Schlagwort-Archive: ZD

Störerhaftung für Datenschutzverstöße Dritter (ZD 2014, 62) – online

In eigener Sache:

Mittlerweile ist mein in Heft 2/2014 der Zeitschrift für Datenschutz (ZD) auf S. 62-66 erschiener  Aufsatz mit dem Titel “Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?” auch online abrufbar (PDF, 0,25 MB).

Der Aufsatz befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann. Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers.

Aus dem Beitrag:

Soweit ersichtlich ist die Haftung für Datenschutzverstöße Dritter nach den Grundsätzen der Störerhaftung bisher kaum thematisiert worden. Mit einer Entscheidung des LG Potsdam auf der einen und des VG Schleswig auf der anderen Seite ist die Frage im Jahr 2013 in der Zivil- und der Verwaltungsgerichtsbarkeit unterschiedlich beurteilt worden. Der folgende Beitrag geht der Frage einer (zivilrechtlichen) Störerhaftung für die Datenschutzverstöße Dritter vor dem Hintergrund der EG-Datenschutzrichtlinie und der geplanten EU-Datenschutzgrundverordnung nach und beleuchtet die möglichen Folgen einer solchen Haftung für Internet Service Provider.

  1. Einleitung

Die Störerhaftung für Inhalte und Handlungen Dritter ist seit einigen Jahren immer wieder Gegenstand von gerichtlichen Verfahren im Zusammenhang mit Inhalten im Internet. Meist standen dabei aber Verletzungen von gewerblichen Schutzrechten, des Namensrechts oder des allgemeinen Persönlichkeitsrechts im Vordergrund.[1] Die Frage einer Störerhaftung für Datenschutzverstöße Dritter hingegen ist bisher in Rechtsprechung und Literatur eher stiefmütterlich behandelt worden. Die Entscheidungen des LG Potsdam[2] und des VG Schleswig[3] haben diese Frage nun aufgeworfen. In der Literatur wird – jeweils ohne tiefergehende Begründung – eine Störerhaftung für Datenschutzverstöße teils bejaht,[4] teils – für die öffentlich-rechtliche Haftung als Zweckveranlasser – verneint.[5]

  1. Urteil des LG Potsdam

Das LG Potsdam hat mit Urteil vom 31.7.2013 den Admin-C einer Domain als Störer verurteilt. …

Download des Beitrags (PDF, 0,25 MB)

S. auch

Anmerkung zu LG Berlin, 31.1.2013 – 57 S 87/08, ZD 2013, 618: Personenbezug von IP-Adressen – jetzt online

In eigener Sache:

Meine in der Zeitschrift für Datenschutz (ZD) 2013, S. 625 ff., erschienene Anmerkung zur Entscheidung des LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (Personenbezug von IP-Adressen – Volltext hier) zur Frage des Personenbezugs von IP-Adressen ist nun auch online verfügbar (PDF).

Der BGH hat die Frage im Revisionsverfahren zum Urteil des LG Berlin kürzlich dem EuGH vorgelegt (BGH, Beschl. v. 28.10.2014 – VI ZR 135/13). Die Entscheidungsgründe liegen aber noch nicht vor. Ich werde die Gründe nach Erscheinen voraussichtlich kurz in der NJW kommentieren.

Aus der Anmerkung zum Urteil des LG Berlin (PDF, 0,1 MB):

Die Diskussion um die Frage, ob (dynamische) IP-Adressen auch für andere als den Access Provider personenbezogene Daten i.S.d. § 3 BDSG darstellen und damit unter das Regime des Datenschutzes fallen, ist bereits seit mehreren Jahren im Gange. Interessanterweise gibt es hierzu bisher trotzdem nur instanzgerichtliche Entscheidungen (für Personenbezug AG Berlin-Mitte K&R 2007, 600; LG Berlin MMR 2007, 799; LG Berlin CR 2006, 418; VG Wiesbaden MMR 2009, 428; gegen Personenbezug AG München MMR 2008, 860; LG Wuppertal, Beschl. v. 19.10.2010 – 26 Qs 10 Js 1977/08, BeckRS 2010, 25680; wohl auch OLG Hamburg MMR 2011, 281, 282). Das LG Berlin hat sich mit seiner Entscheidung umfassend mit der Thematik beschäftigt und sich nun im Ergebnis der Theorie des relativen Personenbezugs angeschlossen.

1. Im Kern geht es bei dem Streit um die Definition der Bestimmbarkeit des Personenbezugs von Daten speziell in Bezug auf (dynamische) IP-Adressen: Nach § 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über eine bestimmte oder bestimmbare natürliche Person. „Bestimmt“ in diesem Sinne ist die Person, wenn sich aus allen der verantwortlichen Stelle zur Verfügung stehenden Daten die Person unmittelbar ableiten lässt (Gola/Schomerus, BDSG, 11. Aufl. 2012, § 3 Rn. 10), beispielsweise, wenn die Stelle auch den Namen der Person erhoben und gespeichert hat. Bei der „Bestimmbarkeit“ wiederum wird in der Regel darauf abgestellt, ob die konkrete Person mit Hilfe anderer Informationen und Zusatzwissen ermittelt werden kann (Krüger/Maucher, MMR 2011, 433). Dabei kann …

Lesetipp: Breyer, Personenbezug von IP-Adressen – Internetnutzung und Datenschutz, ZD 2014, 400

Patrick Breyer (@patrickbreyer) hat in Heft 8/2014 der Zeitschrift für Datenschutz (ZD) einen sehr lesenswerten Aufsatz zum seit Jahren streitigen Thema des Personenbezuges von IP-Adressen mit dem Titel „Personenbezug von IP-Adressen – Internetnutzung und Datenschutz“ veröffentlicht (ZD 2014, 400). Die Thematik habe ich hier im Blog und in Zeitschriften ebenfalls bereits aufgegriffen (z.B. in der ZD 2013, 605; hier; hier; s. auch Tag „Personenbezug“).

Die mittlerweile wohl h.M. tendiert in diesem Zusammenhang zum sog. Begriff des relativen Personenbezuges. Patrick Breyer geht in seinem Beitrag nun ganz grundsätzlich an die Frage des Personenbezuges heran:

Umstritten ist, ob uns die Datenschutzgesetze vor einer solchen „Surf-Protokollierung“ schützen. Einen Schutz gewähren Datenschutzgesetze grundsätzlich nur für personenbezogene Daten, also Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können (§ 3 Abs. 1 BDSG). Ist die IP-Adresse ein personenbezogenes Datum, das unmittelbar nach Ende der Nutzung einer Website wieder zu löschen ist (§§ 13 Abs. 4, 15 Abs. 4 TMG)?

Spannend ist in diesem Zusammenhang insbesondere die Frage, ob bei der Bewertung auch Zusatzwissen einzubeziehen ist, das die verantwortliche Stelle unzulässigerweise erworben hat bzw. erwerben kann. Mit der Menge an Daten, die Unternehmen über ihre Nutzer sammeln (Stichwort „Big Data“) und der Vielzahl an Datenbrokern, bei denen weitere Mengen von Daten erlangt werden können, ist es – eine ausreichend große Datenmenge vorausgesetzt – in vielen Fällen nicht schwer, an Zusatzwissen zu gelangen, das eine Identifizierung von einzelnen Personen ermöglicht (vgl. auch Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten). Das LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (Volltext) hatte dazu tendiert, unzulässig erworbenes Wissen nicht zu beachten und so den Personenbezug eher eng zu verstehen.

Breyer nimmt nun in seinem Beitrag eine intensive und spannende dogmatische Auslegung von § 3 BDSG vor dem Hintergrund der europäischen Datenschutzrichtlinie 95/46/EG vor und geht anschließend auf Widersprüche der Theorie des relativen Personenbezugs ein.

Störerhaftung für Datenschutzverstöße Dritter? – oder: Was aus Twitter-Diskussionen werden kann…

Ich hatte erst vor einer Woche berichtet, dass mein Aufsatz mit dem Titel „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ in der Zeitschrift für Datenschutz (ZD) erschienen (ZD 2014, 62 ff.) ist. In dem kurzen Hinweis hatte ich auch mitgeteilt, dass Anlass für den Aufsatz eine Diskussion mit Dr. Carlo Piltz (@carlopiltz) per Twitter war.

Heute nun hat Dr. Piltz (via Twitter) geschrieben, dass sein Aufsatz mit dem Titel „Störerhaftung im Datenschutzrecht?“ frisch in der Zeitschrift Kommunikation & Recht (K&R) erschienen ist (K&R 2014, 80 ff.). Ganz offensichtlich haben wir beide – unabhängig voneinander, aber aus Anlass der selben Diskussion – das selbe Thema bearbeitet …

Im Kern geht es um die Frage, ob die Grundsätze der Störerhaftung, die die meisten meiner Leser aus dem Bereich der Haftung für den Betrieb eines WLANs kennen werden, auch auf Verstöße gegen das Datenschutzrecht Anwendung finden kann. Anlass unserer Twitter-Diskussion war eine Entscheidung des LG Potsdam, das einen Admin-C auf Basis der Störerhaftung für die durch den Inhaber der Webseite begangene Datenschutzverletzung verurteilt hatte (LG Potsdam MMR 2013, 662). Auf der anderen Seite hatte das VG Schleswig mit Urteilen vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein) im Streit des Unabhängigen Landesdatenschutzzentrums Schleswig-Holstein (ULD) mti den Betreibern von Facebook-Fanpages eine Anwendung der Störerhaftung abgelehnt und hierbei (was das LG Potsdam nicht angesprochen hatte) auf eine Sperrwirkung der Europäischen Datenschutzrichtlinie 95/46/EG verwiesen.

Zwei Juristen – ein Thema, was kommt wohl dabei raus? Ein interessantes Experiment, dessen Ergebnis sich im Vergleich der beiden Aufsätze sehen lässt.Ich muss vorweg schicken, dass wir uns – nach meiner Erinnerung – auch damals in der sehr kurzen Twitter-Diskussion nicht einig waren. Mich hat die Diskussion unbefriedigt zurück gelassen. Vielleicht war es bei Dr. Piltz ja genau so?

Ich will hier nicht die beiden Aufsätze darstellen, oder die verschiedenen von uns beiden aufgegriffenen Argumente abwiegen oder sagen, dass die eine Ansicht besser ist als die andere. Wer will, möge die beiden Aufsätze (die leider nicht online verfügbar sind) selber lesen und sich eine eigene Meinung bilden. Am spannendsten für mich persönlich war bei der Lektüre des Beitrages von Dr. Piltz auch vielmehr, wie unterschiedlich unsere beiden Aufsätze sind: Bei eigentlich identischem Thema haben wir zwei völlig unterschiedliche Ansätze gewählt, um uns dem Thema zu nähern. Der Aufsatz von Dr. Piltz stellt die Störerhaftung in einen viel größeren Rahmen, beschäftigt sich mit der Frage, ob Störerhaftung – auch aufgrund des Verhältnisses von BDSG und TMG – überhaupt übertragbar sein kann, und geht auf die Frage, die bei meinem Beitrag den (alleinigen) Kern bildet, erst zum Ende des Aufsatzes hin (da aber ausführlich) ein. Auch dabei will ich übrigens nicht sagen, dass der eine Ansatz besser als der andere ist!Letztlich kommen wir übrigens – wie auch schon in der Twitter-Diskussion – zu unterschiedlichen Ergebnissen (nicht zwei Juristen, drei Meinungen, sondern ausnahmsweise „nur“ zwei Meinungen). Während ich davon ausgehe, dass die europäische Datenschutzrichtlinie (und übrigens auch der Entwurf der Datenschutz-Grundverordnung) eine Anwendung der Störerhaftung gerade nicht sperrt, lehnt Dr. Piltz dies ab. Interessanterweise nutzen wir auch für unsere Argumentation völlig unterschiedliche Herangehensweisen und Ansatzpunkte.Während die Frage der Störerhaftung für Datenschutzverstöße bisher praktisch noch gar nicht diskutiert worden war (wir beide hatten Schwierigkeiten, in der Literatur und Rechtsprechung zu der Frage etwas zu finden), gibt es jetzt neben den divergierenden Entscheidungen des VG Schleswig und des LG Potsdam gleich zwei – ebenfalls völlig divergierende – Literaturmeinungen.

Das OVG Schleswig wird übrigens zumindest den Facebook-Fall irgendwann in der Zukunft entscheiden oder dem EuGH vorlegen. Ob die Frage der Störerhaftung für Datenschutzverstöße Dritter dann auch behandelt oder entschieden wird, steht aber noch in den Sternen. Bis dahin freue ich mich über Rückmeldungen zu beiden Auf- bzw. Ansätzen.

Aufsatz „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ (ZD 2014, 62) erschienen

In eigener Sache:

In Heft 2/2014 der Zeitschrift für Datenschutz (ZD) ist auf S. 62-65 mein Aufsatz mit dem Titel „Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?“ erschienen.

Der Aufsatz, der ursprünglich den Titel „Die (zivilrechtliche) mittelbare Störerhaftung für Datenschutzverstöße Dritter – Verstoß gegen EG-Datenschutzrichtlinie und EU-Datenschutzgrundverordnung oder zulässige mitgliedsstaatliche Ausgestaltung“ tragen sollte (was aber zu lang war), befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann.

Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers. Ich hatte damals per Twitter eine kurze Diskussion u.a. mit @carlopiltz zu der Entscheidung des LG Potsdam geführt. Das VG Schleswig-Holstein hatte nämlich eine Störerhaftung der Betreiber von Fanpages unter Hinweis auf die EG-Datenschutzrichtlinie abgelehnt. Die EG-Datenschutzrichtlinie sei insofern abschließend. Das LG Potsdam hat ohne nähere Konkretisierung die Gegenauffassung vertreten.

Diesen Konflikt wollte ich – angeregt durch die Diskussion auf Twitter – in dem Aufsatz aufarbeiten. Ich bin daher der Frage nachgegangen, ob die EG-Datenschutzrichtlinie wirklich Ansprüche aus Störerhaftung sperrt, und wie dies nach dem aktuellen Entwurf für eine Datenschutz-Grundverordnung zu beurteilen wäre. Mehr in ZD 2014, 62 ff. …

Anmerkung zu LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08: Personenbezug von dyn. IP-Adressen, ZD 2013, 625 erschienen

In eigener Sache:

Mittlerweile ist meine Anmerkung zum Urteil des LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (ZD 2013, 618) in der Zeitschrift für Datenschutz (ZD), Heft 12/2013, S. 625 f. erschienen.

Mit dem Urteil (Volltext hier) hat sich das LG Berlin in Bezug auf dynamische IP-Adressen der Theorie des relativen Personenbezugs angeschlossen (s. dazu auch mein Beitrag zu AG München, Urt. v. 30.9.2008 mit weiteren Nachweisen).

Spannend ist übrigens, dass die ZD unmittelbar im Anschluss eine weitere Anmerkung von Per Meyerdierks (zusammen mit Boris Gendelev), dem Justitiar von Google, abgedruckt hat, der sich insbesondere mit dem Urteil im Hinblick auf die Anwendbarkeit von § 15 Abs. 1 TMG auseinandersetzt.