrecht, weil es sich um die denkbar breiteste Übermittlung handelt.

7. Das Gericht weist darauf hin, dass Gesellschaften bürgerlichen Rechts in Deutschland erst seit kurzen als rechtsfähig und in gerichtlichen Verfahren beteiligtenfähig angesehen werden. Nach früherer Rechtsprechung wären die Gesellschafter persönlich die Kläger gewesen. Im Übrigen unterscheidet Art. 44a der Verordnung nicht zwischen natürlichen und juristischen Personen, so dass dieser in jedem Fall am Grundrecht auf Schutz von Daten natürlicher Personen zu messen ist.

8. Der Eingriff ist nicht gerechtfertigt. Zu dieser Frage zieht das Gericht die Schranke in Art. 8 Abs. 2 EMRK heran (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 80 ff.). Danach muss der Eingriff zur Erreichung eines dort genannten Zwecks in einer demokratischen Gesellschaft notwendig sein. Die Maßnahme muss demnach in einem angemessenen Verhältnis zu dem verfolgten berechtigten Zweck stehen (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 83) und es muss ein zwingendes gesellschaftliches Bedürfnis bestehen (vgl. Schlussanträge, Promusicae/Telefonica, a. a. O., Rn. 54). Nach der 14. Begründungserwägung der Verordnung 1437/2007 verfolgt die Veröffentlichung das Ziel, die Transparenz in Bezug auf die Verwendung der Gemeinschaftsmittel zu erhöhen und durch eine öffentliche Kontrolle die Wirtschaftlichkeit der Haushaltsführung der betroffenen Fonds zu verbessern. Dazu ist anzumerken, dass die Transparenz keinen eigenständigen Zweck darstellt, sondern das Ergebnis der Maßnahme beschreibt. Die Verbesserung der Haushaltskontrolle dient zwar – bei weiter Auslegung des Art. 8 Abs. 2 EMRK – dem wirtschaftlichen Wohl des Landes. Sie ist jedoch vorliegend nicht angemessen. Das Gericht bezweifelt schon, ob die Veröffentlichung überhaupt geeignet ist. Die Beigeladene hat ein Schreiben des Bundesministeriums für Ernährung, Landwirtschaft und Verbraucherschutz vorgelegt (Bl. 114, 116 d. A. 6 K 1045/08.WI, Band I). Daraus geht hervor, dass aus dessen fachlicher Sicht die Kontrolle der verwendeten Mittel und die Verhütung von Unregelmäßigkeiten nicht verbessert werden. Es bestünden schon umfangreiche Kontrollmechanismen, die weiterentwickelt würden.

9. Jedenfalls steht die Veröffentlichung nicht in einem angemessenen Verhältnis zu dem verfolgten Zweck. Bei dieser Bewertung stütz sich das Gericht auf das Urteil des Gerichtshofs in der Rechtssache Rechnungshof/Österreichischer Rundfunk und das daraufhin ergangene Urteil des Österreichischen Verfassungsgerichtshofs vom 28.11.2003 (Aktenzeichen KR 1/00-33, verfügbar im Internet unter http://www.verfassungsgerichtshof.at/cms/vfgh-site/attachments/4/4/5/CH0007/CMS1113226398381/kr1-33-00.pdf). Nach der Rechtsprechung des Gerichtshofs in diesem Vorabentscheidungsverfahren ist es zwingende Voraussetzung, dass die Veröffentlichung – in dem Fall ging es die Bezüge von Bediensteten bestimmter juristischer Personen des öffentlichen Rechts – wirklich erforderlich ist. Das ist nur dann der Fall, wenn der Zweck nicht ebenso erreicht werden könnte, indem die Informationen nur den Kontrollorganen mitgeteilt oder nur Gesamtbeträge veröffentlicht würden (vgl. Urteil Rechnungshof/Österreichischer Rundfunk, a. a. O., Rn. 88). In seinem Urteil hat der Österreichische Verfassungsgerichtshof entschieden, dass die Veröffentlichung von Bezügen einzelner Beschäftigter nicht erforderlich ist. Dazu führt er aus (S. 30 unterer Absatz):

„Auch die Bundesregierung behauptet in ihrer Stellungnahme nicht, dass die Veröffentlichung der Bezüge unter Nennung der Namen der Bezügeempfänger im Sinne der Entscheidung des Europäischen Gerichtshofes zur effizienten Mittelverwendung notwendig sei. Sie argumentiert mehrfach damit, dass die personenbezogene Einkommensveröffentlichung einem dringenden sozialen Bedürfnis nach Transparenz bei der Verwendung öffentlicher Mittel und nach Vermeidung deren Missbrauchs bestehe, tut aber nicht dar, wieso es notwendig sein soll, die Namen von Personen und ihre Bezüge zu veröffentlichen, um die ordnungsgemäße Verwendung öffentlicher Mittel sicherzustellen; darauf kommt es aber nach der – den Verfassungsgerichtshof bindenden – Entscheidung des Europäischen Gerichtshofes vom 20. Mai 2003, Rs. C-465/00 ua., Rechnungshof gegen ORF ua., an.“

10. Dem schließt sich das Gericht für den vorliegenden Fall an. Ein entsprechender Vortrag fehlt. Außerdem ergibt sich aus den Erwägungsgründen nichts, was eine Erforderlichkeit im Sinne dieser Rechtsprechung auch nur im Ansatz begründet. In wie weit unter diesem Umständen eine Veröffentlichung der Daten auch nur im Ansatz dem öffentlichen Wohl des Landes dienen kann (Art. 8 Abs. 2 EMRK) oder ein zwingendes öffentliches Interesse besteht, ist nicht dargetan.

11. Art. 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 hält nach Ansicht des Gerichts einer Überprüfung an Hand der Art. 202 4. Spiegelstrich EG und Art. 211 3. Spiegelstrich EG nicht Stand. Dieser Artikel 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 regelt, dass die Kommission die Bestimmungen zur Durchführung des Art. 44a der Verordnung 1290/2005 erlässt. Hier erhält die Kommission einen sehr weiten Spielraum, welche Daten in welcher Weise veröffentlicht werden. Insbesondere bleibt offen, ob auch eine Veröffentlichung im ausschließlich im Internet erfolgt, was nach einen besonders gravierenden Grundrechtseingriff darstellt. Auch wenn der Begriff der Durchführung weit ausgelegt wird, müssen doch die wesentlichen Grundzüge der geregelten Materie in dem Basisrechtsakt festgelegt werden, um noch von einer Durchführung sprechen zu können. Ansonsten würde das institutionelle Gleichgewicht gestört, insbesondere zulasten der Mitwirkung des Europäischen Parlaments. Dabei ist auch zu berücksichtigen, dass Art. 8 Abs. 2 EMRK an eine demokratische Gesellschaft anknüpft. Das muss bei der Einhaltung des institutionellen Gleichgewichts berücksichtigt werden.

12. Selbst wenn Art. 44a oder 40 Abs. 1 Nr. 8b der Verordnung 1290/2005 gültig sind, ergibt sich die Ungültigkeit der Verordnung 259/2008 aus Verstößen gegen das Grundrecht auf Datenschutz, die die Verordnung selbst enthält. Sie sieht vor, dass die Informationen ausschließlich im Internet auf einer speziellen Website veröffentlicht werden. Angegeben werden der Name des Empfängers und die Beträge, aufgeschlüsselt nach „EGFL“ und „ELER“. Diese Veröffentlichung geht nach Auffassung des Gerichts weit über das hinaus, was in einer demokratischen Gesellschaft notwendig ist.

13. Bei der Veröffentlichung im Internet handelt es sich um einen besonders tiefgreifenden Eingriff. Informationen sind weltweit einsehbar, und zwar auch in solchen Staaten, deren Datenschutzniveau nicht dem in der Gemeinschaft entspricht. Es wäre jedoch nach den Darlegungen der Sachverständigen möglich, den Zugriff auf IP-Adressen aus der Europäischen Union zu beschränken. Das wäre ein weniger tiefer Eingriff, die Verordnung sieht das aber nicht vor. Da es um die Schwere des Eingriffs und nicht die Einordnung nach sekundärem Gemeinschaftsrecht geht, ist es nach Auffassung des Gerichts unerheblich, ob es sich nicht um eine Übermittlung in ein Drittland im Sinne von Art. 29 der Richtlinie 95/46/EG handelt, wie es der Gerichtshof in dem Urteil vom 06.11.2003 in der Rechtssache C-101/01, Bodil Lindqvist, Slg. 2003, I-12971, entschieden hat. Vielmehr kommt es darauf an, dass es nicht möglich ist, die Daten nach zwei Jahren aus dem Internet zu entfernen. Art. 3 Abs. 3 der Verordnung, der eine Löschung nach 2 Jahren vorsieht, kann demnach technisch nicht umgesetzt werden. Zwar werden die Daten aus der Datenbank der Beigeladenen gelöscht, die Speicherung der Informationen durch andere Webdienste kann aber weder verhindert noch rückgängig gemacht werden. Zwar findet wohl keine Speicherung in Zwischenspeichern von Suchmaschinen (z. B. Google-Cache) statt, weil jede Anzeige aus der Datenbank generiert wird. Es kann aber nicht verhindert werden, dass ein Nutzer legalerweise abgefragte Daten speichert und dann selbst ins Internet stellt, etwa im html oder pdf Format. Dann ist auch ein Zugriff über Suchmaschinen möglich. Diese Vorgehensweise wird durch die Suchfunktion erleichtert, für die nach Art. 2 der Verordnung 259/2008 eine Angabe nach deren Art. 1 Abs. 1 (etwa nur der Name der Gemeinde oder die Postleitzahl) ausreicht, um eine Suche durchzuführen.

14. Die bloße Veröffentlichung im Internet ist auch zur Information der Bürger nicht geeignet. Es ist anzumerken, dass die Nennung der beiden Fonds mit ihren Abkürzungen die Bürger eher verwirren als informieren könnte. Dabei ist nach dem Ziel der Transparenz nicht auf die Fachöffentlichkeit, sondern auf den interessierten „Durchschnittsbürger“ abzustellen. Da jedenfalls die Maßstäbe der Beihilfenvergabe nicht gleichzeitig erläutert werden und von dem Namen und Ort des Empfängers nicht auf dessen Betrieb und seine Lage geschlossen werden kann, erreicht die Verordnung 259/2008 höchstens einen minimalen Informationsmehrwert. Hinzu kommt, dass die ausschließliche Veröffentlichung im Internet abschreckenden Charakter hat. Diejenigen Bürger, die überhaupt Zugang zum Internet haben und sich informieren wollen, werden gezwungen, sich einer Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG auszusetzen. Das Gericht sieht es als einen Wertungswiderspruch an, einerseits die Telekommunikation verstärkt zu überwachen, aber andererseits Informationen, die der Teilnahme der Bürger an öffentlichen Angelegenheiten dienen sollen, nur elektronisch zugänglich zu machen. Da der Gerichtshof in die Lage kommen kann, dass er die Gültigkeit der Verordnung (EG) 259/2008 nur bejaht, wenn die Vorratsdatenspeicherung nach der Richtlinie 2006/24/EG entfällt, legt das Gericht auch die Frage der Gültigkeit dieser Richtlinie mit vor. Dadurch ist der Gerichtshof befugt, die Vereinbarkeit der Richtlinie mit Grundrechten, insbesondere dem Rechts auf Datenschutz, zu prüfen. Er ist daran auch nicht durch das Urteil vom 10.02.2009 in der Rechtssache Irland/Parlament und Rat, C-301/06, gehindert, weil Irland die Klage nur auf den Klagegrund der Unzuständigkeit gestützt hat (vgl. Rn. 57 dieses Urteils). Das Gericht sieht in der Datenspeicherung auf Vorrat einen Verstoß gegen das Grundrecht auf Datenschutz. Sie ist in einer demokratischen Gesellschaft nicht notwendig. Der Einzelne gibt keine Veranlassung für den Eingriff, kann aber bei seinem legalen Verhalten wegen der Risiken des Missbrauchs und des Gefühls der Überwachung eingeschüchtert werden (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 82). Die Generalanwältin hat ausgeführt: „Man kann daran zweifeln, ob die Speicherung von Verkehrsdaten aller Nutzer – gewissermaßen auf Vorrat – mit Grundrechten vereinbar ist, insbesondere da dies ohne konkreten Verdacht geschieht.“ Auf die von ihr in den Fußnoten 42 und 43 (Schlussanträge Promusicae/Telefonica, a. a. O.) bezeichneten Quellen wird voll inhaltlich Bezug genommen.

15. Der nach Art. 8 EMRK zu wahrende Verhältnismäßigkeitsgrundsatz ist durch die Richtlinie 2006/24/EG nicht gewahrt, weshalb sie ungültig ist (zum engen Verhältnismäßigkeitsgrundsatz siehe zuletzt Europäischer Gerichtshof für Menschenrechte, Urteil vom 04.12.2008, Az. 30562/04 und 30566/04, Rdnr. 103 ff.).

16. Soweit die in den ersten beiden Fragen bezeichneten Gemeinschaftsvorschriften gültig sind, kommt es darauf an, wie es sich auswirkt, wenn die an der Veröffentlichung beteiligten Stellen eines Mitgliedstaats das Verfahren der Meldung nach Art. 18 der Richtlinie 95/46/EG nicht eingehalten haben. Nach Art. 5 der Richtlinie 95/46/EG richten sich die Voraussetzungen, unter denen die Verarbeitung von Daten rechtmäßig ist, nach dem Kapitel II der Richtlinie. Dazu gehört der Abschnitt IX „Meldung“. Diese Regelungen der Richtlinie 95/46/EG werden durch bereichsspezifische Vorschriften nicht verdrängt. Der Erwägungsgrund Nr. 7 der Verordnung 259/2008 geht von der Anwendung der Richtlinie aus und nimmt auf diese Bezug. Die Umsetzungen der Meldepflicht erfolgte sowohl im Bundesrecht als auch im Hessischen Landesrecht. Die Regelungen beruhen auf Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG.

17. Die Meldung bei einer Kontrollstelle wird durch die Führung eines Verzeichnisses mit den Informationen, die in das Register der Kontrollstelle einzutragen wären, bei dem behördlichen Datenschutzbeauftragte ersetzt, welcher an die Stelle der Kontrollstelle tritt (§ 5 Abs. 2 Satz 2 Nr. 4 HDSG). In diesem Fall sind die Verzeichnisse (Meldungen) aber fehlerhaft. So ist die Auftragsdatenverarbeitung durch die Beigeladene – und ggf. eines privaten Dritten – bei der Meldung des Hessischen Ministeriums für Umwelt, ländlichen Raum und Verbraucherschutz nicht ausgewiesen. Es ist unter anderem auch unvollständig, weil konkrete Angaben zu den Löschfristen fehlen. In dem Verfahrensverzeichnis der Beigeladenen ist der private Provider nicht erwähnt. Angaben über die Speicherung von IP-Adressen fehlen gänzlich (zur statistischen Auswertung und zu Zwecken der Datensicherheit). Das Gericht geht davon aus, dass eine Verarbeitung von personenbezogenen Daten und damit eine Veröffentlichung von personenbezogenen Daten erst erfolgen darf, wenn die Maßnahmen nach den Art. 18 Abs. 2 2. Spiegelstrich der Richtlinie 95/46/EG durchgeführt worden sind in dem Sinne, das eine vollständige, aussagekräftige Meldung vorliegt. Andernfalls wäre eine Verarbeitung nach Treu und Glauben und auf rechtmäßige Weise (Art. 6 Buchstabe a der Richtlinie 95/46/EG) nicht möglich; konkrete Zwecke sind nicht benannt. Würde man eine unvollständige Meldung (unvollständiges Verfahrensverzeichnis) nicht im Sinne von Art. 6 der Richtlinie 95/46/EG als Wirksamkeitsvoraussetzung ansehen, wäre die praktische Wirksamkeit der Vorschriften über die Meldung beeinträchtigt – gar aufgehoben -, weil der Verstoß für die weitere Verarbeitung mit personenbezogenen Daten folgenlos bliebe. Ein Ergebnis, welches schier untragbar sein dürfte.

18. Nach § 7 Abs. 6 Satz 3 HDSG (siehe auch § 4d Abs. 5 Satz 1 BDSG) ist für die Veröffentlichung nach der Verordnung 259/2008 eine Vorabkontrolle nach Art. 20 der Richtlinie 95/46/EG durch den behördlichen Datenschutzbeauftragten durchzuführen. Nach beiden Gesetzen erfolgt die Vorabkontrolle nicht durch eine zentrale Kontrollstelle, sondern bei der verantwortlichen Stelle durch deren betrieblichen oder behördlichen Datenschutzbeauftragten. Da im vorliegenden Fall auch Art. 20 der Richtlinie anwendbar ist, darf die Veröffentlichung wegen Art. 6 Buchstabe a der Richtlinie nach Ansicht des Gerichts erst erfolgen, wenn die Vorabkontrolle nach Art. 20 der Richtlinie durchgeführt worden ist. Andernfalls wäre dieses Instrument nicht effektiv und es würde sich die Frage stellen, warum diese Regelung überhaupt aufgenommen wurde.

19. Wenn die vierte Frage bejaht wird, kommt es darauf an, ob die Vorabkontrolle hier ordnungsgemäß durchgeführt wurde. Die Vorabkontrolle erfolgte jedoch aufgrundlage unvollständiger Verfahrensverzeichnisse (Meldungen). Da die Bewertung nach der Richtlinie 95/46/EG auf der Grundlage der in den Verzeichnissen enthaltenen Informationen erfolgt, kann sie nur wirksam durchgeführt werden, wenn diese richtig und vollständig sind. Nur dann ist die Grundlage für einen effektiven Schutz der Betroffenen gegeben.

20. Weiter stellt sich die Frage, ob die IP-Adressen der Benutzer, die die Daten nach der Verordnung (EG) 259/2008 auf der Internetseite der Beigeladenen abrufen, gespeichert werden dürfen. Zur Überzeugung des Gerichts steht fest, dass die Speicherung der IP Adressen – wie auf der Webseite angegeben – erfolgt. Jedenfalls muss sich die Beigeladene an ihrer Erklärung festhalten lassen. Der Anwendungsbereich der Datenschutzrichtlinie 95/46/EG und des deutschen Datenschutzrechts einschließlich § 15 TMG hängt davon ab, ob es sich dabei um ein personenbezogenes Datum handelt, weil eine Zuordnung zu einer bestimmbaren Person möglich ist, gleichwohl, ob es sich um eine statische oder dynamische IP-Adresse handelt.

21. Die IP-Adresse ist ein numerisches Adressformat, welches die Kommunikation vernetzter Geräte (Server oder Privatcomputer) im Internet ermöglicht. Bei Abruf einer Seite wird dem Server, auf dem die Seite gespeichert ist, die Adresse des abrufenden Computers mitgeteilt, so dass die Daten über das Internet von dem einen an den anderen Rechner geleitet wird en können. Für die Verbindung von Privatanwendern mit dem Internet können feste IP-Adressen vergeben werden. Dabei handelt es sich nach Ansicht des Gerichts ohne weiteres um ein personenbezogenes Datum. Üblicherweise werden dynamische IP-Adressen verwendet. Dabei weist der Anbieter des Zugangs dem Kunden bei jedem Zugang eine Adresse aus seinem Adresskontingent zu. Aus der Adresse kann der Einwahlstandort des Benutzers abgelesen werden.

22. In der Rechtssache Promusicae/Telefonica hat die Generalanwältin die Ansicht vertreten, dass eine dynamischen IP-Adresse personenbezogene Daten enthält (vgl. Schlussanträge Promusicae/Telefonica, a. a. O., Rn. 61 und die Nachweise in Fußnote 31). In seinem Urteil vom 29.01.2008 in dieser Rechtssache hat sich der Gerichtshof ausdrücklich mit dieser Frage aber nicht beschäftigt. Das Amtsgericht Berlin-Mitte hat einer Klage eines Benutzers der Internetseite des Bundesministeriums der Justiz gegen die Speicherung seiner IP-Adresse stattgegeben, weil über die dynamische IP-Adresse der Benutzer identifiziert werden könne (Urteil vom 27.03.2007, 5 C 314/06, zitiert nach juris). Das Amtsgericht Berlin-Mitte stützte sich maßgeblich auf die 26. Begründungserwägung der Richtlinie 95/46/EG. Danach sollten bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen. Die Berufung der Beklagten erstreckte sich nur auf die Reichweite der Unterlassungsverpflichtung. Der Rechtstreit ist rechtskräftig abgeschlossen (vgl. Landgericht Berlin, Urteil vom 06.09.2007, 23 S 3/07, zitiert nach juris). In der deutschen Literatur wurde dieser Rechtsprechung widersprochen. Das Gericht ist aber der Auffassung, dass auch eine dynamische IP-Adresse ein personenbezogenes Datum ist. Davon geht auch die Artikel 29-Datenschutzgruppe in ihrem Arbeitsdokument WP 104 vom 18.01.2005 aus (Nr. III. 3., S. 19 ff., 01248/07/DE); bekräftigend in der Stellungnahme WP 150 vom 15.05.2008 (Nr. 3b, S. 8, 00989/08/DE). Da die Speicherung der IP-Adresse nicht erforderlich ist, steht die Richtlinie 95/46/EG ihr entgegen.

23. Nach den Angaben des Sachverständigen … sollen in Zukunft bei den Internetseiten hessischer Behörden die IP-Adressen zu statistischen Zwecken anonymisiert werden, aus Gründen der Datensicherheit aber ungekürzt gespeichert werden. Die Speicherfristen für die vollständig gespeicherten IP-Adressen durfte er auf Nachfrage des Gerichts aus Geheimhaltungsgründen nicht angeben. Da die Beigeladene ihre Seite im Auftrag auch des Landes Hessen betreibt, geht das Gericht davon aus, dass eine Speicherung nach der Praxis hessischer Behörden stattfindet. Diese wäre mangels einer gesetzlichen Grundlage im Hessischen Landesrecht nur zulässig, wenn es sich bei einer IP-Adresse nicht um ein personenbezogenes Datum handelt.

24. In diesem Zusammenhang ist auf folgendes hinzuweisen: Nach einem Gesetzentwurf der Bundesregierung eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes (Bundesrats-Drucksache 62/09) ist geplant, dem Bundesamt für die Sicherheit in der Informationstechnik die Befugnis einzuräumen, zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes Protokolldaten und solche Daten, die an den Schnittstellen der Kommunikationstechnik des Bundes anfallen, auszuwerten. Zur Informationstechnik des Bundes gehört auch die Internetseite der Beigeladenen. Bei der Verabschiedung des Entwurfs, der als besonders dringlich bezeichnet ist, würde sich die Überwachung der Nutzung der nach der Verordnung 259/2008 veröffentlichten Daten noch verstärken. Mit einem In-Kraft-Treten des neuen Gesetzes ist in einigen Monaten zu rechnen, so dass es schon für das Vorabentscheidungsverfahren vor dem Gerichtshof relevant ist und sich die Frage nach dem Anwendungsbereich der Richtlinie 95/46/EG hinsichtlich von IP-Adressen besonders dringlich stellt.

25. Es wird angeregt, dieses Vorabentscheidungsersuchen mit demjenigen in dem Verfahren … gegen Land Hessen (6 K 1352/08.WI) zu verbinden.

26. Dieser Beschluss ist unanfechtbar.