Skip to content

LfDI Baden-Württemberg: Bußgeld von 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat gegen den Betreiber des Internetportals knuddels.de ein Bußgeld in Höhe von 20.000 EURO wegen eines Verstoßes gegen die DSGVO verhängt. Die Speicherung von Passwörtern im Klartext verstößt gegen Art. 32 Abs. 1 lit a DSGVO

Die Pressemitteilung des LfDI:

Baden-Württemberg: Bußgeld über 20.000 EURO gegen knuddels.de wegen Verstoß gegen DSGVO - Speicherung der Passwörter im Klartext widerspricht Art. 32 Abs. 1 lit a DSGVO

LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO
Kooperation mit Aufsicht macht es glimpflich

Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

VGH Kassel: Speicherung personenbezogener Daten von Anlageberatern durch Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig

VGH Kassel
Urteil vom 25.07.2018
6 A 673/15


Der VGH Kassel hat entschieden, dass die Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zulässig ist.

Die Pressemitteilung des VGH Kassel:

Speicherung personenbezogener Daten von Anlageberatern der Sparkassen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) grundsätzlich zulässig

Der Hessische Verwaltungsgerichtshof hat mit heute verkündetem Urteil die Berufung von Anlageberatern bzw. Betriebsbeauftragten, die bei unterschiedlichen Sparkassen beschäftigt waren, gegen ein Urteil des Verwaltungsgerichts Frankfurt am Main zurückgewiesen.

Die Kläger wenden sich gegen die Speicherung personenbezogener Daten in einer bei der BaFin eingerichteten Datenbank.

Die als Anlageberater bzw. Betriebsbeauftragte bei unterschiedlichen Sparkassen beschäftigten Kläger baten bei der Beklagten um Auskunft über die zu ihrer Person gespeicherten Daten und beantragten deren Löschung. Die BaFin erteilte Auskunft über die gespeicherten Daten, die den Namen - einschließlich Vornamen -, das Geburtsdatum, den Geburtsort, den Beginn der Tätigkeit und die jeweilige Funktion im Sparkassenwesen sowie die Namen der zuständigen Anlageberater oder Vertriebsbeauftragten in der Datenbank der BaFin umfasste. Die beantragte Löschung der Daten lehnte die BaFin jedoch ab.

Die hiergegen erhobene Klage wurde durch das Verwaltungsgericht Frankfurt am Main mit Urteil vom 2. Juli 2014 abgewiesen.

Die Berufung der Kläger gegen diese erstinstanzliche Entscheidung hat der 6. Senat des Hessischen Verwaltungsgerichtshofs zurückgewiesen. Zur Begründung hat er ausgeführt, die Voraussetzungen eines Löschungsanspruches nach Maßgabe der datenschutzrechtlichen Bestimmungen seien nicht erfüllt. Auch aus einer etwaigen Verfassungswidrigkeit der Rechtsgrundlagen ergebe sich kein Löschungsanspruch.

Aus den gesetzlichen Regelungen ergebe sich hinreichend, welche Daten von der BaFin im Mitarbeiter- und Beschwerderegister zu speichern seien. Es sei erkennbar, dass der Gesetzgeber insoweit die Daten erfasst sehen wollte, die eine Identifikation der betreffenden Mitarbeiter ermögliche. Hierfür sei die Angabe von Vorname, Familien- und Geburtsname, Tag und Ort der Geburt erforderlich. Dies seien die Daten, die zu einer Identifikation der Person notwendig seien. Dass sich die Dauer der Speicherung nicht bereits aus dem Gesetz ergibt, ist verfassungsrechtlich unbedenklich.

Die Revision gegen das Urteil wurde nicht zugelassen. Gegen die Nichtzulassung der Revision haben die Kläger die Möglichkeit der Beschwerde, über die das Bundesverwaltungsgericht in Leipzig zu entscheiden hätte.

Aktenzeichen: 6 A 673/15


OLG Köln: DSGVO schließt Anwendung des KUG jedenfalls im journalistischen Bereich nicht aus - KUG erlaubt Abwägung der betroffenen Grundrechte

OLG Köln
Beschluss vom 18.06.2018
15 W 27/18


Das OLG Köln hat zutreffend entschieden, dass die Normen der DSGVO die Anwendung des KUG jedenfalls im journalistischen Bereich nicht ausschließt. Insbesondere erlaubt das KUG eine umfassende Abwägung der betroffenen Grundrechte.

Die Entscheidungsgründe:

Die gemäß §§ 127, 569 ZPO zulässige sofortige Beschwerde des Antragstellers ist nicht begründet. Die beabsichtigte Rechtsverfolgung hat keine Aussicht auf Erfolg (§ 114 ZPO).

Maßgeblich für die Entscheidung ist bereits, dass der Antragsteller – worauf auch das Landgericht hingewiesen hat – den streitgegenständlichen Fernsehbeitrag nicht in seiner Gesamtheit zu den Akten gereicht hat. Die von ihm eingereichten, höchst lückenhaften Fragmente aus der Sendung belegen zum einen nur Teile der von ihm gerügten konkreten Verletzungsformen. Darüber hinaus ist der Senat mangels Glaubhaftmachung nicht in der Lage, die angeblichen Verletzungshandlungen im Gesamtkontext verlässlich zu prüfen, insbesondere die Frage zu bewerten, ob es sich um Bildnisse aus dem Bereich der Zeitgeschichte handelt, zumal – wie das Landgericht zutreffend ausgeführt hat – die Vorgänge um die Räumung, Sperrung und Bewachung des Gebäudes „I“ von erheblichem öffentlichem Interesse sind.

Der Senat geht allerdings nach eigener Überprüfung aufgrund der – lückenhaften - Aktenlage derzeit davon aus, dass das Landgericht die Vorschriften des KUG zutreffend angewandt hat und dass dem Antragsteller gegen den Antragsgegner kein Unterlassungsanspruch gemäß §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG zusteht, da Bildnisse der Zeitgeschichte im Sinne von § 23 Abs.1 Nr. 1 KUG in Rede stehen. Das Landgericht hat hierzu unter zutreffender Anwendung der maßgeblichen höchstrichterlichen Grundsätze richtig ausgeführt. Hierauf wird zwecks Vermeidung unnötiger Wiederholung mit folgender Ergänzung verwiesen: Soweit mit dem Antrag des Antragstellers formuliert ist, es zu unterlassen, das Bildnis des Antragstellers „weiterhin kenntlich zur Schau zu stellen“, so umfasst dies – als Minus - auch eine etwaige Verpixelung, auf die gegebenenfalls in Hinblick auf § 938 Abs. 1 ZPO erkannt werden könnte. Ob allerdings eine solche Verpixelung bei Würdigung der Gesamtumstände zur Wahrung der Interessen des Antragstellers im Sinne des § 23 Abs. 2 KUG erforderlich ist, ist von Antragstellerseite ebenfalls nicht glaubhaft gemacht. Denn hierfür wäre - da auch in diesem Zusammenhang auf den Gesamtkontext abzuheben ist - eine Darstellung des gesamten Beitrages nötig gewesen.

Soweit der Antragsteller sich mit der Beschwerdebegründung auf die Datenschutzgrundverordnung (DS-GVO) beruft, geht dies fehl

Artikel 85 DS-GVO erlaubt wie die Vorgängerregelung in Art 9 der Richtlinie RL 95/46/EG nationale Gesetze mit Abweichungen von der DS-GVO zugunsten der Verarbeitung zu journalistischen Zwecken. Er enthält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sie sich einfügen – erfassen kann. Dies zeigt sich auch daran, dass für den Bereich des Art. 85 DS-GVO nur die Frage der nachträglichen Notifizierungspflicht strittig ist (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 66).

Insgesamt verkennt der Antragsteller, dass die Tätigkeit des Antragsgegners durch den gerade mit Blick auf Art. 85 DS-GVO durch das 16. RundfunkänderungsG vom 8.5.2018 (GV. NRW. S. 214) neu gefassten § 48 WDR-Gesetz (vgl. auch § 46 LMG und § 12 LPresseG) geregelt worden ist, wonach sich die Verarbeitung personenbezogener Daten zu journalistischen Zwecken durch den Antragsgegner nach Maßgabe der §§ 9c und 57 des Rundfunkstaatsvertrages in der jeweils geltenden Fassung bestimmt. Diese normieren – ebenfalls mit Blick auf Art 85 DS-GVO gerade neu gefasst – in §§ 9c, 57 RStV dann das früher in § 41 BDSG a.F. enthaltene sog. „Medienprivileg“. Nach den Regelungen gelten außer den Kapiteln I, VIII, X und XI der DS-GVO nur Artikel 5 Abs. 1 Buchst. f in Verbindung mit Abs. 2, Artikel 24 und Artikel 32 DS-GVO und damit nicht die Regelungen, auf die der Antragsteller sich hier beruft.

Aus Sicht des Senates bestehen hiergegen keine europarechtlichen Bedenken. Art 85 Abs. 2 DS-GVO macht im Kern keine materiell-rechtlichen Vorgaben (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 3, 34, 67, 72 ff.), sondern stellt nur auf die Erforderlichkeit zur Herbeiführung der praktischen Konkordanz zwischen Datenschutz einerseits und Äußerungs- und Kommunikationsfreiheit andererseits ab. Da Datenschutzregelungen als Vorfeldschutz letztlich immer die journalistische Arbeit beeinträchtigen, sind daher hier keine strengen Maßstäbe anzulegen (Auernhammer/von Lewinski, DS-GVO, 5. Aufl. 2017, Art. 85 Rn. 13; Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 61). Dies ist auch vor dem Hintergrund zu sehen, dass Art 85 DS-GVO gerade den Normzweck hat, einen sonst zu befürchtenden Verstoß der DS-GVO gegen die Meinungs- und Medienfreiheit zu vermeiden (vgl. etwa Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 1). Der Erwägungsgrund 4 S. 3 der DS-GVO will solche Komplikationen gerade ausschließen.

Mit Blick darauf sind dann Ausführungen des Landgerichts im Nichtabhilfebeschluss zum „Fortgelten“ des KUG im journalistischen Bereich und das Berufen auf den zitierten Aufsatz Lauber-Rönsberg/Hartlaub, NJW 2017, 1057 ff. überzeugend. Für das Äußerungsrecht (§ 823 Abs. 1 BGB i.V.m. APR) ist auch bereits thematisiert worden, dass dieses die Abwägungs- und Ausgleichsfunktion zur Herbeiführung praktischer Konkordanz der widerstreitenden Grundrechtspositionen im hiesigen Bereich übernehmen kann (Gierschmann u.a/Schulz/Heilmann, DSGVO, Art. 85 Rn. 8); für das KUG kann im Bereich der Bildberichterstattung nichts anderes gelten. Die umfangreichen Abwägungsmöglichkeiten im Rahmen des KUG erlauben dann auch – was künftig geboten sein dürfte – eine Berücksichtigung auch der unionsrechtlichen Grundrechtspositionen. Dass sich daraus hier etwas anderes ergeben sollte, ist weder vorgetragen noch ersichtlich. Insbesondere ist dem Senat keine Abweichung zu den – ohnehin in der Abwägung bewusst offen gehaltenen (Überblick bei Ehmann/Selmayr/Schiedermair, DS-GVO 2017, Art 85 Rn. 8 – 15 m.w.N.) – Rspr. des EuGH bzw. des EGMR ersichtlich; auch Erwägungsgrund 153 der DS-GVO wünscht in diesem Bereich nur eine - national im Zuge des § 823 Abs. 1 BGB als Rahmenrecht bzw. bei §§ 22, 23 KUG ohnehin erfolgende - umfassende Abwägung der widerstreitenden Grundrechtspositionen.

Aus den zur Glaubhaftmachung eingangs gemachten Ausführungen kommt es darauf aber letztlich auch nicht entscheidend an, so dass auch nicht mit Blick auf diese Rechtsfragen ausnahmsweise Prozesskostenhilfe zu gewähren wäre.

Eine Kostenentscheidung ist nicht veranlasst, § 127 Abs. 4 ZPO.

Den Volltext der Entscheidung finden Sie hier:



BVerwG: BND muss Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS einstellen

BVerwG
Urteile vom 13.12.2017
6 A 6.16 und 6 A 7.16


Das Bundesverwaltungsgericht hat entschieden, dass der Bundesnachrichtendienst die Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS einstellen muss.

Die Pressemitteilung des Bundesverwaltungsgerichts:

Bundesnachrichtendienst muss Speicherung und Nutzung der Metadaten von durch Art. 10 GG geschützten Telefonverkehren in der Datei VERAS unterlassen

Das Bundesverwaltungsgericht in Leipzig hat den Klagen eines Rechtsanwalts und eines Vereins auf Unterlassung der Speicherung und Nutzung von Metadaten (Verbindungsdaten) aus ihren Telekommunikationsverkehren in der vom Bundesnachrichtendienst (BND) betriebenen Datei VERAS (für: Verkehrsdatenanalysesystem) teilweise stattgegeben.

In der Datei VERAS speichert der BND Telefonie-Metadaten aus leitungsvermittelten Verkehren mit dem Ausland und nutzt sie für nachrichtendienstliche Analysen. Soweit die Daten - wie u.a. Telefonnummern - für sich genommen individualisierbar sind, anonymisiert sie der BND vor der Speicherung. Die Daten erlangt der BND aus Anlass der strategischen Fernmeldeüberwachung, der Ausland-Ausland-Fernmeldeaufklärung und des Austausches mit anderen Nachrichtendiensten.

Da in VERAS keine Metadaten aus Internet- und E-Mail-Verkehren gespeichert werden, sind die Klagen nur hinsichtlich der Telefonie-Metadaten zulässig. Insoweit sind die Klagen auch begründet. Die Kläger können die Speicherung und Nutzung ihrer Telefonie-Metadaten auf Grund des öffentlich-rechtlichen Unterlassungsanspruchs abwehren.

Die Erhebung, Speicherung und Nutzung von Telefonie-Metadaten greifen ungeachtet der vor der Speicherung durch den BND vorgenommenen Anonymisierung in das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG ein. Daher sind diese Eingriffe nur zulässig, wenn die Erhebung der Daten und ihre weitere Verwendung auf eine gesetzliche Grundlage gestützt werden kann. An einer solchen gesetzlichen Regelung fehlt es gegenwärtig.

Insbesondere kommen die Regelungen zur strategischen Fernmeldeüberwachung nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (G 10) nicht zur Anwendung. Zwar erhebt der BND diese Daten aus Anlass einer solchen Überwachung. In § 5 G 10 findet sich eine gesetzliche Grundlage für diese Eingriffe aber nur insoweit, als der BND Metadaten ebenso wie Inhaltsdaten erheben darf, um sie anhand von förmlich festgelegten inhaltlichen und formalen Suchbegriffen auszuwerten und so Erkenntnisse über den Inhalt von Telekommunikationsverkehren zu erhalten. Diese Erkenntnisse können als Informationen im Hinblick auf abschließend umschriebene Gefahrenbereiche genutzt werden. Die darüber hinausgehende Praxis der Speicherung und Nutzung von Telefonie-Metadaten ist von diesem Zweck der Datenerhebung nicht gedeckt. An der Rechtswidrigkeit dieser Praxis des BND ändert die vor der Speicherung erfolgte Anonymisierung der Daten der von Art. 10 GG geschützten Personen nichts. Diese steht der verfassungsrechtlich gebotenen Löschung nicht gleich.

Auch die gesetzlichen Regelungen der Ausland-Ausland-Fernmeldeaufklärung und der Zusammenarbeit mit ausländischen Nachrichtendiensten enthalten hierfür keine Rechtsgrundlage.





VG Köln: Eilantrag der Deutschen Telekom AG gegen Vorratsdatenspeicherung abgelehnt - Erklärung der BNetzA zur vorläufigen Nichtumsetzung genügt

VG Köln
Entscheidung vom 30.06.2017
9 L 2085/17


Das VG Köln hat einen Antrag auf Erlass einer einstweiligen Anordnung der Deutschen Telekom AG gegen die Pflicht zur Vorratsdatenspeicherung nach § 113b TKG abgelehnt. Die Erklärung der BNetzA zur vorläufigen Nichtumsetzung genügt nach Ansicht des VG Köln, so dass es an einem Rechtsschutzbedürfnis für eine einstweilige Anordnung fehlt.

Siehe dazu Bundesnetzagentur setzt Pflicht zur Vorratdatenspeicherung bzw Verkehrsdatenspeicherung nach § 113b TKG vorläufig aus

Die Pressemitteilung des VG Köln:

Antrag betreffend Vorratsdatenspeicherung unzulässig

Am 30. Juni 2017 hat das Verwaltungsgericht Köln einen Antrag der Deutschen Telekom AG abgelehnt, mit dem diese die Feststellung begehrt hat, nicht zur anlasslosen Speicherung von Telekommunikationsverkehrsdaten (Vorratsdatenspeicherung) verpflichtet zu sein.

Die Deutsche Telekom AG hatte zunächst beantragt, festzustellen, dass sich die Speicherpflicht nach § 113b Abs. 3 TKG nicht auf Internetverbindungen erstreckt, die unter Einsatz des sog. NAPT-Verfahren insbesondere bei öffentlichen Hotspots und im Mobilfunkbereich hergestellt werden. Nachdem das Oberverwaltungsgericht für das Land Nordrhein-Westfalen mit Beschluss vom 22. Juni 2017 im Verfahren 13 B 238/17 vorläufig festgestellt hatte, dass die dortige Antragstellerin insgesamt nicht verpflichtet sei, Verkehrsdaten ihrer Kunden, denen sie den Internetzugang vermittelt, zu speichern und dies mit der Europarechtswidrigkeit der Norm begründet hatte, veröffentlichte die Bundesnetzagentur auf ihrer Internetseite eine Erklärung, wonach sie bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens gegenüber allen Telekommunikationsunternehmen davon absehen werde, Maßnahmen wegen des Verstoßes gegen die Speicherpflicht nach § 113b TKG zu ergreifen. Daraufhin stellte die Deutsche Telekom AG ihren Antrag um und beantragte nunmehr die vorläufige Feststellung, insgesamt und nicht lediglich mit Blick auf das sog. NAPT-Verfahren nicht zur anlasslosen Speicherung von Verkehrsdaten TKG verpflichtet zu sein. Diesen Antrag lehnte das Gericht nun mangels Rechtsschutzinteresses ab.

Zur Begründung hat die Kammer ausgeführt: Die Erklärung der Bundesnetzagentur im Rahmen des auf einstweiligen Rechtsschutz gerichteten Verfahrens sei ausreichend. Der von der Antragstellerin darüber hinaus erstrebte Schutz vor Einleitung strafrechtlicher Ermittlungen wegen des Unterlassens der Speicherung sei im vorliegenden Verfahren nicht zu erreichen. Eine Entscheidung wirke nur im Verhältnis zwischen den Beteiligten und nicht auch gegenüber den Strafverfolgungsbehörden.

Volltext - OVG Münster zur Europarechtswidrigkeit der Vorratsdatenspeicherung liegt vor

OVG Münster
Beschluss vom 22.06.2017
13 B 238/17


Wir hatten bereits in dem Beitrag OVG Münster: Vorratsdatenspeicherung ist europarechtswidrig - einstweilige Anordnung gegen Pflicht zur Vorratsdatenspeicherung über die Entscheidung berichtet.

Den Volltext der Entscheidung finden Sie hier:

Siehe auch zum Thema: Bundesnetzagentur setzt Pflicht zur Vorratdatenspeicherung bzw Verkehrsdatenspeicherung nach § 113b TKG vorläufig aus


Bundesnetzagentur setzt Pflicht zur Vorratdatenspeicherung bzw Verkehrsdatenspeicherung nach § 113b TKG vorläufig aus

Die Bundesnetzagentur hat die eigentlich ab dem 01.07.2017 geltende Pflicht zur Vorratsdatenspeicherung bzw Verkehrsdatenspeicherung nach § 113b TKG vorläufig ausgesetzt. Auslöser ist der Beschluss des OVG Münster vom 22.06.2017 - 13 B 238/17, wonach die Regelung europarechtswidrig ist. ( Siehe dazu OVG Münster: Vorratsdatenspeicherung ist europarechtswidrig - einstweilige Anordnung gegen Pflicht zur Vorratsdatenspeicherung . )

Die Pressemitteilung der Bundesnetzagentur:

Spei­cher­pflicht und Höchst­spei­cher­frist für Ver­kehrs­da­ten - Mitteilung zur Speicherverpflichtung nach § 113b TKG

Die Erbringer öffentlich zugänglicher Telefondienste und Internetzugangsdienste sind gemäß § 113b TKG zur Speicherung der dort genannten Verkehrsdaten ab dem 01.07.2017 von Gesetzes wegen verpflichtet.

Mit Beschluss vom 22.06.2017 hat das Oberverwaltungsgericht für das Land Nordrhein-Westfalen in einem Verfahren des einstweiligen Rechtsschutzes festgestellt, dass der klagende Internetzugangsdiensteanbieter bis zum rechtskräftigen Abschluss des Hauptsacheverfahrens nicht verpflichtet ist, die in § 113b Abs. 3 TKG genannten Telekommunikationsverkehrsdaten zu speichern (Az. 13 B 238/17). Aufgrund dieser Entscheidung und ihrer über den Einzelfall hinausgehenden Begründung sieht die Bundesnetzagentur bis zum rechtskräftigen Abschluss eines Hauptsacheverfahrens von Anordnungen und sonstigen Maßnahmen zur Durchsetzung der in § 113b TKG geregelten Speicherverpflichtungen gegenüber allen verpflichteten Unternehmen ab. Bis dahin werden auch keine Bußgeldverfahren wegen einer nicht erfolgten Umsetzung gegen die verpflichteten Unternehmen eingeleitet.

Durch das Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten vom 10. Dezember 2015 (BGBl. I S. 2218) sind Erbringer öffentlich zugänglicher Telefon- und Internetzugangsdienste für Endnutzer verpflichtet worden, nach §§ 113a, 113b Telekommunikationsgesetz (TKG) bestimmte Verkehrsdaten für zehn bzw. vier Wochen zu speichern und entsprechend dem Auskunftsverlangen der Behörden an diese zu übermitteln.

Nach § 113f TKG ist bei der Umsetzung der gesetzlichen Anforderungen nach den §§ 113b bis 113e TKG ein besonders hoher Standard der Datensicherheit und Datenqualität zu gewährleisten. Der Anforderungskatalog der Bundesnetzagentur nach § 113f TKG bestimmt die notwendigen Anforderungen; begründete Abweichungen von den im Katalog beschriebenen Maßnahmen sind zulässig, sofern ein besonders hoher Standard der Datensicherheit und Datenqualität nicht beeinträchtigt wird.

Für notwendige Aufwendungen, die den Verpflichteten durch die Umsetzung dieser Vorgaben entstehen, sieht § 113a Abs. 2 TKG eine Entschädigung vor, soweit dies zur Abwendung oder zum Ausgleich unbilliger Härten geboten scheint.

Nachfolgend unterrichtet die Bundesnetzagentur über ihre Zuständigkeiten und gesetzliche Einzelregelungen.

Grundsatzfragen der Verpflichtung, Übermittlung der Verkehrsdaten an Behörden
Das Referat IS 16 ist für die grundsätzliche Verpflichtung nach § 113a Abs. 1 TKG sowie für Einzelfragen zu speicherpflichtigen Verkehrsdaten zuständig. Darüber hinaus ist das Referat für Fragen der Übermittlung der Verkehrsdaten nach § 113c nach Maßgabe der Telekommunikations-Überwachungsverordnung nach § 110 Abs. 2 TKG sowie der Technischen Richtlinie nach § 110 Abs. 3 TKG zuständig.

Entschädigung
Für notwendige Aufwendungen zur Umsetzung der Anforderungen nach den §§ 113b, 113d bis 113g steht den Verpflichteten eine angemessene Entschädigung zu, soweit dies zur Abwendung oder zum Ausgleich unbilliger Härten geboten erscheint. Für die Bemessung der Entschädigung sind die tatsächlich entstandenen Kosten maßgebend. Über Anträge entscheidet die Beschlusskammer 2 der Bundesnetzagentur.


OVG Münster: Vorratsdatenspeicherung ist europarechtswidrig - einstweilige Anordnung gegen Pflicht zur Vorratsdatenspeicherung

OVG Münster
Beschluss vom 22.06.2017
13 B 238/17


Das OVG Münster hat in einem Eilverfahren entschieden, dass die Pflicht zur Vorratsdatenspeicherung, die ab dem 01.07.2017 in Kraft treten sollte, europarechtswidrig ist.

Die Pressemitteilung des Gerichts:

Die im Telekommunikationsgesetz vorgesehene Vorratsdatenspeicherung verstößt gegen Unionsrecht

Die im Dezember 2015 gesetzlich eingeführte und ab dem 1. Juli 2017 zu beachtende Pflicht für die Erbringer öffentlich zugänglicher Telekommunikationsdienste, die bei der Nutzung von Telefon- und Internetdiensten anfallenden Verkehrs- und Standortdaten ihrer Nutzer für eine begrenzte Zeit von 10 bzw. – im Fall von Standortdaten – 4 Wochen auf Vorrat zu speichern, damit sie im Bedarfsfall den zuständigen Behörden etwa zur Strafverfolgung zur Verfügung gestellt werden können, ist mit dem Recht der Europäischen Union nicht vereinbar.

Dies hat das Oberverwaltungsgericht durch Beschluss vom 22. Juni 2017 entschieden.

Die Antragstellerin, ein IT-Unternehmen aus München, das u.a. Internetzugangsleistungen für Geschäftskunden in Deutschland und in anderen EU-Mitgliedstaaten erbringt, hatte sich mit einem Antrag auf Erlass einer einstweiligen Anordnung an das Verwaltungsgericht Köln gewandt, um der Verpflichtung zur Vorratsdatenspeicherung vorläufig bis zur Entscheidung über die gleichzeitig erhobene Klage nicht nachkommen zu müssen. Diesen Antrag hatte das Verwaltungsgericht abgelehnt. Der gegen diese Entscheidung erhobenen Beschwerde der Antragstellerin hat das Oberverwaltungsgericht nunmehr stattgegeben.

Zur Begründung hat der 13. Senat ausgeführt: Die Speicherpflicht sei in der Folge eines Urteils des Gerichtshofs der Europäischen Union vom 21. Dezember 2016 – C-203/15 und C-698/15 – jedenfalls in ihren gegenwärtigen Ausgestaltung nicht mit Art. 15 Abs. 1 der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG vom 12. Juli 2002 vereinbar. Die Speicherpflicht erfasse pauschal die Verkehrs- und Standortdaten nahezu alle Nutzer von Telefon- und Internetdiensten. Erforderlich seien aber nach Maßgabe des Gerichtshofs jedenfalls Regelungen, die den von der Speicherung betroffenen Personenkreis von vornherein auf Fälle beschränkten, bei denen ein zumindest mittelbarer Zusammenhang mit der durch das Gesetz bezweckten Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren für die öffentliche Sicherheit bestehe. Dies könne etwa durch personelle, zeitliche oder geographische Kriterien geschehen. Nach dem Urteil des Gerichtshofs könne die anlasslose Speicherung von Daten insbesondere nicht dadurch kompensiert werden, dass die Behörden nur zum Zweck der Verfolgung schwerer Straftaten bzw. der Abwehr schwerwiegender Gefahren Zugang zu den gespeicherten Daten erhielten und strenge Maßnahmen zum Schutz der gespeicherten Daten vor Missbrauch ergriffen würden.

Der Beschluss ist unanfechtbar.

Aktenzeichen: 13 B 238/17 (I. Instanz: VG Köln 9 L 1009/16)

§ 113b Pflichten zur Speicherung von Verkehrsdaten

(1) Die in § 113a Absatz 1 Genannten sind verpflichtet, Daten wie folgt im Inland zu speichern:

1.

Daten nach den Absätzen 2 und 3 für zehn Wochen,

2.

Standortdaten nach Absatz 4 für vier Wochen.

(2) 1Die Erbringer öffentlich zugänglicher Telefondienste speichern

1.

die Rufnummer oder eine andere Kennung des anrufenden und des angerufenen Anschlusses sowie bei Um- oder Weiterschaltungen jedes weiteren beteiligten Anschlusses,

2.

Datum und Uhrzeit von Beginn und Ende der Verbindung unter Angabe der zugrunde liegenden Zeitzone,

3.

Angaben zu dem genutzten Dienst, wenn im Rahmen des Telefondienstes unterschiedliche Dienste genutzt werden können,

4.

im Fall mobiler Telefondienste ferner

a)

die internationale Kennung mobiler Teilnehmer für den anrufenden und den angerufenen Anschluss,

b)

die internationale Kennung des anrufenden und des angerufenen Endgerätes,

c)

Datum und Uhrzeit der ersten Aktivierung des Dienstes unter Angabe der zugrunde liegenden Zeitzone, wenn Dienste im Voraus bezahlt wurden,

5.

im Fall von Internet-Telefondiensten auch die Internetprotokoll-Adressen des anrufenden und des angerufenen Anschlusses und zugewiesene Benutzerkennungen.

2Satz 1 gilt entsprechend

1.

bei der Übermittlung einer Kurz-, Multimedia- oder ähnlichen Nachricht; hierbei treten an die Stelle der Angaben nach Satz 1 Nummer 2 die Zeitpunkte der Versendung und des Empfangs der Nachricht;

2.

für unbeantwortete oder wegen eines Eingriffs des Netzwerkmanagements erfolglose Anrufe, soweit der Erbringer öffentlich zugänglicher Telefondienste die in Satz 1 genannten Verkehrsdaten für die in § 96 Absatz 1 Satz 2 genannten Zwecke speichert oder protokolliert.

(3) Die Erbringer öffentlich zugänglicher Internetzugangsdienste speichern

1.

die dem Teilnehmer für eine Internetnutzung zugewiesene Internetprotokoll-Adresse,

2.

eine eindeutige Kennung des Anschlusses, über den die Internetnutzung erfolgt, sowie eine zugewiesene Benutzerkennung,

3.

Datum und Uhrzeit von Beginn und Ende der Internetnutzung unter der zugewiesenen Internetprotokoll-Adresse unter Angabe der zugrunde liegenden Zeitzone.

(4) 1Im Fall der Nutzung mobiler Telefondienste sind die Bezeichnungen der Funkzellen zu speichern, die durch den anrufenden und den angerufenen Anschluss bei Beginn der Verbindung genutzt wurden. 2Bei öffentlich zugänglichen Internetzugangsdiensten ist im Fall der mobilen Nutzung die Bezeichnung der bei Beginn der Internetverbindung genutzten Funkzelle zu speichern. 3Zusätzlich sind die Daten vorzuhalten, aus denen sich die geografische Lage und die Hauptstrahlrichtungen der die jeweilige Funkzelle versorgenden Funkantennen ergeben.

(5) Der Inhalt der Kommunikation, Daten über aufgerufene Internetseiten und Daten von Diensten der elektronischen Post dürfen auf Grund dieser Vorschrift nicht gespeichert werden.

(6) 1Daten, die den in § 99 Absatz 2 genannten Verbindungen zugrunde liegen, dürfen auf Grund dieser Vorschrift nicht gespeichert werden. 2Dies gilt entsprechend für Telefonverbindungen, die von den in § 99 Absatz 2 genannten Stellen ausgehen. 3§ 99 Absatz 2 Satz 2 bis 7 gilt entsprechend.

(7) Die Speicherung der Daten hat so zu erfolgen, dass Auskunftsersuchen der berechtigten Stellen unverzüglich beantwortet werden können.

(8) Der nach § 113a Absatz 1 Verpflichtete hat die auf Grund des Absatzes 1 gespeicherten Daten unverzüglich, spätestens jedoch binnen einer Woche nach Ablauf der Speicherfristen nach Absatz 1, irreversibel zu löschen oder die irreversible Löschung sicherzustellen.



BGH: Speicherung von dynamischen IP-Adressen über Nutzungsvorgang hinaus kann zulässig sein um generelle Funktionsfähigkeit zu gewährleisten

BGH
Urteil vom 15.05.2017
VI ZR 135/13

Der BGH hat sich nach Enbtscheidung des EuGH (siehe EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten
) erneut mit der Frage der Zulässigkeit der Speicherung dynamischer IP-Adressen durch Webseiten über den eigentlichen Nutzungsvorgang hinaus befasst. Der BGH hat die Sache an das LG Berlin zurückverwiesen, da bislang noch keine ausreichenden Feststellungen getroffen wurden, um die Interessen des Nutzers und des Webseitenbetreibers abzuwägen.


Die Pressemitteilung des BGH:

Bundesgerichtshof zur Zulässigkeit der Speicherung von dynamischen IP-Adressen

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei einer Vielzahl allgemein zugänglicher Internetportale des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof (vgl. Pressemitteilung Nr. 152/2014) hat mit Beschluss vom 28. Oktober 2014 - VI ZR 135/13, VersR 2015, 370 das Verfahren ausgesetzt und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorgelegt. Nachdem der Gerichtshof mit Urteil vom 19. Oktober 2016 - C-582/14, NJW 2016, 3579 die Fragen beantwortet hat, hat der VI. Zivilsenat des Bundesgerichtshofs nunmehr mit Urteil vom 16. Mai 2017 über die Revisionen der Parteien entschieden. Diese hatten Erfolg und führten zur Aufhebung des Berufungsurteils und zur Zurückverweisung der Sache an das Berufungsgericht.

Auf der Grundlage des EuGH-Urteils ist das Tatbestandsmerkmal "personenbezogene Daten" des § 12 Abs. 1 und 2 TMG in Verbindung mit § 3 Abs. 1 BDSG richtlinienkonform auszulegen: Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt für den Anbieter ein (geschütztes) personenbezogenes Datum dar.

Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.

Diese Abwägung konnte im Streitfall auf der Grundlage der vom Berufungsgericht getroffenen Feststellungen nicht abschließend vorgenommen werden. Das Berufungsgericht hat keine hinreichenden Feststellungen dazu getroffen, ob die Speicherung der IP-Adressen des Klägers über das Ende eines Nutzungsvorgangs hinaus erforderlich ist, um die (generelle) Funktionsfähigkeit der jeweils in Anspruch genommenen Dienste zu gewährleisten. Die Beklagte verzichtet nach ihren eigenen Angaben bei einer Vielzahl der von ihr betriebenen Portale mangels eines "Angriffsdrucks" darauf, die jeweiligen IP-Adressen der Nutzer zu speichern. Demgegenüber fehlen insbesondere Feststellungen dazu, wie hoch das Gefahrenpotential bei den übrigen Online-Mediendiensten des Bundes ist, welche der Kläger in Anspruch nehmen will. Erst wenn entsprechende Feststellungen hierzu getroffen sind, wird das Berufungsgericht die nach dem Urteil des Europäischen Gerichtshofs gebotene Abwägung zwischen dem Interesse der Beklagten an der Aufrechterhaltung der Funktionsfähigkeit ihrer Online-Mediendienste und dem Interesse oder den Grundrechten und -freiheiten des Klägers vorzunehmen haben. Dabei werden auch die Gesichtspunkte der Generalprävention und der Strafverfolgung gebührend zu berücksichtigen sein.

Vorinstanzen:

AG Tiergarten - Urteil vom 13. August 2008 - 2 C 6/08

LG Berlin - Urteil vom 31. Januar 2013 - 57 S 87/08

Karlsruhe, den 16. Mai 2017

§ 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

§ 15 Telemediengesetz - Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…



BVerwG: Klage gegen strategische E-Mail-Überwachung durch BND erfolglos - Speicherung und Nutzung von Metadaten im System VERAS muss weiter geklärt werden

BVerwG
Urteile vom 14.12.2016
6 A 9.14
6 A 2.15

Die Pressemitteilung des BVerwG

Klage gegen BND wegen strategischer Überwachung von E-Mail-Verkehr in den Jahren 2012 und 2013 erfolglos; weiterer Aufklärungsbedarf wegen einer Speicherung und Nutzung von Daten im System VERAS

Das Bundesverwaltungsgericht in Leipzig hat über die Zulässigkeit von Klagen verhandelt, mit denen sich ein Rechtsanwalt und der Verein „Reporter ohne Grenzen“ gegen die strategische Überwachung von E-Mail-Verkehr durch den Bundesnachrichtendienst (BND) und die Speicherung und Nutzung von Metadaten in dem System VERAS des BND gewandt haben. Das Bundesverwaltungsgericht ist für Klagen gegen den BND in erster und letzter Instanz zuständig.

Nach dem Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses (Art. 10-Gesetz) ist der BND im Rahmen seiner Aufgaben berechtigt, die Telekommunikation zu überwachen und aufzuzeichnen. Bei der strategischen Fernmeldeüberwachung werden bestimmte internationale Telekommunikationsbeziehungen anhand vorher festgelegter Suchbegriffe durchsucht. Die Kläger haben die Feststellung beantragt, dass der BND durch die Überwachung von E-Mail-Verkehr im Rahmen der strategischen Fernmeldeüberwachung in den Jahren 2012 bzw. 2013 ihr Fernmeldegeheimnis aus Art. 10 GG verletzt hat. Das Bundesverwaltungsgericht hat diese Klagen als unzulässig abgewiesen und damit eine Entscheidung aus dem Jahr 2014 zu einem anderen Überwachungszeitraum im Ergebnis bestätigt.

Nach der Verwaltungsgerichtsordnung muss sich die Feststellungsklage auf einen konkreten, gerade den jeweiligen Kläger betreffenden Sachverhalt beziehen; ein solcher war nicht feststellbar. Unter den Verkehren, die der BND in den Jahren 2012 bzw. 2013 als nachrichtendienstlich relevant behandelt hat, befindet sich kein E-Mail-Verkehr der Kläger. Zwar ist nicht auszuschließen, dass zunächst E-Mail-Verkehre der Kläger erfasst worden sind. Der damit ggf. verbundene Eingriff in Art. 10 GG lässt sich aber nicht mehr feststellen. Selbst wenn solche E-Mails erfasst worden wären, wären sie wie alle anderen nachrichtendienstlich irrelevanten Mails im Einklang mit den Bestimmungen des Artikel 10-Gesetzes und den allgemeinen verfassungsrechtlichen Maßgaben für den Datenschutz unverzüglich und spurenlos gelöscht worden.

Der BND war verpflichtet solche E-Mails zu löschen, weil nach dem gesetzlichen Konzept eine Benachrichtigung der Betroffenen über die Erfassung dieser E-Mail-Verkehre nicht vorgesehen ist. Dies steht im Einklang mit Art. 10 GG i.V.m. Art. 19 Abs. 4 GG, weil dadurch eine Vertiefung von Grundrechtseingriffen durch Speicherung der Daten einer unübersehbaren Zahl von Grundrechtsträgern vermieden wird.

Die damit verbundene Erschwerung des gerichtlichen Rechtsschutzes ist auch deshalb hinnehmbar, weil die Kontrolltätigkeit der G10-Kommission dazu dient, kompensatorischen Grundrechtsschutz zu gewährleisten.

Die Klagen mit dem Ziel, eine Speicherung und Nutzung von Metadaten in dem System VERAS zu unterlassen, sind noch nicht entscheidungsreif. Die in VERAS gespeicherten Metadaten nutzt der BND zur Erstellung von Verbindungsanalysen. Nach dem in der mündlichen Verhandlung gewonnenen Erkenntnisstand werden in VERAS auch anonymisierte Telefonie-Metadaten von Trägern des Grundrechts aus Art. 10 GG aus der strategischen Fernmeldeüberwachung nach dem Artikel 10-Gesetz eingestellt. Dieses Vorgehen des BND bedarf weiterer gerichtlicher Aufklärung.

EuGH: Betreiber einer Webseite darf dynamische IP-Adressen zur Abwehr von Cyberattacken speichern - dynamische IP-Adressen sind personenbezogene Daten

EuGH
Urteil vom 19.10.2016
C-582/14
Patrick Breyer / Bundesrepublik Deutschland


Der EuGH hat entschieden, dass Webseitenetreiber dynamische IP-Adressen zur Abwehr von Cynerattacken bzw. zur Aufrechterhaltung der Funktionsfähigkeit der Webseite speichern dürfen.

Wenig überraschend teilt der EuGH mit, dass auch dynamische IP-Adressen regelmäßig als personenbezogene Daten zu qualifizieren sind. Der EuGH hat bereits im Jahr 2011 - allerdingsohne nähere Begründung - wie selbstverständlich angenommen, dass IP-Adressen personenbezogene Daten sind ( EuGH, Urteil vom 24.11.2011 - C‑70/10 - EuGH: Internetprovider dürfen nicht dazu verpflichtet werden, den Netzverkehr präventiv zu filtern und zu sperren - Verstoß gegen Europarecht). Dies wird in der öffentlichen Diskussion oft vergessen.

Die restriktive Regelung zur Speicherung in § 15 Abs. 1 TMG verstößt gegen EU-Recht, da ein Webseitenbetreiber auch nach Abschluss des Nutzungsvorgangs ein berechtigtes Interesse an der Speicherung dynamische IP-Adressen haben kann.

Die Pressemitteilung des EuGH:

Der Betreiber einer Website kann ein berechtigtes Interesse daran haben, bestimmte personenbezogene Daten der Nutzer zu speichern, um sich gegen Cyberattacken zu verteidigen

Die dynamische Internetprotokoll-Adresse eines Nutzers stellt für den Betreiber der Website ein personenbezogenes Datum dar, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den betreffenden Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen

Herr Patrick Breyer klagt vor deutschen Gerichten dagegen, dass die von ihm abgerufenen Websites von Einrichtungen des Bundes seine Internetprotokoll-Adressen („IP-Adressen“) aufzeichnen und speichern. Von diesen Einrichtungen werden außer dem Zeitpunkt des Zugriffs auch die IP-Adressen der Nutzer aufgezeichnet und gespeichert, um sich gegen Cyberattacken zu
wappnen und eine Strafverfolgung zu ermöglichen.

Der deutsche Bundesgerichtshof möchte vom Gerichtshof wissen, ob in diesem Zusammenhang auch „dynamische“ IP-Adressen für den Betreiber der Website personenbezogene Daten darstellen, so dass sie den für solche Daten vorgesehenen Schutz genießen. Eine „dynamische“ IP-Adresse ist eine IP-Adresse, die sich bei jeder neuen Internetverbindung ändert. Anders als statische IP-Adressen erlauben dynamische IP-Adressen es nicht, anhand allgemein zugänglicher Dateien eine Verbindung zwischen einem Computer und dem vom Internetzugangsanbieter verwendeten physischen Netzanschluss herzustellen. Somit verfügt ausschließlich der Internetzugangsanbieter von Herrn Breyer über die zu dessen Identifizierung erforderlichen
Zusatzinformationen.

Der Bundesgerichtshof möchte ferner wissen, ob der Betreiber einer Website zumindest grundsätzlich die Möglichkeit haben muss, personenbezogene Daten der Nutzer zu erheben und zu verwenden, um die generelle Funktionsfähigkeit seiner Website zu gewährleisten. Er weist insoweit darauf hin, dass die einschlägige deutsche Regelung von der deutschen Lehre überwiegend dahin ausgelegt werde, dass die Daten am Ende des jeweiligen Nutzungsvorgangs zu löschen seien, soweit sie nicht für Abrechnungszwecke benötigt würden.

Mit seinem heutigen Urteil antwortet der Gerichtshof zunächst, dass eine dynamische IP-Adresse, die von einem „Anbieter von Online-Mediendiensten“ (d. h. vom Betreiber einer Website, hier den Einrichtungen des Bundes) beim Zugriff auf seine allgemein zugängliche Website gespeichert wird, für den Betreiber ein personenbezogenes Datum darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, den Nutzer anhand der Zusatzinformationen, über die dessen Internetzugangsanbieter verfügt, bestimmen zu lassen.

Der Gerichtshof führt hierzu aus, dass es in Deutschland offenbar rechtliche Möglichkeiten gibt, die es dem Anbieter von Online-Mediendiensten erlauben, sich insbesondere im Fall von Cyberattacken an die zuständige Behörde zu wenden, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und anschließend die Strafverfolgung einzuleiten.

Zweitens antwortet der Gerichtshof, dass das Unionsrecht einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.

Die Verarbeitung personenbezogener Daten ist nach dem Unionsrecht u. a. rechtmäßig, wenn sie zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, erforderlich ist, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Die deutsche Regelung schränkt nach ihrer in der Lehre überwiegend vertretenen Auslegung die Tragweite dieses Grundsatzes ein, indem sie es ausschließt, dass der Zweck, die generelle Funktionsfähigkeit des Online-Mediums zu gewährleisten, Gegenstand einer Abwägung mit dem Interesse oder den Grundrechten und Grundfreiheiten der Nutzer sein kann.

Der Gerichtshof hebt in diesem Zusammenhang hervor, dass die Einrichtungen des Bundes, die Online-Mediendienste anbieten, ein berechtigtes Interesse daran haben könnten, die Aufrechterhaltung der Funktionsfähigkeit der von ihnen allgemein zugänglich gemachten Websites über ihre konkrete Nutzung hinaus zu gewährleisten



BGH: Sind dynamische IP-Adressen personenbezogene Daten - Wann dürfen diese ohne Einwilligung verarbeitet und gespeichert werden ? - Vorlagebeschluss an den EuGH

BGH
Urteil vom 28.10.2014
VI ZR 135/13


Wie zu erwarten hat der BGH diverse Fragen zur Speicherung dynamischer IP-Adressen dem EuGH zur Entscheidung vorgelegt. Dabei geht es auch um die Frage, ob diese personenbezogene Daten darstellen.

Allerdings hat der EuGH bereits im Jahr 2011 - allerdings ohne nähere Begründung - wie selbstverständlich angenommen, dass IP-Adressen personenbezogene Daten sind (EuGH, Urteil vom 24.11.2011 - C‑70/10 - EuGH: Internetprovider dürfen nicht dazu verpflichtet werden, den Netzverkehr präventiv zu filtern und zu sperren - Verstoß gegen Europarecht). Dies wird in der öffentlichen Diskussion oft vergessen.

Die Pressemitteilung des BGH:

"Vorlage an den EuGH in Sachen "Speicherung von dynamischen IP-Adressen"

Der Kläger verlangt von der beklagten Bundesrepublik Deutschland Unterlassung der Speicherung von dynamischen IP-Adressen. Dies sind Ziffernfolgen, die bei jeder Einwahl vernetzten Computern zugewiesen werden, um deren Kommunikation im Internet zu ermöglichen. Bei den meisten allgemein zugänglichen Internetportalen des Bundes werden alle Zugriffe in Protokolldateien festgehalten mit dem Ziel, Angriffe abzuwehren und die strafrechtliche Verfolgung von Angreifern zu ermöglichen. Dabei werden unter anderem der Name der abgerufenen Seite, der Zeitpunkt des Abrufs und die IP-Adresse des zugreifenden Rechners über das Ende des jeweiligen Nutzungsvorgangs hinaus gespeichert. Der Kläger rief in der Vergangenheit verschiedene solcher Internetseiten auf.

Mit seiner Klage begehrt er, die Beklagte zu verurteilen, es zu unterlassen, ihm zugewiesene IP-Adressen über das Ende des jeweiligen Nutzungsvorgangs hinaus zu speichern. Das Amtsgericht hat die Klage abgewiesen. Auf die Berufung des Klägers hat das Landgericht dem Kläger den Unterlassungsanspruch nur insoweit zuerkannt, als er Speicherungen von IP-Adressen in Verbindung mit dem Zeitpunkt des jeweiligen Nutzungsvorgangs betrifft und der Kläger während eines Nutzungsvorgangs seine Personalien angibt. Gegen dieses Urteil haben beide Parteien die vom Berufungsgericht zugelassene Revision eingelegt.

Der Bundesgerichtshof hat beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof zwei Fragen zur Auslegung der EG-Datenschutz-Richtlinie zur Vorabentscheidung vorzulegen.

1. Der Unterlassungsanspruch setzt voraus, dass es sich bei den dynamischen IP-Adressen für die verantwortlichen Stellen der Beklagten, die die Adressen speichern, um "personenbezogene Daten" handelt, die von dem durch die Richtlinie harmonisierten Datenschutzrecht geschützt werden. Das könnte in den Fällen, in denen der Kläger während eines Nutzungsvorgangs seine Personalien nicht angegeben hat, fraglich sein. Denn nach den getroffenen Feststellungen lagen den verantwortlichen Stellen keine Informationen vor, die eine Identifizierung des Klägers anhand der IP-Adressen ermöglicht hätten. Auch durfte der Zugangsanbieter des Klägers den verantwortlichen Stellen keine Auskunft über die Identität des Klägers erteilen. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob Art. 2 Buchstabe a der EG-Datenschutz-Richtlinie dahin auszulegen ist, dass eine IP-Adresse, die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn lediglich ein Dritter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.

2. Geht man von "personenbezogenen Daten" aus, so dürfen die IP-Adressen des Nutzers nicht ohne eine gesetzliche Erlaubnis gespeichert werden (§ 12 Abs. 1 TMG), wenn – wie hier – eine Einwilligung des Nutzers fehlt. Nach dem für die rechtliche Prüfung maßgebenden Vortrag der Beklagten ist die Speicherung der IP-Adressen zur Gewährleistung und Aufrechterhaltung der Sicherheit und Funktionsfähigkeit ihrer Telemedien erforderlich. Ob das für eine Erlaubnis nach § 15 Abs. 1 TMG ausreicht, ist fraglich. Systematische Erwägungen sprechen dafür, dass diese Vorschrift eine Datenerhebung und -verwendung nur erlaubt, um ein konkretes Nutzungsverhältnis zu ermöglichen, und dass die Daten, soweit sie nicht für Abrechnungszwecke benötigt werden, mit dem Ende des jeweiligen Nutzungsvorgangs zu löschen sind. Art. 7 Buchstabe f der EG-Datenschutz-Richtlinie könnte aber eine weitergehende Auslegung gebieten. Der Bundesgerichtshof hat dem Europäischen Gerichtshof deshalb die Frage vorgelegt, ob die EG-Datenschutz-Richtlinie einer Vorschrift des nationalen Rechts mit dem Inhalt des § 15 Abs. 1 TMG entgegen steht, wonach der Diensteanbieter personenbezogene Daten eines Nutzers ohne dessen Einwilligung nur erheben und verwenden darf, soweit dies erforderlich ist, um die konkrete Inanspruchnahme des Telemediums durch den jeweiligen Nutzer zu ermöglichen und abzurechnen, und wonach der Zweck, die generelle Funktionsfähigkeit des Telemediums zu gewährleisten, die Verwendung nicht über das Ende des jeweiligen Nutzungsvorgangs hinaus rechtfertigen kann.

§ 12 Telemediengesetz - Grundsätze

(1) Der Diensteanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat.

(2) …

§ 15 Telemediengesetz – Nutzungsdaten

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)…

Art. 2 EG-Datenschutz-Richtlinie – Begriffsbestimmungen

Im Sinne dieser Richtlinie bezeichnet der Ausdruck

a) "personenbezogene Daten" alle Informationen über eine bestimmte oder bestimmbare natürliche Person […]; als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind; […]

Art. 7 EG-Datenschutz-Richtlinie

Die Mitgliedstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist: […]

f) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person, die gemäß Art. 1 Abs. 1 geschützt sind, überwiegen.

Urteil vom 28. Oktober - VI ZR 135/13

AG Tiergarten - Urteil vom 13. August 2008 - 2 C 6/08

LG Berlin - Urteil vom 31. Januar 2013 - 57 S 87/08

ZD 2013, 618 und CR 2013, 471"


OLG Frankfurt: Anlasslose Speicherung von IP-Daten über einen Zeitraum von 7 Tagen zur Ermittlung von Störungen nach § 100 Abs. 1 TKG zulässig

OLG Frankfurt
Urteil vom 28.08.2013
13 U 105/07


Das OLG Frankfurt hat entschieden, dass die anlasslose Speicherung von IP-Daten durch den Provider über einen Zeitraum von 7 Tagen zur Ermittlung von Störungen nach § 100 Abs. 1 TKG zulässig ist.

Siehe zu diesem Verfahren auch: BGH, Urteil vom 13.01.2011 -III ZR 146/10 - Speicherung dynamischer IP-Adressen: Zur Zulässigkeit der Speicherung dynamischer IP-Adressen zu Abrechnungszwecken


Den Volltext der Entscheidung finden Sie hier:


RA Beckmann in der WirtschaftsWoche Heft 33/13 -Interne Vorratsdatenspeicherung zur Wirtschaftlichkeitsprüfung durch Telekommunikationsunternehmen unzulässig

Rechtsanwalt Marcus Beckmann wurde in Heft 33/13 der Wirtschaftswoche
im Rahmen des Beitrags "Konzern überwacht Telefonverkehr - Vieltelefonierer sind Telekom zu teuer" als Experte befragt und kommt zu dem Ergebnis, dass eine interne Vorratsdatenspeicherung zur Wirtschaftlichkeitsprüfung unzulässig ist.

OLG Hamm: Fehlende Belehrung über Speicherung des Vertragstextes ist ein abmahnfähiger Wettbewerbsverstoß

OLG Hamm,
Urteil vom
23.10.2012
I-4 U 134/12


Das OLG Hamm hat entschieden, dass ein Fehlen der Belehrung über Speicherung des Vertragstextes (§ 312g Abs. 1 Nr. 2 BGB) ein abmahnfähiger Wettbewerbsverstoß darstellt.

Aus den Entscheidungsgründen:

"Es verstieß zudem mangels Informationen zum Abruf und zur Speicherung des Vertragstextes gegen § 312g Abs. 1 Nr. 2 BGB i.V.m. Art. 246 § 3 Nr. 2 EGBGB.

Die vorgenannten Vorschriften stellen Marktverhaltensregeln zum Schutze des Verbrauchers nach § 4 Nr. 11 UWG dar, deren Verletzung die Interessen der Verbraucher spürbar i.S.d. 3 Abs. 2 UWG beeinträchtigt (BGH GRUR 2010, 1142 – Holzhocker; Köhler/Bornkamm, 30. Aufl., § 4 UWG Rdnr. 11.170).

Der Verstoß gegen diese Verbraucherrechte hat europarechtlichen Bezug.

Das Vorenthalten dieser Informationen stellt einen Wettbewerbsverstoß im Sinne von § 5a Abs. 2 UWG dar. Bei den vorenthaltenen Angaben handelt es sich auf Grund der gesetzlichen Vermutung des § 5a Abs. 4 UWG um gemäß Art. 7 Abs. 5 der Richtlinie 2005/29/EG („UGP-Richtlinie“) „wesentliche“ Informationen, da die genannten Vorschriften die FernabsatzRG sowie die E-CommerceRL 5, 10 und 11 umsetzen (Palandt-Grüneberg, 71. Aufl., § 312c BGB Rdnr.1, § 312g BGB Rdrn.1). Das Vorenthalten der nach § 5a Abs. 4 UWG als wesentlich in Bezug genommenen Verbraucherinformationen nach den gemeinschaftsrechtlichen Richtlinien ist unwiderleglich als „spürbare Beeinträchtigung“ der Entscheidungsfähigkeit des Verbrauchers i.S.d. § 3 Abs. 2 UWG anzusehen (BGH GRUR 2010, 852 – Gallardo Spyder)."


Den Volltext der Entscheidung finden Sie hier: