Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung: am Beispiel des personenbezogenen Datenverkehrs im WWW nach deutschem öffentlichen Recht [1 ed.] 9783428538553, 9783428138555

Citation preview

Schriften zum Öffentlichen Recht Band 1223

Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung am Beispiel des personenbezogenen Datenverkehrs im WWW nach deutschem öffentlichen Recht Von Ruth Weidner-Braun

Duncker & Humblot · Berlin

RUTH WEIDNER-BRAUN

Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung

Schriften zum Öffentlichen Recht Band 1223

Der Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung am Beispiel des personenbezogenen Datenverkehrs im WWW nach deutschem öffentlichen Recht

Von Ruth Weidner-Braun

Duncker & Humblot · Berlin

Die Wirtschafts- und Sozialwissenschaftliche Fakultät der Friedrich-Alexander-Universität Erlangen-Nürnberg hat diese Arbeit im Jahre 2011 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2012 Duncker & Humblot GmbH, Berlin

Fremddatenübernahme: Klaus-Dieter Voigt, Berlin Druck: Berliner Buchdruckerei Union GmbH, Berlin Printed in Germany ISSN 0582-0200 ISBN 978-3-428-13855-5 (Print) ISBN 978-3-428-53855-3 (E-Book) ISBN 978-3-428-83855-4 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Für Lea-Marie

Wenn wir Menschen bleiben wollen, dann gibt es nur einen Weg (. . .) Wir müssen ins Unbekannte, ins Ungewisse, ins Unsichere weiterschreiten und die Vernunft, die uns gegeben ist, verwenden, um, so gut wir es eben können, für beides zu planen: nicht nur für Sicherheit, sondern zugleich auch für Freiheit. Karl R. Popper – Die offene Gesellschaft und ihre Feinde, 1945

Inhaltsübersicht Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

A. Technik, Sicherheit und Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

B. Vorgehen und Ziel der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

21

Erster Teil Das Internet im 21. Jahrhundert

26

Erstes Kapitel Information, Wissen und Gesellschaft

26

A. Leben im Zeitalter der Neuen Medien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

B. Anlassfälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

Zweites Kapitel Grundlagen zum WWW

45

A. Begriffliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

B. Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

55

C. Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

63

Zweiter Teil Die Verletzung der Privatsphäre im WWW

105

Erstes Kapitel Grundlagen zur Verwendung personenbezogener Daten

105

A. Begriffliche Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 B. Missbrauch personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 C. Datenschutz im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

6

Inhaltsübersicht Zweites Kapitel Analyse der Gefahrenbereiche im WWW

175

A. E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 B. E-Commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 C. Sonderform: Internetnutzung am Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Dritter Teil Effektiver Schutz der Privatsphäre

255

Erstes Kapitel Verantwortlichkeit und Haftung im WWW

255

A. Effektivität und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 B. Verantwortlichkeit der Provider für unzulässige oder unrichtige Datenverwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Zweites Kapitel Kontrolle des personenbezogenen Datenverkehrs im WWW

282

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden . . . . . 283 B. Präventive Kontrolle – Gefahrenabwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 C. Repressive Kontrolle – Strafverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr . . . . . . 326 Drittes Kapitel Die Gewährleistung von Freiheit und Sicherheit als staatliche Aufgabe

339

A. Begriffliche Einordnung – Freiheit und Sicherheit . . . . . . . . . . . . . . . . . . . . . . 340 B. Umfang staatlicher Kontrolle im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Viertes Kapitel Zusammenfassung und Ausblick

357

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Inhaltsverzeichnis Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

A. Technik, Sicherheit und Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

B. Vorgehen und Ziel der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

21

Erster Teil Das Internet im 21. Jahrhundert

26

Erstes Kapitel Information, Wissen und Gesellschaft

26

A. Leben im Zeitalter der Neuen Medien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Information als zentrales Gut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Informationsgesellschaft und Wissensgesellschaft . . . . . . . . . . . . . . . . . . . . . .

26 29 31

B. Anlassfälle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

Zweites Kapitel Grundlagen zum WWW

45

A. Begriffliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

B. Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Aufbau und Struktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Funktionsweise des World Wide Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

55 56 59

C. Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Internationale Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Europäische Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Nationale Regelungen der Bundesrepublik Deutschland . . . . . . . . . . . . . . . . . 1. Verfassungsrechtliche Grundlagen – Grundgesetz (GG) . . . . . . . . . . . . . . a) Allgemeines Persönlichkeitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Recht auf informationelle Selbstbestimmung . . . . . . . . . . . . . . . . . . . . c) Fernmeldegeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Strafrechtliche Grundlagen – Strafgesetzbuch (StGB) . . . . . . . . . . . . . . .

63 63 66 73 73 73 78 84 86

8

Inhaltsverzeichnis 3. Einfachgesetzliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Bundesdatenschutzgesetz (BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Telekommunikationsgesetz (TKG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Telemediengesetz (TMG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

92 93 97 99

Zweiter Teil Die Verletzung der Privatsphäre im WWW

105

Erstes Kapitel Grundlagen zur Verwendung personenbezogener Daten

105

A. Begriffliche Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 I. Daten, Datensicherheit und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 II. Privatheit und Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 B. Missbrauch personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Relevanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Zweckfremde, unzulässige oder unbefugte Verwendung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Erstellung von Kunden- und Nutzungsprofilen . . . . . . . . . . . . . . . . . . . . . . . . IV. Scoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

121 121

C. Datenschutz im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Inhalte und Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Rechte der Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Recht auf Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Auskunftsanspruch gegenüber nicht-öffentlichen Stellen . . . . . . . . . . b) Auskunftsanspruch gegenüber öffentlichen Stellen . . . . . . . . . . . . . . . c) Auskunftsanspruch gemäß Telemediengesetz . . . . . . . . . . . . . . . . . . . . d) Entgeltliche Auskunft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Recht auf Benachrichtigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Recht auf Berichtigung, Löschung und Sperrung . . . . . . . . . . . . . . . . . . . 4. Recht auf Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Koppelungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

137 137 150 151 153 155 156 158 159 161 165 171 173

123 126 133

Zweites Kapitel Analyse der Gefahrenbereiche im WWW

175

A. E-Government . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

Inhaltsverzeichnis

9

I.

Begriff und Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 II. E-Democracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 III. E-Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 IV. Datenübermittlung zwischen Behörden und Datenverarbeitung durch Dritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 V. E-Government-Angebote und Datenverarbeitung: Anwendbarkeit bestehender rechtlicher Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 1. Einordnung der verwendeten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 2. Zulässigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 B. E-Commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 I. Begriff und Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 II. Verarbeitung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 1. Erwerb von Waren und Dienstleistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 2. Internetauktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 3. E-Banking und E-Broking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 a) E-Banking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 b) E-Broking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 III. Vertragsschluss im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 1. Willenserklärungen zum Vertragsschluss im WWW . . . . . . . . . . . . . . . . . 217 2. Elektronische Signatur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 IV. Zur Rechtmäßigkeit von Einwilligungserklärungen im Wege der Datenverarbeitung im E-Commerce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 1. Anwendbarkeit der Einwilligungsvorschrift nach § 4 BDSG . . . . . . . . . . 225 2. Geeignetheit und Erforderlichkeit von Einwilligungserklärungen zum Schutzdes Rechts auf informationelle Selbstbestimmung . . . . . . . . . . . . . 227 3. Die freie Entscheidung und informierte Einwilligung als Voraussetzung für eine wirksame Einwilligungserklärung . . . . . . . . . . . . . . . . . . . . 229 4. Anwendbarkeit der gesetzlichen Vorschriften im Sinne des Nutzers . . . 232 5. Prüfung der Rechtmäßigkeit von Einwilligungserklärungen nach dem Verhältnismäßigkeitsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 C. Sonderform: Internetnutzung am Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . 240 I. Arbeitsrechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 II. Eingriffe in die Privatsphäre des Arbeitnehmers . . . . . . . . . . . . . . . . . . . . . . . 244 1. Zulässigkeit der Kontrolle des Datenverkehrs im Beschäftigungsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 2. Umfang der Kontrollbefugnis des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . 247 a) Dienstliche Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 b) Private Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 3. Rechte und Schutz des betroffenen Arbeitnehmers . . . . . . . . . . . . . . . . . . 253

10

Inhaltsverzeichnis Dritter Teil Effektiver Schutz der Privatsphäre

255

Erstes Kapitel Verantwortlichkeit und Haftung im WWW

255

A. Effektivität und Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 B. Verantwortlichkeit der Provider für unzulässige oder unrichtige Datenverwendung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Einfachgesetzliche Haftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Access Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Host Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Content Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Störerhaftung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Content Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Host und Access Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

257 257 258 262 267 273 275 276

Zweites Kapitel Kontrolle des personenbezogenen Datenverkehrs im WWW

282

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden . . . . . 283 B. Präventive Kontrolle – Gefahrenabwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Maßnahmen der Gefahrenabwehr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Host und Content Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Access Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Zur Verhältnismäßigkeit von Löschungs- und Sperrungsverfügungen . . 4. Datenverwendung im Wege der polizeilichen Gefahrenabwehr und Strafverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

291 291 296 297 298 301

C. Repressive Kontrolle – Strafverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Straftaten und Ordnungswidrigkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Anwendbarkeit strafrechtlicher Vorschriften für das WWW . . . . . . . . . . . . . III. Befugnisse der Strafverfolgungsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Spezialregelungen für den behördlichen Datenzugriff . . . . . . . . . . . . . . . . . . V. Besondere Befugnisse der Strafverfolgungsbehörden . . . . . . . . . . . . . . . . . . . 1. Online-Durchsuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vorratsdatenspeicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

312 313 315 317 320 321 321 323

307

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr . . . . . . 326

Inhaltsverzeichnis

11

I. Deutsches Recht im internationalen Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . II. Territorialitätsprinzip als Grundlage internationaler datenschutzrechtlicher Strafverfolgung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Maßgeblichkeit der Zurechenbarkeit von Delikten zum Handlungs- oder Erfolgsort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Initiativen und Konventionen zur globalen Harmonisierung von straf- und verfahrensrechtlichen Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

327 331 332 336

Drittes Kapitel Die Gewährleistung von Freiheit und Sicherheit als staatliche Aufgabe

339

A. Begriffliche Einordnung – Freiheit und Sicherheit . . . . . . . . . . . . . . . . . . . . . . . 340 B. Umfang staatlicher Kontrolle im WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Gewährleistung von Sicherheit auf der Grundlage der Freiheit . . . . . . . . . . . II. Verpflichtung und Aufgabe staatlicher Organe zum Schutz der Freiheit des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Verhältnismäßigkeit staatlicher Kontrolle des Datenverkehrs über das WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Umfang der Verantwortung staatlicher Stellen, der Provider und Selbstverantwortung der Nutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

346 347 350 352 355

Viertes Kapitel Zusammenfassung und Ausblick

357

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

Abbildungsverzeichnis Abbildung 1: Überschneidung von Inhalts- und Zugangsangebot . . . . . . . . . . . . . . . .

54

Abbildung 2: Client-Server-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

57

Abbildung 3: Schichtenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

59

Abbildung 4: Übersicht zur Abgrenzung der Begriffe Datenschutz und Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

Abkürzungsverzeichnis ABl. Abs. AcP AfP AG AGB ÄndG AOL AöR ArchivPT Art. Aufl. Az. B2B B2C BAG BayDSG BayGVBl. BayRS BayVBl. BayVGH BB BbgDSG Bd. BDSG BfD BGB BGBl. BGH BGHSt BGHZ BlnDSG BR-Drs. BrDSG BSI BT-Drs.

Amtsblatt Absatz Archiv für civilistische Praxis (Zeitschrift) Archiv für Presserecht (Zeitschrift) Amtsgericht Allgemeine Geschäftsbedingungen Änderungsgesetz America Online Archiv des öffentlichen Rechts Archiv für Post und Telekommunikation (Zeitschrift) Artikel Auflage Aktenzeichen Business to Business Business to Consumer Bundesarbeitsgericht Bayerisches Datenschutzgesetz Bayerisches Gesetz- und Verordnungsblatt Bayerische Rechtssammlung Bayerische Verwaltungsblätter Bayerischer Verwaltungsgerichtshof Der Betriebs-Berater (Zeitschrift) Brandenburgisches Datenschutzgesetz Band Bundesdatenschutzgesetz Bundesbeauftragter für Datenschutz Bürgerliches Gesetzbuch Bundesgesetzblatt Bundesgerichtshof Entscheidungen des Bundesgerichtshofes in Strafsachen Entscheidungen des Bundesgerichtshofes in Zivilsachen Berliner Datenschutzgesetz Bundesrats-Drucksache Bremisches Datenschutzgesetz Bundesamt für Sicherheit in der Informationstechnik Bundestags-Drucksache

14 Buchst. BVerfG BVerfGE BVerwG BVerwGE BWahlG CR DB ders. DNS DÖV DSRL

DuD DV DVBl. E-Commerce EDV EG EGBGB EG-DSRL EGMR E-Government EL ELGVG E-Mail EMRK EU EuGH EUGRZ EuZW EWS f. ff. FTP GA gem. GG GVBl. HambDSG

Abkürzungsverzeichnis Buchstabe Bundesverfassungsgericht Entscheidungen (Amtliche Sammlung) des Bundesverfassungsgerichts Bundesverwaltungsgericht Entscheidungen (Amtliche Sammlung) des Bundesverwaltungsgerichts Bundeswahlgesetz Computer und Recht (Zeitschrift) Der Betrieb (Zeitschrift) derselbe Domain Name System Die Öffentliche Verwaltung (Zeitschrift) Richtlinie des Europäischen Parlaments und des Rates vom 24.10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281, 33 Datenschutz und Datensicherung (Zeitschrift) Datenverarbeitung Deutsches Verwaltungsblatt (Zeitschrift) Electronic Commerce Elektronische Datenverarbeitung Europäische Gemeinschaft Einführungsgesetz zum Bürgerlichen Gesetzbuch EG-Datenschutzrichtlinie Europäischer Gerichtshof für Menschenrechte Elektronisches Government Ergänzungslieferung Elektronischer Geschäftsverkehr-Vereinheitlichungsgesetz Elektronische Mail Europäische Menschenrechtskonvention Europäische Union Gerichtshof der Europäischen Gemeinschaften Europäische Grundrechte Zeitschrift Europäische Zeitschrift für Wirtschaftsrecht (Zeitschrift) Europäisches Wirtschafts- und Steuerrecht (Zeitschrift) folgend fortfolgend File Transfer Protocol Goltdammer’s Archiv für Strafrecht gemäß Grundgesetz für die Bundesrepublik Deutschland Gesetzes- und Verordnungsblatt Hamburgisches Datenschutzgesetz

Abkürzungsverzeichnis HambGVBl. HRRS Hrsg. HRV HTML http Internet IP IRC IT-Sicherheit IuKDG i.V. m. JA JMStV JR Jura JuS JZ K&R Kap. KJ Kriminalistik LDSG LG LStVG (Bay) LT-Drs. MDR MDStV MMR NJW NJW-RR Nr. NStZ NVwZ OECD OLG PAG PC PIN PolG Rdn.

15

Hamburgisches Gesetz- und Verordnungsblatt Zeitschrift für Höchstrichterliche Rechtsprechung im Strafrecht Herausgeber Handelsregisterverordnung Hypertext Markup Language Hypertext Transfer Protocol Interconnected Network Internet Protocol Internet Relay Chat Magazin für IT-Sicherheit (Zeitschrift) Informations- und Kommunikationsdienstegesetz in Verbindung mit Juristische Arbeitsblätter Jugendmedienschutz-Staatsvertrag Juristische Rundschau Jura Magazin (Zeitschrift) Juristische Schulung (Zeitschrift) Juristen Zeitung Kommunikation und Recht (Zeitschrift) Kapitel Kritische Justiz (Zeitschrift) Kriminalistik. Unabhängige Zeitschrift für kriminalistische Wissenschaft und Praxis (Zeitschrift) Landesdatenschutzgesetz Landgericht Bayerische Landesstraf- und Verordnungsgesetze Landtags-Drucksache Monatsschrift für Deutsches Recht Mediendienste Staatsvertrag MultiMedia und Recht (Zeitschrift) Neue Juristische Wochenschrift (Zeitschrift) Neue Juristische Wochenschrift – Rechtsprechungs-Report Nummer Neue Zeitschrift für Strafrecht (Zeitschrift) Neue Zeitschrift für Verwaltungsrecht Organisation for Economic Cooperation and Development Oberlandesgericht Polizeiaufgabengesetz Personalcomputer Personal Identification Number Polizeigesetz Randnummer

16 RDV Recht und Politik RL RStV S. SCHUFA SigG SigV SSL StGB StPO StrÄndG TAN TCP/IP TDDSG TDG TDSV TKG TMG UN URL VEMEPolG VGH vgl. VwVfG W-LAN WM WRP WWW ZG ZRP ZUM

Abkürzungsverzeichnis Recht der Datenverarbeitung (Zeitschrift) Magazin für Recht und Politik (Zeitschrift) Richtlinie Rundfunkstaatsvertrag Satz/Seite Schutzgemeinschaft für allgemeine Kreditsicherung Signaturgesetz Signaturverordnung Secure Socket Layer Strafgesetzbuch Strafprozessordnung Strafrechtsänderungsgesetz Transaktionsnummer Transmission Control Protocol/Internet Protocol Teledienstedatenschutzgesetz Teledienstegesetz Telekommunikations-Datenschutzverordnung Telekommunikationsgesetz Telemediengesetz United Nations/Vereinte Nationen Uniform Resource Locator Vorentwurf zur Änderung des Musterentwurfs eines einheitlichen Polizeigesetzes des Bundes und der Länder Verwaltungsgerichtshof vergleiche Verwaltungsverfahrensgesetz Wireless LAN Wertpapier-Mitteilungen (Zeitschrift) Wettbewerb in Recht und Praxis (Zeitschrift) World Wide Web Zeitschrift für Gesetzgebung Zeitschrift für Rechtspolitik (Zeitschrift) Zeitschrift für Urheber- und Medienrecht

Einleitung A. Technik, Sicherheit und Privatsphäre Im Jahr 1989 erfand der Techniker Tim Berners-Lee das Internet.1 Heute, mehr als 20 Jahre später, gibt dies Anlass für eine Bilanz. In technischer Hinsicht ist das Internet und mit ihm der Browser, als Einstieg in die virtuelle Welt des World Wide Web (WWW), bis heute ein Meilenstein der Entwicklung im Rahmen der zunehmenden wirtschaftlichen Globalisierung2. Unter dem Schlagwort „Informationsgesellschaft“ lebt der Bürger im 21. Jahrhundert, fernab des industriell geprägten Lebens vorheriger Generationen, in einer neu geschaffenen, digitalen Welt des zeit- und ortsunabhängigen Zugangs zu Informationen, der Kommunikation via E-Mail sowie der Möglichkeit des elektronischen Geschäftsverkehrs.3 Neben den technischen Vorteilen des Internets ist jedoch von Interesse, mit welchen Auswirkungen die Nutzung dieses digitalen Datennetzwerks heute in Bezug auf den Schutz der Verwendung personenbezogener Daten und einem möglichen Eingriff in die Privatsphäre4 des einzelnen Nutzers, des Bürgers, verbunden ist.

1 A. Postinett/H. Schürmann, Verschwunden im Netz – 20 Jahre World Wide Web, Handelsblatt, Ausg. 51 vom 13./14./15.3.2009, S. 14; W. Eilenberger, Mister World Wide Web. Interview mit Tim Berners-Lee, in: Cicero 10 (2005), S. 40 f. 2 Zur Globalisierung und dem Kampf gegen den internationalen Terrorismus vgl. H. Ginsburg, Das schwarze Loch der Globalisierung, in: Wirtschaftswoche, 10 (2006), S. 56; ausführlich zu den Trends und Folgen der postindustriellen Informationsgesellschaft vgl. auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, 2000, S. 48 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, 2000, S. 34; J. Tauss/C. Özdemir, Umfassende Modernisierung des Datenschutzrechts. Rot-grünes Reformprojekt und Modellprojekt der digitalen Demokratie, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, S. 233. 3 Zur Informationsgesellschaft und deren Entwicklung im 21. Jahrhundert am Beispiel des Suchmaschinenbetreibers Google vgl. M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 104; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, 2003, S. 15; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9; H. W. Opaschowski, Generation@. Die Medienrevolution entlässt ihre Kinder: Leben im Informationszeitalter, 1999, S. 120 ff. 4 Zur Achtung der Privatsphäre vgl. U. Di Fabio, Kommentierung des Art. 2 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 2001, Rdn. 149 ff.; in diesem Sinne auch BVerfGE 6, 32 (32 ff.); 6, 389 (389 ff.).

18

Einleitung

Der 11. September 2001 gilt als dasjenige Datum, an dem das Sicherheitsempfinden der westlichen Welt einer umfassenden Zäsur unterworfen wurde.5 Die Angst vor neuen Terroranschlägen führte zu einer bis heute andauernden Diskussion um die Möglichkeiten umfassender sowie effektiver Antiterrormaßnahmen. Dabei gehen die Sicherheitsinteressen des Staates nicht selten den durch die staatlichen Eingriffsbefugnisse betroffenen Freiheitsrechten der Bürger vor.6 So werden zum Schutz der öffentlichen Sicherheit internationale Antiterrornetzwerke aufgebaut, immense Datenmengen persönlicher Daten von Bürgern gesammelt und verdichtet, um eine effektive Prävention vor einer als allgegenwärtig bezeichneten Gefährdung,7 die von dem globalen Netzwerk Internet ausgeht, zu gewährleisten.8 Von Seiten der Gesetzgebung wurde auf die zunehmende elektronische Verarbeitung von Daten im Internet mit zahlreichen Novellierungen bestehender sowie der Verabschiedung neuer Gesetze reagiert. Wo jedoch die Veröffentlichung von Informationen und der leichte Zugang zu persönlichen Daten allgegenwärtig ist, besteht die Gefahr, dass der Schutz der Persönlichkeit des Einzelnen und in Verbindung damit sein Recht auf Wahrung eines geschützten persönlichen Lebensraums,9 zugunsten übergeordneter Interessen der Gemeinschaft in den Hintergrund tritt. 5 H. Ginsburg, Das schwarze Loch der Globalisierung, in: Wirtschaftswoche, 10 (2006), S. 56. 6 Bundesbeauftragter für den Datenschutz, 19. Tätigkeitsbericht – 2001–2002, BTDrs. 15/888, S. 24 f.; T. Weichert, Grundrechte in der Informationsgesellschaft, DuD 24 (2000), S. 2; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 35. 7 Zur Verwendung des Begriffs der Gefährdung infolge eines aus der zweckfremden, unzulässigen oder unbefugten Datenverarbeitung resultierenden Eingriffs in das Recht auf informationelle Selbstbestimmung des Betroffenen vgl. BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 8 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 34 f. 9 So BVerfGE 27, 1 (6); 27, 344 (350 f.); zur daraus abgeleiteten Sphärentheorie jedoch zu Recht kritisch K. A. Schachtschneider, Freiheit in der Republik, S. 623 ff.; S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 65 f. mit Verweis auf die vom Bundesverfassungsgericht entwickelte Sphärentheorie, welche mit dem Volkszählungsurteil durch die Feststellung des Bundesverfassungsgerichts zur Auslegung der Zulässigkeit der Datenverarbeitung primär anhand des Verwendungszusammenhangs, weitgehend aufgehoben wurde; zur Sphärentheorie vgl. H. Dreier, Kommentierung des Art. 2 Abs. 1 GG, in ders. (Hrsg.), Grundgesetz, Band 1, 2. Aufl. 2004, Rdn. 52; G. Rüpke, Der verfassungsrechtliche Schutz der Privatheit. Zugleich ein Versuch pragmatischen Grundrechtsverständnisses, 1976, S. 20, 30 f.; zur Abgrenzung verschiedener Sphären D. Rohlf, Der grundrechtliche Schutz der Privatsphäre. Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, 1980, S. 76 ff., 87 ff., 135 ff., 192 ff.; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff., 60 ff.; J. Schwabe, Probleme der Grundrechtsdogmatik, 1977, S. 314 ff.; W. Schmitt Glaeser, Schutz der Privatsphäre, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. VI, Freiheitsrechte, 1989, § 129, Rdn. 10 ff., 27 ff.; zur Sphärentheorie vgl. Rechtsprechung des Bundesverfassungsgerichts, BVerfGE

A. Technik, Sicherheit und Privatsphäre

19

Der Schutz des allgemeinen Persönlichkeitsrechts wird durch das Grundgesetz auf der Basis der Würde und Freiheit der Einzelpersönlichkeit in Art. 1 Abs. 1, in Verbindung mit dem Schutz der Persönlichkeit des einzelnen Bürgers in Art. 2 Abs. 1 GG, als ein für den Menschen immanentes Grundrecht anerkannt.10 Zur Erheblichkeit des Schutzes der Privatsphäre auf Grundlage der Menschenwürde schreibt Hans Carl Nipperdey: „In der Rechtsordnung ist die Menschenwürde dann verwirklicht, wenn sie dem Menschen eine Sphäre sichert, in der er als selbständiges und sittlich selbstverantwortliches Wesen wirken kann, in der er weder dem Machtanspruch eines anderen Menschen unterworfen noch zum bloßen Mittel von Gemeinschaftszwecken gemacht wird, sondern freier selbstverantwortlicher Mensch ist.“ 11

Angesichts der unüberschaubaren Möglichkeiten der Verwendung personenbezogener Daten, die bei der Nutzung des Internets erhoben, gespeichert und weiter verwendet werden können, stellt die Verwirklichung dieses grundrechtlich garantierten Schutzes für den einzelnen Bürger sowie staatliche Organe, ein rechtliches Spannungsfeld dar. Zum einen ist die grundrechtlich verfasste, freie Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 GG12 untrennbar mit der Teilnahme des Bürgers am öffentlichen Leben13 verbunden. Danach steht dem Bürger ein unge-

6, 32 (41); 6, 389 (433); 27, 1 (6); 27, 344 (350 ff.); 32, 373 (379); 34, 238 (245); 35, 202 (220); 44, 353 (372 ff., 383 f.); 54, 148 (153); 60, 123 (134 f.); 65, 1 (41); 67, 213 (228); 71, 183 (201); 72, 153 (170); 80, 367 (373 ff.); 82, 236 (269); 89, 62 (82 ff.); 96, 56 (61); 99, 185 (193 ff.); 101, 361 (379 ff.); 104, 373 (391 ff.). 10 Zur Menschenwürde vgl. M. Herdegen, Kommentierung des Art. 1 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 2005, Rdn. 1 ff.; G. Dürig., Der Grundrechtssatz von der Menschenwürde, Entwurf eines praktikablen Wertsystems der Grundrechte aus Art. 1 Abs. 1 in Verbindung mit Art. 19 Abs. 2 des Grundgesetzes, AöR 81 (1956), 117; zum allgemeinen Persönlichkeitsrecht auf der Grundlage der Menschenwürde vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Rdn. 127 ff., insbesondere Rdn. 132 ff.; vgl. auch K. A. Schachtschneider, Die Würde des Menschen – Fundamente von Ethik und Politik in der Republik (2004), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, 2005, S. 13 ff. 11 H. C. Nipperdey, Grundrechte und Privatrecht, in: Kölner Universitätsreden, 24, 1961, S. 6; zur Achtung der Privatsphäre vgl. G. Dürig, Kommentierung des Art. 1 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1958, Rdn. 37, welcher jedoch die vom Bundesverfassungsgericht mit dem Volkszählungsurteil (BVerfGE 65, 1 (1 ff.)) überholte Sphärentheorie zugrunde legt; in diesem Sinne auch BVerfGE 6, 32 (32 ff.); 6, 389 (389 ff.). 12 K. A. Schachtschneider, Freiheit in der Republik, 2007, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, in: E. Benda/W. Maihofer/H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Aufl. 1994, § 12, S. 490 ff. 13 C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG-Kommentar, Band 1, 5. Aufl. 2005, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff.

20

Einleitung

hinderter Zugang zur Nutzung des Internets zu. Auf der anderen Seite ist der Staat dazu verpflichtet, effektive Maßnahmen zu treffen, um die höchstmögliche Sicherheit vor der unbefugten Kenntnisnahme und Verwendung personenbezogener Daten des Nutzers zu gewährleisten. Der Nutzer, der Bürger, gerät so in Zugzwang. Will er von seinem verfassungsrechtlich garantierten Recht auf Freiheit der Entfaltung seiner Persönlichkeit durch die Verwendung der neuen Medien Gebrauch machen, so muss er einen möglichen Eingriff in das ihm grundrechtlich gesicherte Recht auf Schutz seiner Persönlichkeit in Kauf nehmen. Er gerät somit in ein Spannungsfeld aus der mit der Freiheit verbundenen Verpflichtung, als Bürger eines demokratischen Verfassungsstaats am öffentlichen Diskurs teilzunehmen und gleichzeitig seine persönliche Freiheit auf der Grundlage der Sittlichkeit und Ausübung seines Rechts auf Schutz der Persönlichkeit, zu wahren. Gesetzgebung und Rechtsprechung propagieren zwar die Notwendigkeit gezielter Maßnahmen für einen umfassenden Schutz der Persönlichkeit und der Privatsphäre für den einzelnen Nutzer. Die im Sinne des Erhalts der öffentlichen Sicherheit und/oder Ordnung eingesetzten präventiven und repressiven Maßnahmen der Datenerhebung, -speicherung sowie Weitergabe an dritte öffentliche Stellen, führen jedoch zu der Frage, ob zugunsten politischer und wirtschaftlicher Interessenvertretung der Verlust der Kontrolle des einzelnen Bürgers über die Verwendung seiner personenbezogenen Daten bewusst in Kauf genommen wird. So stellt Hans Carl Nipperdey folgerichtig fest: „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit [. . .] Diese Rechtsidee fordert, dass die Würde und Freiheit der Person gerade auch gegenüber Gruppen, den Verbänden [. . .] gewahrt werde; sie verlangt, dass der Eigenwert der Person auch seitens der sozialen Mächte und des wirtschaftlich Stärkeren anerkannt werde. Die Gruppe ist nicht der höhere Wert: der Einzelne darf nicht zu ihrem Mittel erniedrigt werden.“ 14

Somit gehört der Schutz des Rechts auf Persönlichkeit und damit einhergehend der Privatsphäre zum Kern der persönlichen Freiheit des einzelnen Bürgers. Der Schutz einer privaten Eigensphäre15 für den einzelnen Bürger als Nutzer des Internets, ist auf der Grundlage des allgemeinen Persönlichkeitsrechts gemäß Art. 1 Abs. 1 und Art. 2 Abs.1 GG eine wesentliche Aufgabe für das Gemeinwohl aller

14 H. C. Nipperdey, Grundrechte und Privatrecht, in: Kölner Universitätsreden, 24, 1961, S. 6 f.; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 1 f. 15 So BVerfGE 6, 32 (41); 27, 1 (6); 34, 269 (281); 101, 361 (379 ff.); in diesem Sinne auch BVerfGE 27, 344 (350 f.); 32, 373 (378 f.); 34, 238 (245 ff.); H.-U. Erichsen, Allgemeine Handlungsfreiheit, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band VI, Freiheitsrechte, 1989, § 152, Rdn. 38; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 149 ff.; kritisch K. Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 20. Aufl. 1995, Rdn. 425 ff.

B. Vorgehen und Ziel der Arbeit

21

Bürger. Das Gemeinwohl materialisieren die Gesetze. Diese machen, wenn sie Gesetze des Rechts sind, die Erkenntnisse des Richtigen für das gute Leben aller in allgemeiner Freiheit, auf der Grundlage der Wahrheit und Sittlichkeit, verbindlich.16 Wesentlich für jeden Diskurs über den effektiven Schutz der Privatsphäre im Rahmen der Verwendung personenbezogener Daten über das WWW ist die Klärung, ob die Schutzpflicht staatlicher Organe primär aus der Ableitung eines Rechts auf Privatsphäre, also auf einen privaten Raum des Bürgers,17 oder aus dem allgemeinen Persönlichkeitsrecht und dem daraus abgeleiteten Recht auf informationelle Selbstbestimmung resultiert. Ferner gilt es zu zeigen, inwiefern ein effektiver Schutz personenbezogener Daten im Internet durch die vom Volk eingesetzten Vertreter auf Basis der bestehenden verfassungsrechtlichen, spezialgesetzlichen und strafrechtlichen Vorschriften der deutschen Rechtsordnung, verwirklicht werden kann.

B. Vorgehen und Ziel der Arbeit Mit der Garantie der Menschenwürde als oberstes Prinzip des demokratischen Verfassungsstaates wurde in Art. 1 Abs. 1 GG materialisiert, was der StaatsrechtsProfessor Carlo Schmid auf dem Verfassungskonvent 1948 auf Herrenchiemsee ausformuliert hat: „Der Staat ist um des Menschen willen da, nicht der Mensch um des Staates willen. Die Würde des Menschen ist unantastbar“.18 Der Mensch hat damit das Recht auf Achtung und Schutz seiner Grundrechte. Achtung der Würde jedes einzelnen Bürgers im Rechtsstaat bedeutet aber insbesondere die Verwirklichung des Grundsatzes, dass die Würde des Menschen vorwiegend in der vernunftgeleiteten Herrschaft über sich selbst begründet liegt: „Das Gewissen des Einzelnen [. . .] sei darum eine dem anderen gleich zu achtende moralische Instanz“.19 16 K. A. Schachtschneider, Freiheit in der Republik, S. 423; so auch K. Jaspers, Vom Ursprung und Ziel der Geschichte, 1949, S. 197 ff.; J. Habermas, Erläuterungen zur Diskursethik, in: ders., Erläuterungen zur Diskursethik, 1991, S. 119 ff., 142 ff.; K. A. Schachtschneider, Res publica res populi, 1994, S. 567 ff., 573 ff.; ders., Der Rechtsbegriff „Stand von Wissenschaft und Technik“ im Atom- und Immissionsschutzrecht, in: W. Thieme (Hrsg.), Umweltschutz im Recht, 1988, S. 105 ff.; zum Begriff des Gemeinwohls auf der Grundlage der verfassungsgemäßen Ordnung vgl. G. Dürig, Kommentierung des Art. 2 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1958, Rdn. 19. 17 R. Geuss, Privatheit – Eine Genealogie, S. 125; zur Neudefinition der Grundrechte im Zusammenhang mit dem informationstechnischen Fortschritt vgl. T. Weichert, Grundrechte in der Informationsgesellschaft, DuD 24 (2000), S. 2. 18 M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1; vgl. auch T. Maunz/R. Zippelius, Deutsches Staatsrecht, 30. Aufl. 1998, S. 170; zum Hintergrund vgl. C. Schmid, Erinnerungen, 1979, S. 372. 19 R. Zippelius, Allgemeine Staatslehre, 12. Aufl. 1994, § 16 I, 3; W. Berg, Staatsrecht, 5. Aufl. 2007, Rdn. 482 f.; zur Achtung der Menschenwürde und der damit ver-

22

Einleitung

Schutz der Menschenwürde bedeutet, dass jeder Bürger auf die Achtung seiner eigenen Gewissensentscheidung sowie auf den Schutz vor einer Degradierung seiner Person, zum Zweck übergeordneter Interessen privater wie öffentlicher Institutionen, vertrauen kann.20 So wird unter die Verpflichtung zum Schutz der Menschenwürde auch und insbesondere das Recht des einzelnen Menschen auf die Wahrung eines privaten Bereiches subsumiert, in dem er vor fremdem Eindringen sowie der Ausforschung seiner Persönlichkeit, in der Privatheit seiner Person also, folglich in seiner Privatsphäre, geschützt ist.21 Durch das Recht auf informationelle Selbstbestimmung, welches aus dem allgemeinen Persönlichkeitsrecht auf der Grundlage des Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG abgeleitet wurde, hat das Bundesverfassungsgericht die Notwendigkeit des Schutzanspruchs für den Bereich der elektronischen Verarbeitung personenbezogener Daten anerkannt.22 Seit dieser höchstrichterlichen Entscheidung zur Volkszählung hat sich die Verarbeitung und Verwendung personenbezogener Daten in technischer Hinsicht durch das Internet sowie des damit verbundenen World Wide Web (WWW) rasant weiterentwickelt. Mit dem Erlass neuer und der Novellierung bestehender spezialgesetzlicher Regelungen wurde versucht, den neuen Herausforderungen des modernen Datenschutzes im Hinblick auf die Verpflichtung zur Wahrung der Grundrechte des einzelnen Bürgers23 unter den Bedingungen der Nutzung moderner Medien gerecht zu werden. Im Rahmen dieser Arbeit soll nun der Frage nachgegangen werden, inwiefern die Privatsphäre und damit verbunden die Grundrechte auf Menschenwürde und Persönlichkeitsschutz des einzelnen Bürgers durch die Nutzung des Internets und bundenen Schutzpflicht M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 69 ff., insbesondere Rdn. 71 ff.; vgl. auch BVerfGE 7, 205 (206 ff.); 45, 227 (229 ff.). 20 Vgl. M. Herdegen, in: T. Maunz/G. Dürig, Art. 1 Abs. 1, Rdn. 69 ff.; in diesem Sinne auch BVerfGE 1, 97 (104). 21 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 149 ff.; vgl. dazu auch die Rechtsprechung des Bundesverfassungsgerichts: BVerfGE 6, 32 (41); 27, 1 (6); 34, 269 (281); 101, 361 (379 ff.); in diesem Sinne auch BVerfGE 27, 344 (350 f.); 32, 373 (378 f.); 34, 238 (245 ff.); H.-U. Erichsen, Handbuch des Staatsrechts, Band IV, § 152, Rdn. 38; kritisch dazu K. Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Rdn. 425 ff. 22 BVerfGE 65, 1 (44 ff.); T. Weichert, Grundrechte in der Informationsgesellschaft, DuD 24 (2000), S. 2; zum Grundrecht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 173 ff.; eingeschränkt auch D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 88, insbesondere auch zur Datenverarbeitung Rdn. 121 ff. 23 Zur Verpflichtung der staatlichen Organe zur Verwirklichung des Gemeinwohls und der Allgemeinen Freiheit im Rechtsstaat auf der Basis der Grundrechtsverwirklichung durch die Gesetzgebung vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 209 f., 339.

B. Vorgehen und Ziel der Arbeit

23

des WWW gefährdet sind. Die Diskussion beschränkt sich dabei auf die Erhebung, Speicherung, Verarbeitung und weitere Verwendung personenbezogener Daten über das WWW, unter Berücksichtigung der bestehenden nationalen und internationalen gesetzlichen Regelungen, welche für den Datenschutz innerhalb der Bundesrepublik Deutschland einschlägig sind. Dabei steht die öffentlichrechtliche Abwägung technischer und rechtlicher Gegebenheiten in Verbindung mit der Schutzverpflichtung staatlicher Organe zur Wahrung der Grundrechte des Einzelnen im Mittelpunkt. Diese sind immanenter Bestandteil des Systems der Allgemeinheit, welches seinen Mittelpunkt in der innerhalb der sozialen Gemeinschaft sich frei entfaltenden menschlichen Persönlichkeit und ihrer Würde findet.24 Im ersten Teil der Arbeit erfolgt eine Bestandsaufnahme der Stellung des Internets im 21. Jahrhundert. Dazu zählt zum einen die Klärung der vielfach verwendeten Begrifflichkeit des Informationszeitalters im Zusammenhang mit der Nutzung neuer Medien. Für die Betrachtung, inwieweit die Privatsphäre des Einzelnen tatsächlich gefährdet wird, ist ausschlaggebend, in welchem Umfang die Nutzung des WWW die Kontrollierbarkeit des privaten Raums und das Recht auf Schutz der Persönlichkeit des Nutzers beeinflusst. Im Anschluss sollen einige Anlassfälle und Entscheidungen zum Internetrecht angeführt werden, um die Relevanz der Thematik und deren Regelungsbedarf für den betroffenen Nutzer aufzuzeigen. Im zweiten Kapitel werden die in der Literatur vielfach verwendeten Begrifflichkeiten zur technischen Funktionsweise sowie den anwendbaren Rechtsgrundlagen zum Internet und dem WWW erläutert. Hinsichtlich der einfachgesetzlichen Regelungen finden die jüngsten Vorschriften des Telemediengesetzes, des 41. Strafrechtsänderungsgesetzes sowie der letzen Novellierung des Bundesdatenschutzgesetzes in der Diskussion um die Anwendbarkeit der rechtlichen Grundlagen Berücksichtigung. Der zentralen Problemstellung zum Schutze der Privatsphäre wird im zweiten Teil mit der Darstellung der Gefährdung durch den personenbezogenen Datenverkehr über das WWW Rechnung getragen. Dabei beinhalten die Grundlagen zur Verwendung dieser Daten neben der Abgrenzung der Termini Daten, Datensicherheit und Datenschutz, auch die genaue Klärung der in der Literatur zum Internetrecht vielfach synonym verwendeten Begriffe der Privatheit und Privatsphäre. Zur Gefährdung der Privatsphäre des Einzelnen trägt im Wesentlichen die zweckfremde, unzulässige oder unbefugte Verwendung personenbezogener Daten bei. Anhand der Darstellung, welche Möglichkeiten existieren, diese zu erheben, zu speichern und zu nutzen, sowie Zielgruppen- und Nutzerprofile zu erstellen, 24

BVerfGE 7, 205 (206 ff.); 45, 227 (229 ff.).

24

Einleitung

wird die Relevanz einer effektiven Regelung und Sicherung des aus Art. 1 Abs. 1 i.V. m. Art. 2 Abs. 1 GG abgeleiteten Rechts auf informationelle Selbstbestimmung deutlich. Dies führt direkt zur Fokussierung auf die Inhalte, Zielsetzungen und insbesondere der Rechte der betroffenen Nutzer auf Grundlage des deutschen Datenschutzrechts. Hierfür werden die grundlegenden gesetzlichen Vorschriften des Bundesdatenschutzgesetzes herangezogen. Im Rahmen der Nutzung des WWW und der Übermittlung personenbezogener Daten lassen sich zwei Gefahrenbereiche differenzieren: Die Inanspruchnahme elektronisch verfügbarer Dienstleistungen öffentlicher Behörden (E-Government) sowie die Möglichkeit des elektronischen Geschäftsverkehrs (E-Commerce). Als Sonderform soll ferner die Nutzung des Internets am Arbeitsplatz untersucht werden. Der dritte Teil der Arbeit widmet sich der Fragestellung, ob und auf welche Weise ein effektiver Schutz für die im zweiten Teil dargestellten Eingriffe in das Grundrecht auf informationelle Selbstbestimmung und damit auch in die Privatsphäre des betroffenen Nutzers des WWW erzielt werden kann. Vor der Betrachtung, welche präventiven und repressiven Maßnahmen zur Kontrolle des personenbezogenen Datenverkehrs im Internet geeignet sind, steht die Klärung der Verantwortlichkeit und Haftung von Access, Host und Content Providern gemäß den einfachgesetzlichen Regelungen sowie den öffentlich rechtlichen Grundsätzen der Störerhaftung. Wie das Bundesverfassungsgericht festgestellt hat, „finden die Grundrechte, so auch das Recht auf informationelle Selbstbestimmung, ihren Mittelpunkt in der innerhalb der sozialen Gemeinschaft sich frei entfaltenden menschlichen Persönlichkeit und Würde.“ 25 Wie in Art. 1 Abs. 1 GG materialisiert, darf der unantastbare Kern der Menschenwürde nicht verletzt werden.26 Um die Sicherung dieses Rechts für alle Rechtssubjekte zu gewährleisten, besteht für alle staatlichen Organe die Verpflichtung zum Schutz dieses Rechts vor Eingriffen anderer Bürger oder Institutionen. Denn nach den demokratischen Grundsätzen des Verfassungsstaates sind alle Bürger im Rechtsstaat unter den allgemeinen Gesetzen gleich.27

25

BVerfGE 7, 205 (206 ff.); 45, 227 (229 ff.). T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 170; M. Herdegen, in: T. Maunz/ G. Dürig, GG, Art. 1 Abs. 1, Rdn. 69 ff., 71 ff.; K. A. Schachtschneider, Die Würde des Menschen, S. 13 ff.; in diesem Sinne auch BVerfGE 1, 97 (104). 27 K. A. Schachtschneider, Freiheit in der Republik, S. 444; vgl. dazu auch M. Kriele, Freiheit und Gleichheit, in: E. Benda/W. Maihofer/H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 1983, S. 145; ders., Einführung in die Staatslehre, 4. Aufl. 1990, S. 331 ff.; G. Dürig, Kommentierung des Art. 3 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 8 ff.; P. Kirchhof, Der allgemeine Gleichheitssatz, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts, Band V, § 124, Rdn. 22, 34 ff. 26

B. Vorgehen und Ziel der Arbeit

25

Somit obliegt die Kontrolle der dem neuen Medium ausgehenden Störungen und Eingriffen in die verfassungsrechtlich verankerten Grundrechte des einzelnen Bürgers zuvorderst den dafür eingesetzten staatlichen Organen. Um die Effektivität der Kontrolle des personenbezogenen Datenverkehrs im WWW genauer analysieren zu können, werden zunächst die möglichen Maßnahmen im Bereich der Gefahrenabwehr sowie der Strafverfolgung dargestellt. Schließlich erfolgt die Bewertung zur Notwendigkeit und dem Umfang staatlicher Kontrolle des WWW als Diskussion zwischen Verpflichtung zum Grundrechtsschutz und der Verhältnismäßigkeit des Eingriffs staatlicher Stellen. Dies führt direkt zu einer abschließenden Erörterung des Spannungsverhältnisses zwischen der Gewährleistung von Freiheit für die Allgemeinheit28 einerseits, und der Sicherheit vor der unbefugten oder unzulässigen Verwendung personenbezogener Daten andererseits. Der Schutz des Einzelnen vor übermäßigen Eingriffen Dritter in seine Grundrechte gewährleistet nicht nur den Erhalt der öffentlichen Sicherheit und Ordnung. Insbesondere dient dies dem Schutz der Allgemeinheit, der Sicherung der Freiheit aller durch Sittlichkeit unter den gemeinsam gegebenen und anerkannten Gesetzen, welche die gemeinsamen rechtsstaatlichen Prinzipien des demokratischen Gemeinwesens verwirklichen. Zentrale Fragestellung der Zusammenfassung und des Ausblicks ist damit, inwieweit der Schutz der Privatsphäre und des Grundrechts auf informationelle Selbstbestimmung unter den derzeitigen technologischen Bedingungen sowie bestehenden rechtlichen Vorgaben, für die Verwendung der persönlichen Daten des einzelnen Bürgers jetzt und in Zukunft gewährleistet werden können.

28 Vgl. dazu K. A. Schachtschneider, Prinzipien des Rechtsstaates, 2006, S. 51 f.; ders., Res publica res populi, S. 1 ff., 35 ff., 410 ff.; ders., Freiheit in der Republik, S. 405 ff., 440 ff.

Erster Teil

Das Internet im 21. Jahrhundert Erstes Kapitel

Information, Wissen und Gesellschaft A. Leben im Zeitalter der Neuen Medien Maßgeblich beeinflusst durch die Entwicklung neuer Kommunikationstechnologien vollzog sich der in der Literatur vielzitierte Wandel von der Industrie- zur Informationsgesellschaft, von überwiegend national geprägter Arbeit mit hohem physischem Einsatz hin zu einem globalen Netzwerk von dienstleistungsorientierten Tätigkeiten, in einem vergleichsweise kurzen Zeitraum.1 Zu einem entscheidenden Wendepunkt führte dabei unter anderem die Entwicklung und rasche Ausbreitung des Personalcomputers (PC). Durch die Entwicklung zugehöriger Datenbanken und Office-Software wurden Arbeitsprozesse in erheblichem Maße verkürzt und erleichtert. Daten konnten nun unabhängig vom physischen Verfallprozess des Papiers beliebig gespeichert und abgerufen werden. Einmal gespeichertes Wissen ging nicht mehr verloren, sondern war nun jederzeit greifbar. Andererseits wurde das technische Verständnis im Umgang mit dem Computer für den Bürger zum entscheidenden Faktor, um als Mitglied auf dem neu strukturierten Arbeitsmarkt bestehen zu können.2 Eine wesentliche Erweiterung und Beschleunigung der gesellschaftlichen Prozesse ging weiter mit dem Ausbau des Internets für den privaten Gebrauch ein1 S. Denk, Datenschutz im Internet, S. 1; P. Glotz, Auf dem Weg in die Informationsgesellschaft, in: Global@home – Jahrbuch Telekommunikation und Gesellschaft 2000, 2000, S. 16; T. Weichert, Grundrechte in der Informationsgesellschaft, DuD 24 (2000), S. 2; zur Informationsgesellschaft und deren Entwicklung im 21. Jahrhundert am Beispiel des Suchmaschinenbetreibers Google vgl. M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 104; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, 2003, S. 15; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, 2000, S. 9; H. W. Opaschowski, Generation@, S. 120 ff. 2 Über die Transformation der Arbeitsbedingungen und Arbeitsprozesse sowie deren Auswirkungen auf die weltweite Beschäftigungsstruktur: M. Castells, Das Informationszeitalter. Der Aufstieg der Netzwerkgesellschaft, 2003, S. 230 ff.; H. W. Opaschowski, Generation@, S. 7; M. Castells, Das Informationszeitalter. Die Macht der Identität, 2002, S. 3.

A. Leben im Zeitalter der Neuen Medien

27

her.3 Die neue Technologie eröffnete die Möglichkeit, Daten weltweit, über netzwerkartig miteinander verbundene Knotenrechner, für jedermann abrufbar, bereitzustellen und auszutauschen.4 In Folge ergab sich durch das jederzeit erreichbare Angebot an Waren, Informationen und Dienstleistungen nicht nur eine völlig neue Dimension der Wirtschaftstruktur, sondern auch ein enormer Produktivitätsschub5. Die nationale industrielle und agrarwirtschaftliche Produktion erschien endgültig als überholt, weil man den fast unerschöpflichen Vorteilen eines jederzeit erreichbaren Waren- und Dienstleistungsangebots gleichsam eines neu geschaffenen Marktes Vorrang gab. Die rasche Verbreitung und Akzeptanz des Internets wurde parallel durch die zunehmende Ausstattung privater Haushalte mit Personalcomputern wesentlich gefördert. Im Vergleich besaß im Jahr 1993 in Deutschland-West nur jeder fünfte und in Deutschland-Ost nur jeder sechste Haushalt einen eigenen PC. Im Jahr 2000 verfügten bereits 47 % der privaten Haushalte in Gesamtdeutschland über einen eigenen PC. Bis zum Jahr 2004 stieg die Ausstattung kontinuierlich auf 64 % an und lag im Jahr 2010 bei 80 %.6 Gleichzeitig verfügten laut Angaben des Forschungsinstitutes emnid im Jahr 2004 52,6 % aller Bundesbürger über einen Internetanschluss. Gemäß den Ergeb-

3 Ursprünglich wurde das Internet im Jahr 1969 als geheimes, staatliches Informationssystem für das Militär in den Vereinigten Staaten konzipiert. Dazu ausführlicher T. Strömer, Online-Recht. Rechtsfragen im Internet, 3. Aufl. 2002, S. 3 f.; P. Schaar, Datenschutz im Internet – Die Grundlagen, 2002, S. 4 f. 4 H. Bäumler, Eine sichere Informationsgesellschaft? Zur europäischen Bekämpfung der Computerkriminalität, DuD 25 (2001), S. 6; M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 104; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 34. 5 K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Informationsgesellschaft, 1994, S. 366; R. Reich, Die neue Weltwirtschaft. Das Ende der nationalen Ökonomie, 1997; H. W. Opaschowski, Generation@, S. 16 f.; in den Jahren 1996–2000 war die Wirtschaft in Deutschland vornehmlich durch die auf der Entwicklung von Waren- und Dienstleistungen rund um das Internet spezialisierte „New Economy“ geprägt. Die schnelle Erweiterung und Akzeptanz des Internets weltweit zog einen regelrechten Boom auf den Kapitalmärkten nach sich. Die allgemeine Euphorie in Verbindung mit den exponentiellen Gewinnen im Bereich der neuen Technologie erreichte jedoch seine Sättigungsgrenze im Jahr 2000, gefolgt von einem massiven Zusammenbruch des Kapitalmarktes und dem Niedergang fast der gesamten „New Economy“-Branche. 6 Institut der deutschen Wirtschaft Köln, Deutschland in Zahlen, 2003, S. 66; Statistisches Bundesamt, Immer mehr Haushalte mit PC – Sättigung bei Handys, Pressemitteilung vom 21. Dezember 2004, abrufbar unter http://www.destatis.de/jetspeed/portal/ cms/Sites/destatis/Internet/DE/Presse/pm/2004/12/PD04__540__631.psml, Stand 01.06. 2011; ausführlicher Bericht zur Ausstattung und Nutzung von Informations- und Kommunikationstechnologien privater Haushalte vgl. Statistisches Bundesamt, Wirtschaftsrechnungen – Private Haushalte in der Informationsgesellschaft – Nutzung von Informations- und Kommunikationstechnologien, abrufbar unter http://www.destatis.de/jet speed/portal/cms/Sites/destatis/Intenet/DE/Content/Publikationen/Fachveroeffentlichun gen/Informationsgesellschaft/PrivateHaushalte/PrivateHaushalteIKT2150400107004,pro perty=file.pdf, Stand 01.06.2011.

28

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

nissen der von ARD und ZDF jährlich durchgeführten Online-Studie waren es im Jahr 2008 bereits 64,3 % der Bundesbürger über 14 Jahre.7 Im Jahr 2010 erreichte die Entwicklung der Internetnutzung für Jugendliche zwischen 14 und 19 Jahren die 100 % Marke. Damit nutzen alle deutschen Jugendlichen das Internet und bestätigen damit erneut, dass das neue Medium trotz immer stärkerer Einbindung in den Alltag ein vergleichweise junges Informations- und Kommunikationsmittel bleibt. Während der durchschnittliche Fernsehzuschauer 49 Jahre alt ist, liegt das Durchschnittsalter der Internetnutzer bei 39 Jahren. Bei der Gruppe der Bundesbürger über 50 Jahre machte im Jahr 2010 nur jeder Zweite vom Online-Angebot Gebrauch.8 Dabei gibt die Mehrheit der Online-Nutzer an, das Internet als täglichen Begleiter für alle Themen zu nutzen. So entfällt ein wesentlicher Anteil der Internetnutzung auf den Bereich der Online-Kommunikation, wie dem Versand oder Empfang von E-Mails, der Nutzung von Gesprächsforen und Chats oder von Online Communities. Weiter beliebt ist bei den Nutzern das zielgerichtete Suchen von Angeboten über Suchmaschinen wie „Google“, Homebanking sowie die ungerichtete Informationssuche im Netz. Eine zunehmend wichtige Rolle nimmt auch die Nutzung von Unterhaltungsangeboten ein. Der Abruf von Audio- und Videodateien im Netz sowie die Teilnahme an Onlinespielen machten im Jahr 2009 30 % der Internetzeit der Nutzer ab 14 Jahren aus. Dagegen fiel im selben Beobachtungszeitraum das noch in den Jahren 2007 und 2008 beliebte OnlineShopping und die gezielte Suche nach Informationen mit zusammen nur knapp 22 % der Online-Nutzung erheblich zurück.9 Im Ergebnis wird der schnelle Zugriff auf audiovisuelle Netzinformationen immer wichtiger, insbesondere durch die zunehmende Verfügbarkeit und Einbindung des mobilen Internets in den Alltag der Nutzer.10 7 Emnid, (N)ONLINER Atlas 2004, abrufbar unter http://www.nonliner-atlas.de, Stand 21.06.2011; für die Ergebnisse im Jahr 2008 vgl. B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2008. Internet Verbreitung: Größter Zuwachs bei Silver Surfern, in: Media Perspektiven 7/2008, S. 332; für den Vergleich verschiedener Quellen zur Statistik der Internetnutzung ist jedoch zu berücksichtigen, dass unterschiedliche Ergebnisse aus verschiedenen methodischen Ansätze resultieren, insbesondere bezogen auf den Erhebungszeitraum, den Stichprobenumfang und die zugrunde gelegten Alterskategorien sowie vor allem die Definition der Internetnutzung. 8 B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2010. Fast 50 Millionen Deutsche online – Multimedia für alle?, in: Media Perspektiven 7–8/2010, S. 335. 9 B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2009. Der Internetnutzer 2009 – Mulitmedial oder total vernetzt?, in: Media Perspektiven 7/2009, S. 340. Zur Entwicklung der Nutzung von Online-Medien bis zum Jahr 2010 vgl. auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 74 ff. 10 B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2010. Fast 50 Millionen Deutsche online – Multimedia für alle?, in: Media Perspektiven 7–8/2010, S. 338.

A. Leben im Zeitalter der Neuen Medien

29

Der vorausgehende und andauernde tiefgreifende technische wie gesellschaftliche Wandel11 wird in der Literatur durch zahlreiche Begriffe wie „Telematische Gesellschaft“, „Zeitalter der Multimedialität“, „Globale Vernetzung“, „Digitale Revolution“ 12, „Generation@“ 13 und „Informationsgesellschaft“ versucht fassbar zu machen. Gerade der Begriff „Informationsgesellschaft“ wird häufig verwendet um allgemein die Aufhebung der Grenzen zwischen Massen- und Individualkommunikation einerseits und Unterhaltung, Medien und Computertechnik andererseits auszudrücken.14 Zahlreiche Beiträge zum Thema „Informationsgesellschaft“ und „Neue Medien“ widmen sich vorrangig der Erwähnung eines enormen Wandels, optimistischen Zukunftsprognosen oder Szenarien wie Orwells „1984“. Grundlegende Fragestellungen wie: Welche Faktoren kennzeichnen die Informationsgesellschaft? Welche grundlegenden Veränderungen hat die Gesellschaft durch die Neuen Medien erfahren? Welche Auswirkungen hat dieser Wandel insbesondere auf den einzelnen Bürger? Werden nur selten eingehender untersucht. Dabei sind gerade Antworten auf diese Fragen von zentralem Interesse, weil Sie wesentlich zur Erfassung des gesellschaftlichen Geschehens beitragen und damit Möglichkeiten eröffnen, potenziellen Gefahren im Vorfeld effektiv begegnen zu können. I. Information als zentrales Gut Wie bereits dargestellt, spielen der Abruf sowie der Austausch von Informationen jeder Art in der Informationsgesellschaft eine entscheidende Rolle.15 Um deren Stellenwert ermessen zu können, erscheint zunächst eine genaue Betrachtung des Begriffs Information zielführend. Die originäre Bedeutung kann der 11 K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Informationsgesellschaft, S. 366; M. Castells, Das Informationszeitalter. Die Macht der Identität, S. 3; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, 2001, S. 241. 12 T. Tapscott, Die digitale Revolution – Verheißungen einer vernetzten Welt – die Folgen für Wirtschaft, Management und Gesellschaft, 1996, S. 64. 13 H. W. Opaschowski, Generation@, S. 17 ff. 14 S. Engel-Flechsig/A. F. Maennel/A. Tettenborn, Das neue Informations- und Kommunikationsdienste-Gesetz, NJW 1997, 2981; vgl. dazu auch Bundesbeauftragter für den Datenschutz, 19. Tätigkeitsbericht – 2001–2002, BT-Drs. 15/888, S. 19 f.; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, 1999, S. 1; zur Informationsgesellschaft und deren Entwicklung im 21. Jahrhundert am Beispiel des Suchmaschinenbetreibers Google vgl. auch M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 104; zum Begriff vgl. auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 15; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9; H. W. Opaschowski, Generation@, S. 120 ff. 15 E. Perrey, Gefahrenabwehr und Internet, 2003, S. 53; H. W. Opaschowski, Generation@, S. 14 f., 120 f.

30

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

Übersetzung des lateinischen Worts „informatio“ oder „informare“ entnommen werden. Dabei handelt es sich dem Ursprung nach um eine Belehrung, Unterrichtung oder Anweisung, genauer, jemandem oder etwas eine Gestalt geben, formen oder bilden.16 Dem heute geläufigen Bedeutungsgehalt der Information nach wird der Begriff jedoch häufiger in Verbindung mit der technisch basierten Kommunikation in sozialen Systemen, speziell Prozessen der Übertragung, Umwandlung, Speicherung und Auswertung von Datensammlungen mittels digitaler Datenleitungen verwendet.17 Legt man den Fokus der Betrachtung dabei auf den reinen Austauschprozess, so könnte es nahe liegen, den Begriff „Daten“ synonym für den Begriff „Informationen“ verwenden zu können. Hier liegt jedoch ein entscheidender Unterschied begründet. Daten (lat. datum) stellen ihrem wörtlichen Ursprung nach etwas Gegebenes, Feststehendes dar, wie einen kalendarischen Zeitpunkt oder aus Messungen und Statistiken gewonnene Angaben.18 Erst aus der Verbindung mehrerer Daten ergeben sich Informationen. Daten können somit als Vorstufe von Informationen eingeordnet, keinesfalls jedoch synonym verwendet werden. Informationen selbst werden zum Bestandteil der Kommunikation, wenn ihnen in einem reziproken Austauschprozess weitere Informationen hinzugefügt werden. Aus Sicht der Kommunikationswissenschaften ist Kommunikation „[. . .] die nachrichtliche Übertragung bzw. Signalisierung von sozial signifikanten Bezugsinhalten.“ 19 Informationen stellen also einen wesentlichen Bestandteil des gegenseitig aufeinander bezogenen sozialen Handelns20 dar und tragen zu Verbindung von sozialen Systemen bei. Mitteilungen, die beim Empfänger ankommen, werden von diesem jedoch darüber hinaus mit seinem eigenen Wissen aus Gelerntem, Erfahrungen und subjektiven Bewertungen ange-

16

K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Information, S. 366. Soziale Kommunikation lässt sich in interpersonale (face-to-face) Kommunikation und technisch vermittelte Kommunikation im Sinne von Massenkommunikation und Telekommunikation unterscheiden. Da im Internet beide Formen der Kommunikation angeboten werden, ist der Begriff der sozialen Kommunikation auf dieses Medium anwendbar; vgl. dazu W. Schulz, Kommunikationsprozess, in: E. Noelle-Neumann/ W. Schulz/J. Wilke, Fischer Lexikon – Publizistik/Massenkommunikation, 2000, S. 147; W. Schramm, The Nature of Communication between Humans, in: W. Schramm (Hrsg.), The Process and Effects of Mass Communication, 1971, S. 24; K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Information, S. 366. 18 Ders., Begriff Daten, S. 138; allgemein werden darüber hinaus zwei Arten von Daten unterschieden: strukturierte Daten (z. B. in Datenbanken) und unstrukturierte Daten (z. B. einzelne Dokumente). 19 K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Kommunikation, S. 426. 20 Vgl. dazu J. Habermas, Theorie des kommunikativen Handelns, 1981, S. 126 ff., 141 f., 377 ff., 385 ff., 397 ff.; in Bezugnahme auf die Maßgeblichkeit der Identität in der Netzwerkgesellschaft auch M. Castells, Das Informationszeitalter. Die Macht der Identität, S. 9. 17

A. Leben im Zeitalter der Neuen Medien

31

reichert.21 So enthält die Kommunikation eine dritte Stufe, die Bildung von Wissen. Demnach impliziert der Begriff der Information die Entstehung von Wissen als Ergebnis aus der Übertragung von Datensammlungen.22 Zusammenfassend lässt sich sagen, Information bildet nur einen Bestandteil der Kommunikation in der Informationsgesellschaft. Sie trägt als Basis zur Vollständigkeit der Erstellung von Wissen bei. Der Versuch einer exakten Definition des Begriffs Informationsgesellschaft gestaltet sich nicht so einfach wie in der Verwendung durch die Literatur oftmals postuliert. Betrachtet man das Wort „Information“ als Kernbestandteil, so greift eine nur darauf fokussierende Definition zu kurz. Allein die Verbindung mit dem Wort „Gesellschaft“ impliziert eine auf sozialem Handeln und sozialer Interaktion beruhende Gemeinschaft23, in der persönliche Erfahrungen sowie Gelerntes in die zwischenmenschliche Kommunikation eingebracht werden. Präzise sollte die Informationsgesellschaft also als eine Gemeinschaft definiert werden, die auf den reinen Austausch von Informationen konzentriert und dabei ausschließlich technisch fokussiert ist. Dies entspricht jedoch kaum dem Begriff einer Gesellschaft im Sinne sozialer Kommunikation. Eine Verwendung dieses Begriffes steht gleichzeitig in Verbindung mit einer auf anonymer Massenkommunikation basierenden Informationsverteilung fern jeder Reflexion, Lernen und der Bildung von Wissen. Nachfolgend soll anhand weiterer Charakteristika der Informationsgesellschaft geklärt werden, inwieweit dieser Begriff im Hinblick auf den Erhalt einer sozialen Gemeinschaft geeignet ist. II. Informationsgesellschaft und Wissensgesellschaft Die in der Literatur oftmals pauschale Verwendung und fehlende Abgrenzung des Begriffs Informationsgesellschaft24 zeigt deutlich, dass die rasche Ausbreitung von Informationstechnik in den letzten Jahrzehnten es fast unmöglich machte und immer noch macht, das Geschehen und dessen Auswirkungen insgesamt zu erfassen und zu begreifen. Neben der zentralen Stellung der Information

21

E. Perrey, Gefahrenabwehr und Internet, S. 52 f. D. Tapscott, Die digitale Revolution, 1996, S. 64. 23 K.-H. Hillmann, Wörterbuch der Soziologie. Begriff Gemeinschaft, S. 268; ders., Begriff Gesellschaft, S. 284. 24 P. Glotz, Auf dem Weg in die Informationsgesellschaft. Trends am Beginn des 3. Jahrtausends, in: H. Kubicek/H.-J. Braczyk/D. Klumpp/A. Rossnagel, Global@home, S. 16; ebenso dazu S. Engel-Flechsig/A. F. Maennel/A. Tettenborn, Das neue Informations- und Kommunikationsdienste-Gesetz, NJW 1997, 2981; vgl. dazu auch Bundesbeauftragter für den Datenschutz, 19. Tätigkeitsbericht – 2001–2002, BT-Drs. 15/888, S. 19 f.; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1. 22

32

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

werden im Wesentlichen vier weitere Faktoren25 mit dem Begriff der Informationsgesellschaft verbunden: 1. Neue Medien, 2. Kommunikationsinfrastruktur, 3. Medienkonzentration, 4. Globalisierung. Wesentliche Funktionsbereiche unserer Gesellschaft, wie Recht, Politik und Wirtschaft, werden heute bereits vom allgegenwärtigen Informationsstrom beeinflusst.26 Ermöglicht wird dies maßgeblich durch die rasche technische Entwicklung der Neuen Medien, insbesondere des Internets.27 Die weltweite Einrichtung und der stete Ausbau von Kommunikationsnetzen und -diensten tragen zu einer stärkeren Bewertung der Faktoren Informationsgewinnung und -austausch bei. Die Möglichkeit des zeitlich und räumlich ungebundenen Abrufs und Bereitstellens von Informationen für eine nahezu unbegrenzte Anzahl von Interessierten steigert deren Wert erheblich und lässt Informationen zu einer volkswirtschaftlichen Größe werden.28 Allein die Entwicklung von Software, Dienstleistungen und Kommunikationsinfrastruktur stellt heute einen nicht zu vernachlässigenden Wirtschaftszweig dar, der den Wandel von der Industrie- zur Informationsgesellschaft deutlich werden lässt. Durch die Entwicklung und den zunehmenden interpersonellen Austausch mittels der Neuen Medien, wurde nicht nur der Kommunikationsprozess insgesamt einem grundlegenden Wandel unterworfen. Das Medium Internet ermöglichte es als erstes, Daten schnell und präzise verfügbar, zugeschnitten auf die Bedürfnisse des Nutzers, zur Verfügung zu stellen.29 Als Folge zeigte sich sowohl eine wirtschaftliche Konzentration der Medien30 als Fokussierung auf den Markt der digitalen Hardware, passender Software und 25 E. Perrey, Gefahrenabwehr und Internet, S. 60; im Zusammenhang mit der Konvergenz der Endgeräte auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 48 f.; zum Begriff der Globalisierung auch J. Tauss/C. Özdemir, Umfassende Modernisierung des Datenschutzrechts, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future, S. 233. 26 H. Bäumler, Eine sichere Informationsgesellschaft? – Zur europäischen Bekämpfung von Computerkriminalität, DuD 25 (2001), S. 6; R. Hutter/A. Neubecker, Kritische IT-Infrastrukturen, DuD 27 (2003), S. 211. 27 H. Strömer, Online-Recht, 3. Aufl., S. 5 f.; B. Eichhorn, Internetrecht, S. 7. 28 E. Perrey, Gefahrenabwehr und Internet, S. 58; ähnlich auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 10; F. Rötzer, Öffentlichkeit außer Kontrolle, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, S. 28. 29 M. Machill (Hrsg.)/J. Waltermann, Verantwortung im Internet – Selbstregulierung und Jugendschutz, 2000, S. 11. 30 K. A. Schachtschneider, Sittlichkeit und Moralität – Fundamente von Ethik, und Politik in der Republik, in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum

A. Leben im Zeitalter der Neuen Medien

33

Multimediadienstleistungen, sowie eine deutliche Verlagerung weg von den herkömmlichen Printmedien. Insbesondere national gebundene Zeitungsverlage sind von dieser Konzentration betroffen. Man kann sagen, dass der Hauptanteil des Printmediengeschäfts heute wesentlich auf wenige international operierende Medienkonzerne konzentriert ist.31 Die zeitliche und räumliche Unabhängigkeit der Informationen ließ nationale Grenzen und damit bestehende wirtschaftliche Barrieren verschwinden. So ermöglichte die vorherrschende Erleichterung der Geschäftstätigkeit insbesondere finanzstarken ausländischen Konzernen das Eindringen in nationale Märkte. Dieser Handel, bestehend aus Konzentration und der damit verbundenen Vernichtung national fokussierter Medienunternehmen wird oft pauschal unter dem Deckmantel der „Globalisierung“ geführt. Globalisierung bedeutet in diesem Zusammenhang jedoch lediglich die Unabhängigkeit von Raum, Zeit und Staatsgrenzen.32 Aus dieser Entgrenzung resultierte ein gesellschaftlicher Wandel, fern von technischen Gegebenheiten, denen der Begriff der Informationsgesellschaft nicht abschließend Rechnung trägt. Der weltweite Ausbau digitaler Netzwerke hat zu einer Abhängigkeit moderner Staaten von der Informationstechnologie geführt.33 Sowohl in sicherheitswie wirtschaftspolitischer Hinsicht. Ferner wurde die Kommunikation durch die Möglichkeit eines weltumspannenden Netzwerks einem grundlegenden Wandel unterworfen. Medienunternehmen stellen über verschiedene Kanäle eine Flut von Angeboten und Dienstleistungen für jedermann zur Verfügung. Vom Rezipienten wird dabei eine ebenso schnelle Aufnahme und Verarbeitung des Angebots verlangt. Nachrichten und Informationen werden deshalb überwiegend selektiv (In-

65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, S. 57 f.; vgl. dazu im Zusammenhang mit der Verbreitung von Suchmaschinen M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 112; eine gute Übersicht zur Entwicklung des OnlineMedien Sektors bis zum Jahr 2010 liefert die Studie von W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 69, 71; zur Konvergenz der neuen Medien weiterführend J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, S. 18. 31 D. Tapscott, Die digitale Revolution, S. 81 f., 88 ff. 32 M. v. Hinden, Persönlichkeitsverletzungen im Internet, 1999, S. 10 f.; D. Tapscott, Die digitale Revolution, S. 88 ff.; ausführlich zum Zusammenhang zwischen Informationstechnologie und Globalisierung: M. Castells, Das Informationszeitalter. Die Macht der Identität, S. 3 ff.; G. Fuchs, Die Geographie der Informationsökonomie – Globalisierung vs. Regionalisierung, in: H. Kubicek/H.-J. Braczyk/D. Klumpp/A. Rossnagel, Global@home, S. 55 ff.; H. Ginsburg, Das schwarze Loch der Globalisierung, in: Wirtschaftswoche, 10 (2006), S. 56. 33 R. Hutter/A. Neubecker, Kritische IT-Infrastrukturen, DuD 27 (2003), S. 211; J. Tauss/C. Özdemir, Umfassende Modernisierung des Datenschutzrechts, in: H. Kubicek/ D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 233.

34

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

formationoverload) wahrgenommen oder nur deren Überschriften gelesen (Informationzapping).34 Die Folge ist eine Teilinformiertheit, die im Einzelnen ein Weltbild schafft, das von umfassender, auf Reflexion und Meinungsbildung beruhender Informiertheit weit entfernt ist. Eine Verarbeitung des vom Nutzer Rezipierten steht nicht im Fokus der Provider. Vielmehr werden stattdessen über Statistiken des Abrufs von Internetseiten umfassende Nutzer- und Persönlichkeitsprofile erstellt.35 So wird der Mensch, sofern er dem Anspruch nachgeht, innerhalb der global-digitalen Gesellschaft im Sinne der Ausübung seiner Rechte als Bürger eines demokratisch verfassten Gemeinwesens, handeln zu wollen, durch Interessenvertreter der Wirtschaftsunternehmen, nicht selten zum „Risikofaktor“ ernannt.36 Die Vorteile der Technik der E-Mail offerieren jedermann rund um die Uhr ortsunabhängige Kommunikation. Die ständige Erreichbarkeit verlangt jedoch auf der anderen Seite von Sender und Adressat gleichermaßen zu jeder Zeit schnelles Agieren.37 Seine E-Mails nicht mindestens einmal täglich abzurufen gilt heute beinahe schon als gesellschaftsfremd. Darüber hinaus ist sich jeder Nutzer des Internets darüber bewusst, dass seine persönlichen Daten für Werbezwecke, Persönlichkeitsprofile und sicherheitspolitische Maßnahmen verwendet werden.38 Gefördert wird dadurch eine rapide Abnahme der Entscheidung über den eigenen privaten Bereich, in dem der Einzelne frei von Konventionen sein kann.39 Über die Teilnahme am öffentlichen Geschehen selbst entscheiden zu können, stellt jedoch eine wesentliche Bedingung für die innere Bereitschaft des Einzelnen dar, an der bürgerlichen Gemeinschaft insgesamt teilhaben zu wollen. In der Informationsgesellschaft scheint es, als wäre im Zuge der Technikbegeisterung 34 H. W. Opaschowski, Generation@, S. 131; zur Verlagerung des Informationsangebots der Printmedien in den Online-Bereich vgl. auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S 68 ff.; H. Kubicek, Das Verhältnis von E-Commerce und E-Government – die Notwendigkeit, das Unterschiedliche zu integrieren, in: ders./ D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future, S. 353; B. v. Eimeren/ B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2008. Internet Verbreitung: Größter Zuwachs bei Silver Surfern, in: Media Perspektiven 7/2008, S. 337. 35 P. Löw, Datenschutz im Internet. Eine strukturelle Untersuchung auf der Basis der neuen deutschen Medienordnung, 2000, S. 12; A. Wien, Internetrecht, 6. Aufl. 2008, S. 187. 36 D. Fox, Security Awareness. Oder: Die Wiederentdeckung des Menschen in der ITSicherheit, DuD 27 (2003), S. 11. 37 H. W. Opaschowski, Generation@, S. 146; B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2008. Internet Verbreitung: Größter Zuwachs bei Silver Surfern, in: Media Perspektiven 7/2008, S. 336. 38 R. Grötker, Privat. Kontrollierte Freiheit in einer vernetzten Welt, 2003, S. 9. 39 T. Weichert, Grundrechte in der Informationsgesellschaft, DuD 24 (2002), S. 2; P. Löw, Datenschutz im Internet, S. 12 f.; vgl. dazu auch BVerfGE 65, 1 (43); F. Rötzer, Öffentlichkeit außer Kontrolle, S. 29.

B. Anlassfälle

35

aller Sinn für Inhalte, Diskussion, Austausch von Gelerntem und Erfahrungen als Basis des sozialen Miteinanders verloren gegangen.40 Die möglichen Folgen einer so veranlassten Isolation werden dabei bis heute nicht genügend bedacht. Um den Erhalt der sozialen Gemeinschaft willen sollte Kommunikation, auch im Zeitalter der digitalen Technik, einen höheren Stellenwert erhalten als den reinen Austausch von gesammelten Daten. Der Begriff der Informationsgesellschaft beanspruchte wohl für eine Zeit Gültigkeit, in der die Informationstechnik noch als Novum gefeiert und das Ziel der Ausbau eines weltweit funktionierenden Datennetzwerks war. Mit Beginn des 21. Jahrhunderts jedoch sollte ein Schritt weiter gegangen und zukünftig der Begriff der Wissensgesellschaft41 verwendet werden. Wissen ist mehr als die Summe von Informationen. Lernen und Erfahrung sind im sozialen Sinne wesentliche Bestandteile der Gesellschaft. Die Fokussierung auf diese Faktoren trägt dazu bei, der Anonymisierung entgegenzuwirken42 und die Neuen Medien zum Vorteil, dem Aufbau eines weltweiten Wissensnetzwerkes für nachfolgende Generationen, effektiv zu nutzen.

B. Anlassfälle Die breite Akzeptanz und rasche Integration moderner Kommunikationsmedien in das alltägliche Leben eröffnete nicht nur neue Kommunikations-, Informations- und Handelswege, sondern stellt Gesetzgebung und Rechtsprechung bis heute immer wieder vor neue Herausforderungen.43 Zu den rechtlichen Problemstellungen zählen neben Urheberrechtsverletzungen insbesondere Tatbestände im Rahmen der so genannten Internetkriminalität. Dazu zählt unter anderem das Ausspähen von personenbezogenen Daten oder die Veröffentlichung strafbarer Inhalte im Internet. Wesentlich erschwert wird eine effektive Kontrolle des Mediums durch dessen dezentrale Struktur und steten Ausbau infolge des raschen technischen Fortschritts.44

40 Der genannte Austausch im Rahmen des sozialen Miteinanders ist ein wesentlicher Faktor für die Bildung und Sicherung der Identität von Menschen in einer Gemeinschaft; dazu ausführlicher M. Castells, Das Informationszeitalter. Die Macht der Identität, S. 8 ff.; H. Kubicek, Editorial, in: ders./D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future, S. 9; F. Rötzer, Öffentlichkeit außer Kontrolle, S. 29. 41 V. Haug, Grundwissen Internetrecht, Rdn. 73; zur Entwicklung der Medienkompetenzen und Folgen wachsender Wissensklüfte infolge selektiver Online-Mediennutzung vgl. W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 86 ff. 42 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30 f. 43 H. J. Kleinsteuber, Ökonomische und technische Restriktionen bei der Verwirklichung von Medienfreiheit, in: W. Hassemer/W. Hoffmann-Riem/J. Limbach, Grundrechte und soziale Wirklichkeit, 1982, S. 140; T. Strömer, Online-Recht – Rechtsfragen im Internet, 3. Aufl., S. 6. 44 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30.

36

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

Um die Relevanz des Internets im Rahmen der Gefährdung der Privatsphäre in der modernen Gesellschaft aufzuzeigen, soll nachfolgend ein kurzer Überblick über einige wichtige Urteile sowie rechtliche Problemstellungen gegeben werden. Zu den im Zusammenhang mit der Sicherung der Privatsphäre unter den Bedingungen der modernen Datenverarbeitung meist zitierten und diskutierten Urteilen zählt das Volkszählungsurteil des Bundesverfassungsgerichts aus dem Jahr 1983.45 Es bildet als Grundsatzurteil im Rahmen der Verwendung personenbezogener Daten eine wichtige Basis für weitere Ausführungen und Diskussionen rechtlicher Problemstellungen. Ausgangspunkt für die Entscheidung des Bundesverfassungsgerichts stellten zahlreiche Beschwerden gegen das Volkszählungsgesetz vom 25.03.198246 dar. Durch das Gesetz wurde eine umfassende Datenerhebung im Rahmen einer Volkszählung, Berufszählung, Wohnungszählung und Arbeitsstättenzählung angeordnet. Das Gericht hatte darüber zu entscheiden, inwiefern die statistische Datenerhebung und der Abgleich der erhobenen Daten mit dem Melderegister sowie weitere Übermittlungstatbestände den verfassungsrechtlichen Grundsätzen entsprachen. Die aus dem Volkszählungsgesetz in der Bevölkerung resultierende, weitreichende Unsicherheit über die Verwendung der erhobenen persönlichen Daten erkannte das Bundesverfassungsgericht in den Gründen zu seiner Entscheidung an: „Die Möglichkeiten der modernen Datenverarbeitung sind weiterhin nur noch für Fachleute durchschaubar und können beim Staatsbürger die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung selbst dann auslösen, wenn der Gesetzgeber lediglich solche Angaben verlangt, die erforderlich und zumutbar sind“.47 Das Gericht erkannte weiter die bis dahin bestehende lückenhafte verfassungsgerichtliche Rechtsprechung48 an und setzte sich allgemein mit den Anforderungen der Verfassung an eine den verfassungsrechtlichen Grundsätzen entsprechende Verarbeitung personenbezogener Daten auseinander. Im Ergebnis wurde die Weiterleitung der Daten zu Zwecken des Verwaltungsvollzugss, ohne konkrete Zweckbindung, sowie die Kombination der Volkszählung mit einem Melderegisterabgleich als verfassungswidrig gesehen. Das Volkszählungsgesetz jedoch stellt nach dem Dafürhalten des Gerichts durchaus eine zulässige Grundlage für eine Datenerhebung im überwiegenden Interesse der Allgemeinheit dar.49

45 BVerfGE 65, 1 (1 ff.); die gesetzliche Grundlage zu diesem Urteil bilden Art. 1 Abs. 1, Art. 2, Abs. 1, Art. 93, Abs. 1 Nr. 4 GG sowie § 90 Abs. 2 S. 1 BVerfGG; vgl. auch weiterführend H. Bäumler (Hrsg.), Der neue Datenschutz, 1998, S. 1; L. Gräf, Privatheit und Datenschutz, 1993, S. 1. 46 BGBl. I, S. 369. 47 BVerfGE 65, 1 (2, 46 f., 47 f., 53 f., 61 ff.) = NJW 1984, 419 ff. 48 BVerfGE 65, 1 (2).

B. Anlassfälle

37

Mit dem Urteil wurde jedoch nicht nur der Grundstein für ein allgemeines Datenschutzrecht in Deutschland gelegt,50 sondern überdies für den Umgang mit personenbezogenen Daten elementare Grundsätze geprägt, die in eine Vielzahl an gesetzlichen Regelungen Eingang gefunden haben. So bildet die Ableitung des Grundrechts auf informationelle Selbstbestimmung51 aus der allgemeinen Handlungsfreiheit und der Freiheit der Person des Art. 2 Abs. 1 GG und der in Art. 1 Abs. 1 GG als unantastbar materialisierte Menschenwürde52 die entscheidende Basis, nicht nur für die Weiterentwicklung des allgemeinen Persönlichkeitsrechts, sondern auch für die Gesetzgebung und Rechtsprechung im Rahmen der zukünftigen Sicherung der Privatsphäre in einem Umfeld der modernen Kommunikationstechnologie. In der Literatur zum Datenschutz werden weithin zahlreiche Vorgaben für die Entwicklung eines umfassenden Datenschutzgesetzes genannt.53 Dabei gerät die Bedeutung der spezialgesetzlichen Regelungen für die Sicherung der Grundrechte im Verfassungsstaat zum Teil deutlich in den Hintergrund. In der Begründung zum Volkszählungsurteil jedoch knüpft das Bundesverfassungsgericht an das am 16. Juli 1969 ergangene Mikrozensus-Urteil54 an. Bereits hier stand nicht nur die Vorlage für die Entwicklung eines Bundesdatenschutzgesetzes an vorderster Stelle, sondern die Anerkennung der Würde des Menschen vor dem Recht des Staates zur zwangsweisen Registrierung.55 Mit dem Volkszählungsurteil wurde diese Anerkennung zu einem Grundrecht auf Datenschutz als Ausprägung des grundrechtlichen Schutzes der Artikel 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 GG weiterentwickelt.56 Essentiell an diesem Urteil ist, dass mit der Anerkennung der Grundsätze der Rechtsstaatlichkeit, der Rechtssicherheit für den einzelnen Bürger vor datenschutzrechtlichen Ein49 S. Hetmank, Einführung in das Recht des Datenschutzes, JurPC Web-Dok. 67/ 2002, Abs. 3, abrufbar unter www.jurpc.de/aufsatz/20020067.htm, Stand 01.06.2011; BVerfGE, 61, 1 (1 f.). 50 W. Hoffmann-Riem, Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: H. Bäumler (Hrsg.), Der neue Datenschutz, 1998, S. 11 f. 51 BVerfGE 65, 1 (1, 43 f.). 52 Zur Unantastbarkeit und Verpflichtung zur Achtung der Menschenwürde vgl. M. Herdegen, Kommentierung des Art. 1 Abs. 1, in: T. Maunz/G. Dürig (Hrsg.), GG, 2001, Rdn. 69 f.; zur Schutzpflicht gemäß Art. 1 Abs. 1 GG vgl. ders., Rdn. 71 ff.; in diesem Sinne auch BVerfGE 1, 97 (104); zur Handlungsfreiheit des Art. 2 Abs. 1 GG vgl. U. Di Fabio, Kommentierung des Art. 2 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), GG, 2001, Rdn. 10 ff.; insbesondere 12 ff.; zu den Schranken Rdn. 37 ff.; vgl. dazu auch BVerfGE 6, 32 (35 ff.). 53 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1 ff.; T. Hoeren, Grundzüge des Internetrechts, 2. Aufl. 2002, S. 234 ff., 239 ff.; B. Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, S. 258 ff. 54 BVErfGE 27, 1 (1 ff.). 55 BVerfGE 27, 1 (6). 56 BVerfGE 61, 1 (1).

38

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

griffen in sein allgemeines Persönlichkeitsrecht eindeutig Vorrang gegeben wurde. Damit hat das Bundesverfassungsgericht die Grundsätze eines freiheitlichen, demokratischen Gemeinwesens bestätigt und den Erhalt der Rechtsordnung gesichert, die jedem Einzelnen die Freiheit gewährt, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen er seine persönlichen Lebenssachverhalte offenbaren möchte.57 Seit dem genannten Urteil sind nun mehr als 20 Jahre vergangen. Bereits 1983 konstatierte das Bundesverfassungsgericht weitreichende Lücken in der Gesetzgebung wie Rechtsprechung zu der Erhebung personenbezogener Daten im Zusammenhang mit der Nutzung neuer Kommunikationsmedien. Der Schutz der Privatsphäre und die freie Entscheidung des Einzelnen über diese wurden an oberste Stelle gesetzt. Zum Schutz des Bürgers wurde ein Grundrecht auf informationelle Selbstbestimmung als Abwehrrecht gegen den Staat abgeleitet, weil „Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsund Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.“ 58 Es stellt sich somit die Frage, wie sich die Rechtsprechung in den folgenden Jahren anhand der zunehmenden Herausforderungen des technischen Fortschritts entwickelt hat. Konnten die Festlegungen des obersten Gerichts tatsächlich zu mehr Rechtssicherheit für die Verwendung personenbezogener Daten beitragen? Die nachfolgend angeführten Urteile stellen exemplarisch einen Querschnitt der rechtlichen Problemstellungen im Bereich der Veröffentlichung personenbezogener Daten nach dem Grundsatzurteil des Jahres 1983 dar. Am 6. November 2003 erging vom Europäischen Gerichtshof ein Urteil zur Veröffentlichung personenbezogener Daten im Internet.59 Gegenstand war ein Ersuchen des schwedischen Gerichtshofs (Göta hovrätt) um Vorabentscheidung in der Auslegung des Gemeinschaftsrechts, insbesondere der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz 57 BVerfGE 61, 1 (1, 43); ferner BVerfGE 56, 37 (41 ff.); 63, 131 (142 f.); Einschränkungen des vom Gericht entwickelten Rechts auf informationelle Selbstbestimmung sind jedoch im Hinblick auf das überwiegende Allgemeininteresse hinzunehmen. Das Spannungsverhältnis zwischen Individuum und Gemeinschaft wurde vom Bundesverfassungsgericht im Sinne der Gemeinschaftsgebundenheit und Gemeinschaftsbezogenheit der Person entschieden. Dazu BVerfGE 65, 1 (44) sowie weiter BVerfGE 4, 7 (15); 8, 274 (329); 27, 1 (7); 27, 344 (351 f.); 33, 303 (334); 50, 290 (353); 56, 37 (49). 58 BVerfGE 65, 1 (41). 59 EuGH, Urteil vom 6.11.2003, Rs. C-101/01 (Lindquist/Schweden), ABl. C. 7 vom 10.1.2004, S. 3 f.; vgl. dazu auch Leitsätze der Redaktion, EuGH: Personenbezogene Daten im Internet MMR 2 (2004), 95; dazu weiterführend: K. Taraschka, „Auslandsübermittlung“ personenbezogener Daten im Internet – Auswirkungen des Urteils des EuGH vom 6.11.2003, Rs. C-101/01 – Bodil Lindqvist auf die Auslegung deutschen Rechts, in: CR 20 (2004), S. 280 ff.

B. Anlassfälle

39

natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.60 Gegenstand des beim Göta hovrätt anhängigen Strafverfahrens gegen Bodil Lindquist war der Verstoß der Angeklagten gegen die schwedischen Rechtsvorschriften über den Schutz personenbezogener Daten (PUL). Frau Lindquist hatte auf ihrer Website im Internet Informationen über achtzehn ihrer Arbeitskollegen veröffentlicht. Dabei nannte sie nicht nur den vollständigen Namen und Telefonnummern, sondern beschrieb auch in subjektiver Weise persönliche Tätigkeiten und Freizeitbeschäftigungen ihrer Kollegen sowie deren Familienverhältnisse. Die Verurteilung durch das Eksjö tingsrätt (Schweden) zu einer Geldstrafe erfolgte aufgrund des Verstoßes gegen die PUL mit der Begründung der unangemeldeten, automatisierten Verarbeitung sensibler personenbezogener Daten, deren Veröffentlichung ohne Genehmigung der genannten Personen, sowie der Übermittlung der Daten via Internet in Drittländer.61 Frau Lindquist legte gegen dieses Urteil beim Göta hovrätt Berufung ein. Dieses setzte zur gesicherten Klärung der Auslegung des Gemeinschaftsrechts das Verfahren aus und legte dem Europäischen Gerichtshof sieben Fragen zur Vorabentscheidung vor. Zusammenfassend hat das Gericht unter Einbeziehung der Datenschutzrichtlinie 95/46/EG, Art. 3, 8, 9, 13 und 25 sowie Art. 10 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) vom 4. November 1950 erkannt, dass die Handlung der Veröffentlichung personenbezogener Daten auf einer Internetseite ohne Ausnahme eine ganz oder teilweise automatisierte Verarbeitung darstellt.62 Eine Übermittlung der Daten in ein Drittland liegt dagegen allein durch die grenzüberschreitende Abrufbarkeit der Daten im Internet nicht vor. Frau Lindquist machte unter anderem geltend, dass die Bestimmungen des PUL sowie der Richtlinie 95/46/EG63 gegen den im Gemeinschaftsrecht allgemein anerkannten Grundsatz der Meinungsfreiheit verstoßen und durch die bloße Veröffentlichung der Daten auf einer Website die Be-

60 ABl. L 281, S. 31; die Grundsätze der Richtlinie 95/46/EG wurden mit der Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 (ABl. L 24 vom 30.1.1998, S. 1) über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation in speziellen Vorschriften für den Telekommunikationssektor umgesetzt. Die Richtlinie 97/66/EG wurde im Zuge der notwendigen Anpassung an die Entwicklung der Märkte und Technologien durch die Richtlinie 2002/58/RG vom 12. Juli 2002 (ABl. L 201, S. 37 ff.) ersetzt. 61 EuGH, Urteil vom 6.11.2003 – Rs. C-101/01 (Lindquist/Schweden), ABl. C. 7 vom 10.1.2004, S. 4; ausführlich kommentierend dazu auch U. Brühann, Die Veröffentlichung personenbezogener Daten im Internet als Datenschutzproblem. Zur Rechtsprechung des Europäischen Gerichtshofs, in: DuD 28 (2004), S. 202 ff. 62 EuGH, Urteil vom 6.11.2003 – Rs. C-101/01 (Lindquist/Schweden), ABl. C. 7 vom 10.01.2004, S. 4. 63 Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie), ABl. L 281 vom 23.11.1995, S. 31 ff.

40

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

gründung eines schweren Verstoßes gegen das Recht auf Privatsphäre unverhältnismäßig sei.64 Ungeachtet dessen wie im Falle Lindquist letztendlich entschieden wurde, stellt das Urteil selbst einen wichtigen Meilenstein für die Schaffung von Rechtssicherheit für die elektronische Datenverarbeitung über das Medium Internet unter Berufung auf die in der europäischen Gemeinschaft geltenden Regelungen dar. Der Europäische Gerichtshof hat mit Wirkung zum 6. November 2003 erkannt, dass die Bestimmungen der Richtlinie 95/46/EG nicht im Widerspruch zum allgemeinen Grundsatz der Meinungsfreiheit oder dem Recht aus Artikel 10 EMRK stehen. Allgemein „ist es Sache der nationalen Behörden und Gerichte, [. . .], ein angemessenes Gleichgewicht zwischen den betroffenen Rechten und Interessen [. . .] sicherzustellen.“ An erster Stelle muss für alle Schutzmaßnahmen für personenbezogene Daten von Seiten der Mitgliedstaaten stets das Ziel stehen: „ein Gleichgewicht zwischen dem freien Verkehr personenbezogener Daten und dem Schutz der Privatsphäre zu wahren“.65 Im Hinblick auf die transnationale Vernetzung des Mediums Internet66 kann diese Feststellung als elementarer Grundsatz für die Rechtsprechung der Mitgliedstaaten der Europäischen Union Geltung beanspruchen und weiteren Urteilen in der Sache der Veröffentlichung personenbezogener Daten im Internet zugrunde gelegt werden. Das Neue Medium stellt jedoch mit seinen facettenreichen Möglichkeiten der Veröffentlichung sowie Verarbeitung personenbezogener Daten Gesetzgebung wie Rechtsprechung vor immer neue Herausforderungen. Als Beispiel sei hierzu das Urteil des LG München I zur Veröffentlichung einer Anschrift im Internet vom 10. September 2003 angeführt.67 Zunächst scheint hier aufgrund der Nähe zum Fall Lindquist auch der Rückgriff auf die Grundsätze des Europäischen Gerichtshofs gegeben. Der Unterschied lag in diesem Fall jedoch darin begründet, dass es sich hier nicht um die Veröffentlichung persönlicher Daten von Privatpersonen handelte, sondern um die private Wohnanschrift des Geschäftsführers eines Unternehmens für die Herausgabe von Adressverzeichnissen. Dieser sah in der Veröffentlichung seiner Privatanschrift, neben den geschäftlich relevanten Daten auf der Internetseite des Beklagten, der über die Tätigkeiten des Adressbuchver64 Aus den beim Gerichtshof eingereichten Erklärungen zur sechsten Vorlagefrage, EuGH, Urteil vom 6.11.2003 – Rs. C-101/01 (Lindquist/Schweden), Abs. 73 f.; zur Stellungnahme des EuGH zur weiten Auslegung des Begriffs der personenbezogenen Daten sowie des Schutzes der Privatsphäre gem. Art. 8 Abs. 1 EMRK vgl. auch U. Brühann, Die Veröffentlichung personenbezogener Daten im Internet als Datenschutzproblem. Zur Rechtsprechung des Europäischen Gerichtshofs, in: DuD 28 (2004), S. 202. 65 Leitsätze der Redaktion, EuGH: Personenbezogene Daten im Internet, MMR 2 (2004), S. 95. 66 A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241. 67 LG München I, Urteil vom 10.9.2003, Az. 9 O 13848/03 = MMR 7 (2004), 499.

B. Anlassfälle

41

lages des Klägers Bericht erstattet hatte, eine Verletzung seines Persönlichkeitsrechts.68 Das Gericht sprach dem Kläger in seinem Urteil keinen Anspruch auf Unterlassung der Veröffentlichung seiner Privatanschrift durch den Beklagten gemäß §§ 823, 1004, 12 BGB zu. Da es sich hier nicht um eine Privatperson, sondern den Geschäftsführer eines Unternehmens handelte, war im Rahmen der Urteilsfindung die Güterabwägung gemäß § 62 HRV zugunsten des Vorrangs des allgemeinen Informationsinteresses vor dem Geheimhaltungsinteresse des Betroffenen entschieden worden. In der Urteilsbegründung des Gerichts heißt es weiter, die Angabe der Privatanschrift als Identifikationsmerkmal sei besonders in einem nahezu unüberschaubaren Geflecht von Firmen im Internet von besonderer Bedeutung.69 Damit erfolgte einerseits der Rückgriff auf die vom Gesetz durch die Forderung der Aufnahme der Privatanschrift von Unternehmen in das Handelsregister deutlich gemachte Bedeutung der Identifikation von geschäftstätigen Personen für die Öffentlichkeit und damit in diesem Fall der Vorrang der öffentlichen Sicherheit vor dem Schutz der Privatsphäre. Da diese Personen mit ihrer Geschäftstätigkeit am öffentlichen Waren- und Dienstleistungsverkehr bewusst teilnehmen, kann hier kein Nachteil für den Schutz der Privatsphäre erkannt werden. Vielmehr stellt die Intention, die Sicherheit eines jeden Bürgers vor verdeckten kriminellen Aktivitäten im Internet zu gewährleisten, die Verwirklichung des rechtsstaatlichen Prinzips und damit den Erhalt der gemeinschaftlichen Ordnung im Rechtsstaat dar.70 Dennoch stellen sich trotz grundrechtlicher wie gemeinschaftsrechtlicher Grundsätze durch das Medium Internet immer erneut rechtliche Herausforderungen. Insbesondere die Veröffentlichung, der Austausch sowie die Erhebung personenbezogener Daten im Internet wirft in zahlreichen Fällen die Frage auf, wie ein effektives Gleichgewicht zwischen dem Schutz der Privatsphäre des Einzelnen und dem Ziel der Sicherung des freien Informationsflusses erzielt werden kann.71

68 Aus dem Sachverhalt, LG München I, Urteil vom 10.9.2003, Az. 9 O 13848/03 = MMR 7 (2004), 499; das Urteil erfolgte unter Rückgriff auf §§ 12, 823 Abs.1, 1004 BGB. 69 Aus den Gründen, LG München I, Urteil vom 10.9.2003 – 9 O 13848/03 = MMR 7 (2004), 499. 70 Vgl. BVerfGE 61, 1 (42 f.); K. A. Schachtschneider, Sittlichkeit und Moralität, S. 268 ff.; ders., Prinzipien des Rechtsstaates, S. 19 ff., 256 ff. 71 Dieses Ziel wurde vom EuGH in der Urteilsbegründung als vorrangig für die Verwirklichung des Gemeinschaftsrechts in der EU angeführt: EuGH, Urteil vom 6.11. 2003 – Rs. C-101/01 (Lindquist/Schweden), ABl. C 7, vom 10.01.2004, S. 4; Leitsätze der Redaktion, EuGH: Personenbezogene Daten im Internet, MMR 2 (2004), 95.

42

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

Das Urteil des Oberlandesgerichts (OLG) in Thüringen vom 25. August 200472 machte einmal mehr eine neue Facette der Veröffentlichung persönlicher Daten im Internet deutlich. In der Sache hatte ein Polizeibeamter gegen eine Telefongesellschaft geklagt, weil entgegen seiner schriftlichen Angabe beim Anbieter, seine Telefonnummer nicht nur in der Print-Ausgabe sondern auch im OnlineTelefonbuch veröffentlicht worden war.73 Das Gericht entschied, dass Telefongesellschaften für eventuelle Fehler ihrer Eintragungen haften. Der Geheimhaltung persönlicher Daten wurde damit Vorrang gewährt. Jedoch könne, so die Entscheidung des Gerichts, nicht in jedem Fall einem Antrag auf Schadenersatz stattgegeben werde. Die Möglichkeit von Fehlern seitens der Telefongesellschaften müsse aufgrund der Vielzahl der Verarbeitung von Einträgen eingeräumt werden.74 Das vom Kläger beantragte Schmerzensgeld wurde in diesem Fall gewährt, weil aus der Veröffentlichung und seiner Tätigkeit als Polizeibeamter eine erhebliche Belästigung durch anonyme Telefonanrufe resultierte. Dem Schutz der Privatsphäre wurde hier vor dem Interesse der Öffentlichkeit Vorrang gegeben. Dies ist insoweit rechtmäßig, als der Einzelne sicher sein muss, seinen persönlichen Bereich der Wohnung schützen zu können und die von ihm für die Durchsetzung dieser Rechte eingesetzten staatlichen Organe dazu verpflichtet sind, diesen Schutz mittels geeigneter Gesetze sowie effektiver Rechtsprechung zu gewährleisten.75 Direkt an den Bereich der Sicherheit persönlicher Daten bei der Nutzung von Dienstleistungen im Internet knüpft ein weiteres Urteil des Amtsgerichts Potsdam vom 3. Dezember 2004 in Verbindung mit dem Internet-Auktionshaus eBay an.76 Grundlage des Verfahrens war die Unterlassungsklage eines eBay-Teilnehmers, dessen Namensdaten nachweislich für Accountfälschungen und nachfolgende Verkaufstätigkeiten mangelhafter Ware von dritten Teilnehmern missbraucht worden waren. Das Amtsgericht (AG) Potsdam hatte bereits im Februar 2004 einem Antrag auf einstweilige Verfügung gegen den Auktionshaus-Betreiber in dieser Sache stattgegeben.77

72

OLG Thüringen, Urteil vom 25.08.04, Az. 2 U 1038/03. Zum Sachverhalt, OLG Thüringen, Urteil vom 25.08.04, Az. 2 U 1038/03. 74 Urteilsbegründung, OLG Thüringen, Urteil vom 25.08.04, Az. 2 U 1038/03. 75 Zur Stellung der eingesetzten staatlichen Organe grundlegend: K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 191 ff.; zum Schutz der Wohnung grundlegend Art. 13 GG; zum Schutz der Persönlichkeit grundlegend Art. 2 GG; zum Eingriff Dritter in die Privatsphäre vgl. BVerfGE 42, 212 (220); 61, 1; 54, 148 (153); 56, 37 (41 ff.); 63, 131 (142 f.). 76 AG Potsdam, Urteil und Beschluss vom 3.12.2004, Az. 22 C 225/04; dazu Stellung nehmend auch: Gericht verbietet eBay, Identitätsklau zu dulden, heise-online news vom 07.12.2004, abrufbar unter http://www.heise.de/newsticker/meldung/Gericht-verbietet-eBay-Identitaetsklau-zu-dulden-120095.html, Stand 01.06.2011. 77 Ders. 73

B. Anlassfälle

43

Auch im Hauptsacheurteil entschied das Gericht, eBay hafte für die Sicherheit der persönlichen Daten der Teilnehmer-Accounts als „mittelbare Störerin“.78 Unter Berufung auf das „Rolex-Urteil“ des Bundesgerichtshofs (BGH) vom 11. März 2004 sei ein Internet-Auktionshaus nicht nur verpflichtet, Angebote die Rechte Dritter verletzen zu sperren, sondern bereits präventiv Vorsorge zu treffen, dass keine weiteren Rechtsverletzungen dieser Art möglich sind.79 Die Vertretung des Unternehmens eBay hatten im Verfahren eingewandt „wer seine Adresse und sein Geburtsdatum irgendwo im Internet bekannt macht, sei selbst schuld.“ 80 Das Gericht hielt es jedoch für notwendig, dass von Seiten des Dienstleisters eine effektive Identitätsprüfung in einem zumutbaren Rahmen notwendig sei. Andernfalls können die Betreiber der Handelsplattform im Internet zur Zahlung eines Ordnungsgeldes in Höhe von 250.000 Euro verurteilt werden. Die bisher praktizierte SCHUFA-Auskunft des Beklagten beim Anlegen eines Accounts verifiziert jedoch lediglich die Postanschrift und Geburtsdatum. Dies reicht jedoch für einen effektiven Identitätsschutz nicht aus, weil Daten über Internetsuchmaschinen jederzeit in Erfahrung gebracht werden können.81 Das Urteil des Gerichts stellte einen wichtigen Meilenstein für die Verpflichtung zur Sicherung der Privatsphäre für Anbieter von Handelsplattformen im Internet dar. Diese sahen sich davor in erster Linie als Dienstleister, die Anbietern und Verkäufern von Waren lediglich eine Plattform im Internet zur Verfügung stellen. Ebay war bereits im Vorfeld der Verhandlung zu Beginn des Jahres 2004 vermehrt in die öffentliche Kritik geraten, keine ausreichenden Sicherheitsvorkehrungen für die Spionage von Logins und Passwörtern sowie den Missbrauch unzulässig erhobener Daten vorzuhalten.82 Die Entscheidung des Gerichts war damit keine Einzelfalllösung, sondern hatte unmittelbaren Einfluss auf die Erweiterung der Vorschriften zu den Pflichten für Diensteanbieter im WWW.

78 Entscheidungsgründe, AG Potsdam, Urteil und Beschluss vom 3.12.2004, Az. 22 C 225/04. 79 BGH, Urteil vom 11.3.2004, I ZR 304/01 = BGHZ 158, 236 (251); vgl. dazu auch Haftung des Internetauktionsveranstalters bei Markenrechtsverstößen privater Auktionsteilnehmer – Rolex/ricardo.de, BB 6 (2005), S. 293 f. 80 Gericht verbietet eBay, Identitätsklau zu dulden, heise-online news vom 07.12. 2004, abrufbar unter http://www.heise.de/newsticker/meldung/Gericht-verbietet-eBay Identitaetsklau-zu-dulden-120095.html, Stand 01.06.2011. 81 Entscheidungsgründe, AG Potsdam, Urteil und Beschluss vom 3.12.2004, Az. 22 C 225/04; zur Maßgeblichkeit der Identität vgl. auch M. Castells, Das Informationszeitalter. Die Macht der Identität, S. 8 ff.; S. Simitis, Kommentierung des § 4a BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 5. 82 Gericht verbietet eBay, Identitätsklau zu dulden, heise-online news vom 07.12. 2004, abrufbar unter http://www.heise.de/newsticker/meldung/Gericht-verbietet-eBay Identitaetsklau-zu-dulden-120095.html, Stand 02.06.2011; Ebay bestätigt große Sicherheitslücken, Süddeutsche Zeitung vom 22.09.04, S. 12; Offenes Kaufhaus – Ebay Sicherheitslücke war bekannt, Süddeutsche Zeitung vom 28.09.04, S. 10.

44

1. Teil, 1. Kap.: Information, Wissen und Gesellschaft

Der Vorrang der Sicherheit des Accountinhabers muss von Seiten der staatlichen Organe allein aus dem Grund gewährleistet werden, weil der Einzelne als Nutzer des Internets der Vielzahl krimineller Aktivitäten unter anderem aufgrund seines mitunter unzureichenden technischen Verständnisses weitgehend ungeschützt gegenüber steht. Eine erhöhte Rechtssicherheit sowie Verwirklichung der allgemeinen Gesetze durch die vom Volk eingesetzten staatlichen Organe sichert nicht nur das Vertrauen des Einzelnen in die Verwendung der neuen Medien, sondern insgesamt in die Gewährleistung des Schutzes der rechtsstaatlichen Prinzipien im demokratischen Verfassungsstaat.83 Vertrauen wirkt sich somit einerseits generell positiv auf die Nutzung und Akzeptanz der neuen Medien und damit des technischen Fortschritts in der Gesellschaft aus. Dies stellt in Anlehnung an die Begründung aus dem Volkszählungsurteil des Bundesverfassungsgerichts eine wichtige Säule zur Verwirklichung von Freiheit für den Einzelnen dar: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind [. . .] kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden.“ 84 Eine Hemmung der Teilnahme am öffentlichen Kommunikationsprozess wäre jedoch nicht nur mit erheblichen Nachteilen für die auf moderner Technik basierende Gesellschaft verbunden, sondern würde einen Rückzug des Einzelnen aus dem öffentlichen Prozess der Meinungsbildung, der öffentlichen Kommunikation sowie der Teilhabe an politischen Prozessen85 und insgesamt einen Verzicht auf die Grundrechte aus Art. 8 und Art 9 GG nach sich ziehen.86 Damit wäre nicht nur der Einzelne, sondern der Erhalt des demokratischen Gemeinwesens als unverzichtbares Element des Rechtsstaates insgesamt in Gefahr. Zusammenfassend lässt sich konstatieren, dass Technik im Alltag der modernen Gesellschaft fast nicht mehr wegzudenken ist. Die zunehmende Unsicherheit des Einzelnen aufgrund einer unüberschaubaren Anzahl von Angeboten und technischen Möglichkeiten des Internets sollte Anlass genug sein, nicht länger mit Einzelfallurteilen und technisch basierten Diskussionen aufzuwarten. Vielmehr muss von Grund auf geklärt werden, welche Folgen das zunehmende Aus83 Zur Aufgabe der Gesetzgebung und Rechtsprechung im Rahmen der Verwirklichung von Gerechtigkeit vgl. K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 256 ff.; ders., Das Sozialprinzip, S. 58; ders., Res publica res populi, 1994, S. 909 ff., 932 ff., 963 ff.; G. Robbers, Gerechtigkeit als Rechtsprinzip. Über den Begriff der Gerechtigkeit in der Rechtsprechung des Bundesverfassungsgerichts, 1980, S. 87 ff. 84 BVerfGE 61, 1 (43). 85 C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 86 BVerfGE 61, 1 (43).

A. Begriffliche Grundlagen

45

maß an Rechtsunsicherheit des einzelnen Staatsbürgers über den Erhalt seiner Privatsphäre für die Freiheit in der rechtsstaatlichen Gemeinschaft sowie die Sicherung der demokratischen Grundordnung hat. Die bestehende stichpunktartige Diskussion einzelner Straftaten und technischer Risiken im Zusammenhang mit den Neuen Medien zeigt meist wenig Verbindung mit der Gewährleistung der verfassungsrechtlichen Grundsätze der Achtung der Würde des Menschen sowie des Schutzes der Freiheit der Person. Grundlegende Sachverhalte werden in der Literatur weitgehend oberflächlich beleuchtet und lediglich weiterer Klärungsbedarf angemahnt. Ursache dessen ist oftmals eine unzureichende Kenntnis technischer Termini, sowie die relativ pauschale Verwendung der Grundbegriffe wie Daten, Datensicherheit und Datenschutz, Privatsphäre, Privatheit, Freiheit und Recht auf informationelle Selbstbestimmung.87 Deshalb erscheint es zu Beginn der Diskussion einer effektiven Kontrolle des Mediums Internet im Lichte der Sicherung der Privatsphäre des Einzelnen angezeigt, zunächst die Klärung und Festlegung der notwendigen Grundbegriffe vorzunehmen. Zweites Kapitel

Grundlagen zum WWW A. Begriffliche Grundlagen Das Internet stellte gegen Ende des 20. Jahrhunderts nicht nur technologisch eine Revolution dar, sondern leitete zusammen mit der Entwicklung weiterer Informationstechnologien, einen Transformationsprozess in gesellschaftlicher wie in wirtschaftlicher Hinsicht ein. Der Begriff des Internets steht allgemein als Abkürzung für „Interconnected Network“ und bringt damit die Verbindung und Kommunikation zwischen (lat. inter) Rechnern, aber auch den damit verbundenen Nutzern dieses Netzwerks zum Ausdruck.88 Der Begriff des Internets kann jedoch nicht nur aus technischer Sicht als die Summe netzwerkartig miteinander verbundener Rechner gesehen 87 Zum Grundrecht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 88, 121 ff. 88 A. Wien, Internetrecht, S. 3, welcher auch auf die vielfach fälschlich synonyme Verwendung der Begriffe Internet und World Wide Web hinweist; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1; E. Jessen, Die Zukunft des Internet – und insbesondere der Wissenschaftsnetze, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, S. 11.

46

1. Teil, 2. Kap.: Grundlagen zum WWW

werden, sondern ist auch im Lichte seiner Bedeutung für das Denken und Handeln eine Generation zu würdigen, die in Verbindung mit der Fokussierung auf den Faktor Information einem wesentlichen Wandel unterworfen wurde. Mit dem Internet wurden Begriffe wie „Multimedialität“, „Globale Vernetzung“, „Neue Medien“ oder „Virtuelle Gemeinschaft“ zum Schlagwort einer Gesellschaft, deren Kultur mit der Möglichkeit weltweiter Verbundenheit, unabhängig von Zeit und Raum, zunehmend von einem Medium bestimmt wird, das aufgrund seiner technischen Beschaffenheit auf dessen Nutzer einen erheblichen Einfluss ausübt.89 Aus diesem Grund ist der Begriff des Internets auch zum Schlagwort vielfacher Diskussionen um Für und Wider des technologischen Fortschritts und dem daraus resultierenden Eingriff in den Alltag des gesellschaftlichen Lebens geworden.90 Auf der einen Seite setzte die Entwicklung und Verbreitung des Mediums, ähnlich der Entwicklung von Elektrizität oder der industriellen Fliessbandfertigung, neue Maßstäbe. Die Hoffung auf den Beginn eines neuen Zeitalters war von einer großen Aufbruchstimmung gekennzeichnet, deren positive Impulse sich insbesondere in der Wirtschaft niederschlugen. Über eine geraume Zeit hinweg erzielte allein der Begriff der Internetindustrie immense Vertrauensvorschüsse von Seiten der Kapitalgeber, Privatanlegern und politischen Parteien. Mit der Ausbreitung der modernen Technologie in die privaten Haushalte stieg auch die Komplexität der zwischenmenschlichen, wirtschaftlichen und politischen Interaktion rapide an. Wer nicht an diesem Prozess teilnahm oder teilnehmen konnte, dem war in zunehmendem Maße der Zugang zum Informations-, Warenund Dienstleistungsangebot für das tägliche Leben verschlossen. Die neu gewonnenen Möglichkeiten wurden schnell zum Zwang, während über die Nachvollziehbarkeit der Verarbeitung und weiteren Verwendung persönlicher Daten wie Name, Passwörter, Adressdaten etc. für den privaten Nutzer eher in den Hintergrund rückten. Schlagzeilen wie „Die Technologie determiniert die Gesellschaft nicht, sie verkörpert sie“ 91 wurden zum Warnzeichen eines individuell wahrgenommenen, 89 Unter die angeführten Begriffe wird im Allgemeinen die Aufhebung der Grenzen zwischen Massen- und Individualkommunikation einerseits sowie Unterhaltung und Medien in Verbindung mit der Computertechnik andererseits verstanden. S. EngelFlechsig/A. F. Maennel/A. Tettenborn, Das neue Informations- und Kommunikationsdienste-Gesetz, NJW 1997, 2981; M. Castells, Das Informationszeitalter. Jahrtausendwende, 2003, S. 1; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241. 90 B. v. Eimeren/B. Frees, Ergebnisse der ARD/ZDF-Online-Studie 2008 – Internet Verbreitung: Größter Zuwachs bei Silver Surfern, in: Media Perspektiven 7/2008, S. 336 f. 91 M. Castells, Das Informationszeitalter. Der Aufstieg der Netzwerkgesellschaft, S. 5.

A. Begriffliche Grundlagen

47

schleichenden, unkontrollierbaren Verlusts der Privatsphäre des Einzelnen. Bevor jedoch eine Bewertung dieser weit verbreiteten These vorgenommen werden kann, ist für dessen Verwendung der Begriff des Internets genauer zu klären, wobei das Internet zunächst begrifflich vom Ausdruck „Multimedia“ abzugrenzen ist. Als übergeordneter Begriff bezeichnet Multimedia „das zeitbeliebige, vielfach interaktive Angebot aller möglichen Formen von Informationen wie Texte, Festund Bewegtbilder, Töne und Daten.“ 92 Das Internet bildet mit seinen Diensten wie E-Mail oder World Wide Web (WWW) damit nur einen Teilbereich des gesamten Angebots an Multimediadiensten ab. Während die Verwendung des Begriffs Internet vorrangig im Zusammenhang mit dem Personalcomputer steht, schließt der Begriff Multimedia die Nutzung des Internets über weitere Endgeräte, wie unter anderem Fernsehapparate, Mobiltelefone und Notebooks ein.93 Von der rechtswissenschaftlichen Auseinandersetzung bis hin zu Artikeln in Publikumszeitschriften wird der Begriff Internet gerne als zugkräftiges Schlagwort in Verbindung mit dem Thema „Gefahren der Informationstechnologie“ 94 verwendet. Objektiv ist das Internet jedoch als Medium zu verstehen, das sich nach den Bereichen Dienste und Beteiligte differenzieren lässt. Dementsprechend sind etwaige ausgehende Gefahren auch für diese Bereiche gesondert zu diskutieren. Als wichtigste Dienste sind allgemein zu nennen:95 1. Verzeichnisdienste (z. B. Domain Name Service (DNS)), 2. Nachrichtenaustausch- und Informationsdienste (E-Mail, Newsgroups, Internet Relay Chat (IRC) und World Wide Web (WWW)), 3. Datentransferdienste (File Transfer Protocol (FTP)). Neben weiteren Verzeichnisdiensten stellt der Domain Name Service (DNS) als Dienstprogramm Informationen über im Internet erreichbare Personen oder technische Ressourcen zur Verfügung.96 Ausschlaggebend für den Nutzer ist da92 M. Geppert/A. Rossnagel, Einführung – Telekommunikations- und Multimediarecht, in: Beck Telemediarecht – Telekommunikations- und Multimediarecht, 2004, S. XVII. 93 Vgl. dazu B. Eichhorn, Internetrecht, S. 31. 94 M.-T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, 1998, S. 4 ff., 9 ff. 95 C. Meinel/H. Sack, WWW. Kommunikation, Internetworking, Web-Technologien, 2004, S. 10; B. Eichhorn, Internetrecht, S. 21; E. Jessen, Die Zukunft des Internet, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 11; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel, Internet@future, S. 18; speziell für das FTP Protokoll M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 76 f.; weiterführend dazu M. Scheller/K.-P. Boden/A. Geenen/J. Kampermann, Internet: Werkzeuge und Dienste, S. 47 ff. 96 C. Meinel/H. Sack, WWW, S. 10; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 63.

48

1. Teil, 2. Kap.: Grundlagen zum WWW

bei die Leistung, die numerischen IP-Adressen der einzelnen Netzwerksysteme in logisch strukturierte Namen umzusetzen.97 Dies vereinfacht sowohl die Merkfähigkeit für den Zugang sowie die Strukturierbarkeit der täglich wachsenden Anzahl von Rechnern, die dem Internet angeschlossen werden. Zu den wohl bekanntesten Nachrichteninformationsdiensten zählt die elektronische Post (E-Mail).98 Sie besteht im Wesentlichen aus Steuerungsinformationen in der Kopfzeile in Form von E-Mail-Adressen für Sender, Empfänger und eventuell weitere (auch verdeckte) Empfänger sowie dem Nachrichteninhalt, wobei neben der manuellen Eingabe von Text in das Textfeld auch Dateien als „attachments“ angefügt werden können.99 Die Kommunikation der elektronischen Post funktioniert technisch nach dem Server-Client-Modell. Dabei ruft der Nutzer des Nachrichtendienstes die gesendete E-Mail mithilfe eines auf seinem Rechner, dem Client, installierten Mail-Programmes (z. B. Outlook, Outlook Express, etc.) vom Mailserver des Anbieters ab.100 Zum Bereich der Nachrichten- und Informationsdienste zählen ferner die so genannten Newsgroups (auch „Usenet“).101 Vergleichbar mit einer elektronischen Pinnwand, werden dort Artikel, thematisch gegliedert, im Briefformat auf verschiedenen Rechnern in Datenbanken für den Nutzer vorgehalten. Dieser kann darauf mit einem speziellen Newsreader-Programm zugreifen.102 Der Internet Relay Chat (IRC) kann als Austauschmedium beschrieben werden, mit dessen Hilfe die Teilnehmer unabhängig von Ort und Zeit in Echtzeit miteinander kommunizieren,103 das heißt Informationen und Meinungen zu bestimmten Themen austauschen können. Dabei stellt der IRC nur ein Beispiel für die Vielzahl an so genannten „Chatrooms“ dar, die mittlerweile im Internet zur Verfügung stehen.104 Notwendige Voraussetzung für den IRC ist die Verwendung einer speziellen Software. Diskussionsforen dieser Art werden jedoch zunehmend auch von Anbietern umfangreicher Webseiten angeboten. Hier genügt meist die Anmeldung über einen Benutzernamen und ein Passwort um Zugang zum 97 T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1. 98 B. Eichhorn, Internetrecht, S. 25; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 70 f.; A. Tanenbaum, Computer Networks, 1996, S. 643 ff. 99 Die E-Mail-Adresse, die wohl neben der Handynummer als wichtiger Bestandteil der modernen Individualkommunikation bezeichnet werden kann, setzt sich nach ähnlichem Schema wie die Übersetzung der IP-Nummernfolge in eine logische namentliche Bezeichnung für Webseiten im World Wide Web, aus dem Nutzernamen und der Bezeichnung des virtuellen „Postamts“, getrennt durch das Zeichen @, zusammen. Vgl. dazu auch P. Schaar, Datenschutz im Internet, S. 5 f. 100 Vgl. Abb. 3, S. 59. 101 B. Eichhorn, Internetrecht, S. 26. 102 T. Hoeren, Grundzüge des Internetrechts, S. 16 f. 103 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 83 f. 104 P. Schaar, Datenschutz im Internet, S. 6 f.

A. Begriffliche Grundlagen

49

„Chatroom“ zu erhalten. Der technische Fortschritt ermöglicht heute eine Kommunikation über die Eingabe von schlichten Textzeilen hinaus: So kann die Teilnahme beispielsweise auch sprachgesteuert und mit Live-Videoübertragung per Webcam des jeweiligen Teilnehmers erfolgen.105 Der wohl bekannteste und im Alltag meist genutzte Nachrichten- und Informationsdienst, das World Wide Web (WWW), hat als ein Dienst unter vielen maßgeblich dazu beigetragen, dass das Internet heute als Massenmedium bezeichnet werden kann.106 Mithilfe des Browsers als Zugangssoftware für den Nutzer, dem Hyper Text Transfer Protocol (http), Hyperlinks zur Verbindung einzelner Dokumente und der inzwischen neben der postalischen Adresse fest etablierten Internetadresse (URL), funktioniert dieser Dienst auf Basis des Client-Server-Modells.107 Das WWW beschränkt sich dabei nicht auf einen rein textlich basierten Austausch von Informationen zwischen den Teilnehmern. Charakteristisch ist vielmehr die Möglichkeit, Informationen zu verschiedenen Themen abzurufen, ohne an einem reziproken Austauschprozess teilnehmen zu müssen. Man kann als Nutzer also grundsätzlich auch aus dem Zugang zu einem großen Informationsangebot schöpfen und dabei selbst anonym bleiben. Daneben ist natürlich auch der individuelle Austausch von Daten, z. B. durch Eintrag in so genannte Gästebücher, möglich. Damit vereint das WWW sowohl Elemente der Individual- als auch der Massenkommunikation.108 Abschließend bleibt noch das File Transfer Protocol (FTP) als Datentransferdienst zu nennen.109 Die für den Nutzer im WWW abrufbaren Webseiten müssen im Vorfeld mittels eines Protokolls vom Rechner des Urhebers auf einen zentra105

C. Meinel/H. Sack, WWW, S. 12, 639. B. Eichhorn, Internetrecht, S. 22; E. Jessen, Die Zukunft des Internet, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 11; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/ A. Roßnagel, Internet@future, S. 18. 107 M. Germann, Gefahrenabwehr und Strafverfolgung, S. 77 ff.; M. Scheller/K.-P. Boden/A. Geenen/J. Kampermann, Internet: Werkzeuge und Dienste, S. 47 f., 61, 69; zum Client-Server-Modell vgl. B. Schneier, Applied Cryptography, S. 24; C. Meinel/ H. Sack, WWW, S. 576; vgl. auch Abb. 3, S. 59. 108 Auf die damit vor Inkrafttreten des Telemediengesetzes (TMG) verbundene rechtliche Problematik der Abgrenzung von Tele- und Mediendiensten unter Bezugnahme der Zuordnung von Individual- und Massenkommunikation vgl. ausführlich T. Hoeren, Das Telemediengesetz, NJW 2007, 802; H. Gersdorf, Die dienende Funktion der Telekommunikationsfreiheiten: Zum Verhältnis von Telekommunikations- und Rundfunkordnung, AfP 1997, 424; J. Scherer, „Online“ – zwischen Telekommunikations- und Medienrecht, AfP 1996, 213; zum Begriff der Telemedien auch B. Eichhorn, Internetrecht, S. 31; ausführlich dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung, S. 140 ff. 109 T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 3 ff.; B. Eichhorn, Internetrecht, S. 27; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel, Internet@future, S. 18. 106

50

1. Teil, 2. Kap.: Grundlagen zum WWW

len Server übertragen werden. Erst dadurch stehen die Daten für jedermann weltweit zur Nutzung bereit.110 Die Art der Dateien ist dabei beliebig. Nach dem Client-Server-Modell erfolgt die Übertragung durch den FTP-Client auf den Computer des Senders durch einen FTP-Server, der meist nur nach vorheriger Eingabe eines Passworts die Übertragung akzeptiert.111 Aus der Darstellung der wichtigsten Dienste, die durch das Internet Nutzern weltweit zur Verfügung stehen, wird deutlich, dass das viel zitierte WWW nur einen, wenn auch nicht wenig bedeutsamen Teilbereich des globalen Netzwerks repräsentiert. Begrifflich darf deshalb das Internet nicht mit dem WWW gleichgesetzt werden. Letzteres ist vielmehr mit dem Begriff eines globalen Dienstes zu belegen. Das Internet hingegen stellt ein weltweit verfügbares technisches Netzwerk dar, welches ein Angebot verschiedener Dienste im Verbund beinhaltet. Darüber hinaus ist die synonyme Verwendung des Begriffs „globales Netzwerk“ für das Internet oder das WWW nicht angezeigt, sofern nicht durch einen Zusatz die Differenzierung zwischen rein technischer Basis oder dem Angebot von Daten und Informationen erfolgt.112 Im Zusammenhang mit der Darstellung der Dienste des Internets wurde bereits darauf hingewiesen, dass dessen Nutzer eine wichtige Gruppe der Beteiligten im Internet und im WWW darstellen. Neben einer Vielzahl an technischen Voraussetzungen sind es vor allem die am Kommunikations- und Informationsfluss teilhabenden Bürger, die durch die hohe Akzeptanz des neuen Mediums maßgeblich zu dessen raschem Erfolg beigetragen haben. Neben den Nutzern lassen sich als Beteiligte im WWW Anbieter identifizieren, die Angebote inhaltlicher (Content Provider) oder technischer Art (Host und Access Provider) bereitstellen.113 Im Rahmen der zunehmenden Heterogenität des Angebots und der notwendigen Klärung der Verantwortlichkeit sowie Haftung für die Verwendung personenbezogener Daten, ist es allerdings angezeigt 110 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 76; weiterführend M. Scheller/K.-P. Boden/A. Geenen/J. Kampermann, Internet: Werkzeuge und Dienste, S. 47 ff. 111 P. Schaar, Datenschutz im Internet, S. 7. 112 In Bezugnahme auf die Differenzierung des Internets und des WWW als getrennte Begrifflichkeiten vgl. E. Jessen, Die Zukunft des Internet, in: H. Kubicek/ D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 11. 113 In der Literatur existiert eine Vielzahl unterschiedlicher Differenzierungen der Beteiligten im Internet. Maßgeblich für die Entscheidung über die Richtigkeit von Gliederungsart und -tiefe sollte die Praktikabilität für die Rechtsprechung bei Internet-Fällen sein. Allgemeine Differenzierungen: S. Bleisteiner, Rechtliche Verantwortlichkeit im Internet, 1999, S. 11 ff.; R. Müller-Terpitz, Verantwortung und Haftung der Anbieter, in: D. Kröger/M. A. Gimmy, Handbuch zum Internet-Recht, 2000, S. 159 f., 187 f.; einen speziellen Ansatz, der sich an der Angebotsvielfalt des WWW orientiert vertritt W. Lohse, Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, 2000, S. 25 ff.; weiterführend auch P. Schaar, Datenschutz im Internet, S. 9 ff.; B. Eichhorn, Internetrecht, S. 37.

A. Begriffliche Grundlagen

51

die Teilnehmer anhand ihrer Funktion im Erhebungs- und Verarbeitungsprozess von Daten über das WWW genauer zu beschreiben: 1. Network Provider (Carrier), 2. Access Provider, 3. Host Provider/Service Provider, 4. Content Provider, 5. Nutzer (User). Der Begriff Network Provider, auch Carrier genannt, lässt sich im Deutschen sinngerecht mit „Netzbetreiber“ übersetzen. Wie der Begriff bereits vermuten lässt, ist der Network Provider maßgeblich durch die Bereitstellung der technischen Basis für die Verbindung von Rechnern am Internet beteiligt.114 Network Provider stehen nicht direkt in vertraglicher Verbindung zum Nutzer, sondern stellen diesem die technische Ausrüstung, wie Telefon, Modem, ISDN115, Glasfaserkabel, Mobilfunk und Satellitenverbindungen zur Nutzung zur Verfügung.116 Meistens handelt es sich bei den Carriern um Telekommunikationsunternehmen, wie beispielsweise die Deutsche Telekom, oder um Rechenzentren.117 Access Provider halten innerhalb des netzwerkartigen Verbunds von Rechnern im Internet eigene Rechner in Form von Zugangsknoten vor.118 Um sich Zugang zum Internet zu verschaffen, wählt der Nutzer meist mittels einer Leitung des öffentlichen Telekommunikationsnetzes den Netzknotenpunkt des Access Providers an. Dieser stellt anschließend auf Basis des TCP/IP Protokolls eine Verbindung zum Internet her. Gleichzeitig wird dem Nutzer eine IP-Adresse119 zugewiesen. Diese Zuweisung und die Übersetzung von IP-Adressen in leichter er114

M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102. Nicht zu vergessen ist hier die Technik des Wireless-LAN (W-LAN), der leitungslosen Verbindung mit dem Internet. Ausführlich dazu C. Meinel/H. Sack, WWW, S. 358; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 24. 116 P. Schaar, Datenschutz im Internet, S. 8. 117 W. Lohse, Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, S. 25 f. 118 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102. 119 Hierbei können je nach Art der Einwahl statische und dynamische IP-Adressen unterschieden werden. Zumeist verfügen Unternehmen, Organisationen und staatliche Einrichtungen wie öffentliche Behörden oder Universitäten über eine so genannte Standleitung zu einem Access Provider oder direkt zu einem Netzknotenpunkt und damit über statische IP-Adressen. Dynamische IP-Adressen werden überwiegend an einzelne, private Nutzer vergeben; zum Begriff des Access Providers vgl. auch B. Eichhorn, Internetrecht, S. 40; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 18; ausführlich auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 67. 115

52

1. Teil, 2. Kap.: Grundlagen zum WWW

innerbare Domain-Adressen, der DNS-Dienst, zählen zu den weiteren Dienstleistungen der Access Provider. Host oder Service Provider stellen Nutzern eigene Rechner als Speicherplatz für deren Inhalte zur Verfügung.120 Demnach besteht deren Teilnahme am Internet hauptsächlich in dem Angebot fremder Inhalte und Daten auf eigenen Rechnern. Darüber hinaus gehört zu den Leistungen von Host Providern auch die Anmeldung von Domains, Registrierung von Webseiten121 bei Suchmaschinen, Unterstützung von E-Commerce-Lösungen sowie die Administration und Sicherung der vom Nutzer gespeicherten Daten mittels Backup-Lösungen.122 Content Provider, im Deutschen „Inhaltsanbieter“, beteiligen sich am WWW durch die Bereitstellung eigener Inhalte zur Nutzung durch Dritte.123 Hierzu zählen vor allem Anbieter privater Homepages, Unternehmen als Produzenten von Waren oder Dienstleister mit Angeboten wie elektronischen Warenhäusern und Bankensystemen, Anbieter von Werbung (Werbebanner), Verleger elektronischer Zeitschriften und andere. Content Provider können neben den Anbietern der technischen Infrastruktur wohl als die wichtigsten Beteiligten am WWW gesehen werden. Denn ohne Inhalt, ohne die Möglichkeiten, die durch das große Angebot, welches dem Nutzer rund um die Uhr zur Verfügung steht und so manche Anforderungen des Alltags erheblich erleichtert, wäre das neue Medium wohl nie so erfolgreich geworden. Schließlich sind im Rahmen der Definition der Beteiligten am WWW auch die Nutzer selbst zu nennen. Im weiteren Sinne können darunter allgemein alle Personen verstanden werden, die sich generell am Betrieb des Internets beteiligen. Für die weiteren Betrachtungen der Privatsphäre im WWW sollen jedoch als Nutzer diejenigen Teilnehmer definiert werden, die vom bereitgehaltenen Waren-, Dienstleistungs- und Informationsangebot der Provider Gebrauch machen, ohne selbst eigene oder fremde Inhalte zur Verfügung zu stellen.124 Sie verfügen in der Regel über einen oder mehrere PCs im eigenen Haushalt sowie weitere internetfähige mobile Endgeräte, welche über den Netzknoten ei120 B. Eichhorn, Internetrecht, S. 39; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102; nachfolgend soll die Bezeichnung Host Provider Verwendung finden. 121 Teia, Recht im Internet, 2002, S. 624. 122 P. Schaar, Datenschutz im Internet, S. 8. 123 B. Eichhorn, Internetrecht, S. 38; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102, welcher jedoch den Nutzer auch unter die Begriffsdefinition des Content Providers subsumiert. 124 Durch die Nutzung des WWW ist der Nutzer von einer potentiellen Gefährdung seiner Privatsphäre durch die an der Verarbeitung seiner Daten im WWW Beteiligten betroffen. Die angeführte Definition des Nutzers erfolgt auch analog der in § 3 Abs. 1 BDSG materialisierten Definition, wonach der Betroffene nur eine natürliche Person sein kann; B. Eichhorn, Internetrecht, S. 36.

A. Begriffliche Grundlagen

53

nes Access Providers mit dem Internet verbunden werden können und stehen in einem vertraglichen Verhältnis mit einem Telekommunikationsunternehmen. Die Thematik der Gefährdung der Privatsphäre und des Rechts auf informationelle Selbstbestimmung infolge der zweckfremden, unzulässigen oder seitens unbefugter Dritter rechtswidrigen Verarbeitung personenbezogener Daten über das WWW, impliziert somit die primäre Referenz auf den privaten Nutzer.125 Die angeführte Einteilung der Beteiligten in fünf Gruppen eignet sich für das Verständnis der Verantwortlichkeit, Haftung sowie der Betrachtung staatlicher Maßnahmen im Bereich der Gefahrenabwehr und Strafverfolgung über das WWW. Angesichts der Zunahme an Anbietern, die aufgrund eines multiplen Angebots die Charakteristiken verschiedener Provider gleichzeitig erfüllen, wird die eindeutige Zuordnung der Verantwortlichkeit für rechtswidrige Handlungen sowohl für Rechtsprechung wie Gesetzgebung erheblich erschwert. Auch die Diskussion um den effektiven Schutz der Privatsphäre erfordert eine Gliederung der die Beteiligten im Rahmen des Austauschs personenbezogener Daten über das WWW konsequent zuordenbar sind. Aufgrund dessen ist eine Einteilung auf der Basis der Beziehung zwischen den Akteuren angezeigt. Als Beteiligte im WWW können demnach 3 Gruppen identifiziert werden:126 1. Nutzer (private, natürliche Personen im Sinne des § 1 BDSG), 2. Zugangsvermittler (Access und Host Provider), 3. Inhaltsanbieter (Content Provider als private oder öffentliche Institutionen, aber auch Privatpersonen als Betreiber eigener Webseiten). Anhand dieser Aufzählung ist der Prozess des Austauschs persönlicher Daten über das WWW einfach nachzuvollziehen: Am Beginn steht zumeist der Nutzer, der seine persönlichen Daten, beispielsweise in ein Bestellformular127, auf einer Internetseite eingibt. Zugangsvermittler sorgen einerseits für die Übertragung der Daten, indem der Access Provider die technischen Voraussetzungen für die Verbindung zum Internet bereitstellt und der Host Provider die tatsächliche Verbin-

125 Allgemein kann der Begriff des Nutzers in private und institutionelle Nutzer differenziert werden. Bei privaten Nutzern handelt es sich um bestimmte oder bestimmbare natürliche Personen im Sinne des § 3 Abs. 1 BDSG. Unter den Begriff der institutionellen Nutzer fallen öffentliche und nicht-öffentliche Stellen im Sinne des § 2 i.V. m. § 1 Abs. 2 BDSG. 126 Vgl. dazu auch vergleichbare Differenzierungen bei S. Bleisteiner, Rechtliche Verantwortlichkeit im Internet, 1999, S. 53 ff.; H. Federrath, Zur Kontrollierbarkeit des Internet, ZUM 1999, S. 177 ff.; U. Sieber, Strafrechtliche Verantwortlichkeit für den Datenverkehr in internationalen Computernetzen, JZ 1996, 434; ders., Kontrollmöglichkeiten zur Verhinderung rechtswidriger Inhalte in Computernetzen, CR 1997, S. 597 f.; N. Wimmer/G. Michael, Der Online-Provider im neuen Multimediarecht, 1998, S. 43 ff. 127 Zum Einsatz von Bestellmasken als Online-Formulare auf einer Website vgl. H. Dörner, in: ders. u. a., BGB, § 147, Rdn. 2, 7; A. Wien, Internetrecht, S. 78.

54

1. Teil, 2. Kap.: Grundlagen zum WWW

dung zum WWW ermöglicht.128 Andererseits werden vom Host Provider selbst quantitative Daten über die Nutzung des Internets durch den Nutzer sowie dessen persönliche Daten aufgrund des vertraglichen Verhältnisses erhoben, gespeichert und zu Abrechnungszwecken verarbeitet. Das Unternehmen oder der private nicht-institutionelle Anbieter, der Inhaltsanbieter, im genannten Beispiel der Anbieter des Online-Shops, erhebt die vom Nutzer eingegebenen Daten aus dem Bestellformular,129 speichert und verarbeitet diese zum Zwecke der Leistungserfüllung und Lieferung der Ware an den Nutzer.

Zugangsvermittler

Nutzer sendet Daten

Datenaustausch bei gemeinsamem Angebot

Inhaltsanbieter

Abbildung 1: Überschneidung von Inhalts- und Zugangsangebot130

Jedem der genannten Beteiligten wird innerhalb des Gesamtprozesses somit eine bestimmte Rolle zugewiesen. Für die Beurteilung der aus diesem Ablauf der Datenübertragung resultierenden Gefahren ist es wichtig, die relevanten Schnittstellen aus dem Zusammenspiel der einzelnen Akteure zu identifizieren. Wie in Abb. 1 dargestellt, erfüllt der Nutzer innerhalb des Datentransfers als Sender die Rolle des Lieferanten für den Dateninput. Zugangsvermittler, insbesondere Host Provider und Content Provider können Schnittstellen aufweisen, weil deren Angebot in der Praxis nicht immer genau differenziert werden kann. So bieten Service Provider wie AOL, 1&1 oder T-Online über eine als Portal gestaltete Internetseite dem Nutzer sowohl den Zugang zum Internet als auch zahlreiche zusätzliche Informations-, Dienstleistungs- und Warenangebote. Diese Vermengung von Inhalts- und Zugangsangebot bereitet nicht nur den rechtsprechenden wie gesetzgebenden staatlichen Organen erhebliche Probleme, sondern erzeugt insbesondere für den Nutzer eine Grauzone im Hinblick auf die Nachvollziehbarkeit des Datentransfers sowie der Speicherung und Verwertung ihrer persönlichen Daten zu anderen als den ursprünglich vorgesehenen Zwecken.131 128 Kritisch zur Abgrenzung zwischen Access und Host Providern M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103. 129 A. Wien, Internetrecht, S. 77 f.; so auch H. Dörner, in: ders. u. a., BGB, § 147 Abs. 1, Rdn. 2, 7. 130 Eigene Darstellung. 131 Vgl. dazu P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; vgl. dazu auch die Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, BVerfGE 65, 1 (43).

B. Technische Grundlagen

55

Zusammenfassend soll festgelegt werden: Der Begriff Internet steht nachfolgend stets für das technische Gesamtnetzwerk. Für die Thematik des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung des einzelnen Nutzers liegt der Fokus auf der Betrachtung eines Teilbereichs des Internets, dem World Wide Web (WWW); zum einen, weil über diesen vorrangig genutzten Dienst des Internets personenbezogene Daten erhoben werden und zusammen mit deren Weiterleitung über das Internet ein erhöhtes Risiko für die Gefährdung der Privatsphäre und des Rechts auf informationelle Selbstbestimmung für den Nutzer entsteht. Zum anderen sollen durch die Fokussierung auf diesen Begriff weitere Dienste des Internets, wie E-Mail oder Newsgroups so aus den folgenden Betrachtungen ausgeklammert werden.

B. Technische Grundlagen Mit der Erweiterung der Möglichkeiten, die das Internet seinen Nutzern bietet, geht auch ein sprunghafter Anstieg rechtlicher Zuwiderhandlungen in diesem Bereich einher.132 Insbesondere die staatlichen Organe stehen vor der ständigen Herausforderung, entsprechende effektive Kontrollmaßnahmen zu entwickeln. Dabei bleibt insbesondere die Gesetzgebung mit dem Erlass geeigneter gesetzlicher Grundlagen regelmäßig hinter dem raschen technischen Fortschritt des neuen Mediums zurück. In der Vergangenheit scheiterte die Entwicklung eines geeigneten sowie umfassenden rechtlichen Rahmens zudem oft auch an unzureichendem Wissen über die technischen Grundlagen und Möglichkeiten eines global existenten Netzwerks. Trotz des wachsenden Bewusstseins und zahlreicher Diskussionen um die möglichen Gefahren des Internets, bleibt die existente datenschutzrechtliche Literatur mit der Ableitung geeigneter Lösungsansätze meist weit hinter ihren Möglichkeiten zurück. Ein genaueres Studium der Publikationen zeigt, dass die Grundlagen der Technik des Internets häufig sehr kurz behandelt, teilweise sogar 132 So wurden allein im Bundesland Bayern im Jahr 2010 insgesamt 8.510 Fälle der Computerkriminalität registriert, 344 Fälle oder 3,4 % mehr als im Jahr 2009. Seit dem Jahr 2007 ergibt sich für den Bereich der Computerdelikte in Bayern in Summe ein Plus von 45,3 %. Nach wie vor bilden strafbare Handlungen in den Bereichen Computerbetrug, Datenveränderung und Computersabotage sowie dem Abfangen und Ausspähen von Daten den maßgeblichen Anteil. Der starke Anstieg in den Jahren 2007 bis 2009 und der gemäßigte Verlauf in den Folgejahren 2009 und 2010 lässt sich im Wesentlichen auf die Weiterentwicklung des Sicherheitsniveaus für das Internet, insbesondere der Standards der Sicherheitssoftware seitens der Internetprovider sowie verbesserter präventivpolizeilicher Maßnahmen zurückzuführen. Vgl. dazu Polizeiliche Kriminalstatistik für den Freistaat Bayern 2010, abrufbar unter http://www.polizei.bayern.de/ content/6/4/9/krimstat2010.pdf, Stand 01.06.2011, S. 66; zum Vergleichsjahr 2008/ 2009 Kriminalstatistik für den Freistaat Bayern 2009, abrufbar unter http://www. polizei.bayern.de/content/6/4/9/krimstat2009_.pdf, Stand 20.06.2011, S. 64.

56

1. Teil, 2. Kap.: Grundlagen zum WWW

ganz übergangen werden. In den meisten Fällen beschränkt sich die Auseinandersetzung mit den technischen Gegebenheiten auf die Darstellung der Entstehungsgeschichte des Internets sowie der zugehörigen Dienste.133 Wie jedoch sollen geeignete Lösungsansätze für ein weltweites Datennetzwerk gefunden werden, wenn das grundlegende Wissen über dessen Funktionsweise und Struktur als offenbar wenig relevant eingestuft wird? Das Internet beruht auf Technik, wird von Technikern täglich gewartet und weiterentwickelt und ebenso von technisch versierten Nutzern für rechtswidrige Handlungen missbraucht. Für die Beurteilung möglicher Gefahren und deren effektiver Lösungen scheint es im Rahmen dieser Arbeit daher angezeigt, die Grundlagen der Technik des Internets, soweit für die Diskussion um den Schutz des personenbezogenen Datenverkehrs über das WWW relevant, einzubeziehen. I. Aufbau und Struktur Für den Anwender stellt sich das Internet vordergründig als ein modernes Kommunikations- und Informationsmedium dar, das durch die Eingabe von Internet- und E-Mail-Adressen sowie Anwählen von Webseiten per Tastenklick relativ einfach zu bedienen ist. Hinter der bewusst benutzerfreundlich gestalteten Oberfläche steckt jedoch eine weitaus komplexere Technologie, für deren Entwicklung durch die hohe Anzahl unterschiedlicher Anwendungsmöglichkeiten noch lange kein Ende zu erwarten ist. Aus dem ursprünglichen Verwendungszusammenhang als militärisches Nachrichtensystem bildet das Internet kein zusammenhängendes Netz mit einem zentralen Server, sondern besteht aus einem weltweiten Verbund vieler kleiner Netzwerke.134 Diese gewollte Dezentralität135 diente ursprünglich der Sicherung einer zuverlässigen Datenübertragung im Falle extrem ungünstiger Bedingungen, wie im Kriegsfall, so dass selbst bei einem Ausfall einzelner Rechner die Funktionsfähigkeit des Gesamtsystems gewährleistet blieb. Damit wird die Struktur des Internets wesentlich von den ihm angeschlossenen Netzen bestimmt.136

133 Keine Ausführungen dazu enthalten B. Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006; P. Gola/C. Klug, Grundzüge des Datenschutzrechts; C. Volkmann, Der Störer im Internet, 2005; eingeschränkt zu den Diensten und Beteiligten T. Hoeren, Grundzüge des Internetrechts, 2. Aufl. 2002; sowie V. Haug, Grundwissen Internetrecht, 2005; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, 2005. 134 T. Hoeren, Grundzüge des Internetrechts, S. 9; T. Strömer, Online-Recht, Rechtsfragen im Internet, 3. Aufl., S. 3 f.; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 1. 135 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 34; F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. 136 Teia, Recht im Internet, S. 16, 21.

B. Technische Grundlagen

57

Das Internet-Netzwerk besteht aus insgesamt 3 Komponenten: 1. Rechner, die untereinander vernetzt sind, 2. Infrastrukturkomponenten für Anschluss und Kopplung der Rechner und 3. Verkabelung als Verbindung der Einzelkomponenten137. Ausschlaggebend für das Verständnis der Technik der Datenübertragung im Internet ist die Unterscheidung der Rechner in sogenannte „Server“ und „Clients“. Server stellen neben ihrer eigenständigen Funktion ihre Ressourcen auch für andere bereit. Clients hingegen nutzen lediglich die Leistung anderer Rechner innerhalb eines Netzwerks.138 Dabei lässt sich die Kommunikation im Internet vereinfacht so beschreiben, dass ein Client von einem oder auch wechselnde von unterschiedlichen Servern die jeweils benötigte Dienstleistung anfordert (vgl. Abb. 2). Entscheidend ist dabei, dass ein Server stets nur eine Anforderung bearbeiten kann. Ein wartender Client muss seine Anfrage so lange wiederholen, bis der angewählte Server frei ist. Nach erfolgter Freigabe bearbeitet der Server die Anfrage nur, wenn der Client als Berechtigter authentifiziert139 werden kann und für den Erhalt des gewünschten Dokuments autorisiert140 ist.141 Anforderung eines Dokuments (1) Client

Server Authentifikation und Autorisation (2) Dokument

Versand des Dokuments (3)

Abbildung 2: Client-Server-Modell142

137

C. Meinel/H. Sack, WWW, 2004, S. 2. Ders., S. 3. 139 Unter Authentifizierung wird ein Güteparameter verstanden, der dem Nutzer oder Empfänger (Server) zusichert, dass eine empfangene Nachricht oder Datei tatsächlich vom angegebenen Sender stammt und der Datentransfer von Seiten unbefugter Dritter nicht dahingehend beeinflusst wurde, um die Identität des Senders vorzutäuschen. Vgl. dazu C. Meinel/H. Sack, WWW, S. 226, 233, 652, 657, 712, 758. 140 Als Autorisation werden diejenigen Zugriffsrechte definiert, die nach erfolgreicher Authentifizierung beiden Kommunikationspartnern zur Verfügung gestellt werden. Technisch wird an jede Informationsquelle eine Zugriffsberechtigung geknüpft, die nur einem erfolgreich authentifizierten Nutzer zugänglich gemacht wird. Vgl. C. Meinel/ H. Sack, WWW, S. 652. 141 Ders., S. 2 f., 575 f. 142 Nach B. Schneier, Applied Cryptography, S. 24; C. Meinel/H. Sack, WWW, S. 576. 138

58

1. Teil, 2. Kap.: Grundlagen zum WWW

Nach der Darstellung der Grundlagen zur Struktur der Netzwerktechnik stellt sich die Frage, wie nun verschiedenste Rechner, die mitunter mit unterschiedlichen Betriebssystemen und Anwendungen ausgestattet sind, miteinander nahezu fehlerfrei kommunizieren können. Eine wesentliche Aufgabe besteht darin, Datenpakete während des Versandwegs über mehrere Schnittstellen und Rechnernetzwerke stets auf die Voraussetzungen und technischen Anforderungen des jeweiligen Netzwerks anzupassen. Zugunsten der Gewährleistung einer vollständigen und fehlerfreien Übermittlung wird die Gesamtaufgabe sowohl auf Sender- wie auf Empfängerseite in unterschiedliche, hierarchisch gegliederte Teilaufgaben143 zerlegt. Diese Einteilung in so genannte Layer wird allgemein als Schichtenmodell bezeichnet.144 Die hierarchische Gliederung der Aufgaben bedingt einerseits in vertikaler Richtung eine Kommunikation der einzelnen Schichten untereinander, indem die höhere Schicht von der untergeordneten Schicht Dienste anfordert. Auf der anderen Seite erfolgt auf horizontaler Ebene ein direkter Austausch von Daten der gleichen Schichtenebenen auf Seiten des Senders und Empfängers. Dieses System wirkt sich insbesondere auf die Weiterentwicklung der Internettechnik günstig aus, weil nicht das gesamte System, sondern auch nur einzelne Module technisch jederzeit erneuert werden können.145 Die horizontale Kommunikation der Layer erfolgt über ein festes, einheitliches Regelwerk von Kommunikationsprotokollen, über die Nachrichtenformate und das Verhalten von Rechnern für den Kommunikationsablauf im Internet (wie eingehende Daten oder aufgetretene Fehler) definiert sind.146 Das im Internet allgemein anerkannte und am meisten verbreitete ist das TCP/IP Protokoll.147 Das Internet Protocol (IP)148 definiert dabei den Aufbau und die Adressierung der Datenpakete. Nach der Entschlüsselung der Adressen an den Netzknoten entscheiden diese über Art und Richtung der Weiterleitung der Datenpakete. Die Abkürzung TCP steht allgemein für „Transmission Control Protocol“. Dieses übernimmt die Aufgabe, jedes Datenpaket zu nummerieren, diese nach Dienst-

143 Dazu gehören unter anderem der Austausch elektronischer Signale, die Erzeugung von Binärdateien, die Zuordnung von Adressfeldern sowie die Markierung deren Zusammengehörigkeit. 144 C. Meinel/H. Sack, WWW, S. 5; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 57. 145 C. Meinel/H. Sack, WWW, S. 6; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 58. 146 Teia, Recht im Internet, S. 630 f. 147 P. Schaar, Datenschutz im Internet, S. 3; C. Meinel/H. Sack, WWW, S. 476; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 2 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 58 f., 67; vgl. auch A. Tanenbaum, Computer Networks, 1996, S. 521 ff. 148 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 61 ff.

B. Technische Grundlagen

59

klassen zu sortieren, deren richtige Verarbeitung sowie zuletzt die Ankunft der Nachricht beim Empfänger zu kontrollieren.149 Um diese Basisschichten, den TCP und IP, herum lassen sich insgesamt weitere 5 Schichten mit unterschiedlichen Aufgaben identifizieren:150 Application-Schicht Bereitstellung von Anwendungsprogrammen (z. B. Protokolle zur Datenübertragung) wie FTP, http, SMTP. Transport-Schicht Bereitstellung eines universellen Transportsystems für eine Verbindung mit geregeltem Dialogablauf und Verhinderung von Fehlinterpretationen durch vordefinierte Datenformate. Mechanismen zur Komprimierung und Verschlüsselung. Internet-Schicht Festlegung des günstigsten Weges über das Netzwerk vom Ausgangs- zum Zielrechner anhand der Kriterien gleichmäßige Lastenverteilung und größtmögliche Sicherheit. Host-to-Network-Schicht/Bitübertragungs-Schicht Bereitstellung der physikalischen Verbindung und ständige Betriebsbereitschaft mit Steuerung des Zugriffs auf das Übertragungsmedium und Verwaltung der logischen Verbindung mit Fehleranalyse und Flusskontrolle. Hardware-Schicht Datentransport über ein physikalisches Übertragungsmedium. Abbildung 3: Schichtenmodell151

Nach der Darstellung der netzwerkspezifischen Grundlagen, interessiert im Rahmen dieser Arbeit vor allem die Funktionsweise eines Teilbereichs des Internets, die des World Wide Web (WWW). Die technischen Grundlagen dieses Dienstes sollen im Folgenden dargestellt werden, um datenschutzrechtliche Gefahren, die von diesem Dienst über das Medium Internet ausgehen und darauf aufbauende Lösungsansätze adäquat beurteilen zu können. II. Funktionsweise des World Wide Web Im Laufe der Zeit haben sich innerhalb des Internet-Netzwerkes verschiedene Dienste entwickelt. Die wichtigste Funktion des WWW war und ist bis heute die Möglichkeit eines örtlich und zeitlich unabhängigen Austauschs von Daten sowie der Bereitstellung von Informationen. 149

P. Schaar, Datenschutz im Internet, S. 3; C. Meinel/H. Sack, WWW, S. 6, 247 ff. Ders., S. 9, 247 ff.; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 18. 151 Nach M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 58, 60. 150

60

1. Teil, 2. Kap.: Grundlagen zum WWW

Möglich wird dies in erster Linie durch das mit dem allgemeinen Internet-Protokoll TCP/IP verbundene Protokoll HTTP152 welches den Zugriff auf Daten und Informationen für den einzelnen Nutzer ermöglicht. Voraussetzung für die einfache Bedienbarkeit, die das WWW für beinahe jedermann zugänglich und damit populär macht, ist die Verwendung eines so genannten „Browsers“ 153. Mithilfe dieses Anwendungsprogramms kann der einzelne Nutzer gezielt auf das Internet und dessen Daten zugreifen.154 Die grafische Benutzeroberfläche vereinfacht den Abruf von Informationen durch das Anklicken von Schaltflächen und Icons. Das Internet stellt sich dem Nutzer so als grafische Oberfläche dar, die im Hintergrund aus mehreren, beliebig miteinander verknüpfbaren Dokumenten, Grafiken, Bildern, Audio- und Video-Dateien sowie Animationsdateien besteht. Die Sammlung dieser Art von Dateien wird allgemein auch als Hypermedia-System155 bezeichnet. Klickt der Nutzer nun auf eine im aktuellen Fenster dargestellte Schaltfläche oder einen Textbestandteil, um über diesen Link die gewünschte Information abzurufen, so fordert der Browser dieses Dokument vom jeweilig zuständigen Server an und stellt es nach erfolgter Authentifizierung und Freigabe auf dem Bildschirm des Nutzers grafisch dar.156 Will man selbst Inhalte, Grafiken, etc. für andere zur Verfügung stellen, ist es zunächst nicht möglich Texte gleich einer Schreibmaschine einfach nur einzugeben. Benötigt wird dazu eine spezielle Beschreibungssprache, die Hypertext Markup Language (HTML).157 Anhand dieser können Struktur, Gliederung, farbliche Gestaltung und mehr für WWW-Dokumente bestimmt werden. Der Code der Programmiersprache HTML definiert für Rechner eindeutig interpretierbare Regeln, die die korrekte Darstellung der Dokumente gewährleisten.158 Werden nun Textteile oder sonstige Ele152 Das Hypertext Transfer Protocol (HTTP) regelt die Kommunikation von Browsern und WWW-Servern im gesamten WWW. Die Konventionen dieses Protokolls müssen sowohl für eine erfolgreiche Anforderung eines Dokuments seitens eines Browsers als auch für die Antwort einer Anfrage seitens eines Servers erfüllt sein. Vgl. dazu auch C. Meinel/H. Sack, WWW, S. 802. 153 Zu den heute bekanntesten Browsern zählen der wohl am weitesten verbreitete Microsoft Internet Explorer sowie der Netscape Navigator. In den Anfängen des Internets entstanden für den Nutzer mitunter Schwierigkeiten daraus, dass manche Browser bestimmte Komponenten der Webseiten nicht unterstützten und diese damit auf dem Bildschirm des Nutzers nicht oder nur unvollständig dargestellt wurden. 154 C. Meinel/H. Sack, WWW, S. 13 f. 155 Ders., S. 14 ff. 156 Ders., S. 576. 157 Teia, Recht im Internet, S. 624; HTML stellt die bei privaten Anwendern wohl bekannteste Beschreibungssprache für die Programmierung von WWW-Seiten dar. Im Zuge des technischen Fortschritts wurde sie zwar nicht vollständig abgelöst, es traten jedoch einige weitere Sprachen wie SGML und XML hinzu. 158 C. Meinel/H. Sack, WWW, S. 17 f.

B. Technische Grundlagen

61

mente in der Darstellung für den Nutzer mit Hyperlinks hinterlegt, so kann dieser durch Tasten- oder Mausklick auf seinem Rechner diese aktivieren und sich das gewünschte Dokument in seinem Browserfenster darstellen lassen. Doch nicht jeder Provider kann sich eine professionelle Programmierung seiner Website leisten. So existieren mittlerweile zahlreiche Softwareangebote, die die Erstellung und Gestaltung von Webseiten wesentlich vereinfachen, indem die auf einer grafischen Voransicht der Webseite platzierten Texte, Bilder oder Links automatisch in die Programmiersprache HTML übersetzt werden. Für den direkten Zugriff auf eine Webseite ist dieser, gleich einer eigenen Telefonnummer, eine sogenannte URL (Uniform Resource Locator)159, zugeordnet. Die URL besteht aus 3 Teilen: 1. Protokoll (bei WWW-Dokumenten zumeist http), 2. Computername, 3. Dokumentenname. Dokumente können im Internet somit nicht nur per Mausklick von Hyperlink zu Hyperlink abgerufen werden, sondern auch direkt mittels Eingabe einer URL in die Eingabezeile der Menümaske des Browserfensters. Der Nutzer fordert mithilfe dieser Adresse durch den Browser, der als Client fungiert, eine Seite auf dem Server an, auf dem das gewünschte Dokument bereitgehalten wird. Die Identifikation des Dokuments beim Server erfolgt mithilfe der URL. Dieser durchsucht nun sein Dokumentensystem nach der entsprechenden Datei und sendet diese dem anfragenden Client zurück. Der Browser selbst interpretiert lediglich den Programmiercode des Dokuments und stellt dieses auf der Oberfläche grafisch dar.160 Für die dargestellten Inhalte wird zwischen solchen statischer und dynamischer Art differenziert. Der Unterschied besteht darin, dass statische Inhalte auf dem jeweiligen Server zum Abruf bereit liegen, während dynamische Inhalte erst auf Abruf des Nutzers von einer bestimmten Datenbank auf dem Server zusammengestellt werden.161 Wie bereits beschrieben, setzt sich das WWW aus einer Vielzahl von Dokumenten zusammen, die beliebig miteinander kombinierbar sind. Will nun beispielsweise ein Unternehmen mehrere Webseiten mit Informationen für seine Kunden zur Verfügung stellen, müssten sich diese die Adressen jedes einzelnen Dokuments merken. Der Einfachheit halber werden in der Regel inhaltlich oder 159 Die URL bildet zusammen mit dem URN (Uniform Resource Name) den URI (Uniform Resource Identifier). Mithilfe dessen werden im WWW alle zur Identifikation notwendigen Informationen kodiert. V. Haug, Grundwissen Internetrecht, Rdn. 386 ff. C. Meinel/H. Sack, WWW, S. 721 ff. 160 Ausführlich dazu C. Meinel/H. Sack, WWW, S. 22 ff. 161 P. Schaar, Datenschutz im Internet, S. 8.

62

1. Teil, 2. Kap.: Grundlagen zum WWW

thematisch zusammenhängende Dokumente mittels einer Startseite, die den einzelnen Dokumenten hierarchisch übergeordnet wird, miteinander verbunden. Der Nutzer muss sich also nur die Web-Adresse dieser „Homepage“ des Unternehmens merken und kann von dort per Mausklick über Hyperlinks162 auf verschiedene, wiederum miteinander verlinkte Dokumente zugreifen. Jeder Zugriff auf eine Information im weltweiten Netzwerk setzt jedoch ein Verzeichnis der vorhandenen und erreichbaren Rechner voraus. Das Internet Protocol (IP) sorgt als Basis des Internets dafür, dass das aus vielen einzelnen Netzwerken bestehende Netzwerk als ein einheitliches Gesamtsystem erscheint.163 Die eindeutige Rechneridentifikation wird weltweit durch ein standardisiertes Adressierungsschema, die so genannte IP-Adresse, 32-bit lang, nach binärem Schema, gewährleistet. Bestehend aus 2 Teilen, der Netzwerk-ID und der HostID, kann ein Rechner bis hin zu seiner Position innerhalb seines lokalen Netzwerks identifiziert werden.164 Um im Rahmen der Flut der dem Internet weltweit angeschlossener Rechner die Merkfähigkeit von IP-Adressen zu erleichtern, wurden das Domain-NameSystem (DNS)165 eingeführt. Dieser auf Datenbankbasis funktionierende Namensdienst fasst alle im Internet erreichbaren Rechner und deren IP-Adressen nach symbolisch eingeführten Namen zusammen. Der DNS-Adressraum wurde in so genannte Domänen eingeteilt, die fast jedem Nutzer unter dem Begriff Domain, Internetadresse oder Web-Adresse, geläufig sind: Beispiele dafür sind: www.uni-erlangen.de, www.bundesfinanzministerium.de, www.datenschutz.de. Dabei unterscheidet man so genannte Top-Level-Domänen (z. B. länderspezifische Kennungen wie .de, .at, .it oder generische Kennungen wie .org, .info, .biz für Organisationen und Institutionen), die Domäne (Name eines Unternehmens, einer Organisation, eines Produkts, des Besitzers der Webseite, etc.), sowie den Domänen vorgelagerte Sub-Domänen (z. B. www.bib.uni-erlangen.de).166 Ein derartiger, einheitlicher Aufbau der Domänen dient nicht nur einer vereinfachten Merkfähigkeit von IP-Adressen für den Nutzer, sondern vor allem einer besseren Strukturierung und Verwaltung einer täglich weltweit wachsenden Anzahl von Rechnern sowie der auf diesen zur Verfügung gestellten Diensten und Informationen. 162

Teia, Recht im Internet, S. 624. P. Schaar, Datenschutz im Internet, S. 3; C. Meinel/H. Sack, WWW, S. 476; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, S. 2 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 58 f., 67; A. Tanenbaum, Computer Networks, 1996, S. 521 ff. 164 C. Meinel/H. Sack, WWW, S. 569. 165 Teia, Recht im Internet, S. 622; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, 2000, S. 63; A. Tanenbaum, Computer Networks, 1996, S. 622 ff. 166 V. Haug, Grundwissen Internetrecht, Rdn. 381 ff. 163

C. Rechtliche Grundlagen

63

C. Rechtliche Grundlagen Für eine profunde Beurteilung des Schutzbedarfs personenbezogener Daten im WWW wird die Darstellung der technischen und begrifflichen Grundlagen durch einen Überblick über die rechtlichen Grundlagen ergänzt. Maßgeblich für die vorliegende Thematik sind dabei die für die Übertragung personenbezogener Daten über das WWW relevanten und anwendbaren gesetzlichen Regelungen. Da das Internet in seiner Gesamtheit infolge weltweiter Präsenz nicht nur auf nationale Gesetze beschränkt ist, werden nachfolgend auch internationale Bestimmungen und Konzepte berücksichtigt. Im Zentrum soll dabei nicht die Auflistung länderspezifischer Rechtsvorschriften für den Datenschutz stehen, sondern für die Gewährleistung des Schutzes personenbezogener Daten relevante internationale, europäische und deutsche Regelungen. I. Internationale Regelungen Die Existenz eines weltweit gültigen, allgemeinen Rechtsrahmens für den Datenschutz steht bis heute aus. Allein die Anzahl technischer Neuerungen, die beständige Erweiterung des Internet-Netzes, sowie die stark differierenden rechtlichen Grundlagen der einzelnen Staaten, erschweren die Schaffung eines staatenübergreifenden, angemessenen Datenschutzniveaus erheblich. Als nicht minder gewichtig erweist sich dabei allein der Umstand, dass in den Vereinigten Staaten von Amerika im Gegenzug zu Europa ein im Vergleich größerer Schwerpunkt auf der Sicherung der Meinungsäußerungsfreiheit sowie der Regulierung durch die Marktkräfte liegt.167 Beispielhaft dafür seien die von der Europäischen Kommission durch Entscheidung vom 26. Juli 2000168 anerkannten „Safe Harbour Principles“ 169 genannt, welche einerseits die wesentlichen daten167 A. Dix, Internationale Aspekte, in: H. Bäumler (Hrsg.), E-Privacy – Datenschutz im Internet, 2000, S. 97; T. Hoeren, Grundzüge des Internetrechts, S. 270. 168 Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, ABl. L 215 vom 25.8.2000, S. 7; kritisch zur Anerkennung durch die Europäische Kommission für das europäische Datenschutzrecht M.-T. Tinnefeld/E. Ehmann/ R. W. Gerling, Einführung in das Datenschutzrecht, 2005, S. 124 f. 169 Die Vereinbarung der Safe Harbour Principles erfolgte zwischen den Vereinigten Staaten und der Europäischen Union im Rahmen des Art. 25 EU-Datenschutzrichtlinie am 21.Juli 2000. Vorrangiges Ziel der Anerkennung durch die Europäische Kommission war die Überbrückung der stark differierenden Regelungsansätze für den Datenschutz zwischen den Vereinigten Staaten von Amerika und Europa. Während die Europäische Union den Regelungsauftrag vorrangig durch die Schaffung eines umfassenden Rechtsrahmens als erfüllt ansieht, steht nach amerikanischem Rechtsverständnis die Anwendung datenschutzrechtlicher Normen gegenüber der freien Regulierung des Marktes eindeutig im Hintergrund. Vgl. M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in

64

1. Teil, 2. Kap.: Grundlagen zum WWW

schutzrechtlichen Themen übersichtlich in sieben Hauptpunkten zusammenfassen, andererseits jedoch Datenschutz primär als Aufgabe der Wirtschaft, der einzelnen Unternehmen, nicht als Regulierungsaufgabe des Staates definieren.170 Die möglichen Folgen automatisierter Datenverarbeitung werden auf internationaler Ebene nicht erst seit der Entwicklung und Verbreitung der neuen Medien thematisiert. Bereits seit Ende der 60er Jahre des vorigen Jahrhunderts wurden diese Überlegungen von den Vereinten Nationen in ihre Aktivitäten einbezogen.171 Doch erst am 15. Dezember 1990 erfolgte durch die UN-Generalversammlung die Festlegung der „Richtlinie zur Verarbeitung personenbezogener Daten in automatisierten Dateien“ 172, die den Mitgliedstaaten als Empfehlungen dient, entsprechend den Vorgaben verbindliche, nationale Rechtsvorschriften für die automatisierte Verarbeitung personenbezogener Daten zu schaffen. Obwohl die Initiative der Rechtsetzung durch die Mitgliedsstaaten auf freiwilliger Basis erfolgt173, erhält die Richtlinie in informeller Hinsicht das Gewicht ähnlich einer internationalen Regelung, weil deren Grundsätze wie „Rechtmäßigkeit der Datenverarbeitung, Richtigkeit der Daten, Zweckbestimmung, Einsichtnahme durch die Betroffenen“ als wesentliche Vorgaben bei der Festlegung von Aufbau und Inhalt diverser nationaler Datenschutzgesetze, wie auch dem deutschen Bundesdatenschutzgesetz, umgesetzt wurden.174 Als grundlegend für die vorliegende Thematik soll überdies auf die international maßgebliche Konvention für den Bestand und Gehalt der Menschenrechte, die International Bill of Human Rights175 der Vereinten Nationen verwiesen wer-

das Datenschutzrecht, S. 125, 352 ff.; grundlegend dazu P. M. Schwartz/R. Joel, Data Privacy Law. A Study of United States Data Protection, Charlottesville/Virg., 1996; J. Rieß, Globalisierung und Selbstregulierung, in: H. Kubicek/D. Klumpp/G. Fuchs/ A. Roßnagel (Hrsg.), Internet@future, S. 338; T. Hoeren, Grundzüge des Internetrechts, S. 260 ff. 170 H. Bäumler, Gesetz und Realität, in: ders. (Hrsg.), E-Privacy – Datenschutz im Internet, 2000, S. 5. Voraussetzung der Anwendbarkeit der Safe Harbour Principles ist die Verpflichtung der Unternehmen auf die Einhaltung der Grundsätze sowie einer nachträglichen Zertifizierung; vgl. dazu P. Schaar, Datenschutz im Internet, S. 275 f.; A. Büllesbach, Selbstregulierungsinstrumente in der globalen Wirtschaft, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future, S. 272; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet. Lässt sich der internationale Datenhandel im Netz noch kontrollieren?, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 89. 171 P. Schaar, Datenschutz im Internet, S. 29. 172 Abgedruckt in: SDMR (BDSG-Dok.), D 25. 1. 173 Die Regelung enthält lediglich Vorschläge und stellt damit für die Mitgliedstaaten kein bindendes Völkerrecht dar. 174 Vgl. dazu Art. 8 der UN-Richtlinie, wonach die Einrichtung von kompetenten und unabhängigen Datenschutzinstanzen nicht nur empfohlen, sondern gefordert wird. 175 The International Bill of Human Rights, abrufbar unter www.ohchr.org/english/ about/publications/docs/fs2.htm, Stand 01.06.2011.

C. Rechtliche Grundlagen

65

den. Die Verabschiedung des völkerrechtlichen Pakts über bürgerliche und politische Rechte sowie des Pakts über wirtschaftliche, soziale und kulturelle Rechte beinhalten unter anderem die Zielsetzung der Sicherung von „Recht auf Leben, Freiheit, Eigentum, Sicherheit der Person“, „Freiheit von willkürlichen Eingriffen in die Privatsphäre (Wohnung/Briefgeheimnis)“ sowie „Informationsfreiheit“. In Verbindung mit der Allgemeinen Erklärung der Menschenrechte176 stellt die Konvention einen Bestandteil der grundlegenden Menschenrechtsabkommen der Vereinten Nationen dar. Als ebenso wesentlich im Zusammenhang mit dem Schutz der Privatsphäre und dem bürgerlichen Freiheitsgedanken ist die Charta der Vereinten Nationen177 (UN-Charta) anzuführen. Der am 24. Oktober 1945 in Kraft getretene Vertrag dient auf internationaler Ebene als Verpflichtung der Mitgliedstaaten zur Achtung und Wahrung der Menschenwürde, die Grundrechte der Menschen und die Förderung des sozialen wie wirtschaftlichen Fortschritts für ein höheres Maß an Freiheit.178 Von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD)179 erfolgte im Jahre 1980 der Beschluss von Empfehlungen für die Ausgestaltung von Leitlinien zum Schutz des Persönlichkeitsbereichs und des grenzüberschreitenden Verkehrs personenbezogener Daten.180 Hintergrund waren vor allem Harmonisierungsbestrebungen zugunsten eines gleichmäßigen Niveaus der Datenschutzbestimmungen der Mitgliedsstaaten, die Förderung eines freien Informationsaustauschs und die Vermeidung ungerechtfertigter Handelshemmnisse.181 Einen wesentlichen Eckpunkt stellt die Schaffung von geeigneten Gerichts-, Verwaltungs- und anderen Verfahren oder Einrichtungen für den Schutz des Persönlichkeitsbereichs und der Grundfreiheiten im Zusammenhang mit den 176 Die Allgemeine Erklärung der Menschenrechte wurde am 10. Dezember 1948 von der Generalversammlung der Vereinten Nationen genehmigt und verkündet: Resolution 217 A (III) der Generalversammlung vom 10. Dezember 1948. 177 Charta der Vereinten Nationen vom 24.10.1945, UNTS Bd. XV 1945, 143 ff., in der Fassung vom 28. August 1980, BGBl. II, S. 1252 ff. 178 Vgl. Präambel und Art. 55 der Charta der Vereinten Nationen vom 24.10.1945; vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 29 f. 179 Übereinkommen über die Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung (OECD) vom 14.12.1960, in Kraft getreten für die Bundesrepublik Deutschland im Jahr 1961, BGBl. II, S. 1151; ausführlich dazu S. Simitis, Einleitung, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 169 ff. 180 Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten vom 23.9.1980, abgedr. in: SDMR (BDSG-Dok.), D 12.1; vgl. auch Datendeklaration v. 11.4.1985, OECD, Declaration on Transborder Data Flows, The OECD Observer, Nr. 135 (May 1985). Im Jahr 2002 erfolgte eine Überarbeitung der Empfehlungen, die nun auch sicherheitsrelevante Entwicklungen einschließen; vgl. dazu P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 31. 181 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 31; P. Schaar, Datenschutz im Internet, S. 30; S. Simitis, Einleitung, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 169.

66

1. Teil, 2. Kap.: Grundlagen zum WWW

personenbezogenen Daten durch die Mitgliedsstaaten dar.182 Der Fokus liegt dabei auf der Forderung gegenüber den Mitgliedern, verstärkt im Bereich der Selbstregulierung tätig zu werden, so dass diese langfristig für eine Regelung des grenzüberschreitenden Datenverkehrs ausreichend ist.183 Bei den Leitlinien handelt es sich nicht um bindendes Völkerrecht. Infolge dessen sind die Mitgliedstaaten, im Unterschied zu den Datenschutzkonventionen des Europarats, nicht zur Umsetzung der Vorgaben in nationales Datenschutzrecht verpflichtet.184 Darüber hinaus wurden von der OECD Leitlinien für die Sicherheit von Informationssystemen und -netzen185 sowie ein Softwareprogramm186 für die Erstellung von Online-Datenschutzerklärungen entwickelt.187 Primäres Ziel ist dabei wiederum eine verstärkte Entwicklung der Selbstregulierung sowie von internen Datenschutz-Audits und Mediationsverfahren für Datenschutzkonflikte.188 Zusammenfassend wird die Relevanz der Risiken für den Schutz personenbezogener Daten und für die Privatsphäre des Nutzers der neuen Medien durch die Verabschiedung von Leitlinien und Vereinbarungen durch Organisationen auf internationaler Ebene anerkannt. Dennoch existiert derzeit kein international gültiger, anwendbarer rechtlicher Rahmen für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung des WWW und des Internets. Die Regelung des globalen Netzwerks beruht daher primär auf der Freiwilligkeit der durch die den Organisationen verbundenen Mitgliedsstaaten, die Empfehlungen umzusetzen und einzuhalten. II. Europäische Regelungen Im internationalen Vergleich nimmt die Europäische Union im Hinblick auf die Entwicklung und Umsetzung rechtlicher Regelungen für die Schaffung eines angemessenen Datenschutzniveaus eine Vorreiterrolle ein. Die Übereinkommen und Empfehlungen des Europarats sowie die Richtlinien der Europäischen Union 182 P. Schaar, Datenschutz im Internet, S. 30; S. Simitis, in: ders., Einleitung, BDSG, Rdn. 169; F. W. Hondius, Emerging data protection in Europe, 1975, S. 57 ff. 183 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 98. 184 Ders., S. 98 f. 185 Leitlinien zur Kryptographie, OECD Guidelines for Cryptography Policy (1997), abrufbar unter http://www.oecd.org/document/11/0,3746,en_2649_34255_1814731_1_ 1_1_1,00.html, Stand 01.06.2011 sowie Erklärung zum Datenschutz in globalen Netzwerken, Ministerial Declaration on the Protection of Privacy on Global Networks, Ottawa 7.–8.10.1998, abrufbar unter http://www.oecd.org/dataoecd/39/13/1840065.pdf, Stand 01.06.2011; S. Simitis, Einleitung, in: ders., BDSG, Einleitung, Rdn. 170. 186 OECD Privacy Policy Statement Generator (2000). 187 Vgl. P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 31; P. Schaar, Datenschutz im Internet, S. 31; S. Simitis, in: ders., Einleitung, BDSG, Rdn. 169 ff. 188 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 99.

C. Rechtliche Grundlagen

67

üben bis heute einen nachhaltigen Einfluss auf die Entwicklung international gültiger Datenschutzstandards aus.189 Vorderstes Ziel des Europarates ist es, einen effektiven Menschenrechtsschutz, im Speziellen auch des Menschenrechts auf Datenschutz, auf Basis der Europäischen Menschenrechtskonvention (EMRK) zu realisieren.190 Garantiert wird der Anspruch eines jeden Menschen auf Achtung seines Privat- und Familienlebens sowie seiner Wohnung und seines Briefverkehrs. Durch die ergänzende Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, wonach der Briefwechsel gemäß Art. 8 EMRK auch das Recht einschließt, Beziehungen zu anderen Menschen einzugehen und zu entfalten.191 Mit dem Beschluss eines international verbindlichen Datenschutz-Abkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten legte der Europarat am 28. Januar 1981 den Grundstein für den Schutz des Persönlichkeitsbereichs im öffentlichen wie nicht-öffentlichen Bereich.192 Maßgeblich ist hier insbesondere die Einführung einer abgestuften Sensibilität von Daten durch die Festlegung eines besonderen Schutzniveaus für sensible Daten193 in Art. 6 des Übereinkommens. Im Jahr 1999 folgte die Verabschiedung der Empfehlung zum Schutz personenbezogener Daten im Internet.194 Im Zen189 P. Schaar, Datenschutz im Internet, S. 31; S. Simitis, Einleitung, in: ders., BDSG, Rdn. 169 ff. 190 Europäische Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) in der Fassung vom 4. November 1950, BGBl. 1952 II, S. 686, in Kraft getreten zum 03. September 1953; Änderung gemäß Bekanntgabe vom 15. November 1989, in Kraft getreten zum 01. Januar 1990, BGBl. 1989 II, S. 991. Die Konvention hat in der Bundesrepublik Deutschland formell nur den Rang eines einfachen Gesetzes. Gemäß der Rechtsprechung des Bundesverfassungsgerichts sind jedoch die Grundrechte nicht nur gemäß dem Grundgesetz, sondern auch unter Berücksichtigung der Vorgaben der EMRK sowie der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte auszulegen. Auf der Grundlage dieses völkerrechtlichen Vertrages wurde der Europäische Gerichtshof für Menschenrechte gemäß Art. 19 EMRK als ständige international anerkannte Rechtsschutzinstanz eingerichtet; vgl. dazu auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 101. 191 Der infolge der zunehmenden elektronischen Kommunikation im Zusammenhang mit den Neuen Medien notwendigen Ergänzung des Begriffs „Briefverkehr“ wurde in der bis auf wenige Ausnahmen gleich lautenden Charta der Grundrechte der EU in Art. 7 mit dem Begriff „Kommunikation“ Rechnung getragen. 192 Grundlage bildet Art. 8 Abs. 1 EMRK: European Treaty Series No. 108, EU DS, EuRAT Con.; vgl. bewertend P. Schaar, Datenschutz im Internet, S. 31; M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 103; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 29 f. 193 Zu diesen zählen Daten über rassische Herkunft, politische Anschauungen, religiöse oder andere Anschauungen und personenbezogene Daten die Einzelheiten über Gesundheit, Sexualleben oder Strafurteile wiedergeben. 194 Council of Europe, Committee of Ministers to Member States for the Protection of Privacy on the Internet, Recommendation No.R (99) 5, abrufbar unter https:// wcd.coe.int/wcd/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&Ins tranetImage=276580&SecMode=1&DocId=396826&Usage=2, Stand 01.06.2011.

68

1. Teil, 2. Kap.: Grundlagen zum WWW

trum der formulierten Leitlinien stehen als Adressaten Nutzer und Service Provider. Das Ziel, die Verbesserung der Datenschutzpraxis, soll im Wesentlichen durch ein höheres Maß an Aufklärung über mögliche Risiken von Seiten der Provider und die Entwicklung geeigneter Maßnahmen für einen besseren Selbstschutz durch die Nutzer erreicht werden. Das Völkerrecht sowie die Vorgaben des Europarats, der Europäischen Menschenrechtskonvention, bilden die Grundlage für das Gemeinschaftsrecht der Europäischen Union. Die Gemeinschaftsorgane sind unmittelbar an die Rechtsvorschriften der Europäischen Gemeinschaft gebunden. Darüber hinaus sind die übrigen Mitgliedstaaten dazu verpflichtet, geeignete Gesetze für ein effektives Datenschutzrecht zu verabschieden. Dies wurde in jüngerer Zeit erneut durch die Vorgaben der Charta der Grundrechte der Europäischen Union195 bestätigt, welche von den Mitgliedsstaaten in Nizza im Jahr 2002 verabschiedet wurden. Vorrangiges Ziel war es hierbei nicht, neue Regelungen zu schaffen, sondern die gemeinsamen sittlichen Werte der Europäischen Union sowie der in unterschiedlichen Verträgen und Konventionen festgestellten Rechte in einem Papier zu formalisieren und zu sichern. Im Zentrum stand und steht dabei die Achtung der menschlichen Person und ihres Handelns, insbesondere aber der Schutz der Menschenwürde.196 Die für den Datenschutz relevanten Grundrechte wurden in Art. 7 (Achtung des Privat- und Familienlebens)197 und Art. 8 (Schutz personenbezogener Daten) formuliert. Der Wortlaut für den Schutz personenbezogener Daten gemäß Art. 8 der Charta wurde wie folgt festgelegt:198 [Schutz personenbezogener Daten] (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten. (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

195 ABl. C 80/2001, vom 10.03.2001, 1 ff.; vgl. auch Veröffentlichung der Charta in EuGRZ 2000, 554 mit Erläuterungen in EuGRZ 2000, 559. 196 BVerfGE 65, 1 (41); zur Maßgeblichkeit der Achtung der Menschenwürde als Fundament eines freiheitlich demokratischen Gemeinwesens vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 28, 87; vgl. dazu auch I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 67 ff., 69; ders., Kritik der praktischen Vernunft, S. 210; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“. Werkinterpretation, S. 102 ff.; H. C. Nipperdey, Grundrechte und Privatrecht, S. 6 f. 197 Entsprechend Art. 8 EMRK. 198 P. Schaar, Datenschutz im Internet, S. 35; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 29.

C. Rechtliche Grundlagen

69

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Inhaltlich stehen diese Vorgaben in direkter Verbindung mit Art. 8 der Europäischen Menschenrechtskonvention (EMRK) und der EG-Datenschutzrichtlinie.199 Neben der Charta der Grundrechte der Europäischen Union wurde die Verpflichtung der Mitgliedstaaten zur Sicherung eines umfassenden Datenschutzniveaus200 durch die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, der EG-Datenschutzrichtlinie 201 vom 24. Oktober 1995, auf Ebene der Europäischen Union realisiert. Der Geltungsbereich erstreckt sich nicht nur auf die Staaten, die Teil der Europäischen Gemeinschaft sind, sondern auf alle Länder, die dem europäischen Wirtschaftsraum angehören. Die Vorschriften der Richtlinie können den informationellen Grundfreiheiten zugeordnet werden, die die Rechte der freien Kommunikation und Information einschließen.202 Essentiell wurde die Vorgabe aus Art. 32 Abs. 1 der EG-Datenschutzrichtlinie, innerhalb von drei Jahren die vereinbarten Grundsätze in nationale Gesetze umzusetzen, insbesondere für die Bundesrepublik Deutschland. Aus der verspäteten Umsetzung der Regelung in deutsches Recht, resultierte eine Vertragsverletzungsklage203 der Kommission der Europäischen Gemeinschaft.204 Die endgültige Umsetzung erfolgte schließlich mit der Novellierung des Bundesdatenschutzgesetzes vom 23. Mai 2001.205 Die vorrangigen Ziele und Grundsätze der Richtlinie können stichpunktartig wie folgt zusammengefasst werden: • Übergeordnetes Ziel gemäß Art. 1 EG-DSRL: durch entsprechende Rechtsangleichung ein einheitliches und hohes Datenschutzniveau in allen Ländern der Gemeinschaft zu erreichen und damit gleichzeitig die Weiterentwicklung des Binnenmarktes zu fördern. 199 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 31; P. Schaar, Datenschutz im Internet, S. 30; zur Entwicklung der rechtlichen Grundlagen des Datenschutzes auch H. Garstka, Informationelle Selbstbestimmung und Datenschutz. Das Recht auf Privatsphäre, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 48. 200 Vgl. Art. 3 i.V. m. Art. 1 EG-Datenschutzrichtlinie. 201 Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates vom 24.10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie), ABl. L 281 vom 23.11.1995, 31 ff. 202 P. Schaar, Datenschutz im Internet, S. 37. 203 Art. 226–228 EG-Vertrag (EGV). 204 Die Vertragsverletzungsklage wurde von der Kommission am 1. Dezember 2000 beim Europäischen Gerichtshof eingereicht: ABl. C 45 vom 10.02.2001, 8. 205 Vgl. Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 18. Mai 2001, BGBl. I, S. 904; BGBl. I, S. 2252; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 120.

70

1. Teil, 2. Kap.: Grundlagen zum WWW

• Art. 1 Abs. 1 beschreibt den Schutz der Grundrechte und -freiheiten, insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten als Gegenstand der Richtlinie. • Art. 5 bis Art. 17 konkretisiert die Grundsätze für die Umsetzung eines angemessenen Datenschutzniveaus: So steht die Zweckbindung im Mittelpunkt der Verarbeitungsgrundsätze (Art. 6 Abs. 1 Buchst. B). Darüber hinaus darf die Verarbeitung personenbezogener Daten nur nach dem Grundsatz der Erforderlichkeit erfolgen. In Ergänzung dazu steht das Transparenzgebot gemäß Erwägungsgrund 38 der Richtlinie: „Datenverarbeitung nach Treu und Glauben setzt voraus, dass die betroffenen Personen in der Lage sind, das Vorhandensein einer Verarbeitung zu erfahren und ordnungsgemäß und umfassend über die Bedingungen der Erhebung informiert zu werden, wenn Daten bei ihnen erhoben werden.“ 206 • Verpflichtung der Mitgliedstaaten auf Sicherung des Allgemeininteresses durch Gewährleistung der Bürgerrechte durch nationales Recht. • Grundsätzliches Verbot jeglicher ungerechtfertigter Beschränkungen der informationellen Grundfreiheiten.207 • Ergänzende Vorschriften: Entwicklung effektiver nationaler Maßnahmen zur Durchsetzung der Datenschutzgrundsätze in Form von unabhängigen externen Kontrollinstanzen sowie Harmonisierungsmaßnahmen wie gemeinschaftliche Verhaltensregeln europäischer Berufsverbände und Vereinigungen.208 • Für Auslegungsfragen wird auf die Zuständigkeit des Europäischen Gerichtshofs verwiesen. Mit Verabschiedung der EG-Telekommunikations-Datenschutzrichtlinie209 wurden die Vorgaben der EG-Datenschutzrichtlinie materialisiert. Am 12. Juli 2002 trat die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kom206 Zu den Grundsätzen zählen: 1. Gewährleistung der Zweckbindung der Daten, 2. Angemessene, relevante Datenqualität und Verhältnismäßigkeit der Sammlung und Verarbeitung, 3. Transparenz der Datenverarbeitung für den Betroffenen, 4. Sicherheit im Sinne von geeigneten technischen und organisatorischen Sicherheitsmaßnahmen, 5. Sicherung der Rechte der Betroffenen über Auskunft, Berichtigung und Widerspruch gegen die Verarbeitung, 6. Beschränkung der Übermittlung von Daten in Drittländer sowie 7. Besonderer Schutz für als sensibel eingestufte Daten. P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 18. 207 Ungerechtfertigt bedeutet in diesem Zusammenhang, insoweit die Beschränkung nicht aus Gründen erfolgt, die durch Festlegung in der Richtlinie selbst oder durch die Rechtsprechung des Europäischen Gerichtshofs anerkannt sind. 208 Vgl. EG-Datenschutzrichtlinie, Erwägung 5. 209 Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation (EG-Telekommunikations-Datenschutzrichtlinie), ABl. L 24 vom 30.1.1998, 1 ff.

C. Rechtliche Grundlagen

71

munikation,210 die E-Kommunikations-Datenschutzrichtlinie in Kraft. Sie ersetzte die EG-Telekommunikations-Datenschutzrichtlinie 97/66/EG211 und ergänzt die EG-Datenschutzrichtlinie 95/46/EG. Auch für diese galt eine Umsetzungsfrist bis zum 31.10.2003.212 Als bereichsspezifisches Recht der Europäischen Gemeinschaft bestimmen die Vorgaben der Richtlinie das nationale Recht der Telekommunikations-, Tele- und Mediendienste.213 Insbesondere wurde zu diesem Zeitpunkt der Forderung nach einer Zusammenführung und Harmonisierung der weitgehend uneinheitlichen Regulierungsstruktur durch die Normen des Teledienstedatenschutzgesetzes (TDDG), des Mediendienstestaatsvertrages (MDStV) sowie der Teledienstedatenschutzverordnung (TDSV)214 entsprochen. Ein verstärktes Augenmerk lag auf den Fragen der Internetnutzung, während Inhalte, die über elektronische Kommunikationsnetze zum Abruf bereitgehalten oder übertragen werden, nicht erfasst wurden.215 Wesentliche Änderungen ergaben sich gegenüber der ehemals geltenden EG-Telekommunikations-Datenschutzrichtlinie insbesondere für: 1. Cookies: der Nutzer ist europaweit umfassend und eindeutig über den Verwendungszweck zu informieren und hat das Recht, die Verarbeitung der gewonnenen Daten zu verweigern. 2. Direktwerbung via E-Mail: gemäß Art. 13 Abs. 2 ist die Verwendung von Kundendaten, die im Zuge eines Verkaufs von Waren oder einer bereits erbrachten Dienstleistung erworben wurden, für weitere Marketing- und Werbezwecke erlaubt. Dem Kunden ist jedoch das Recht zu ermöglichen, der Verwendung seiner Daten jederzeit widersprechen zu können.

210 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (E-Kommunikations-Datenschutzrichtlinie), ABl. L 201 vom 31.07.2002, 37 ff. 211 Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, ABl. L 24 vom 30.1.1998, 1 ff.; aufgrund der zunehmenden technischen Komplexität moderner Informations- und Kommunikationsmedien lag das Ziel der Kommission darin, die Regelungen technikneutral und durch die einheitliche Regelung der Bereiche Telekommunikation und Telemedien auch zukunftsorientiert zu gestalten. Vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrecht, S. 26 f. 212 Vgl. Art. 17 RL 2002/58/EG; mit der Novellierung des Telekommunikationsgesetzes (TKG) und des Teledienstegesetzes (TDG) sollte dieser Anforderung Rechnung getragen werden; vgl. dazu M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 120; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 16, 26. 213 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 90. 214 Mit der Novellierung des TKG vom 22.6.2004, BGBl. I, S. 1190 außer Kraft gesetzt. 215 P. Schaar, Datenschutz im Internet, S. 42.

72

1. Teil, 2. Kap.: Grundlagen zum WWW

3. Vorratsdatenspeicherung: Unter Einhaltung des Grundsatzes der Erforderlichkeit kann von den Mitgliedstaaten die Vorratsspeicherung personenbezogener Daten zugelassen werden. Notwendige Voraussetzung ist dabei eine Speicherung zum Zwecke der Verhütung, Ermittlung oder Feststellung von Straftaten oder des unzulässigen Gebrauchs elektronischer Kommunikationssysteme. Im Hinblick auf die rechtliche Vereinfachung des zunehmenden grenzüberschreitenden elektronischen Handels und zum Schutz der beteiligten Verbraucher wurde auf europäischer Ebene versucht, aufgrund mangelnder Rechtssicherheit die bislang national und international gültigen rechtlichen Regelungen für den Vertragsschluss über das Internet und das WWW zu harmonisieren. Mit Inkrafttreten der Richtlinie für elektronische Signaturen216 im Jahr 1999 sollte die grenzüberschreitende Anerkennung elektronischer Signaturen zur Verifikation der Identität des Nutzers für jegliche Handlungen, welche eine rechtsverbindliche Unterschrift voraussetzen, sichergestellt werden.217 Wesentlich ist dabei die in Art. 5 der Richtlinie materialisierte rechtliche Gleichstellung der elektronischen Signatur mit der handschriftlichen Unterschrift, welche auch in der Zulassung als Beweismittel für Gerichtsverfahren ihre Wirkung entfaltet. Voraussetzung dafür ist jedoch gemäß Art. 5 der Richtlinie, dass ein technisches Zertifikat vorliegt, welches die Erstellung einer sogenannten qualifizierten Signatur erlaubt. Weiter wurde durch Erlass der E-Commerce-Richtlinie (Richtlinie 2000/31/ EG)218 versucht, auf europäischer Ebene harmonisierte rechtliche Grundlagen und Mindeststandards für den elektronischen Vertragsabschluss über das WWW und das Internet zu vereinbaren. Im Mittelpunkt steht dabei die Förderung des elektronischen Waren- und Dienstleistungsverkehrs durch die Etablierung geeigneter Regelungen, die zu mehr Rechtssicherheit für den Verbraucher im WWW beitragen. So wurde in Art. 9 Abs. 1 der Richtlinie explizit die rechtliche Wirksamkeit von Verträgen, die auf elektronischem Wege zustande kommen, materialisiert. Insbesondere enthält die Richtlinie Regelungen zur Haftung der Provider sowie Bestimmungen zur Anwendbarkeit nationaler rechtlicher Vorschriften zur grenzübergreifenden Verfolgung von Straftaten im Internet. Gemäß Art. 3 Abs. 2 216 Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates vom 13.12. 1999 über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen, ABl. L 13 vom 19.1.2000, 12 ff. 217 T. Hoeren, Internetrecht, Online-Manuskript Stand März 2009, abrufbar unter http://www.uni-muenster.de/Jura.itm/hoeren/materialien/Skript/Skript_Maerz2009.pdf, S. 324 f.; weiter dazu auch M. Bergfelder, Was ändert das 1. Signaturgesetz?, CR 2005, 148 ff.; P. Fringuelli/M. Wallhäuser, Formerfordernisse beim Vertragsschluss im Internet, CR 1999, 93 ff.; T. Kunz/A. Schmid/U. Viebeg, Konzepte für rechtssichere Transformation signierter Dokumente, DuD 2005, 279 ff. 218 Richtlinie (EG) Nr. 31/2000 des Europäischen Parlaments und des Rates vom 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr), ABl. L 178 vom 17.7.2000, 1 ff.

C. Rechtliche Grundlagen

73

ECRL ist das Herkunftslandprinzip zugrunde zu legen, weil gemäß der Kommission Internet-Angebote und -werbung vor den Gerichten aller Abrufstaaten an den in den Abrufstaaten geltenden Rechtsordnungen gemessen werden können.219 III. Nationale Regelungen der Bundesrepublik Deutschland Die nationalen Rechtsgrundlagen der Bundesrepublik Deutschland bilden einen wesentlichen Ausgangspunkt für die Erörterung zum Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung im WWW. Ein besonderer Augenmerk liegt auf der Betrachtung des Rechts auf informationelle Selbstbestimmung auf der Grundlage der Achtung der Menschenwürde, sowie der Freiheit des Einzelnen und damit auf den verfassungsrechtlichen Grundlagen der Bundesrepublik Deutschland. Regelungsansätze anderer Staaten sollen im Rahmen der Diskussion um eine effektive Gesetzgebung und präventive sowie repressive Kontrollmaßnahmen für das neue Medium einbezogen werden. 1. Verfassungsrechtliche Grundlagen – Grundgesetz (GG) Im Vergleich zu den deutschen Nachbarländern hat der Datenschutz oder ein Grundrecht auf Geheimhaltung der Privatsphäre bis heute in die Formulierung des Wortlauts des Grundgesetzes der Bundesrepublik Deutschland keinen Eingang gefunden.220 Die Existenz eines umfassenden Grundrechtsschutzes ist jedoch gerade im Hinblick auf den stetigen technologischen Fortschritt im Bereich der neuen Medien für den Bürger von elementarer Wichtigkeit. Von Interesse ist deshalb, zunächst einen Überblick über die vorliegenden Grundrechte zu gewinnen, um die Diskussion über die Gewährleistung eines ausreichenden Schutzniveaus für den einzelnen Bürger führen zu können. Wesentlich für den Schutz der Privatsphäre und der personenbezogenen Daten im WWW ist das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG und das daraus abgeleitete Recht auf informationelle Selbstbestimmung, sowie das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG. a) Allgemeines Persönlichkeitsrecht Das allgemeine Persönlichkeitsrecht bildet gemäß Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG die verfassungsrechtliche Grundlage für das vom Bundesverfassungs219 A. Wien, Internetrecht, Rdn. 295; vgl. dazu auch H.-W. Arndt/M. Köhler, Elektronischer Handel nach der E-Commerce-Richtlinie, EWS 2001, S. 102, 105; R. Sack, Herkunftslandprinzip und internationale elektronische Werbung nach der Novellierung des Teledienstegesetzes (TDG), WRP 2002, 271 ff. 220 P. Schaar, Datenschutz im Internet, S. 35.

74

1. Teil, 2. Kap.: Grundlagen zum WWW

gericht im Volkszählungsurteil abgeleitete Grundrecht auf informationelle Selbstbestimmung.221 Die Entwicklung des allgemeinen Persönlichkeitsrechts geht auf die Rechtsprechung zurück.222 Als elementar ist im Rahmen der Zivilrechtsprechung die „Leserbrief-Entscheidung“ 223 des Bundesgerichtshofs (BGH) aus dem Jahr 1954 zu nennen. In dieser Entscheidung wurde erstmals das allgemeine Persönlichkeitsrecht als ein verfassungsmäßig gewährleistetes Grundrecht aus Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG abgeleitet und der Schutz vor dem Eingriff in die private Sphäre des Bürgers, verbunden mit der Wahrung eines sozialen Geltungsanspruchs, als wesentliche Bestandteile des verfassungsrechtlichen Persönlichkeitsschutzes definiert.224 In diesem Zusammenhang wurde auch ein zivilrechtlicher Schadensersatzanspruch des Einzelnen für immaterielle Schäden anerkannt.225 221 Ders., S. 44; so auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 138 ff.; vgl. grundlegend zum allgemeinen Persönlichkeitsrecht D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), GG, Rdn. 59 ff.; zum Recht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. grundlegend D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), GG, Rdn. 88, 121 ff. 222 Die Zivilrechtsprechung war an der Entwicklung des allgemeinen Persönlichkeitsrechts hauptsächlich beteiligt. Im Zuge des zunehmenden Gewichts der Medien in der Öffentlichkeit, unter anderem auch durch die Entwicklung multimedialer Dienste, handelte es sich verstärkt um medienrechtliche Fälle bei denen oftmals die Konfliktkonstellation zwischen Persönlichkeitsschutz und Kommunikationsfreiheit im Vordergrund standen. Zur Entwicklung des allgemeinen Persönlichkeitsrechts durch die Rechtsprechung H.-E. Brandner, Das allgemeine Persönlichkeitsrecht in der Entwicklung durch die Rechtsprechung, JZ 1983, 689 ff.; zu dessen Struktur H. Ehmann, Zur Struktur des allgemeinen Persönlichkeitsrechts, JuS 1997, 193 ff.; vgl. dazu auch D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), GG, Rdn. 60 f.; mit Hinweis auf die Entwicklung der Rechtsprechung des Bundesverfassungsgerichts zum allgemeinen Persönlichkeitsrecht ders., Rdn. 61; BVerfGE 16, 194 (201 f.); 17, 108 (117); 19, 179 (184 ff.); 27, 344 (351); vgl. auch BGHZ 24, 72 (72 ff.); 26, 349 (349 ff.); 27, 284 (284 ff.); 30, 7 (10); 35, 363 (363 ff.); 39, 124 (124 ff.). 223 BGHZ 13, 334 (334 ff.) = NJW 1954, 1404; vgl. dazu auch U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127. 224 Ders., Rdn. 127 f.; C. Degenhart, Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. mit Art. 1 I GG, JuS 1992, 362; H.-U. Erichsen, Allgemeine Handlungsfreiheit, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. VI, Freiheitsrechte, 1989, § 152, Rdn. 24; W. Schmitt Glaeser, HStR, Bd. VI, § 129, Rdn. 7 ff.; K. A. Schachtschneider, Freiheit in der Republik, S. 319; Rechtsprechung BVerfGE 6, 32 (41); 6, 389 (435); 54, 143 (146); 80, 137 (153); 80, 367 (373 f.); 89, 69 (82); 90, 255 (259); 92, 191 (197); 95, 220 (241); 96, 56 (61); 97, 391 (399); 98, 169 (199 f.); 99, 185 (193); 100, 271 (284); 100, 313 (358); 101, 106 (121); 101, 361 (379). 225 Allgemein wurde durch den Bundesgerichtshof das allgemeine Persönlichkeitsrecht als ein gegen jedermann wirkendes Freiheitsrecht im Sinne von § 823 Abs. 1 BGB anerkannt. Vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 f., 132 ff., insbesondere Rdn. 143; vgl. auch H. Hubmann, Das Persönlichkeitsrecht, 1967, S. 140 ff.; zum Persönlichkeitsrecht für den Datenschutz auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 138 ff.

C. Rechtliche Grundlagen

75

Allgemein wurde durch den Bundesgerichtshof das allgemeine Persönlichkeitsrecht als ein gegen jedermann wirkendes Freiheitsrecht im Sinne von § 823 Abs. 1 BGB anerkannt.226 Im allgemeinen Persönlichkeitsrecht wird der grundrechtliche Schutzanspruch aus zwei Grundrechten vereint: 1. Schutz der freien Entfaltung der Persönlichkeit aus Art. 2 Abs. 1 GG. 2. Menschenwürdegarantie aus Art. 1 Abs. 1 GG. Die freie Entfaltung der Persönlichkeit227 gemäß Art. 2 Abs. 1 GG räumt jedoch dem Einzelnen nicht das Recht ein, unbeschränkt tun und lassen zu können was ihm beliebt. Das Recht auf freie Entfaltung der Persönlichkeit, die allgemeine Handlungsfreiheit, findet ihre Grenzen in der Gewährleistung der verfassungsgemäßen Ordnung, der Rechte anderer, sowie des Sittengesetzes.228 Hierdurch werden nicht die Grundrechte des Einzelnen beschränkt, sondern auf dieser Grundlage die allgemeine Freiheit als der Freiheit aller Bürger in einer Republik verwirklicht. Im Sinne der Rechtfertigungstrias des Art. 2 Abs. 1, Halbsatz 2 GG, wird somit auch das allgemeine Persönlichkeitsrecht nicht unumschränkt gewährleistet. Es unterliegt primär der Schranke der verfassungsmäßigen Ordnung und somit einem einfachen Gesetzesvorbehalt.229 Eingriffe der öffentlichen Gewalt sind daher nur auf Grundlage einer hinreichend bestimmten und verhältnismäßigen Ermächtigungsgrundlage zulässig.230 Freie Entfaltung der Persönlichkeit impliziert nach rechtsstaatlichem Verständnis die Gewährleistung einer allgemeinen Handlungsfreiheit231 als Freiheit zur akti226

Vgl. dazu auch A. Staudinger, in: H. Dörner u. a., BGB, § 823, Rdn. 90 ff. Vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, HVerfR, § 12, S. 490 ff. 228 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 37 ff.; zum Sittengesetz vgl. K. A. Schachtschneider, Freiheit in der Republik, 34 ff.; 236 ff.; 288 ff.; ders., Sittlichkeit und Moralität, S. 26 f., 59 f.; ders., Prinzipien des Rechtsstaates, S. 19 f.; 55; grundlegend dazu I. Kant, Kritik der praktischen Vernunft, S. 140; ders., Grundlegung zur Metaphysik der Sitten, S. 51. 229 B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 383 f., S. 89 f.; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 133; vgl. Rechtsprechung BVerfGE 65, 1 (44); 79, 256 (269 f.); 90, 263 (271); 96, 171 (182); 97, 391 (401). 230 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 133, 173 ff. 231 Ursprünglich wurde das Recht auf freie Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 GG von der Persönlichkeitskerntheorie als bestimmter, begrenzter Lebensbereich ausgelegt und auf einen Kernbereich des Persönlichen bezogen. Erst seit dem Elfes-Urteil des Bundesverfassungsgerichts, BVerfGE 6, 31 (36 ff.) wird diesem Grundrecht die allgemeine Handlungsfreiheit und das allgemeine Persönlichkeitsrecht zugrunde gelegt. Dabei erfolgt jedoch regelmäßig eine Reduzierung des Freiheitsprinzips entgegen dem Zweck, dem Wortlaut und der Geschichte des Art. 2 Abs. 1 GG. K. A. 227

76

1. Teil, 2. Kap.: Grundlagen zum WWW

ven Teilnahme am öffentlichen und politischen Leben.232 Verbunden damit ist die Sicherung eines sachlichen Schutzbereiches. Im Einzelnen umfasst dieser die Abwehr vor Beeinträchtigungen der engeren persönlichen Lebenssphäre, der Selbstbestimmung und der Grundbedingungen der Persönlichkeitsentfaltung.233 Eine abschließende Definition des Schutzbereiches wird von der Rechtssprechung jedoch nicht angestrebt, weil das Bundesverfassungsgericht die Entwicklungsoffenheit des allgemeinen Persönlichkeitsrechts aufgrund der Entwicklungen der modernen Technologien anerkannt hat.234 Übertragen auf den Bereich des Datenschutzes erfolgte damit eine konsequente Abwendung der Konzentration auf den Schutz fest definierter Sphären der privaten Lebensführung hin zu einer Bemessung der hinnehmbaren Verarbeitung von Daten anhand des Verwendungskontexts.235 Dies hat das Bundesverfassungsgericht mit der Feststellung

Schachtschneider, Res publica res populi, S. 185 f., 260 ff., 269 ff., 441 ff.; ders., Prinzipien des Rechtsstaates, S. 41; vgl. B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 367, S. 85; I. Kant, Metaphysik der Sitten, S. 345 f., ders., Grundlegung zur Metaphysik der Sitten, S. 45 ff.; H. Peters, Das Recht auf freie Entfaltung der Persönlichkeit in der höchstrichterlichen Rechtsprechung, 1963, S. 49; C. Degenhart, Die allgemeine Handlungsfreiheit des Art. 2 I GG, JuS 1990, 161 ff.; U. Di Fabio, in: T. Maunz/ G. Dürig, GG, Art. 2 Abs. 1, Rdn. 10 ff., 21 ff.; vgl. dazu auch BVerfGE 6, 32 (32 ff.); P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 232 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 147 ff.; C. Degenhart, Die allgemeine Handlungsfreiheit des Art. 2 I i.V. mit Art. 1 I GG, JuS 1990, 161 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 233 C. Degenhart, Die allgemeine Handlungsfreiheit des Art. 2 I i.V. mit Art. 1 I GG, JuS 1990, S. 361; BVerfGE 79, 256 (268). 234 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 147; vgl. dazu Rechtsprechung BVerfGE 54, 148 (153 f.); 72, 155 (170); 79, 256 (268). 235 S. Simitis, in: ders., BDSG, § 1, Rdn. 65 ff., welcher der Abkehr von der Einteilung des privaten Lebensbereichs in feste Sphären zustimmt; kritisch hierzu mit dem Hinweis, dass der Versuch, Sphären oder Räume der Freiheit zu definieren, verkennt, dass die Freiheit ein Prinzip richtigen Handelns des Menschen im Gemeinwesen ist, nicht aber eine empirische Kategorie, K. A. Schachtschneider, Freiheit in der Republik, S. 421, 623 ff.; in diesem Sinne auch H. Dreier, in: ders., GG, Art. 2 Abs. 1, Rdn. 52; ablehnend dazu auch G. Rüpke, Der verfassungsrechtliche Schutz der Privatheit. Zugleich ein Versuch pragmatischen Grundrechtsverständnisses, 1976, S. 20, 30 f.; zur Abgrenzung verschiedener Sphären D. Rohlf, Der grundrechtliche Schutz der Privatsphäre. Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, 1980, S. 76 ff., 87 ff., 135 ff., 192 ff.; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff., 60 ff.; J. Schwabe, Probleme der Grundrechtsdogmatik, S. 314 ff.; W. Schmitt Glaeser, HStR, Bd. VI, § 129, Rdn. 10 ff., 27 ff.; zur Einheit des privaten und öffentlichen Aspekts grundgesetzlicher Freiheit auch P. Häberle, Öffentlichkeit im demokratischen Staat, S. 140; vgl. zur Sphärentheorie auch die Rechtsprechung des Bundesverfassungsgerichts, BVerfGE 6, 32 (41); 6, 389 (433); 27, 1 (6); 27, 344 (350 ff.); 32, 373 (379); 34, 238 (245); 35, 202 (220); 44, 353, (372 ff., 383 f.); 54, 148 (153); 60, 123 (134 f.); 65, 1 (41); 67, 213 (228); 71, 183 (201); 72, 153 (170); 80, 367 (373 ff.); 82, 236 (269); 89, 62 (82 ff.); 96, 56 (61); 99, 185 (193 ff.); 101, 361 (379 ff.); 104, 373 (391 ff.).

C. Rechtliche Grundlagen

77

zum Ausdruck gebracht: „Der Einzelne soll – ohne Beschränkung auf seine Privatsphäre – grundsätzlich selbst entscheiden können, wie er sich Dritten oder der Öffentlichkeit gegenüber darstellen will, ob und inwieweit von Dritten über seine Persönlichkeit verfügt werden kann.“ 236 Mit der Anerkennung, dass der einzelne Bürger ein Recht auf einen grundrechtlich garantierten Schutz vor ungewolltem oder unwissentlichem Eindringen Dritter in den Bereich seiner persönlichen Lebensumstände hat,237 wird dem allgemeinen Persönlichkeitsrecht nicht nur die allgemeine Handlungsfreiheit aus Art. 2 Abs. 1 GG, sondern insbesondere das Grundrecht auf Menschenwürde, materialisiert in Art. 1 Abs. 1 GG, zugrunde gelegt.238 Indem der verfassungsrechtlich höchstrangige und im Sinne des staatlichen Gemeinwesens grundlegende Artikel239 einbezogen wird, hat in das allgemeine Persönlichkeitsrecht die Verpflichtung aller staatlichen Gewalt zum Schutz und zur Achtung der Würde des Menschen240 Eingang gefunden. Dies nicht nur im Sinne des einzelnen Individuums, sondern da Würde dem Grundsatz nach die Basis von Freiheit, Gerechtigkeit und Frieden in der Welt darstellt.241 Damit wird evident, dass das allgemeine Persönlichkeitsrecht deshalb aus zwei Grundrechten abgeleitet wurde, um „den Schutz des Einzelnen in seinem Gel236

BVerfGE, 54, 148 (153). Zur Privatsphäre vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 149 ff., in diesem Sinne auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.). 238 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 ff.; 130. 239 T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 170 f.; grundlegend dazu E. Benda, Menschenwürde und Persönlichkeitsschutz, in: E. Benda/W. Maihofer/H. J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Aufl. 1994, § 6, S. 161 ff.; W. Brugger, Menschenwürde, Menschenrechte, Grundrechte, 1997; G. Dürig, Der Grundrechtssatz von der Menschenwürde, AöR 81 (1956), S. 117; Ch. Enders, Die Menschenwürde in der Verfassungsordnung, 1997; T. Geddert-Steinacher, Menschenwürde als Verfassungsbegriff, 1990; P. Häberle, Die Menschenwürde als Grundlage der staatlichen Gemeinschaft, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band I, Grundlagen von Staat und Verfassung, 1987, § 20, S. 815 ff.; W. Höfling, Die Unantastbarkeit der Menschenwürde, JuS 1995, 857; W. Maihofer, Rechtsstaat und menschliche Würde, 1968; H. C. Nipperdey, Die Würde des Menschen, in: F. L. Neumann/H. C. Nipperdey/U. Scheuner (Hrsg.), Die Grundrechte, Bd. II, 1954, S. 1 ff.; Ch. Starck, Menschenwürde als Verfassungsgarantie im modernen Staat, JZ 1981, S. 457; W. Graf Vitzthum, Die Menschenwürde als Verfassungsbegriff, JZ 1985, S. 201; R. Zippelius, Recht und Gerechtigkeit in der offenen Gesellschaft, 2. Aufl. 1996, Kap. 24. 240 Zur Achtung der Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 69 ff., 71 ff.; in diesem Sinne auch BVerfGE 1, 97 (104); zum Begriff der Menschenwürde vgl. auch BVerfGE 30, 1 (25); K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 54; ders., Res publica res populi, S. 253 ff.; ders., Freiheit in der Republik, 420, 459; ders., Die Würde des Menschen, S. 13 ff. 241 Präambel des ersten Fakultativprotokolls zum Internationalen Pakt über bürgerliche und politische Rechte vom 19.12.1966, BGBl. II 1992, S. 1246; K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 28 f. 237

78

1. Teil, 2. Kap.: Grundlagen zum WWW

tungsanspruch, in seiner Individualität und seiner Privatheit [. . .] für die freie Entfaltung der Persönlichkeit [zu] sichern.“ 242 Damit kann festgehalten werden, dass das allgemeine Persönlichkeitsrecht aus dem Schutzumfang des Art. 2 Abs. 1 GG bereits hervorgeht, jedoch durch die Menschenwürdegarantie des Art. 1 Abs. 1 GG zusätzlich gestützt wird. Durch die Entwicklung moderner Kommunikations- und Informationstechnologien und damit verbundene Tatbestände hat das allgemeine Persönlichkeitsrecht vermehrt an Aktualität erlangt. Hervorzuheben ist, dass dieses im Unterschied durch seine persönlichkeitsbezogene Auffangfunktion besonders offen für Materialisierungen durch neue Entwicklungen ist243 und damit als Grundlage der Gewährleistung der allgemeinen Freiheit als eine der tragenden Säulen im Rechtsstaat, zu einer umfassenden sowie effektiven Sicherung des Persönlichkeitsschutzes im Zeitalter der Neuen Medien maßgeblich beiträgt. b) Recht auf informationelle Selbstbestimmung Das Recht auf informationelle Selbstbestimmung findet seine verfassungsrechtliche Grundlage im allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG. Das Bundesverfassungsgericht erkannte mit dem Volkszählungsurteil244 nicht nur eine grundrechtliche Verpflichtung zum Datenschutz an, sondern weist darüber hinaus das allgemeine Persönlichkeitsrecht als verfassungsrechtlichen Anknüpfungspunkt für das Recht auf informationelle Selbstbestimmung im Zusammenhang mit dem Schutz personenbezogener Daten, unter den Bedingungen der modernen Datenverarbeitung, aus.245 Auch nach der neueren Rechtsprechung des Bundesverfassungsgerichts wird die Sicherung des Rechts auf informationelle Selbstbestimmung immer wieder anerkannt.246

242 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 ff.; C. Degenhart, Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. mit Art. 1 I GG, JuS 1992, S. 361; K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 243 C. Degenhart, Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. mit Art. 1 I GG, JuS 1992, S. 361. 244 Essentiell in Verbindung mit dem Datenschutz ist die Feststellung des Bundesverfassungsgerichts, dass die Verarbeitung personenbezogener Daten stets einen Eingriff in das allgemeine Persönlichkeitsrecht darstellt, welcher einer gesetzlichen Grundlage bedarf. Vgl. dazu auch H. Garstka, Informationelle Selbstbestimmung und Datenschutz, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 50. 245 BVerfGE 65, 1 (42 f.); M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht S. 141; zum Recht auf informationelle Selbstbestimmung vgl. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 173 ff.; vgl. auch die weitere Rechtsprechung des BVerfGE zur informationellen Selbstbestimmung BVerfGE 78, 77 (84); 84, 192 (194); 92, 191 (197); 96, 171 (181); 101, 106 (121).

C. Rechtliche Grundlagen

79

Die Notwendigkeit zur Ableitung dieses Rechts resultierte insbesondere infolge der stetigen Verbreitung moderner Datenverarbeitungs- und Kommunikationsmedien. Dies erforderte eine geeignete rechtliche Regelung des grenzüberschreitenden Datenaustauschs, des einfachen, universellen Zugriffs sowie der Möglichkeit zur Registrierung, Katalogisierung und der Erstellung umfassender Persönlichkeitsprofile anhand der Verknüpfungs- und Auswertungsmöglichkeiten personenbezogener Daten.247 So wurde durch das Bundesverfassungsgericht grundlegend festgestellt, dass die uneingeschränkte Erhebung, Speicherung und Verarbeitung personenbezogener Daten mit der freiheitlichen Grundordnung grundsätzlich nicht vereinbar ist.248 Der Schutz bezieht sich demnach auf die Befugnis des Einzelnen, über die weitere Verwendung seiner persönlichen Daten selbst bestimmen249 und damit einer eventuell unbegrenzten und unkontrollierbaren Erhebung, Verarbeitung und Nutzung selbst entgegenwirken zu können.250 Allgemein handelt es sich bei dem Recht auf informationelle Selbstbestimmung zwar nicht um ein verfassungsgesetzlich materialisiertes Grundrecht, sondern in erster Linie um eine Ausprägung des an die modernen Entwicklungen angepassten Persönlichkeitsschutzes. Durch die Ableitung aus dem Grundrecht des Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG ist es jedoch Bestandteil der verfassungsmäßigen Ordnung und erhält dadurch Grundrechtscharakter.251 Zwecksetzung des Rechts ist primär der Persönlichkeitsschutz des Betroffenen. Dabei steht nicht nur der Schutz der Daten im Vordergrund, sondern derjenigen natürlichen Personen, die mit den Daten in Verbindung stehen.252

246 Entscheidung des BVerfG zur Videoüberwachung eines öffentlich zugänglichen Kunstwerks, BVerfG, 1 BvR 2368/06 vom 23. Februar 2007, Absatz 1 ff.; NVwZ 2007, S. 688 ff. 247 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 173 ff.; BVerfGE, 65, 1 (42); K. Vogelsang, Grundrecht auf informationelle Selbstbestimmung?, S. 27 ff.; C. Müller, Internationales Privatrecht und Internet, in T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, 1999, S. 259. 248 BVerfGE 65, 1 (43); P. Schaar, Datenschutz im Internet, S. 45; vgl. dazu auch grundlegend BVerfGE 65, 1, 43 f. 249 BVerfGE 65, 1 (43); K. Vogelsang, Grundrecht auf Informationelle Selbstbestimmung?, S. 23; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 175; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 250 BVerfGE 65, 1 (43); J. Bizer, Grundrechte im Netz. Von der freien Meinungsäußerung bis zum Recht auf Eigentum, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 26. 251 BVerfGE 65, 1 (42 f.); U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 173; H. Garstka, Informationelle Selbstbestimmung und Datenschutz, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, S. 48; B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, 2003, Rdn. 383 f., S. 89 f. 252 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 175; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1.

80

1. Teil, 2. Kap.: Grundlagen zum WWW

Im Einzelnen erfasst der Schutz jegliche personenbezogenen Daten, unabhängig von ihrer Sensibilität.253 Durch die Ablehnung einer Unterscheidung verschiedener Sensibilitätsgrade von Daten wurde einer Rechtsfindung anhand von Einzelfallentscheidungen vorgebeugt und dadurch eine rechtsstaatliche Grundlage für mehr Rechtssicherheit geschaffen. Allgemein können nach der Rechtsprechung des Bundesverfassungsgerichts254 dem Recht auf informationelle Selbstbestimmung aus seiner Grundlagenfunktion für das Datenschutzrecht heraus folgende Inhalte zugemessen werden: 1. Es handelt sich primär um ein Abwehrrecht des Bürgers gegen Grundrechtseingriffe staatlicher Stellen.255 2. Beschränkungen des Grundrechts bedürfen einer gesetzlichen Grundlage (Gesetzesvorbehalt).256 3. Jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten bedarf einer ausdrücklichen gesetzlichen Erlaubnis (Verbot mit Erlaubnisvorbehalt). 4. Eingriffe sind nur insoweit zulässig als sie die Grundsätze der Erforderlichkeit, Zweckbindung und Transparenz erfüllen.257 5. Der Grundrechtseingriff erstreckt sich gemäß § 4 Abs. 1 BDSG auf die Erhebung sowie die Speicherung und Nutzung personenbezogener Daten.258 253 Aus dem Volkszählungsurteil des Bundesverfassungsgerichts geht hervor, dass es unter Bezugnahme auf die Möglichkeiten der modernen Datenverarbeitung „kein belangloses Datum mehr gibt“, BVerfGE 65, 1 (45). Eine Differenzierung hinsichtlich der Sensibilitätsgrade existiert aus verfassungsrechtlicher Sicht nicht; ein besonderes Schutzniveau für so genannte sensible Daten findet jedoch in den Grundsätzen des Datenschutz-Abkommens des Europarats zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten vom 28. Januar 1981 Berücksichtigung. 254 BVerfGE 65, 1 (42 ff.); 67, 100 (143); 78, 77 (84); 84, 239 (279); 92, 191 (197). 255 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 179 ff. 256 Aus der gesetzlichen Grundlage müssen sich die Voraussetzungen sowie der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben und damit dem rechtsstaatlichen Gebot der Normenklarheit entsprechen. Vgl. dazu BVerfGE 65, 1 (44); U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 182; P. Schaar, Datenschutz im Internet, S. 44; B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 252 ff., 382; zur verfassungsrechtlichen Rechtfertigung von Eingriffen durch staatliche Stellen vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 179, 181; B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 252 ff. 257 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 182 ff. 258 P. Schaar, Datenschutz im Internet, S. 45. Ein Eingriff in das Grundrecht liegt nicht bei jeglicher Verwendung von personenbezogenen Daten vor. Das Recht auf informationelle Selbstbestimmung ist nicht unbeschränkt gewährleistet. Zum Schutz des Bürgers oder im Rahmen der Informationsvorsorge im Vorfeld regulierender Staatstätigkeit muss der Einzelne Eingriffe auf Basis einer gesetzlichen Ermächtigungsgrundlage grundsätzlich hinnehmen. Vgl. dazu U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 179; BVerfGE 65, 1 (43 f.). Das Recht auf informationelle Selbstbestimmung erfasst den gesamten Ablauf der Datenverarbeitung. Im Gegensatz dazu werden im Bundesdatenschutzgesetze und der EG-Datenschutzrichtlinie unterschiedliche Teil-

C. Rechtliche Grundlagen

81

Die Abwehrfunktion259 des Rechts auf informationelle Selbstbestimmung besteht in erster Linie gegenüber staatlichen Stellen.260 Übertragen auf die Belange des WWW hat das Recht auf informationelle Selbstbestimmung für Anbieter und Nutzer von Informationen sowie die Kommunikation dieser untereinander Gültigkeit. Das Grundgesetz gewährleistet damit beiden Parteien den verfassungsrechtlich verankerten Schutz vor Eingriffen seitens staatlicher Organe als Ausdruck ihrer individuellen Freiheit.261 Damit kann die von einer unzulässigen Erhebung, Verarbeitung oder Nutzung persönlicher Daten betroffene Person auch ein subjektiv einklagbares Recht auf dessen Unterlassung beanspruchen.262 Der Schutzbereich erstreckt sich ausschließlich auf Daten natürlicher Personen. Dementsprechend sind juristische Personen von einem Recht auf informationelle Selbstbestimmung ausgeschlossen.263 Bei den Daten muss es sich um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG264 bestimmter oder beprozesse unter den Begriff der Verarbeitung subsumiert und durch die entsprechenden Vorschriften geschützt. Es erscheint daher angezeigt, für weitere Betrachtungen zwischen dem Begriff der Verwendung und dem der Verarbeitung zu differenzieren. Im Folgenden sollen daher unter den Begriff der Verwendung die Teilprozesse des Erhebens, Speicherns, Verarbeitens und Nutzens subsumiert werden. Andernfalls werden die einzelnen Teilprozesse explizit angeführt. 259 Zum Abwehrcharakter von Grundrechten J. Schwabe, Probleme der Grundrechtsdogmatik, S. 11 ff.; B. Pieroth/B. Schlink, Grundrechte. Staatsrecht II, 19. Aufl. 2003, Rdn. 58 ff.; F. Ossenbühl, Die Interpretation der Grundrechte in der Rechtsprechung des Bundesverfassungsgerichts, NJW 1976, 2100 ff.; J. Isensee, Gemeinwohl und Staatsaufgaben im Verfassungsstaat, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band III, Das Handeln des Staates, 1988, § 57, Rdn. 81 ff., 165 ff.; ders., HStR, Bd. V, § 111, Rdn. 9 ff. 37 ff.; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 23, 48 ff.; K. A. Schachtschneider, Freiheit in der Republik, S. 343 ff.; dazu Rechtsprechung des BVerfGE 7, 198 (205); 50, 290 (337); 13, 318 (325 f.); 21, 362 (372); 50, 290 (337 f.); 63, 193 (205); an dieser Stelle sei auf die Ausführungen von K. A. Schachtschneider hingewiesen, der mit Verweis auf die im Lüth-Urteil des Bundesverfassungsgerichts (BVerfGE 7, 198 (198 ff.)) festgestellte Dogmatik der Grundrechte als Abwehrrechte des Bürgers gegen den Staat zu Recht darauf hinweist, dass diese nicht nur nach liberalistischem Verständnis als Abwehrrechte gegen den Staat, sondern vielmehr als Wertsystem objektiver Normen, als verfassungsrechtliche Grundentscheidungen, als politische Leitentscheidungen, für alle Bereiche des Rechts verstanden werden müssen; vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 239 ff., 276, 343 ff., 356; ders., Sittlichkeit und Moralität, S. 25. 260 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 179 ff. 261 Kritisch dazu K. A. Schachtschneider, Freiheit in der Republik, S. 366 ff., wonach das Abwehrrecht des Bürgers gegen den Staat vorrangig ein grundrechtliches Recht gegen die Staatlichkeit darstellt, welche die praktische Vernunft im Sinne I. Kants missachtet. 262 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 147. 263 P. Schaar, Datenschutz im Internet, S. 46, 51, 54. 264 Voraussetzung für die Inanspruchnahme des Rechts auf Datenschutz oder informationelle Selbstbestimmung sind gemäß § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Per-

82

1. Teil, 2. Kap.: Grundlagen zum WWW

stimmbarer265 Personen handeln. Notwendige Voraussetzung für die Erfüllung der Bestimmbarkeit ist jedoch nicht eine eindeutige Identifikation, sondern bereits die implizite Zuordnung unter Verwendung zusätzlicher Informationen.266 Eingriffe seitens öffentlicher oder nicht-öffentlicher Stellen durch Erhebung, Speicherung oder Nutzung personenbezogener Daten sind insoweit zulässig, als sie die Grundsätze der verfassungsmäßigen Verhältnismäßigkeit267 neben der Erforderlichkeit, Zweckbindung (Geeignetheit), und Transparenz268 erfüllen.269 Dazu gehört, dass dem Erforderlichkeitsgrundsatz gemäß von den Daten sammelnden Stellen eine Beschränkung auf das erforderliche Minimum über die Menge an Daten vorgegeben wird.270 Als erforderlich kann die Verwendung271 von Daten dann definiert werden, sofern diese zum einen geeignet sind, das Verarbeitungsziel zu erreichen und sich dieses Ziel nicht auf eine andere Weise oder nur unter unverhältnismäßigem Aufwand erreichen lässt.272 Der Grundsatz der Zweckbindung bindet die Verwendung von Daten über alle Teilprozesse an eine vorher

son (Betroffener), P. Schaar, Datenschutz im Internet, S. 46, 54; vgl. dazu auch Art. 2a EG-Datenschutzrichtlinie, Richtlinie 95/46/EG des Europäischen Parlamentes und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EG-Datenschutzrichtlinie), ABl. L 281 31 vom 23.11.1995, S. 31 ff.; U. Dammann, Kommentierung des § 3 Abs. 1 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 3 ff. 265 Bestimmbarkeit definiert sich durch Identifizierbarkeit. Eine Identifikation kann durch den Namen, eine Kennziffer oder ein sonstiges eindeutiges Kennzeichen erfolgen, vgl. dazu U. Dammann, in: S. Simitis, BDSG, § 3 Abs. 1, Rdn. 20. 266 P. Schaar, Datenschutz im Internet, S. 46 f. 267 Der Grundrechtseingriff muss grundsätzlich mit dem angestrebten Ziel in einem akzeptablen Verhältnis stehen (Verhältnismäßigkeitsprinzip im engeren Sinne). Vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, S. 217, 422 mit Verweis auf die Rechtsprechung des Bundesverfassungsgerichts BVerfGE 30, 47 (53 f.); soweit auch BVerwGE 84, 375 (381); in diesem Sinne auch BVerfGE 22, 180 (219 f.); 34, 330 (353); 58, 300 (348); 88, 367 (373); weiterführend auch B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 289 ff.; zum Grundsatz der Verhältnismäßigkeit A. Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EG-Rechtsetzung, 2000, S. 328, 336 f., 346 f., 361, 369 f.; T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 98 f.; K. A. Schachtschneider, Res publica res populi, S. 362, 557 f., 987; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 2, Rdn. 41. 268 P. Schaar, Datenschutz im Internet, S. 45. 269 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 179 ff.; P. Schaar, Datenschutz im Internet, S. 48 ff. 270 Grundlegend dazu BVerfGE 65, 1 (53); T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 307; zum Erforderlichkeitsgrundsatz auch für nicht-öffentliche Stellen vgl. Art. 7 EG-Datenschutzrichtlinie; zur Umsetzung der Vorgaben der EG-Datenschutzrichtlinie siehe § 28 BDSG, §§ 5 und 6 TDDSG, § 89 Abs. 2 TKG. 271 Der Begriff der Verwendung soll nachfolgend vereinfachend für die Teilprozesse der Erhebung, Speicherung, Verarbeitung und Nutzung im Allgemeinen stehen. Sollten im Zusammenhang mit gesetzlichen Vorschriften nur Teilprozesse erheblich sein, so werden diese explizit einzeln angeführt. 272 P. Schaar, Datenschutz im Internet, S. 48.

C. Rechtliche Grundlagen

83

definierte Aufgabe oder einen bestimmten Geschäftszweck. Entsprechend dem Wortlaut des Rechts auf informationelle Selbstbestimmung sind die Begriffe „Information“ im Sinne von „unterrichtet sein“ sowie „Selbstbestimmung“ maßgeblich. Diese Notwendigkeit für den Einzelnen, über die Verwendung seiner Daten selbst bestimmen zu können273, hat das Bundesverfassungsgericht in seinem Volkszählungsurteil hervorgehoben. Unabdingbare Voraussetzung dafür ist allerdings, dass der private Nutzer auch in ausreichendem Maße Kenntnis über die Verwendung seiner personenbezogenen Daten erlangen kann. Nur dann kann er von seinen Rechten Gebrauch machen und eine informierte Entscheidung treffen.274 Der Transparenzgrundsatz trägt diesen Bedingungen Rechnung. Danach sind rechtlich folgende Vorschriften und Maßnahmen zu beachten: 1. Gemäß § 4 Abs. 2 S. 1 BDSG sind Daten grundsätzlich beim Betroffenen selbst zu erheben. Ausnahmen dieser Vorschrift werden in § 4 Abs. 2 S. 2 BDSG definiert. 2. Die Erfüllung von Hinweispflichten über die Verwendung personenbezogener Daten (§ 4 Abs. 3 BDSG und §§ 13 Abs. 1, 15 Abs. 3 TMG275). 3. Die Erfüllung von Informationspflichten über die Identität der verantwortlichen Stelle in Form eines Impressums oder Anbieterkennzeichnung (§ 4 Abs. 3 S. 1 Nr. 1 BDSG). 4. Auskunftsrechte der Betroffenen (§ 6 BDSG). Insgesamt wurde mit dem Recht auf informationelle Selbstbestimmung durch die Rechtsprechung aus dem allgemeinen Persönlichkeitsrecht ein Grundrecht für den Schutz personenbezogener Daten entwickelt, welches dem Schutz vor Gefährdungen der modernen Datenverarbeitung verfassungsrechtlich umfassend Rechnung trägt. Die Entlehnung aus dem allgemeinen Persönlichkeitsrecht, genauer der Menschenwürdegarantie (Art. 1 Abs. 1 GG) und der freien Entfaltung der Persönlichkeit (Art. 2 Abs.1 GG),276 schaffen für jeden Bürger eine rechts273 BVerfGE 65, 1 (43); vgl. auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; befürwortend zur Stärkung der Selbstbestimmung des Betroffenen auch A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 243. 274 P. Schaar, Datenschutz im Internet, S. 49; zur informierten Einwilligung auf der Grundlage einer informierten Entscheidung vgl. P. Gola/R. Schomerus, Kommentierung des § 4a BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 10; S. Simitis, Kommentierung des § 4a BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 23; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 176, 178. 275 G. Spindler/J. Nink, Kommentierung des § 13 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 3; ders., Kommentierung des § 15 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 2. 276 K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur

84

1. Teil, 2. Kap.: Grundlagen zum WWW

sichernde Grundlage für die Verarbeitung seiner personenbezogenen Daten, ohne dass es einer expliziten verfassungsrechtlichen Materialisierung dieses Schutzbereiches in den Wortlaut des Grundgesetzes bedarf. c) Fernmeldegeheimnis Das Fernmeldegeheimnis ist als verfassungsrechtliches Grundrecht in Art. 10 Abs. 1 GG festgelegt. Für den Bereich des Datenschutzes relevanter Schutzgegenstand des Fernmeldegeheimnisses ist die Vertraulichkeit elektronisch vermittelter Kommunikation.277 Der Schutz bezieht sich auf den transportierten Kommunikationsinhalt, unabhängig der zugrunde liegenden Technik und Technologie.278 Die mit den Kommunikationsinhalten übermittelten Telekommunikationsdaten unterliegen dem grundrechtlichen Schutz von Beginn bis Ende der Verbindung der Nutzung des Internets und darüber hinaus bis zur endgültigen Löschung der Daten.279 Im Einzelnen ergibt sich aus Art. 10 Abs. 1 GG für den Bürger ein grundrechtlicher Schutzanspruch vor Gefährdungen infolge der Verwendung personenbezogene Daten, die aus der unbefugten Kenntnisnahme oder Einwirkung Dritter auf Kommunikationsvorgänge (z. B. Service oder Access Provider) während der Inanspruchnahme von Telekommunikationsdiensten resultieren.280 Aus dem Schutz der Vertraulichkeit ergibt sich für den einzelnen Nutzer ferner das Recht eigene Nachrichten, unabhängig von Telekommunikationsdiensten oder staatlichen Regelungen zu ver- und entschlüsseln.281 Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff.; weiter M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 69 f., 71 ff.; BVerfGE 1, 97 (104). 277 J. Bizer, Grundrechte im Netz. Von der freien Meinungsäußerung bis zum Recht auf Eigentum, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 26; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 117; weiterführend auch L. Gramlich, Art. 10 GG nach der zweiten Postreform 1994, CR 1996, S. 102 ff.; T. Groß, Die Schutzwirkung des Brief-, Post- und Fernmeldegeheimnisses nach der Privatisierung der Post, JZ 1999, S. 326 ff.; allgemein zum Fernmeldegeheimnis auf der Grundlage des Brief- und Postgeheimnisses vgl. G. Dürig, Kommentierung des Art 10 Abs. 1 GG, in T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1973, Rdn. 18 ff.; zum Schutz der Kommunikation und der Privatsphäre auf der Grundlage des Datenschutzrechts vgl. H. Krüger, Kommentierung des Art. 10 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 6 f., 12 ff. 278 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 39 f. 279 Grundlegend dazu BVerfGE 100, 313; in diesem Sinne auch G. Dürig, in: T. Maunz/G. Dürig, GG, Art. 10 Abs. 1, Rdn. 18 f.; weiterführend W. Büchner/J. Ehmer/ M. Geppert/B. Kerkhoff/H. Piepenbrock/R. Schütz/H. Schuster (Hrsg.), Beck’scher TKGKommentar, 2. Aufl., 2000, § 85, Rdn. 3. 280 In diesem Sinne auch G. Dürig, in: T. Maunz/G. Dürig, GG, Art. 10 Abs. 1, Rdn. 18 f.; M. Germann, Gefahrenabwehr und Strafverfolgung, S. 117.

C. Rechtliche Grundlagen

85

Die Vorschriften des Grundgesetzes binden direkt ausschließlich Gesetzgebung, Rechtsprechung und vollziehende Gewalt.282 Indirekt erlangen jedoch die Vorgaben des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG durch die einfachgesetzliche Norm des § 88 TKG auch für die Regelung der Beteiligung nichtöffentlicher Stellen an Telekommunikationsdiensten Geltung.283 Beschränkungen dieses Grundrechts bedürfen gemäß Art. 10 Abs. 2 S. 1 GG einer gesetzlichen Vorschrift.284 Maßgeblich wird diese Vorgabe insbesondere im Rahmen der Strafverfolgung. Die Differenzierung zwischen Inhalten (Inhaltsdaten) und näheren Umständen der Telekommunikation (reinen Verbindungsdaten) führt regelmäßig zu einem Spannungsverhältnis und einer fortwährenden Diskussion um den Umfang der Eingriffsbefugnisse285 staatlicher Stellen im Rahmen der Gefahrenabwehr und Strafverfolgung.286 Insgesamt steht das Fernmeldegeheimnis aus Art. 10 Abs. 1 GG über das aus dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 2 GG abgeleitete Recht auf informationelle Selbstbestimmung, mit dem Schutz personenbezogener Daten in Verbindung.287 Dadurch wird dem Einzelnen die selbstbestimmte Teilnahme am Kommunikationsprozess ermöglicht und als verfassungsrechtlich materialisiertes Recht eingeräumt. Daraus folgt, dass der Nutzer, um dem Risiko einer unbefugten Verwendung seiner persönlichen Daten durch Dritte zu entgehen, ausreichend Kenntnis darüber haben muss. Ausschlaggebend 281 J. Bizer, Grundrechte im Netz. Von der freien Meinungsäußerung bis zum Recht auf Eigentum, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 26; in diesem Sinne auch G. Dürig, in: T. Maunz/G. Dürig, GG, Art. 10 Abs. 1, Rdn. 1, 13. 282 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 247. 283 H. Krüger, in: M. Sachs, GG, Art. 10 Abs. 1, Rdn. 15; zur Materialisierung der staatlichen Schutzpflicht zur rechtlichen Sicherung der Vertraulichkeit der Kommunikation auch gegenüber Privaten in § 88 TKG vgl. M. Germann, Gefahrenabwehr und Strafverfolgung, S. 121; vgl. auch J. Eckhardt, Kommentierung des § 88 TKG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 1 ff. 284 H. Krüger, in: M. Sachs, GG, Art. 10 Abs. 1, Rdn. 18. 285 Das Fernmeldegeheimnis schützt neben der Kenntnisnahme von Telekommunikationsinhalten durch staatliche Stellen den einzelnen Bürger auch davor, dass öffentliche Stellen die Telekommunikation der Kenntnisnahme Dritter aussetzen. Die Veranlassung Dritter zur Kenntnisnahme fremder Telekommunikation in der Übermittlungphase stellt einen mittelbaren Eingriff in das Fernmeldegeheimnis dar. Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung, S. 119; das Spannungsverhältnis wird ferner damit begründet, dass mit der Einordnung von Daten als Inhaltsdaten umfangreichere Einschränkungen bei den Eingriffsbefugnissen verbunden sind als durch die Zuordnung zu den reinen Verbindungsdaten. 286 So werden personenbezogene Daten über die Nutzung eines Telekommunikationsdienstes bisher entgegen der gängigen Vermutung generell als Telekommunikationsinhalte und damit als Inhaltsdaten klassifiziert. Vgl. A. Dix/P. Schaar, Kommentierung des § 6 TDDSG, in: A. Rossnagel (Hrsg.), Beck’scher Kommentar zum Recht der Multimediadienste, Stand: 1.11.2000, Rdn. 15. 287 So H. Krüger, in: M. Sachs, GG, Art. 10 Abs. 1, Rdn. 6 f.

86

1. Teil, 2. Kap.: Grundlagen zum WWW

sind dabei nicht nur die relevanten Inhalte, sondern dass der Betroffene auch vorhersehen und bestimmen können muss, ob eine Verbindung zustande kommt oder welche Gesprächspartner am Kommunikationsprozess teilnehmen.288 Diese Festlegung des Bundesverfassungsgerichts trägt damit nicht nur dem Wohl des einzelnen Nutzers Rechnung, sondern auch dem der Allgemeinheit, eines auf Handlungs- und Mitwirkungsfähigkeit der Bürger begründeten freiheitlichen demokratischen Gemeinwesens.289 Für die Diskussion um den Schutz personenbezogener Daten im Wege der Nutzung des WWW ist die Berücksichtigung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG nur im Rahmen des jüngsten Urteils des Bundesverfassungsgerichts zur Vorratsdatenspeicherung von Belang.290 Daneben wird das Gesetz vorwiegend im Zusammenhang mit dem Schutz des Transports von Inhaltsdaten aus der interpersonellen Kommunikation über das WWW (Chat-Foren) oder mittels E-Mail herangezogen. 2. Strafrechtliche Grundlagen – Strafgesetzbuch (StGB) Für strafbare Handlungen im Internet sind vorrangig die Rechtsgrundlagen des nationalen deutschen Strafrechts heranzuziehen. Für strafbare Handlungen im Zusammenhang mit dem Internet werden Publikations- und Äußerungsdelikte291 sowie besondere Straftatbestände mit Multimediabezug unterschieden.292 Letztgenannte weisen zur Thematik des Schutzes personenbezogener Daten im WWW einen besonderen Bezug auf. So umfasst der Regelungsbereich der §§ 201 bis 205 StGB besondere Straftatbestände mit Multimediabezug. Dies steht in enger Verbindung mit dem Schutz des Grundrechts auf informationelle Selbstbestimmung und der Privatsphäre des betroffenen Nutzers.293 Hierzu gehören Delikte, wie die Verletzung des höchstpersönlichen Lebensbereichs gemäß § 201a StGB, die Verletzung des Briefgeheimnisses gemäß § 202 StGB sowie die Verletzung von Privatgeheimnissen gemäß 288 BVerfGE 67, (157, 171); vgl. auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 145. 289 BVerfGE 65, 1 (41). 290 BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 1 ff. 291 Dazu zählen Delikte wie die Darstellung und Verbreitung inkriminierter Inhalte, die öffentliche Aufforderung zu Straftaten (§ 111 StGB), Volksverhetzung (§ 130 StGB), Beleidigung (§ 185 StGB), üble Nachrede und Verleumdung (§3 186 f. StGB); vgl. dazu ausführlich M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 185 ff. 292 V. Haug, Grundwissen Internetrecht, Rdn. 132 ff., 141 ff. 293 J. Wessels/M. Hettinger, Strafrecht. Besonderer Teil/1 – Straftaten gegen Persönlichkeits- und Gemeinschaftswerte, 28. Aufl. 2004, Rdn. 522.

C. Rechtliche Grundlagen

87

§ 203 StGB.294 Vom Regelungsumfang des § 203 StGB betroffen sind insbesondere Berufsgruppen, die Kraft ihres Amtes der Verpflichtung zur Verschwiegenheit unterliegen.295 Regelungsgegenstand des § 203 StGB ist es, für jene Amtsträger, sensible sowie persönliche, berufliche oder aus anderen Quellen erhaltene Informationen von Betroffenen zu veröffentlichen oder Dritten anderweitig zugänglich zu machen. Zu den besonderen Straftaten im Internet zählen im Zusammenhang mit dem Missbrauch von Daten darüber hinaus so genannte Computerdelikte.296 Diese Gruppe von Multimedia-Straftatbeständen wird anhand bereits existenter spezieller strafrechtlicher Vorschriften, die den Gegebenheiten der modernen Technik des Internets Rechnung tragen, geregelt. Aufgrund des geltenden Analogieverbots gemäß § 1 StGB297 und Art 103 Abs. 2 GG, welches die Übertragung ehemals gültiger Regelungen auf neue Sachverhalte verbietet, wurde eine Erweiterung der bestehenden strafrechtlichen Vorschriften vorgenommen. Im Einzelnen sind danach für den personenbezogenen Datenverkehr über das WWW nachfolgende Straftatbestände relevant:298 1. Datenspionage/Ausspähen von Daten (§ 202a StGB), Abfangen von Daten (§ 202b StGB), Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB). 2. Computerbetrug (§ 263a StGB). 3. Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB). 4. Unbefugte Verwendung personenbezogener Daten (§ 44 BDSG). Der Tatbestand der Datenspionage gemäß § 202a StGB299 umfasst das Ausspähen von Daten, welche auf elektronischem oder magnetischem Wege gespei294

Ders., Rdn. 524 ff., 547 ff., 561 ff. Zu diesen Berufsgruppen zählen unter anderem Ärzte, Apotheker, Psychologen, Vertrauenslehrer, Steuerberater und Wirtschaftsprüfer, Sozialarbeiter und -pädagogen, Pfarrer und Diakone, Mitarbeiter öffentlicher sozialer Stellen und Beamte; vgl. K. Kühl, Kommentierung des § 203 StGB, in: C. Lackner/ders., StGB Kommentar, 26. Aufl. 2007, Rdn. 3 f. 296 P. Schaar, Datenschutz im Internet S. 245. 297 J. Wessels/M. Hettinger, Strafrecht, Rdn. 53 f.; zum Analogieverbot auf der Grundlage des Rechtsstaatsprinzips zur Abgrenzung der Befugnis öffentlicher Stellen zur Gefahrenabwehr und Strafverfolgung vgl. M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 219; K. Kühl, Kommentierung des § 1 StGB, in: C. Lackner/ K. Kühl, StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 5. 298 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 228; U. Sieber, Cyberlaw: Die Entwicklung im deutschen Recht, in: R. Cheswick/S. M. Bellovin, Firewalls und Sicherheit im Internet, 1996, S. 290 ff. 299 Mit der Novellierung des Gesetzes zur Erfassung der Wirtschaftskriminalität (WiKG) vom 15.5.1986 (BGBl. I 721) wurde der 15. Abschnitt des StGB durch den § 202a ergänzt. 295

88

1. Teil, 2. Kap.: Grundlagen zum WWW

chert oder übermittelt werden.300 Entscheidend ist hier, dass die Daten nicht unmittelbar für jeden zugänglich und wahrnehmbar, also nicht für Dritte bestimmt sind.301 So ist der Handel von Passwörtern gemäß § 202a StGB strafbar, sofern ein Hacker sich zu diesen selbst oder Dritten unbefugt Zugang verschafft und diese nicht für sie bestimmt und gegen unberechtigten Zugriff besonders gesichert sind.302 Das unbefugte Eindringen in fremde Computersysteme allein ist hingegen gemäß § 202a StGB nicht strafbar. Die Tathandlung, sich unbefugt fremde personenbezogene Daten zugänglich zu machen sowie unbefugt zur Kenntnis zu nehmen wird gemäß der Vorschrift des § 202a Abs. 1 StGB mit einer Freiheitsstrafe von bis zu 3 Jahren oder mit einer Geldstrafe geahndet.303 Als Voraussetzung für die Strafbarkeit der Handlung sieht das Gesetz vor, dass die Daten mittels einer zusätzlichen Sicherung gegen unbefugten Zugriff geschützt sein müssen. Dies wird durch den Einsatz eines Passwortes erfüllt. Der Einsatz einer Firewall allein hingegen genügt den besonderen Anforderungen des § 202a StGB zur besonderen Sicherung nicht.304 Vom Umfang des § 202a StGB werden alle Fälle der Computerspionage erfasst. Für die Strafbarkeit des unbefugten Datenzugangs, der Datenspeicherung sowie Weitergabe an unbefugte Dritte ist es jedoch unerheblich, ob es sich um personenbezogene Daten handelt und ob eine Verletzung der persönlichen Lebens- oder Geheimsphäre erfolgt.305

300 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 97; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, 1996, S. 48 ff.; W. Stallings, Sicherheit im Datennetz, 1995, S. 268 ff.; K. Kühl, Kommentierung des § 202a StGB, in: C. Lackner/K. Kühl, StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 2. 301 H. Tröndle/T. Fischer, Strafgesetzbuch und Nebengesetze, 50. Aufl., 2000, § 202a, Rdn. 3 f.; J. Wessels/M. Hettinger, Strafrecht, Rdn. 557 f.; zur Maßgeblichkeit des Deliktes im Rahmen der Gefahrenabwehr und Strafverfolgung im Internet M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 97. 302 E. Hilgendorf, Grundfälle zum Computerstrafrecht, JuS 1997, 324, 327; M. Schreibauer, Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/ M. A. Gimmy, Handbuch zum Internetrecht. Electronic Commerce, Informations-, Kommunikations- und Mediendienste, 2000, S. 589; K. Kühl, in: C. Lackner/K. Kühl, StGB, § 202a, Rdn. 4, 7. 303 Vgl. dazu auch M. Schreibauer, Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internetrecht, S. 589; zur unbefugten Kenntnisnahme vgl. K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 7. 304 F. Fechner, Medienrecht, 5. Aufl., 2004, Rdn. 519; vgl. kritisch auch V. Haug, Grundwissen Internetrecht, Rdn. 146, S. 59; fallbezogen E. Hilgendorf, Grundfälle zum Computerstrafrecht, JuS 1996, 509 ff., 702 ff., 890 ff., 1082 ff.; ders., JuS 1997, 130 ff., 323 ff.; weiterführend dazu auch I. Schulze-Heiming, Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, 1995; K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 4. 305 Ders., Rdn. 1; J. Wessels/M. Hettinger, Strafrecht, Rdn. 559.

C. Rechtliche Grundlagen

89

Mit Inkrafttreten des 14. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität am 11. August 2007306, wurde gemäß § 202a Abs. 1 StGB eine Vorverlagerung des strafrechtlichen Schutzes für das Ausspähen von Daten festgelegt, wonach der Tatbestand nun bereits zum Zeitpunkt des Zugangs zu besonders gesicherten Daten erfüllt ist:307 „(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“

Hinzugefügt wurde im Rahmen der Novellierung ferner die Vorschriften der §§ 202b (Abfangen von Daten) sowie 202c StGB (Ausspähen und Abfangen von Daten): § 202b StGB: „Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.“ § 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten. (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2 StGB) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 StGB gilt entsprechend.

Nach § 202b StGB werden Daten, die über die in § 202a Abs. 2 StGB näher bestimmten Kommunikationsmittel wie E-Mail oder Voice over IP übermittelt werden, auch unabhängig von einer besonderen Zugangssicherung geschützt. Für 306 41. Strafrechtsänderungsgesetz (41. StrÄndG) zur Bekämpfung der Computerkriminalität vom 20.09.2006, BGBl. I 2007, S. 3198. Das Gesetz dient der Umsetzung des Übereinkommens des Europarates über Computerkriminalität (Cyber Crime Convention) und des EU-Rahmenbeschlusses 2005/222/JI vom 24. Februar 2005 über Angriffe auf Informationssysteme (ABl. L 69 vom 16.03.2005, 67 ff.) in deutsches Recht. Zur Cyber Crime Convention vgl. auch M. Gercke, Analyse des Umsetzungsbedarfs der Cyber Crime Convention, MMR 2004, 728. 307 Gemäß der Vorgängerregelung des § 202a aus dem Jahr 1986 war die Strafbarkeit des Ausspähens von Daten an die Tathandlung des sich Verschaffens gebunden: „Wer unbefugt Daten die nicht für ihn bestimmt oder die gegen unberechtigten Zugang besonders gesichert sind, sich oder einem anderen verschafft, wird [. . .] bestraft.“; vgl. K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 1.

90

1. Teil, 2. Kap.: Grundlagen zum WWW

den Schutz personenbezogener Daten im Internet ist hingegen § 202c StGB einschlägig. Hier wird das Vorbereiten durch Herstellen und Verbreiten von Passwörtern oder Computerprogrammen mit dem Ziel, sich oder einem Dritten Zugang zu gesicherten Daten zu verschaffen, bestraft. Damit wurde die Lücke zur Regelung der Vorbereitungsstraftaten, wie sie insbesondere durch das Hacken fremder Zugangskennungen zu Nutzeraccounts oder fremden Rechnern erfüllt wird, geschlossen.308 Unter den Begriff des Computerbetrugs gemäß § 263a StGB werden solche Tathandlungen subsumiert, die vorsätzlich oder in der Absicht geschehen, sich selbst oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen und dadurch das Vermögen eines anderen in der Weise zu beschädigen, dass das Ergebnis eines Datenverarbeitungsvorgangs beeinflusst wird.309 Unter Strafe werden hier Manipulationsformen mithilfe der Datenverarbeitungsmöglichkeiten neuer Medien zum Nachteil fremden Vermögens gestellt. Im Vergleich zum Betrug gemäß § 263 StGB, ist hier nicht die Täuschung eines Menschen, die ihn zu einer irrtumsbedingten Vermögensverfügung veranlasst, Voraussetzung zur Erfüllung des Straftatbestands. Der Schaden an einem Rechtsgut des betroffenen Nutzers wird bei den unter diese Vorschrift subsumierten Tathandlungen bewusst durch die rechtswidrige Manipulation eines Datenverarbeitungssystems bewirkt.310 Eine Beeinflussung liegt gemäß § 263 StGB vor, sofern der Datenverarbeitungsvorgang durch die im Gesetz genannten Tathandlungen im Ablauf gestört wird und sich daraus eine unmittelbare Veränderung in Form einer Beschädigung der Vermögensdisposition des betroffenen Nutzers ergibt.311 Dies kann nach dem Wortlaut des § 263a Abs. 1 StGB durch die unrichtige Gestaltung eines Programms, durch Verwendung unrichtiger oder unvollständiger Daten, die unbefugte Verwendung von Daten oder mittels sonstigen unbefugten Einwirkens auf den Ablauf der Datenverarbeitung geschehen. Allein der Versuch ist bereits strafbar. Voraussetzung ist, dass der Täter das Ergebnis der Manipulation oder unbefugten Datenverarbeitung willentlich herbeigeführt hat um einen rechtswidrigen Vermögensvorteil zu erlangen.312 308 T. Hoeren, Internetrecht, Stand März 2009, S. 519; K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 1 mit Verweis auf §§ 202b und 202c StGB. 309 U. Sieber, Strafrecht und Strafprozessrecht, in: T. Hoeren/U. Sieber (Hrsg.), Handbuch Multimedia-Recht, Teil 19, 1999, Rdn. 430 ff.; K. Kühl, Kommentierung des § 263 StGB, in: C. Lackner/ders., StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 7 ff., 21 ff., 28; ders., Kommentierung des § 263a StGB, in: C. Lackner/ders., StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 23 mit Verweis auf die Kommentierung des § 263. 310 J. Wessels/T. Hillenkamp: Strafrecht. Besonderer Teil/2. Straftaten gegen Vermögenswerte, 24. Aufl. 2001, Rdn. 599; K. Kühl, in: C. Lackner/ders., StGB, § 263, Rdn. 32, 58; ders., § 263a, Rdn. 16, 24. 311 Vgl. zur Veränderung des Datenverarbeitungsvorgangs auch BGHSt 38, 120 (121); K. Kühl, in: C. Lackner/ders., StGB, § 263a, Rdn. 16 ff.

C. Rechtliche Grundlagen

91

Die strafrechtliche Vorschrift zur Datenveränderung gemäß § 303a StGB, umfasst die rechtswidrige Verfälschung und Löschung von Daten. Ergänzend wirkt die Vorschrift durch den Tatbestand der Computersabotage gemäß § 303b StGB für destruktive Eingriffe in fremde Datenverarbeitungssysteme.313 Der Datenveränderung macht sich gemäß § 303a StGB derjenige schuldig, der Daten im Sinne des § 202a Abs. 2 StGB elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar speichert oder übermittelt, löscht, unterdrückt, unbrauchbar macht oder verändert. Zweck der Vorschrift ist die Sicherung der unversehrten Verwendbarkeit von Daten314 und damit der Schutz des einzelnen Nutzers im WWW vor der unbefugten Nutzung seiner personenbezogenen Daten. Aus der erforderlichen Rechtswidrigkeit als einschränkendes Tatbestandsmerkmal315 folgt, dass die Strafbarkeit der Handlung nur durch diejenige Person erfüllt ist, die das Verfügungsrecht dessen, der ein unmittelbares Interesse an der Unversehrtheit der Daten besitzt, willentlich verletzt.316 Der Computersabotage macht sich gemäß § 303b StGB schuldig, wer eine Datenverarbeitung, die für einen dritten Betrieb, Unternehmen oder eine öffentliche Behörde von wesentlicher Bedeutung ist, in der Art und Weise stört, dass der Tatbestand des § 303a Abs. 1 StGB erfüllt wird oder nach § 303b Abs. 1 Nr. 2 StGB eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert.317 Dabei muss die Handlung in direktem Zusammenhang mit dem verfolgten Ziel stehen. So ist der Tatbestand einer Handlung im Sinne des § 303 StGB als erfüllt anzusehen, sofern durch schädliche Computerprogramme die Hard- oder Software eines Rechners sowie dessen Schutzmechanismen gezielt außer Kraft gesetzt werden um an gesicherte personenbezogene Daten zu gelangen.318 Als Beispiel sei hier die Einschleusung von Viren, Würmern, Trojanern oder anderen Compu-

312 J. Wessels/T. Hillenkamp: Strafrecht, Rdn. 604; zum Irrtum des Täters aufgrund von Mangel an Befugnis auch K. Kühl, in: C. Lackner/ders., StGB, § 263a, Rdn. 24. 313 P. Schaar, Datenschutz im Internet, Rdn. 775. 314 Träger des Interesses ist derjenige der das Recht hat über die Preisgabe seiner personenbezogenen Daten selbst zu entscheiden. Vgl. dazu J. Wessels/T. Hillenkamp: Strafrecht, Rdn. 50; K. Kühl, Kommentierung des § 303a StGB, in: C. Lackner/ders., StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 1. 315 E. Hilgendorf, Grundfälle zum Computerstrafrecht, JuS 1996, 892; K. Kühl, in: C. Lackner/ders., StGB, § 303a, Rdn. 4 ff. 316 L. Eiding, Strafrechtlicher Schutz elektronischer Datenbanken, 1997, S. 105; G. Haß, der strafrechtliche Schutz von Computerprogrammen, in: M. Lehmann (Hrsg.), Rechtsschutz und Verwertung von Computerprogrammen, 2. Aufl. 1993, S. 496 f. 317 J. Wessels/T. Hillenkamp: Strafrecht, Rdn. 53; K. Kühl, Kommentierung des § 303b StGB, in: C. Lackner/ders., StGB – Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 2 ff. 318 P. Schaar, Datenschutz im Internet, Rdn. 779; K. Kühl, in: C. Lackner/ders., StGB, § 303a, Rdn. 3, 5.

92

1. Teil, 2. Kap.: Grundlagen zum WWW

terprogrammen zu nennen, die eine rechtswidrige Datenveränderung im Sinne des § 303a Abs. 1 StGB darstellen.319 Weitere strafrechtliche Vorschriften zum Schutz personenbezogener Daten enthält das Bundesdatenschutzgesetz. Gemäß § 44 Abs. 1 BDSG wird die vorsätzliche Handlung einer der in § 43 Abs. 2 BDSG angeführten Bußgeldtatbestände als Straftat geahndet, sofern die rechtswidrige Tat gegen Entgelt oder in der Absicht sich oder einen anderen zu bereichern oder zu schädigen, begangen wird.320 Diese Tathandlungen sind gemäß § 44 Abs. 2 S. 1 BDSG Antragsdelikte. Der Kreis der potentiellen Täter ist nicht auf die Personen beschränkt, die personenbezogene Daten als Normadressaten des Bundesdatenschutzgesetzes verarbeiten. Mithin werden auch Access, Service und Content Provider erfasst, sofern sich keine Subsidiarität des Bundesdatenschutzgesetzes infolge entsprechender spezieller Vorschriften aus dem Telekommunikationsgesetz oder dem Telemediengesetz321 ergeben. Geschütztes Rechtsgut sind danach personenbezogene Daten, die nicht allgemein zugänglich sind.322 Damit steht die Vorschrift des § 44 BDSG inhaltlich in Verbindung mit den strafrechtlichen Normen der §§ 201 ff. StGB zum Schutz des persönlichen Lebens- und Geheimnisbereichs.323 3. Einfachgesetzliche Grundlagen Als Mitglied der EU ist der Gesetzgeber in der Bundesrepublik Deutschland an die vereinbarten Richtlinien des Gemeinschaftsrechts gebunden. 319 E. Hilgendorf, Grundfälle zum Computerstrafrecht, JuS 1996, 1082; L. SchulzeHenning, Der strafrechtliche Schutz von Computerdaten, 1995, S. 185 ff.; C. Müller, Internationales Privatrecht und Internet, S. 260; vgl. dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff. 320 P. Gola/R. Schomerus, Kommentierung des § 44 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 1; U. Dammann, Kommentierung des § 44 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 1 ff. 321 Telemediengesetz vom 26. Februar 2007, BGBl. I, S. 179 als Art. 1 des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste – Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz – ElGVG, BGBl I, 179; Telekommunikationsgesetz (TKG) vom 22.6.2004, BGBl. I, S. 1190; weiterführend zur Kommentierung auch G. Spindler/F. Schuster, Recht der elektronischen Medien – Kommentar, 2008. 322 P. Gola/R. Schomerus, in: ders. (Hrsg.), BDSG, § 44 Abs. 1, Rdn. 4; dies entspricht dem Inhalt der strafrechtlichen Regelungen nach § 203a StGB; so auch U. Dammann, in: S. Simitis, BDSG, § 44, Rdn. 8. Zur Rechtswidrigkeit der Bereicherung als Voraussetzung vgl. auch BGHSt 19, 216. 323 Vgl. dazu Urteil des Bundesverfassungsgerichts zum Lauschangriff: BVerfGE 109, 279 (291 f., 294).

C. Rechtliche Grundlagen

93

So erfolgte die Umsetzung der Vorgaben der EG-Datenschutzrichtlinie mit dem Bundesdatenschutzgesetz, eingeschlossen dessen Novellierungen im Zuge der europaweiten Harmonisierung des Datenschutzrechts. Dieses umfasst allgemein „den Schutz der Vertraulichkeit des Briefverkehrs und der Telekommunikation sowie die besonderen Persönlichkeitsrechte an Bild, Text und Ton“.324 Neben der Regelung des allgemeinen europäischen Datenschutzrechts stellt die E-Kommunikations-Datenschutzrichtlinie 325 speziell auf den Schutz der Privatsphäre in der elektronischen Kommunikation ab. Die Umsetzung dieser Richtlinie in nationales Recht der Bundesrepublik Deutschland erfolgte für Telekommunikationsdienstleistungen durch das Telekommunikationsgesetz, für Telemediendienste durch das Telemediengesetz. 326 a) Bundesdatenschutzgesetz (BDSG) Der Ursprung des Datenschutzrechts geht auf die Verabschiedung des ersten Datenschutzgesetzes des Landes Hessen im Jahr 1970 zurück.327 Erst im Jahr 1978 jedoch trat das erste bundesweit gültige „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom 27. Januar 1977 – Bundesdatenschutzgesetz (BDSG)“ 328 in Kraft. In seiner vierten Fassung stellte das Bundesdatenschutzgesetz durch die Umsetzung der Vorgaben der EU-Datenschutzrichtlinie in deutsches Recht in erster Linie auf die Gewährleistung eines rechtmäßigen Umgangs mit personenbezogenen Daten ab, nicht auf die Sanktion 324 T. Hoeren, Internetrecht Stand April 2011, S. 362, abrufbar unter http://www. uni-muenster.de/Jura.itm/hoeren/materialien/Skript/Skript %20Internetrecht_April_2011. pdf, Stand, 01.06.2011. 325 Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, 02/58/EG, ABl. L 201 vom 30.7. 2002, 37 ff. 326 Vor Inkrafttreten des Telemediengesetzes (TMG) fielen das Telekommunikationsgesetz (TKG), das Teledienste- (TDG) sowie das Teledienstedatenschutzgesetz (TDDSG) in den Kompetenzbereich des Bundes; der Mediendienstestaatsvertrag (MDStV) hingegen in den der Länder; zur Kompetenzverteilung und Abgrenzungsproblematik zwischen Tele- und Mediendiensten vgl. H. Gersdorf, Die dienende Funktion der Telekommunikationsfreiheiten: Zum Verhältnis von Telekommunikations- und Rundfunkordnung, AfP 1997, 424; J. Scherer, „Online“ – zwischen Telekommunikations- und Medienrecht, AfP 1996, 213; zum Begriff der Telemedien auch B. Eichhorn, Internetrecht, S. 31; ausführlich dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung, S. 140 ff. 327 Vgl. GVBl. I, 625; T. Hoeren, Internetrecht, Stand März 2009, S. 22. 328 BGBl. I, S. 201; zur Entstehungsgeschichte des BDSG vgl. auch C. Klug, BDSGInterpretation – Materialien zur EU-konformen Auslegung, 2002, S. 2 ff.; zur Auslegung auch E. Duhr/H. Naujok/B. Danker/E. Seiffert, Neues Datenschutzrecht für die Wirtschaft (§ 1–11 BDSG), DuD 2002, 5 ff.; ders., Neues Datenschutzrecht für die Wirtschaft (§ 27–46 BDSG), DuD 2002, 5 ff.; zu Neuregelungen M. Franzen, Die Novellierung des Bundesdatenschutzgesetzes und ihre Bedeutung für die Privatwirtschaft, DB 2001, 1867; P. Gola/A. Jaspers, Das Neue BDSG im Überblick, 2. Aufl., 2002.

94

1. Teil, 2. Kap.: Grundlagen zum WWW

eines bereits erfolgten Missbrauchs.329 Dieser Grundsatz hat auch nach der zum 1. September in Kraft getretenen Novellierung weiter Bestand, weil das Bundesdatenschutzgesetz nicht von Grund auf geändert, sondern durch neue und modifizierte alte Vorschriften an die Umstände der modernen Technik der Datenverarbeitung über das Internet angepasst wird. Das deutsche Bundesdatenschutzgesetz regelt zusammen mit den Datenschutzgesetzen der Bundesländer den Umgang personenbezogener Daten, welche mittels IT-Systemen oder manuell verarbeitet werden. Der Begriff der personenbezogenen Daten ist für die Anwendbarkeit des Bundesdatenschutzgesetzes wesentlich. So handelt es sich gemäß § 3 Abs. 1 BDSG und § 3 Abs. 9 BDSG über Einzelangaben bestimmbarer oder bestimmter Personen, wie Name, Adresse, Telefonnummer und IP-Adresse. Übertragen auf die hier diskutierte Nutzung des Internets und des WWW handelt es sich um Daten, die dem Nutzer auf Dauer zugeordnet werden können. Gemäß § 3 Abs. 1 BDSG werden diese Angaben weiter nach persönlichen (Name, Adresse, Beruf, Familienstand, Staatsangehörigkeit, Geburtsdatum)330 und sachlichen Verhältnissen (Arztbesuch, Führen eines Telefonats, Besuch einer Theateraufführung)331 differenziert. Parallel zu den Vorschriften des Bundesdatenschutzgesetzes gelten auf Landesebene entsprechende Landesdatenschutzgesetze (LDSG), deren Normen jedoch überwiegend dem Wortlaut des Bundesdatenschutzgesetzes entsprechen.332 Eine Differenzierung findet im Anwendungsbereich der Gesetze statt. Der Regelungsbereich des Bundesdatenschutzgesetzes umfasst sowohl den öffentlichen Sektor als auch Vorschriften zur Regelung des Umgangs mit personenbezogenen Daten im Bereich der privaten Unternehmen.333 Übergeordneter Zweck des Bundesdatenschutzgesetzes ist im weiteren Sinne der Schutz des Grundrechts auf informationelle Selbstbestimmung, abgeleitet aus dem allgemeinen Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG.334 Im engeren Sinne steht der Schutz des von der Datenverarbeitung Betroffenen (§ 3 Abs. 1 BDSG) vor der Beeinträchtigung seines Persönlichkeitsrechts (§ 1 Abs. 1 BDSG) durch den Umgang mit seinen personenbezogenen Daten im Vordergrund.335 329 A. Büllesbach, Das neue Datenschutzgesetz, NJW 1991, 2595; vgl. auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 256. 330 A. Wien, Internetrecht, S. 189. 331 Ders./B. Eichhorn, Internetrecht, S. 115. 332 P. Gola/R. Schomerus, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 32 ff. 333 Ders., Rdn. 19a, 32 f.; so auch U. Damann, in: S. Simitis, BDSG, § 44, Rdn. 20 ff., 119; A. Wien, Internetrecht, S. 188. 334 B. Eichhorn, Internetrecht, S. 115; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 ff.; insbesondere 132 ff., 151 ff., 179 ff.; in diesem Sinne auch BVerfGE 1, 97 (104).

C. Rechtliche Grundlagen

95

Das Bundesdatenschutzgesetz ist in sechs Abschnitte gegliedert. Der erste Teil beinhaltet die Allgemeinen Bestimmungen (§ 1–11): Bestimmungen zum Zweck des Gesetzes, dem Geltungsbereich, dem sachlichen und räumlichen Anwendungsbereich sowie der Normadressaten. In diesem Teil werden die Grundlagen für die weiteren Abschnitte festgelegt. So umfasst der Schutzbereich des Bundesdatenschutzgesetzes gemäß den Vorgaben der EG-Datenschutzrichtlinie in erster Linie natürliche Personen in Sachen der Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten. Das Schutzziel, das Grundrecht auf informationelle Selbstbestimmung und damit die Privatsphäre des Einzelnen zu wahren, bezieht sich ausschließlich auf Individuen, nicht auf Organisationen.336 Schutzobjekt sind also personenbezogene Daten jeder natürlichen Person. Abschnitt zwei (§§ 12–26 BDSG) beinhaltet Normen für die Datenverarbeitung öffentlicher Stellen, der dritte Abschnitt (§§ 27–38a BDSG) diejenigen für private Stellen. Im vierten Abschnitt (§§ 39–42 BDSG) finden sich Sondervorschriften. Straf- und Bußgeldvorschriften enthält der fünfte Abschnitt (§§ 43–44 BDSG). Abschließend werden im sechsten Abschnitt (§§ 45–46 BDSG) Übergangsvorschriften und ein Maßnahmenkatalog für die Erreichung eines größtmöglichen Maßes an Datensicherheit angeführt. Der Regelung des Datenschutzes nach dem Bundesdatenschutzgesetz liegt das Verbot mit Erlaubnisvorbehalt zugrunde. Dies bedeutet, dass die Erhebung, Speicherung, Verarbeitung sowie weitere Nutzung personenbezogener Daten nur erlaubt ist, soweit und sofern der betroffene Nutzer seine Einwilligung dazu gegeben hat.337 Entscheidend für die Anwendbarkeit des Bundesdatenschutzgesetzes ist weiter, dass dem Gesetz insgesamt als Auffanggesetz nur eine subsidiäre Geltung zukommt.338 Gemäß § 1 Abs. 3 S. 1 BDSG gehen andere Rechtsvorschriften des Bundes für personenbezogene Daten wie dem Telekommunikationsgesetz oder dem Telemediengesetz denen des Bundesdatenschutzgesetzes vor.339 Im Mai 2009 erfolgte durch Gesetzesbeschlüsse des Deutschen Bundestages eine umfangreiche Änderung des Bundesdatenschutzgesetzes, die in insgesamt drei Novellen erfolgt. Am 29. Mai 2009 verabschiedete der Bundestag die „Novelle I“, welche zum 1. April 2010 in Kraft trat.340 Ziel war es, unter anderem 335 P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 22; U. Damann, in: S. Simitis, BDSG, § 44, Rdn. 57 ff. 336 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 249; so auch B. Eichhorn, Internetrecht, S. 115; P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 6 ff., 9 ff. 337 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; B. Eichhorn, Internetrecht, S. 115, 119; A. Wien, Internetrecht, S. 189. 338 P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 23 ff. 339 A. Wien, Internetrecht, S. 189. 340 Zur Novelle I des BDSG vgl. BT-Drs.16/13219, 16/10581 und 16/10529; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254 ff.

96

1. Teil, 2. Kap.: Grundlagen zum WWW

durch die Neuregelung die Tätigkeit von Auskunfteien und ihrer Vertragspartner (insbesondere Kreditinstitute) transparenter zu machen, indem durch die neuen Vorschriften die Informations- und Auskunftsrechte der Betroffenen gestärkt werden sollten.341 Folgende Änderungen traten mit der Novellierung in Kraft: • Stärkung der Rechte des Betroffenen (§ 6 BDSG). • Präzisierung der Vorschrift für automatisierte Einzelentscheidungen (§ 6a BDSG). • Festlegung der allgemeinen Voraussetzungen zur Durchführung von ScoringVerfahren (§ 28b BDSG). • Neufassung der Vorschrift zur Datenübermittlung an Auskunfteien (§ 29 BDSG). • Neufassung des Rechts auf Auskunft an den Betroffenen (§ 34 BDSG). • Änderung der Vorschrift zur Berichtigung und Löschung von Daten (§ 35 BDSG). • Anpassung der Bußgeldtatbestände an die neuen Vorschriften (§ 43 BDSG). Die zum 1. September 2009 in Kraft getretene Novelle II des Bundesdatenschutzgesetzes wurde am 3. Juli 2009 durch den Bundestag verabschiedet.342 Mit Änderungen in insgesamt 18 Paragrafen erfolgte zu diesem Zeitpunkt die umfassendste Novellierung des Gesetzes. Im Einzelnen: • Neuregelung der Grundsätze zur Datenvermeidung und Datensparsamkeit (§ 3a BDSG). • Erweiterte Meldepflicht für Markt- und Meinungsforschung (§ 4d Abs. 4 Nr. 3 BDSG). • Stärkung der Funktion des Datenschutzbeauftragten (§ 4f Abs. 3 BDSG). • Auftragsdatenverarbeitung mit genauer Vertragsvorgabe (§ 11 Abs. 2 S. 2 BDSG). • Präzisierung der Rechtsgrundlage für die Datenverarbeitung für eigene Geschäftszwecke (§ 28 Abs. 1 Nr. 1 BDSG). • Änderung der Prinzipien für die Datennutzung für Adresshandel oder Werbung (§ 28 Abs. 3 BDSG). • Änderung des Koppelungsverbots (§ 28 Abs. 3b BDSG). 341 P. Gola/C. Klug, Die BDSG-Novellen 2009 – Ein Kurzüberblick, Sonderbeilage RDV 4 (2009), S. 2. 342 Zur Novelle II des BDSG vgl. BT-Drs. 16/12011 vom 18.02.2009 in der Fassung der Beschlussempfehlung des Innenausschusses vom 01.07.2009, BT-Drs. 16/13657; Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I, S. 2355 ff.

C. Rechtliche Grundlagen

97

• Neue Formvorschriften für Widerspruch gegen Werbung (§ 28 Abs. 4 BDSG). • Änderung des Geltungsbereichs für die geschäftsmäßige Datenerhebung/-speicherung zur Übermittlung (§ 29 BDSG). • Neuregelung der Zulässigkeit der Datenerhebung zur Markt- und Meinungsforschung (§ 30a BDSG). • Neue Generalklausel zum Arbeitnehmerdatenschutz (§ 32 BDSG). • Erweiterte Befugnisse für Datenschutzaufsichtsbehörde (§ 38 Abs. 5 BDSG). • Informationspflicht bei unrechtmäßiger Kenntniserlangung von Dritten (§ 42a BDSG). • Erweiterung der Bußgeldtatbestände (§ 43 BDSG). • Übergangsregelung für das Inkrafttreten von § 28 BDSG (§ 47 BDSG). Für die Novelle III des Bundesdatenschutzgesetzes wurden vom Bundestag schließlich folgende Änderungen des Bundesdatenschutzgesetzes verabschiedet, welche zum 11. Juni 2010 in Kraft getreten sind:343 • Neuregelung der Zulässigkeit von Auskünften durch Auskunfteien zu Verbraucherkrediten innerhalb der Europäischen Union (§ 29 BDSG). • Anpassung der Bußgeldtatbestände an die Verstöße des neuen § 29 Abs. 6 und 7 BDSG (§ 43 BDSG). b) Telekommunikationsgesetz (TKG) Mit der Novelle des Telekommunikationsgesetzes,344 welche am 26.6.2004 in Kraft trat, hat der Gesetzgeber nicht nur eine umfassende Regelung für den Bereich der Telekommunikation erlassen, sondern auch die Vorgaben der Richtlinien des Europäischen Parlaments und des Rates345 mit dem Ziel einer europaweiten Harmonisierung internetrechtlicher Regelungen, umgesetzt.346 343 Zur Novelle III des BDSG vgl. BT-Drs. 16/11643; Art. 5 des Gesetzes zur Umsetzung der Verbraucherkreditrichtlinie, des zivilrechtlichen Teils der Zahlungsdiensterichtlinie sowie zur Neuordnung der Vorschriften über das Widerrufs- und Rückgaberecht vom 29. Juli 2009, BGBl. I, S. 2384 ff. 344 Telekommunikationsgesetz (TKG) vom 22.6.2004, BGBl. I, S. 1190. 345 Im Einzelnen erfolgte die Umsetzung folgender Richtlinien: RL 2002/20/EG des Europäischen Parlaments und des Rates vom 7.3.2002 über die Genehmigung elektronischer Kommunikationsnetze und -dienste (Genehmigungsrichtlinie), ABl. L. 108 vom 24.4.2002, 21 ff., Richtlinie 2002/19/EG des Europäischen Parlaments und des Rates v. 7.3.2002 über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtungen sowie deren Zusammenschaltung (Zugangsrichtlinie), ABl. L 108 vom 24.4.2002, 7 ff., Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7.3.2002 über den Universaldienst und Nutzungsrechte bei elektronischen Kommunikationsnetzen und -diensten (Universaldienstrichtlinie), ABl. L 108 vom 24.4.2002, 51 ff., sowie Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom

98

1. Teil, 2. Kap.: Grundlagen zum WWW

Das Telekommunikationsgesetz enthält für den Regelungsbereich der technischen Übertragung von Daten als elektronischem Kommunikationsprozess347, in insgesamt 11 Teilen einschlägige Vorschriften zu Fragen der Marktregulierung, dem Kundenschutz, der Rundfunkübertragung, der Vergabe von Frequenzen, Nummern und Wegerechten, den Universaldiensten, dem Fernmeldegeheimnis, Datenschutz und öffentlicher Sicherheit, sowie Befugnissen der Regulierungsbehörde. Mit der Novellierung des Telekommunikationsgesetzes wurde erstmals ein separater, abschließender Datenschutzteil geschaffen.348 Für die datenschutzrechtliche Thematik, in Verbindung mit dem WWW, ist vor allem Teil 7 von Interesse. Die datenschutzrelevanten Normen wurden in Abschnitt 2 in den Vorschriften der §§ 89–105 TKG materialisiert. Der Anwendungsbereich erstreckt sich auf den Schutz der Erhebung oder Verwendung personenbezogener Daten von Teilnehmern und Nutzern der Telekommunikation. Adressaten der Normen sind Personen und Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen oder wesentlich daran mitwirken. Ferner werden als personenbezogene Daten auch dem Fernmeldegeheimnis unterliegende Einzelangaben über juristische Personen oder Personengesellschaften definiert (§ 91 Abs. 1 TKG).349 Für die Speicherung und Verwendung personenbezogener Daten auf Vorrat ist im Hinblick auf das Urteil des Bundesverfassungsgerichts vom 2.3.2010350 auf die §§ 113a und 113b TKG hinzuweisen. Diese wurden im Zusammenhang mit der Anwendung für die Verfolgung von Straftaten nach § 100g StPO vom Bundesverfassungsgericht für verfassungswidrig und damit nichtig erklärt, weil die Regelungen mit Art. 10 Abs. 1 GG nicht vereinbar sind.

12.7.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie), ABl. L 201 vom 31.7.2002, 37 ff. 346 Gemäß dem Zweck des Gesetzes soll durch technologieneutrale Regulierung der Wettbewerb im Bereich der Telekommunikation sowie die Existenz leistungsfähiger Telekommunikationsinfrastrukturen gefördert und flächendeckend ein angemessenes wie ausreichendes Niveau an Dienstleistungen gewährleistet werden. 347 Gemäß § 3 Nr. 16 TKG wird darunter der technische Vorgang des Aussendens, Übermittelns und Empfangens von Nachrichten jeglicher Art in der Form von Zeichen, Sprache, Bildern oder Tönen mittels Telekommunikationsanlagen verstanden; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 121; zur Definition anhand der Transportebene des Schichtenmodells vgl. M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 239; J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 88 TKG, Rdn. 1, 9 f. 348 A. Ohlenburg, Der neue Telekommmunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 7 (2004), 431. 349 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 91 TKG, Rdn. 9. 350 BVerfG, BvR 256/08 vom 2.3.2010, Absatz 1 ff.

C. Rechtliche Grundlagen

99

c) Telemediengesetz (TMG) Mit Inkrafttreten des Gesetzes zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste zum 1. März 2007351 stellte die Bundesregierung die Weichen für eine Neuordnung der Regelung der Neuen Medien durch Vereinheitlichung bestehender Normen in der Bundesrepublik Deutschland. Als zentrale Vorschrift, insbesondere für den Datenschutz im Internet, wurde das Telemediengesetz 352 erlassen, welches in Art. 1 des Elektronischen Geschäftsverkehr Vereinheitlichungsgesetzes die rechtlichen Anforderungen für elektronische Informations- und Kommunikationsdienste regelt.353 Die bis dato gültigen Vorschriften des Teledienstegesetzes,354 des Teledienstedatenschutzgesetzes355 des Bundes, sowie des Mediendienstestaatsvertrags der Länder, wurden in einem Regelwerk zusammengefasst und mit Inkrafttreten des Telemediengesetzeses außer Kraft gesetzt.356 Das Telemediengesetz ist 16 Paragraphen gegliedert. Neben den allgemeinen Bestimmungen (§ 1 bis § 3 TMG) sind Vorschriften zu Informationspflichten357 für Diensteanbieter in Form eines Impressums (§ 5, 6 TMG), der Haftung von Diensteanbietern für die zur Nutzung bereit gehaltenen Informationen (§ 7 bis 10 TMG), zum Schutz personenbezogener Daten bei der Nutzung von Telemediendiensten, der Herausgabe von Daten (§§ 11 bis 15 TMG), sowie Bußgeldvorschriften (§ 16 TMG) enthalten. Vorrangiges Ziel der Schaffung eines Gesetzes für Telemedien war es, die vormals föderalistisch zersplitterten Regulierung von Informations- und Kommunikationsdiensten infolge der separaten Gesetze zu vereinheitlichen und die Gesetzesmaterie sowohl für den Nutzer als auch den Anbieter der neuen Internetdienste deutlich zu vereinfachen.358 Dazu diente unter anderem die Einführung 351 Gesetz zur Vereinheitlichung von Vorschriften über bestimmte elektronische Informations- und Kommunikationsdienste (Elektronischer-Geschäftsverkehr-Vereinheitlichungsgesetz – ElGVG) vom 26. Februar 2007, BGBl. I, S. 179. 352 Telemediengesetz vom 26. Februar 2007, BGBl. I, S. 179. 353 Ergänzende Regelungen finden sich in dem zeitgleich in Kraft getretenen 9. Rundfunkänderungsstaatsvertrag (9. RStV); vgl. dazu auch P. Schmitz, Kommentierung des § 13 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 1 ff. 354 Gesetz über die Nutzung von Telediensten (TDG), Teil des Informations- und Kommunikationsdienstegesetzes vom 22.7.1997 (IuKDG), BGBl. I, S. 1870. 355 Den vormals gültigen Regelungen des TDDSG wurde in Art. 3 des (IUKDG) entsprochen. 356 T. Hoeren, Das Telemediengesetz, NJW 2007, 801. 357 Kritisch zur Überschneidung der Regelungen zur Informationspflicht in § 55 Abs. 1 RStV und § 5 TMG T. Hoeren, Das Telemediengesetz, NJW 2007, 803. 358 A. Wien, Internetrecht, S. 9.

100

1. Teil, 2. Kap.: Grundlagen zum WWW

des aus dem Jugendmedienschutz-Staatsvertrag (JMStV)359 entlehnten, einheitlichen Begriffs der „Telemedien“, durch welchen versucht wurde, die bis dato gültige definitorische Trennung zwischen Telediensten und Mediendiensten aufzuheben.360 Eine genaue Abgrenzung der Telemediendienste enthält § 1 Abs. 1 TMG. Danach werden unter diesen Begriff alle elektronischen Informations- und Kommunikationsdienste subsumiert, soweit diese nicht Telekommunikationsdienste im Sinne von § 3 Nr. 24 TKG sind.361 Als Beispiel lassen sich Webshops wie Amazon.de, Online-Auktionshäuser wie eBay, Webportale wie Google362 oder T-Online, private Websites, sowie Weblogs nennen. Eingeschlossen in den Zuständigkeitsbereich des Bundes sind nun auch Dienste der Individualkommunikation, wie Telebanking, E-Mail und Datendienste, deren Regelung vormals der Kompetenz der Länder unterlag. Damit wurde versucht, dem bestehenden Kompetenzstreit zwischen Bund und Ländern, bezogen auf Fragen der Abgrenzung und Regelung von Telediensten363 und Mediendiensten,364 zu begegnen und die vollständige Regelungszuständigkeit für das Internet dem Bund zu übertragen.365 Keine Mediendienste im Sinne 359 Staatsvertrag über den Schutz der Menschenwürde und den Jugendschutz in Rundfunk und Telemedien – Jugendmedienschutz-Staatsvertrag (JMStV) vom 27.9. 2002. Ähnlich auch das Jugendschutzgesetz vom 23.7.2002, BGBl. I, S. 2730. 360 T. Hoeren, Das Telemediengesetz, NJW 2007, 802; die Begriffe Telemedien und Telemediendienste werden im TMG jedoch nicht konsistent verwendet; zur Abgrenzungsfrage zwischen Tele- und Mediendiensten vgl. H. Gersdorf, Die dienende Funktion der Telekommunikationsfreiheiten: Zum Verhältnis von Telekommunikations- und Rundfunkordnung, AfP 1997, 424; J. Scherer, „Online“ – zwischen Telekommunikations- und Medienrecht, AfP 1996, 213; zum Begriff der Telemedien auch B. Eichhorn, Internetrecht, S. 31; ausführlich dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, 2000, S. 140 ff. 361 Als Dienste im Sinne von § 3 Nr. 24 TKG werden solche eingeordnet, welche ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikations-gestützte Dienste nach § 3 Nr. 25 des TKG oder Rundfunk nach § 2 des Rundfunkstaatsvertrages sind; vgl. dazu A. Ditscheid/K. Rudloff, Kommentierung des § 3 TKG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 10 f.; P. Schmitz, Kommentierung des § 13 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 1 f. 362 Im Jahr 2006 nutzten bereits 22 Millionen Menschen in Deutschland regelmäßig den Suchmaschinendienst Google. Vgl. dazu W. Schmidt, Google – Lustige Gugelei, in: Nürnberger Nachrichten, 19./20.8.2006, Magazin, S. 1; M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 106 ff.; J. Rohlederer/J. Hirzel, Google oder böse?, in: Focus 42 (2006), S. 223, 226. 363 Teledienste stellten gemäß § 2 Abs. 1 TDG Waren- oder Dienstleistungsangebote dar, die an die Allgemeinheit zum Abruf bereitgestellt wurden. 364 Mediendienste stellten gemäß § 2 Abs. 1 MDStV inhaltsbezogene Dienste meinungsbildender Art dar, die auf die Individualkommunikation ausgerichtet waren, z. B. Online-Angebote von Nachrichtenmagazinen und Zeitungen. 365 Das Inkrafttreten des TMG war zusätzlich von der Zustimmung aller Bundesländer zu den Änderungen des 9. Rundfunkänderungsstaatsvertrags (RStV) abhängig.

C. Rechtliche Grundlagen

101

des § 1 Abs. 1 TMG sind Angebote wie Live-Streamings oder Webradio, welche unter den Begriff des „Rundfunks“ fallen und damit vom Regelungsbereich des Rundfunkstaatsvertrags (RStV)366 erfasst werden. Für Dienste wie Internettelefonie, als reine Telekommunikation, sowie Mehrwertdienste, als telekommunikationsgestützte Dienste gemäß § 3 Nr. 25 TKG, gelten die Vorschriften des Telekommunikationsgesetzes.367 Gemäß § 1 Abs. 1 TMG erstreckt sich der Geltungsbereich des Gesetzes einheitlich auf alle Telemedien, welche nicht als Rundfunk im Sinne von § 2 RStV zu klassifizieren sind. Da innerhalb der einzelnen Regelungsbereiche jedoch wiederum zwischen Diensten inhaltlicher Art und solchen, bei denen das geschäftsmäßige Erbringen des Angebots im Vordergrund steht, unterschieden wird, werden durch das Telemediengesetz nur die Vorschriften zur Haftung und das Herkunftslandprinzip für alle Telemediendienste einheitlich geregelt. Bezüglich der Impressumspflicht, Gegendarstellungsanspruch und journalistischen Sorgfaltspflichten jedoch finden für inhaltliche Angebote im Einzelnen die Vorschriften der §§ 54 ff. RStV Anwendung.368 Die Regelungen des Telemediengesetzes umfassen lediglich die Verarbeitung von Nutzerdaten derjenigen Nutzer, welche Telemediendienste nachfragen. Vom Regelungsumfang nicht umfasst wird die Verwendung von Daten nicht nutzender dritter Personen.369 Insgesamt wurden für den Regelungsbereich des Datenschutzes in den §§ 11 bis 15 TMG durch die weitgehend unveränderte Übernahme der Datenschutzvorschriften aus den vormals gültigen Normen des Teledienstedatenschutzgesetzes und des Mediendienstestaatsvertrags in das Telemediengesetz, nur wenig grundlegende Änderungen bewirkt.

366 Staatsvertrag für Rundfunk und Telemedien (RStV) vom 31.8.1991 in der Fassung von Artikel 1 des zehnten Staatsvertrages zur Änderung rundfunkrechtlicher Staatsverträge vom 19.12.2007 (GBl. 2008, S. 237) in Kraft getreten am 01.09.2008; P. Schmitz, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 13, Rdn. 2. 367 Zur Abgrenzung von Rundfunk und Telemedien auch M. Bullinger, Der Rundfunkbegriff in der Differenzierung kommunikativer Dienste, AfP 1996, 1; ders., Ordnung oder Freiheit für Mulitmediadienste, JZ 1996, 385 ff.; R. Hochstein, Teledienste, Mediendienste und Rundfunkbegriff – Anmerkungen zur praktischen Abgrenzung multimedialer Erscheinungsformen, NJW 1997, 2977 ff.; D. Müller-Using/R. Lücke, Neues Recht für Multimedia-Dienste, ArchivPT 1997, 101 ff.; W.-D. Ring, Rundfunk und Internet, ZUM 1998, 358; A. Ditscheid/K. Rudloff, in: G. Spindler/F. Schuster, RdeM, § 3 TKG, Rdn. 10 f. 368 T. Hoeren, Das Telemediengesetz, NJW 2007, 8; Staatsvertrag für Rundfunk und Telemedien (RStV) vom 31.8.1991 in der Fassung von Artikel 1 des zehnten Staatsvertrages zur Änderung rundfunkrechtlicher Staatsverträge vom 19.12.2007 (GBl. 2008, S. 237) in Kraft getreten am 01.09.2008. 369 Für Kommunen ist damit das Landesdatenschutzgesetz (für das Bundesland Bayern: Bayerisches Datenschutzgesetz (BayDSG), vom 23. 7. 1993, zuletzt geändert am 10. Juni 2008, GVBl. 2008, S. 315), für die Privatwirtschaft §§ 27 ff. BDSG einschlägig. Vgl. dazu T. Hoeren, Internetrecht, Stand April 2011, S. 382.

102

1. Teil, 2. Kap.: Grundlagen zum WWW

In Übereinstimmung mit dem Bundesdatenschutzgesetz gehen die Regelungen zum Datenschutz des Telemediengesetzes von den Grundsätzen der Zweckbindung370 (§ 12 Abs. 2 TMG), des Systemdatenschutzes sowie der Datenvermeidung und Datensparsamkeit aus (§§ 12 Abs. 2, § 13 Abs. 4, § 14 Abs. 1 und § 15 Abs. 1 TMG). Die Verbindung zu den Vorschriften des Bundesdatenschutzgesetzes zeigt ebenso die Materialisierung der Einwilligung371 des Betroffenen oder die Voraussetzung, dass die Erhebung und Verarbeitung personenbezogener Daten im Internet (§§ 12 Abs. 1 TMG, zur elektronischen Einwilligung § 13 Abs. 1 TMG, ergänzend dazu auch Abs. 2 und 3 TMG) nur aufgrund einer gesetzlichen Grundlage zulässig ist. Darüber hinaus hat der Diensteanbieter sicher zu stellen, dass der Betroffene jederzeit von seinem Recht die zu seiner Person oder seinem Pseudonym gespeicherten Daten einzusehen, Gebrauch machen kann (§ 13 Abs. 7 TMG, vgl. auch § 34 BDSG).372 Für die Verwendung personenbezogener Daten unterscheidet das Telemediengesetz Vorschriften für Bestandsdaten und Nutzungsdaten (§ 14 und 15 TMG). Bei Bestandsdaten steht die Begründung, Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen Diensteanbieter und Nutzer im Vordergrund. Gemäß § 14 Abs. 2 TMG darf auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über diese Daten erteilt werden. Die Erweiterung des Auskunftsanspruchs stellte im Vorfeld der Einführung des Telemediengesetzes einen umstrittenen Aspekt dar. Gemäß den Vorgängerregelungen waren ausschließlich Gerichte und Strafverfolgungsbehörden dazu befugt, Zugang zu Bestands- und Nutzungsdaten zu erhalten. Mit Inkrafttreten des Telemediengesetzes wurde dieser Kreis der Anspruchsberechtigten wesentlich erweitert. So können nun gemäß § 14 Abs. 2 TMG auch Behörden (Strafverfolgungs- und Polizeibehörden, Bundesnachrichtendienst, Militärischer Abschirmdienst) oder Privatpersonen (Personen die einen Anspruch auf ihr Recht am geistigen Eigentum ausüben möchten) Auskunft über vom Diensteanbieter erhobene und gespeicherte personenbezogene Daten erhalten.373 Es liegt jedoch nicht im Ermessen des Anbieters, ob er den vorgenannten Behörden oder Personen Auskunft erteilt,374 denn § 14 TMG ist „im Lichte der Auskunftsverpflichtungen zu interpretieren, die sich in den jeweiligen Spezialgesetzen finden.“ 375 Auch wenn der Auskunftsanspruch für

370 Nach dem Grundsatz der Zweckbindung ist der Betroffene über Art, Umfang, Ort und Zweck der Erhebung und Nutzung seiner Daten vor deren Erhebung zu informieren (§ 13 Abs. 1 TMG). 371 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; B. Eichhorn, Internetrecht, S. 119. 372 Vgl. dazu auch G. Spindler/J. Nink, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 13 TMG, Rdn. 16. 373 G. Spindler/J. Nink, Kommentierung des § 14 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 5 f. 374 A. Wien, Internetrecht, S. 10.

C. Rechtliche Grundlagen

103

Private für weitreichende Kritik sorgte, erfolgte die Änderung der Regelung auf Grundlage der Richtlinie 2004/48/EG des europäischen Parlaments und des Rates vom 29. April 2004. Hierdurch hatten sich die Vertreter der Bundesrepublik Deutschland dazu verpflichtet, eine entsprechende Erweiterung der Auskunftspflichten in den gesetzlichen Vorschriften zu materialisieren.376 Fraglich ist in diesem Zusammenhang, ob für Private anstelle der vom Volk zur Vertretung der Gesetze eingesetzten staatlichen Organe von Rechts wegen ein Anspruch auf Auskunft besteht und überhaupt eingeräumt werden kann. Nach den allgemeinen rechtsstaatlichen Grundsätzen sind nur staatliche Organe dazu berechtigt und verpflichtet, die öffentliche Ordnung und Sicherheit durch die Interpretation und Erkenntnis der allgemeinen Gesetze zu wahren.377 Die Auskunft über Bestands- und Nutzungsdaten als personenbezogene Daten stellt einen Eingriff in das Persönlichkeitsrecht des betroffenen Nutzers dar und stand deswegen unter dem Schutz der allgemeinen Datenschutzrichtlinien. Durch den offiziellen Weg des Privaten als Geschädigtem über eine offizielle Strafanzeige, waren vormals auch nur Strafverfolgungsbehörden befugt in diesem Zusammenhang entsprechende Maßnahmen wie Durchsuchungen, oder Beschlagnahmungen zur Identifikation des Straftäters durchzuführen. Entsprechend wurde der Geschädigte nur bei positivem Ergebnis informiert und Identitäten ohne Nachweis der gesuchten Straftatbestände nicht preisgegeben. Wird nun auch dem Betroffenen das Recht zur sofortigen Auskunft über die Identität des Nutzers eingeräumt, stellt sich die Frage, ob diese durch den Dienstleister stets abschließend geklärt werden kann. Falsche Identifikationen können in diesem Fall auch zu Schadensersatzansprüchen gegen zu unrecht verdächtigte Täter führen. Dies wäre mit einem erheblichen Eingriff in das allgemeine Persönlichkeitsrecht des Einzelnen gemäß Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG verbunden.378 Nutzungsdaten beziehen sich auf die Art der Inanspruchnahme von Telemedien und werden gemäß § 15 Abs. 1 TMG als Merkmale zur Identifikation des Nutzers definiert. Der Diensteanbieter ist dazu verpflichtet Nutzungsdaten frühestmöglich, spätestens aber unmittelbar nach Ende der jeweiligen Nutzung zu löschen, sofern es sich nicht um Abrechnungsdaten im Sinne der Vorschrift des 375 T. Hoeren, Das Telemediengesetz, NJW 2007, 801, 805 unter Hinweis auf die Stellungnahme der Bundesregierung anlässlich einer entsprechenden Kritik des Bundesrates, BT-Drs. 16/3135, 2. 376 Ferner konnten Behörden vor Inkrafttreten des TMG unter Berufung auf §§ 113 und 114 TKG auch ohne richterliche Anordnung Zugriff auf Bestands- und Nutzungsdaten erhalten. 377 Vgl. dazu K. A. Schachtschneider, Das Sittengesetz und die guten Sitten, in: ders., Freiheit – Recht – Staat, S. 102. 378 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 ff.; insbesondere 132 ff., 151 ff., 179 ff.; in diesem Sinne auch BVerfGE 1, 97 (104).

104

1. Teil, 2. Kap.: Grundlagen zum WWW

§ 15 Abs. 4 TMG handelt. Für die umstrittene Erstellung von Nutzungsprofilen wurde versucht im Telemediengesetz eine einheitliche und eindeutige Regelung zu materialisieren. So ist gemäß § 15 Abs. 3 TMG die Erstellung von Nutzungsprofilen anhand erhobener Daten über eine Person nur unter Verwendung von Pseudonymen zulässig.379 So können auch nicht-personenbezogene Daten, sofern es sich um rein maschinelle Daten handelt, wie beispielsweise IP-Adressen,380 für Auswertungszwecke erhoben werden.381 Der Rückschluss auf den Nutzer muss jedoch ausgeschlossen sein.382 Die speziellen Vorschriften des Telemediengesetzes gelten jedoch nicht für die Nutzung nicht-personenbezogener Daten, welche beispielsweise bei der Aufzeichnung von Log-Files erhoben und gespeichert werden. Hieraus resultiert eine Gesetzeslücke, weil diese ebenfalls zur Erstellung von Nutzerprofilen oder Nutzungsstatistiken verwendet werden können.383 Neu ist die Regelung in § 15 Abs. 8 TMG, wonach Diensteanbieter dazu befugt sind, Abrechnungsdaten zu verwenden, um Nutzer nachzuverfolgen, die Dienste in der Absicht in Anspruch nehmen, keinen oder nur teilweise Entgelt dafür zu entrichten. Als Voraussetzung müssen allerdings tatsächliche Anhaltspunkte gegeben sein, die zu dokumentieren sind.384

379 Zu § 15 Abs. 1, 3 und 4 TMG vgl. G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 2, 7 f., 10; so auch T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 380 Zur Aufzeichnung von IP-Adressen vgl. BGH, Beschluss vom 26. Oktober 2006, III ZR 40/06: Die Speicherung dynamischer IP-Adressen ist nicht erforderlich und damit unzulässig, sofern der Betroffene einen nicht zeitlich limitierten Zugang zur Nutzung des Internets (Flatrate) von seinem Access Provider gegen ein monatliches Pauschalentgelt bezieht In diesem Falle sind IP-Kennungen nicht notwendiger Bestandteil der Abrechnung des Providers und deren Protokollierung auch nicht zum Zwecke der Datensicherheit erforderlich. Ähnlich AG Darmstadt, Urteil vom 30.6.2005, 300 C 397/04 = MMR 2005, 634; ebenso Berufungsurteil des LG Darmstadt, Urteil vom 7.12.2005, Az. 25 S 118/2005 = DuD 2006, 178. 381 Damit wird der Einsatz von Cookies aus Sicht des Schutzes personenbezogener Daten anhand dieser gesetzlichen Grundlage genehmigt und als unbedenklich eingestuft. Vgl. dazu auch R. Ihde, Cookies – Datenschutz als Rahmenbedingungen der Internetökonomie, CR 2000, 413, 416; S. Meyer, Cookies & Co. – Datenschutz und Wettbewerbsrecht, in: Wettbewerb in Recht und Praxis, 2002, S. 1028, 1030; M. Wichert, WebCookies – Mythos und Wirklichkeit DuD 1998, 273, 275. 382 Vgl. W. Schulz, Rechtsfragen des Datenschutzes bei Online-Kommunikation, 1998, S. 40 f. 383 T. Hoeren, Internetrecht, S. 380; S. Wolters, Einkauf via Internet: Verbraucherschutz durch Datenschutz, DuD 7 (1999), 277; A. Wien, Internetrecht, S. 187; J. Weber, Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher, DuD 27 (2003), 625; H. Buxel, Customer Profiling im Electronic Commerce, 2001, S. 61; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95. 384 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 13.

Zweiter Teil

Die Verletzung der Privatsphäre im WWW Erstes Kapitel

Grundlagen zur Verwendung personenbezogener Daten A. Begriffliche Einordnung I. Daten, Datensicherheit und Datenschutz Das Internet stellt in seiner Gesamtheit ein weltweites technikbasiertes Netzwerk von Rechnern dar, dessen Hauptfunktion im Austausch von Daten besteht. Somit muss für jegliche Diskussion um die Frage der Gefährdung der Privatsphäre1 zunächst eine Abgrenzung der Begriffe Daten, Datensicherung und Datenschutz vorgenommen werden. Für die Betrachtung des Schutzes der Privatsphäre sind vor allem diejenigen Daten relevant, die gemäß § 3 Abs. 1 BDSG als personenbezogene Daten definiert werden. Dazu zählen Daten, die „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ sind.2 Daneben existieren Daten juristischer Personen, die jedoch nicht vom Geltungsbereich des Bundesdatenschutzgesetzes, sondern von den Bestimmungen des Telekommunikationsrechts, speziell dem Schutz des Fernmeldegeheimnisses und den Datenschutzbestimmungen für die Telekommunikation erfasst werden.3 1 Zur Privatsphäre allgemein U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32 (32 ff.); 6, 389 (389 ff.); zum Eingriff und Gefährdung U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; ferner D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, insbesondere Rdn. 79 ff., auch Rdn. 88, 121 ff. 2 Als ausreichend für den Personenbezug gilt nicht nur eine direkte, sondern auch die indirekte Zuordnung oder Identifizierung einer Person, eventuell unter Verwendung zusätzlicher Informationen. Entscheidend ist allein die Möglichkeit einer Zuordnung. Vgl. dazu P. Schaar, Datenschutz im Internet, S. 55; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 3; ebenso P. Gola/R. Schomerus, Kommentierung des § 3 Abs. 1 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 3; U. Dammann, in: S. Simitis, BDSG, § 3 Abs. 1, Rdn. 4 ff. 3 V. Haug, Grundwissen Internetrecht, Rdn. 271, S. 109.

106

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Allgemein werden Bestandsdaten, Verkehrsdaten, Nutzungsdaten, Abrechnungsdaten sowie Inhaltsdaten unterschieden.4 Die Definition und Verwendung der Datenbegriffe erfolgt in der Literatur zum Datenschutzrecht im Internet meist uneinheitlich.5 Als entscheidendes Abgrenzungskriterium wird die Verwendung des Begriffs Inhalt im Zusammenhang mit dem Kommunikationsprozess im Internet angeführt. So können Inhalte einerseits Informationen sein, die zum Abruf bereitgestellt werden, oder andererseits Daten bezeichnen, die mittels automatisierter Systeme verarbeitet werden. Eine erste Unterscheidung der Datenarten liefert die Betrachtung der unterschiedlichen gesetzlichen Vorschriften für Telekommunikationsdienste und Telemediendienste. Die Erlaubnistatbestände für die Nutzung von Telemedien sind in § 14 TMG materialisiert, während für die Datenverarbeitung für Telekommunikationsdienste die Vorschriften der §§ 91 ff. TKG heranzuziehen sind. Ferner sind Bestandsdaten gemäß § 3 Nr. 3 TKG sowie Verkehrsdaten gemäß § 3 Nr. 30 TKG definiert. Für die datenschutzrechtliche Verwendung von Verkehrsdaten ist darüber hinaus § 96 TKG einschlägig.6 Bestandsdaten sind jegliche Grund- und Dauerdaten (z. B. Name, Rechnungsanschrift und Bankverbindung eines Kunden), die vom Nutzer zur Begründung (Beginn eines Vertragsverhältnisses), zur inhaltlichen Ausgestaltung oder Änderung eines Vertragsverhältnisses (auch Ende des Vertragsverhältnisses) über die Nutzung von Telekommunikationsdiensten durch Access oder Host Provider gemäß der in § 3 Nr. 3 TKG genannten Zwecke, oder für das Angebot von Telemedien durch Content Provider gemäß § 14 Abs. 1 TMG erhoben, gespeichert und verarbeitet werden. Die Trennung von Bestandsdaten für Telekommunikation und solche für Telemedien ist insbesondere für die Anknüpfung von Übermittlungspflichten der Telekommunikationsanbieter an staatliche Sicherheitsbehörden von Belang.7 Provider erheben Daten nicht nur im Zusammenhang mit Vertragsverhältnissen zur Nutzung des Internets, sondern auch aufgrund des Abschlusses von Verträgen, deren Erfüllung offline erfolgt.8 Eine weitergehende Differenzierung der Da4 E. Perrey, Gefahrenabwehr und Internet, S. 68; V. Haug, Grundwissen Internetrecht, Rdn. 261 f., S. 105. 5 E. Perrey, Gefahrenabwehr und Internet, S. 67. 6 Zu § 3 TKG vgl. A. Ditscheid/K. Rudloff, in: G. Spindler/F. Schuster, RdeM, § 3 TKG, Rdn. 1 ff.; zu § 96 TKG vgl. J. Eckhardt, Kommentierung des § 96 TKG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 1 ff.; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 14 TMG, Rdn. 2 ff. 7 P. Schaar, Datenschutz im Internet, S. 125; zu § 3 TKG allgemein A. Ditscheid/ K. Rudloff, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 3 TKG, Rdn. 1 ff.; explizit zu den Bestandsdaten im Sinne des TKG E. Eckhardt, Kommentierung des § 95 TKG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 2; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 14 TMG, Rdn. 2 ff.

A. Begriffliche Einordnung

107

tenarten anhand der Nutzung des WWW aufgrund von vertraglichen Beziehungen mit oder ohne Wirkung auf die Offline-Welt erscheint daher angezeigt. Bei vertraglichen Beziehungen ohne Wirkung auf die Offline-Welt handelt es sich um Verkehrsdaten im Sinne von § 3 Nr. 30 TKG, sofern diese von Access oder Host Providern im Zusammenhang mit der Nutzung, also der technischen Herstellung und anschließenden Abrechnung eines Zugangs zu Telekommunikationsdienstleistungen erhoben werden.9 Unter diese fallen allgemein Angaben zur Einwahl in das Internet, wie Anschlussnummer oder Passwort, Beginn und Ende der Verbindung, IP-Adresse und soweit für die Abrechnung erforderlich, auch das übertragene Datenvolumen.10 Nutzungsdaten sind analog zu § 15 TMG personenbezogene Daten eines Nutzers, welche erhoben werden, um ein Angebot von Telemediendiensten bereit zu stellen. Darunter fallen insbesondere Merkmale zur Identifikation des Nutzers (§ 15, Abs. 1 S. 1, Nr. 1 TMG), Angaben über Beginn, Ende und Dauer der Verbindung (§ 15, Abs. 1 S. 1, Nr. 2 TMG), sowie Angaben über die vom Nutzer in Anspruch genommenen Telemedien (§ 15, Abs. 1 S. 1, Nr. 3 TMG) wie z. B. IPNummer, Nutzerkennung und Passwörter.11 Verkehrs- und Nutzungsdaten fallen zu Beginn und am Ende der Nutzung eines Dienstes an. Für die Einordnung von Kundendaten als Bestandsdaten hingegen ist der Beginn oder das Ende des vertraglichen Verhältnisses mit dem Provider von Bedeutung. Der Begriff der Abrechnungsdaten findet gemäß § 15 TMG sowohl für die Abrechnung der Nutzung von Telekommunikations- als auch Telemediendiensten Verwendung. Gemäß der Einbeziehung der Erhebung zum Zwecke der Abrechnung aus dem Wortlaut der Vorschrift des § 15 TMG resultiert die Verwendung dieses Begriffes, unter die in der Praxis häufig die auftretende Kombination von Bestands-, Verkehrs- und Nutzungsdaten subsumiert wird.12 8 Vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, 2008, S. 57, 62; B. Weiser, Verbraucherschutz im Electronic Commerce, in: H. Kubicek/D. Klumpp/G. Fuchs/ A. Roßnagel (Hrsg.), Internet@future, 2001, S. 344. 9 V. Haug, Grundwissen Internetrecht, Rdn. 262, S. 105; zu § 3 TKG allgemein A. Ditscheid/K. Rudloff, in: G. Spindler/F. Schuster, RdeM, § 3 TKG, Rdn. 1 ff.; explizit zu den Verkehrsdaten im Sinne des TKG E. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 96 TKG, Rdn. 2. 10 Der Erfassung und Speicherung des vom Nutzer abgerufenen Datenvolumens zum Zwecke der Rechnungsstellung der Verbindungsdienstleistung eines Providers kommt angesichts der starken Verbreitung der „Flat-Rate-Angebote“ eine immer nachrangigere Bedeutung zu. Diese Angebote erlauben es dem Nutzer zu einem bestimmten pauschalen monatlichen Grundpreis das Internet unbeschränkt zu nutzen. 11 E. Perrey, Gefahrenabwehr im Internet, S. 68; G. Spindler/J. Nink, in: G. Spindler/ F. Schuster, RdeM, § 15 TMG, Rdn. 2 ff. 12 P. Schaar, Datenschutz im Internet, S. 140, 144; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 2, insbesondere zu Abrechnungsdaten Rdn. 9 f.;

108

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Bei Rechtsgeschäften mit Wirkung auf die Offline-Welt erfolgt der Vertragsschluss elektronisch, die Lieferung und Leistung jedoch offline. Bestandsdaten, die ein Content Provider, beispielsweise im Zuge einer elektronischen Bücherbestellung über das WWW, speichert, wurden vor Inkrafttreten des Telemediengesetzes gemäß § 19 Abs. 1 MDStV und § 5 TDDSG auch als Inhaltsdaten bezeichnet. Darunter wurden personenbezogene Daten eines Nutzers subsumiert, die für die Begründung, Änderung und Ausgestaltung von Vertragsverhältnissen im Wege der Nutzung des WWW erhoben werden, jedoch nicht in unmittelbarem Zusammenhang mit dem Nutzungsverhältnis eines Online-Dienstes in Verbindung stehen.13 Mit dem Inkrafttreten des Telemediengesetzes wurden die vormals gültigen Regelungen des Mediendienstestaatsvertrages und des Teledienstedatenschutgesetzes im Jahr 2007 durch die Vorschriften des Telemediengesetzes abgelöst. Daten, die vormals vom Begriff der Inhaltsdaten erfasst wurden, werden nun unter den der Bestandsdaten gemäß § 14 TMG subsumiert. Angesichts der Fülle von Daten, die täglich weltweit über das Netzwerk des Internets ausgetauscht, gespeichert, miteinander verknüpft und in sonstiger Weise verarbeitet werden, stellt sich im Hinblick auf etwaige Schutzmaßnahmen für personenbezogene Daten die Frage, ob in rechtlicher Hinsicht eine Unterscheidung nach dem Grad ihrer Sensibilität vorgenommen wird. Gemäß den Vorschriften des Bundesdatenschutzgesetzes wird nicht nach dem Grad der Sensibilität, sondern allein nach der Möglichkeit differenziert, die Daten einer bestimmbaren natürlichen Person zuordnen zu können.14 Eine Referenz über die Existenz von Daten die als besonders sensibel eingestuft werden, findet sich in Artikel 5 bis 17 der EG-Datenschutzrichtlinie. Entsprechend den Vorgaben der europäischen Richtlinie, wurde diese Grundlage mit § 3 Abs. 9 BDSG in Bundesrecht umgesetzt. Ein besonderer Schutzbedarf wurde insbesondere personenbezogenen Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Zugehörigkeit zu Gewerkschaften, die Gesundheit oder das Sexualleben zuerkannt.15

da der Begriff der Abrechnungsdaten jedoch nicht explizit in einer bestehenden gesetzlichen Vorschrift des BDSG, TMG oder TKG materialisiert wurde, soll dieser im Folgenden nur als Überbegriff für die Kombination mehrerer Datenarten zum Zwecke der Abrechnung einer vertraglichen Lieferung oder Leistung geführt werden. 13 P. Schaar, Datenschutz im Internet, S. 152. 14 Zu den Informationen über persönliche Verhältnisse zählen beispielsweise Name, Geburtsdatum, Familienstand, Beruf, u. a. Angaben über sachliche Verhältnisse sind unter anderem Daten über Vertragsverhältnisse, Eigentumsrechte und Wohnverhältnisse und Nutzungsdaten des Internets; dazu ausführlicher P. Schaar, Datenschutz im Internet, S. 55. 15 Richtlinie 95/46/EG vom 24.10.1995, ABl. L 281 vom 23.11.1995, 31 ff. oder Richtlinie 2002/58/EG vom 12.7.2002, ABl. L 2001 vom 31.7.2002, 37 ff.

A. Begriffliche Einordnung

109

Gemäß der Vorschrift des § 3 Abs. 1 BDSG werden vom Regelungsumfang des Gesetzes nur solche Daten als personenbezogen erfasst, die mit dem Betroffenen in unmittelbarem Zusammenhang stehen wie, Name, Adresse, etc. Im Hinblick auf die Anwendbarkeit der datenschutzrechtlichen Regelungen zur Sicherung der Privatsphäre und des Rechts auf informationelle Selbstbestimmung hat das Bundesdatenschutzgesetz neben den spezialgesetzlichen Vorschriften des Telekommunikationsgesetzes und des Telemediengesetzes jedoch nur eine subsidiäre Funktion. Im Rahmen der Nutzung des WWW fallen nicht nur Bestandsdaten im Sinne des Bundesdatenschutzgesetzes an, sondern durch die Inanspruchnahme von Telemediendiensten oder Telekommunikationsdiensten auch Bestands-, Verkehrs- und Nutzungsdaten. Um dem Schutzanspruch des Betroffenen vor möglichen Eingriffen in seine Grundrechte16 gerecht zu werden, soll der Begriff der personenbezogenen Daten im Folgenden weiter ausgelegt werden. So werden hiervon alle Datenarten erfasst, die infolge der Nutzung des WWW erhoben, gespeichert und verarbeitet werden. Dies ist insoweit richtig, als in Anlehnung an das Volkszählungsurteil alle Daten sowie deren unüberschaubare Verarbeitung und Verwendung, die die Privatsphäre des Einzelnen gefährden, als mit dem Betroffenen in Bezug stehende Daten definiert werden. Ebenso soll nach Maßgabe dieses Urteils im Sinne der Entwicklung des Datenschutzrechts grundsätzlich nicht von einer Existenz belangloser Daten ausgegangen werden.17 Allgemeine Gefahren sowie besondere Gefährdungen für das Persönlichkeitsrecht schließen die staatliche Verpflichtung zum Schutz vor denselben ein. Mit den Termini Datenschutz und Datensicherung wurden durch das Bundesdatenschutzgesetz zwei Begriffe geprägt, die sich inhaltlich auf die präventive wie repressive Abwehr einer bestehenden Gefährdung für die Allgemeinheit aus der Möglichkeit des Missbrauchs personenbezogener Daten beziehen. Beide Begriffe stehen in enger Beziehung zueinander, ergänzen sich gegenseitig, haben aber unterschiedliche Zielsetzungen und Maßnahmen zum Inhalt. Unter Datenschutz wurde der ursprünglichen Bedeutung nach der Schutz personenbezogener Daten vor Missbrauch im Allgemeinen verstanden. Infolge des 16 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 17 BVerfGE 65, 1 (45), welches in erster Linie bezüglich des Eingriffs in das Recht auf informationelle Selbstbestimmung auf den Verwendungszusammenhang der Daten abstellt und keine bestimmten Kriterien des Personenbezugs von Daten ableitet; vgl. dazu befürwortend zur weiten Definition der personenbezogenen Daten auf der Grundlage, dass das Recht auf informationelle Selbstbestimmung, welches durch das Bundesverfassungsgericht im Volkszählungsurteil aus dem allgemeinen Persönlichkeitsrecht abgeleitet und bekräftigt wurde, sich auf alle die Person des Nutzers betreffenden Daten erstreckt; S. Simitis, in: ders., BDSG, § 1, Rdn. 57, insbesondere zur Ablehnung der nach festen Kriterien vorgenommenen Beschränkung auf bestimmte personenbezogene Angaben Rdn. 58.

110

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Volkszählungsurteils erfuhr der Begriff insoweit eine Wandlung, als nun der Schutz des Einzelnen vor der Beeinträchtigung seines Rechts auf informationelle Selbstbestimmung infolge der Preisgabe seiner personenbezogenen Daten Gegenstand der Rechtsmaterie ist.18 Im Vordergrund steht also nicht mehr primär der Schutz von Daten, sondern einzelner natürlicher Personen vor der nicht selbstbestimmten Preisgabe und Verarbeitung von Informationen, die der privaten Lebenssphäre zugeordnet werden.19 Dieser Schutzanspruch findet sich auch in Artikel 8 der Charta der Grundrechte der Europäischen Union.20 Datenschutz

Datensicherung

Zweck/Ziel

Sicherung des verfassungsrechtlich geschützten Anspruchs auf eine unantastbare Sphäre privater Lebensgestaltung, des Rechts auf informationelle Selbstbestimmung

Unterstützung des Datenschutzes durch technische und organisatorische Maßnahmen; Voraussetzung ist die Erforderlichkeit und Verhältnismäßigkeit zum Schutzzweck

Schutzgegenstand

Personenbezogene Daten

Sonstige Daten

Gegenstand der Rechtsmaterie

Schutz natürlicher Personen

Sicherung von Datenbeständen und -sammlungen, Hard- und Software natürlicher und juristischer Personen

Schutz vor

Verletzung von Persönlichkeitsrechten

Verlust, Zerstörung, Missbrauch durch Unbefugte

Nationale rechtliche Grundlagen

GG, BDSG, TMG, TKG

BDSG, TKG, TMG, HGB21

Abbildung 4: Übersicht zur Abgrenzung der Begriffe Datenschutz und Datensicherung

18 Das Bundesverfassungsgericht stellt damit den Menschen in den Mittelpunkt seines Handelns, BVerfGE 27, 1 (6); H. H. Wohlgemuth, Datenschutzrecht, 1992, S. 7; H.-L. Drews/H. Kassel/H. R. Leßenich, Lexikon Datenschutz und Informationssicherheit, 1993, S. 88 f.; zum Recht des Betroffenen auf Überschaubarkeit der Datenverwendung auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1, sowie BVerfGE 65, 1 (43). 19 Grundlegend dazu die Entscheidung im Volkszählungsurteil, dass der Einzelne grundsätzlich das Recht hat, selbst über die Preisgabe und Verwendung seiner persönlichen Daten entscheiden zu können. BVerfGE, 65, 1 (42); vgl. dazu auch ergänzend in Verbindung mit dem Recht auf informationelle Selbstbestimmung P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1, 5. 20 ABl. C 364 vom 18.12.2000, 1 ff.; Erläuterungen dazu in EuGRZ 2000, 559; Auszüge zum Datenschutz und zum Informationszugang in RDV 2000, 30.

A. Begriffliche Einordnung

111

Auf nationaler Ebene liegen dem Datenschutz die verfassungsrechtlichen Grundsätze zum Schutze des allgemeinen Persönlichkeitsrechts, Ausfluss aus der Menschenwürde des Art. 1 Abs. 1 GG sowie der allgemeinen (Handlungs-)Freiheit aus Art. 2 Abs. 1 GG, zugrunde.22 Gemäß dem Volkszählungsurteil wird der Schutz des Einzelnen vor der Verwendung seiner persönlichen Daten unter das Grundrecht auf informationelle Selbstbestimmung, abgeleitet aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG, subsumiert.23 Mit der Verpflichtung24 zum Schutz des Bürgers vor Eingriffen in diese verfassungsrechtlich materialisierten Grundrechte sind staatliche Organe mithin auch dazu verpflichtet, das allgemeine Persönlichkeitsrecht und damit schließlich auch die Privatsphäre des Einzelnen unter den Bedingungen der modernen Datenerfassung und -verarbeitung ausreichend zu gewährleisten.25 Während der Schutz personenbezogener Daten unter den Begriff des Datenschutzes subsumiert wird, wird der Schutz von Daten einer öffentlichen Stelle oder einer nichtöffentlichen Institution vor der rechtswidrigen Verwendung durch Dritte mit dem Begriff der Informationssicherheit belegt. Dieser impliziert alle geeigneten Vorkehrungen und Maßnahmen in einem privaten Unternehmen oder einer öffentlichen Stelle, die zum übergeordneten Ziel des Schutzes jeglicher Informationen vor Verlust von Vertraulichkeit, Integrität und Verfügbarkeit beitragen.26 Datensicherung bezeichnet gemäß § 9 BDSG allgemein die Sicherung von Daten und Datensammlungen vor Beeinträchtigungen und Manipulation mittels entsprechend verhältnismäßiger organisatorischer und technischer Vorkehrungen.27 Sie bildet damit einen Teilbereich der Informationssicherheit in einem Unternehmen oder einer öffentlichen Stelle. Die Datensicherung wird als elementar 21 Einen Spezialfall stellen die Datensicherungsanforderungen für Unternehmensdaten dar. Das Handelsrecht enthält hierzu in den §§ 238 und 289 HGB bereichsspezifische Vorschriften. Vgl. zu den Vorschriften zur Datensicherung außerhalb des BDSG M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 388. 22 A. Wien, Internetrecht, S. 187. 23 BVerfGE 65, 1 ( 42 f.); vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 2. 24 M. Herdegen, in: T. Maunz/G. Dürig (Hrsg.), GG, Art. 1 Abs. 1, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders. (Hrsg.), GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 25 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 2. 26 H.-L. Drews/H. Kassel/H. R. Leßenich, Lexikon Datenschutz und Informationssicherheit, 1993, S. 149 f.; kritisch zur Anwendbarkeit der rechtlichen Vorschriften im Rahmen der Umsetzung von IT-Sicherheit im Unternehmen vgl. D. M. Barton, RisikoManagement und E-Mail-Kontrolle, BB 12 (2004), S. 1. 27 Ergänzend P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 5; vgl. dazu W. Ernestus/H. Geiger, Kommentierung des § 9 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 20 ff.

112

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

unterstützender Bereich für die effektive Sicherung des Rechts auf informationelle Selbstbestimmung durch den Datenschutz verstanden.28 Durch das Bundesdatenschutzgesetz soll das vorderste Ziel einer umfassenden wie effektiven Datensicherheit verwirklicht werden. Die Regelungen zum Datenschutz und zur Datensicherung stehen dafür in Ergänzung zueinander. Adressat der Verpflichtung zur Datensicherung ist grundsätzlich die Daten verarbeitende Stelle.29 Eingeschlossen sind somit neben öffentlichen Stellen auch natürliche oder juristische Personen des privaten Rechts.30 Wesentliche Eckpfeiler, so genannte informationstechnische Schutzziele der Sicherung, sind die Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit oder Zurechenbarkeit von Daten.31 Der Umfang an technischen und organisatorischen Maßnahmen wird jedoch durch den Grundsatz der Verhältnismäßigkeit32 begrenzt. Da die Gefährdung der Privatsphäre vorwiegend auf die Sicht des Nutzers abstellt, soll nachfolgend der Fokus auf der Betrachtung personenbezogener Daten privater Nutzer, und damit auf Bestandsdaten, Nutzungsdaten und Verkehrsdaten liegen. Bei den Begriffen Daten, Datenschutz und Datensicherheit handelt es sich um eindeutig voneinander abgrenzbare Termini. Im Rahmen der Betrachtung der Gefährdung der Privatsphäre durch das Internet können inhaltlich insoweit Gemeinsamkeiten festgestellt werden, als alle einem gemeinsamen Zweck, der Sicherung des verfassungsrechtlich begründeten Schutzes von Daten des privaten Lebensbereiches aus dem Recht auf informationelle Selbstbestimmung,33 basie-

28 J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 25. 29 H. H. Wohlgemuth, Datenschutzrecht, 1992, S. 137; ausführlicher zum Begriff der Datensicherheit vgl. B. Eichhorn, Internetrecht, S. 28. 30 Vgl. § 2 Abs. 4 BDSG. 31 J. Tauss/J. Kollbeck/N. Fazlic, Datenschutz und IT-Sicherheit – zwei Seiten derselben Medaille, in: G. Müller/M. Reichenbach (Hrsg.), Sicherheitskonzepte für das Internet, 2001, S. 193 ff.; D. M. Barton, Risiko-Management und E-Mail-Kontrolle, BB 12 (2004), S. 1; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 26 f. mit Hinweis auf die Schutzmöglichkeiten wie Authentifizierungsverfahren, Digitale Signatur, Verschlüsselungsverfahren, Smart-Cards, etc. 32 Der Grundsatz der Verhältnismäßigkeit impliziert die Berücksichtigung der Geeignetheit, Erforderlichkeit und Angemessenheit der erforderlichen Maßnahme. Vgl. dazu M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 389 f.; zum Grundsatz der Verhältnismäßigkeit K. A. Schachtschneider, Freiheit in der Republik, S. 217, 422 mit Verweis auf die Rechtsprechung des Bundesverfassungsgerichts BVerfGE 30, 47 (53 f.); soweit auch BVerwGE 84, 375 (381); in diesem Sinne auch BVerfGE 22, 180 (219 f.); 34, 330 (353); 58, 300 (348); 88, 367 (373); A. Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EG-Rechtsetzung, S. 328, 336 f., 346 f., 361, 369 f.; T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 98 f.; K. A. Schachtschneider, Res publica res populi, S. 362, 557 f., 987. 33 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1, 5; vgl. dazu auch E. Wanckel, Persönlichkeitsschutz in der Informationsgesellschaft, 1998.

A. Begriffliche Einordnung

113

rend auf dem Persönlichkeitsrecht des Einzelnen, dienen. Folgerichtig beinhaltet die Verpflichtung für die Gewährleistung eines umfassenden Datenschutzes primär die Sicherung der Privatsphäre des einzelnen WWW-Nutzers. Vielfach wird in der einschlägigen Literatur zum Datenschutz- und Telekommunikationsrecht jedoch der Begriff der Privatsphäre, des Privaten oder der Privatheit uneinheitlich verwendet oder mitunter sogar mit dem angloamerikanischen Begriff „Privacy“ gleichgesetzt. Die Klärung und Festlegung der Verwendung dieser Termini soll Gegenstand des folgenden Abschnitts sein. II. Privatheit und Privatsphäre In der Diskussion um den Missbrauch persönlicher Daten zum Zwecke der Erstellung von Persönlichkeitsprofilen34 werden in der datenschutzrechtlichen Literatur die Begriffe Privatheit, Privatsphäre und Privacy überwiegend uneinheitlich verwendet. Den genannten Begriffen gemeinsam ist der Wortteil „Privat“, welcher als Gegensatz des Staatlichen35 und oder auch mit der Bedeutung des Persönlichen, Vertraulichen, Nichtoffiziellen oder Familiären beschrieben werden kann. Eine strenge Abgrenzung zwischen staatlich, öffentlich und privat ist jedoch nicht nur schwer fassbar, sondern fast unmöglich, weil bereits die Frage nach der Notwendigkeit sowie Zweckmäßigkeit einer solchen Differenzierung in Zeiten der stetig geförderten und gewünschten Konvergenz moderner Medien und entgrenzter, allgegenwärtiger Kommunikation, letztendlich nur ungenügend beantwortet werden kann.36 Hilfreich ist es hier, zunächst dem Ursprung dieser heute weithin gebräuchlichen Trennung nachzugehen. So existierte in der römischen Republik eine klare, sinnhafte Unterscheidung zwischen öffentlichem, politischem und privatem Le34 Zur Erstellung von Persönlichkeitsprofilen vgl. S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95. 35 Vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, 345 ff. 36 R. Geuss, Privatheit – Eine Genealogie, 2002, S. 124 f., 126, 128; vgl. allgemein zur Unmöglichkeit einer eindeutigen Grenzziehung zwischen dem Öffentlichen i. S. von Staatlichem und Privatem grundlegend H. H. Rupp, Die Unterscheidung von Staat und Gesellschaft, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. I, 1987, S. 1198 ff., K. A. Schachtschneider, Res publica res populi, S. 371; zum Widerspruch der Existenz einer Privatheit im Zusammenhang mit der Nutzung des Internets auch P. Meyer, Privatheit im Netz, H. Kubicek/D. Klumpp/ A. Büllesbach/G. Fuchs/A. Roßnagel, Innovation@Infrastruktur – Jahrbuch Telekommunikation und Gesellschaft, 2002 S. 87; den weiteren Ausführungen des Autors gemäß sollte eher der Begriff der Privatsphäre anstelle Privatheit verwendet werden; J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/ D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 17 f.

114

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

bensbereich, zwischen „publicus“ und „privatus“.37 Entscheidend war hier, dass alle Angelegenheiten innerhalb des Hauses zu den res privata zählten und damit ausschließlich der patriarchalischen Führung des pater familias unterstanden. Der private Lebensbereich innerhalb des Hauses einer Familie war somit der politischen, der staatlichen Regelung nicht zugänglich.38 Eine Trennung zwischen öffentlichem und privatem Bereich war damit eindeutig gegeben und von Staats wegen anerkannt. Das Wort „publicus“ im Sinne von öffentlich findet seine Ableitung aus „populus“, unter der generell die Versammlung aller waffenfähigen Männer verstanden wurde. Publicus kommt demnach der Bedeutungsgehalt als das was denjenigen gehört, die das Heer bilden, gleich. Später erfolgte eine Verschiebung des Begriffsinhalts von einer Mannschaft unter Waffen hin zur Gesamtbevölkerung. Die „Res publica“ war damit nicht mehr ausschließlich Sache des Heeres und dessen eroberten Landes, sondern gemeinschaftliche Sache der Gesamtheit der römischen Bevölkerung.39 Die Grundsätze der römischen Republik, nicht nur in der Abgrenzung von öffentlich und privat, differierten von denen der demokratischen Republik des bürgerlichen Gemeinwesens deutlich. Staatliche Regelungen wirken heute durchaus in Form der rechtlichen Verhältnisse in den häuslichen Bereich hinein; jegliches Handeln im Haus untersteht dem Recht gemäß den allgemeinen Gesetzen zum Wohl des guten Lebens aller in allgemeiner Freiheit.40 Daraus folgt, dass eine klare Trennung zwischen Öffentlichem und Privatem heute nicht nur aus der Verschränkung von häuslichem und öffentlichem Leben durch die Verwendung neuer Medien und Technologien erschwert wird,41 sondern im Sinne des demokratischen Grundverständnisses der Republik grundsätzlich sinnwidrig ist. In einer ersten Annäherung an das Bedürfnis nach Trennung von Privatheit und Öffentlichkeit lässt sich feststellen, dass jeder Bürger aus seinem Mensch37 Neben dieser Differenzierung existierte noch eine weitere in publicus, „öffentlich“, bezogen auf die Magistrate, privatus, „privat“, bezogen auf die Beziehungen zwischen Individuen im Sinne von Besitzverhältnissen und sacer, „heilig“, bezogen auf die Götter und deren Kult; dazu R. Geuss, Privatheit – Eine Genealogie, 2002, S. 57 ff., K. A. Schachtschneider, Res publica res populi, S. 225; ders., Freiheit in der Republik, S. 347; W. Henke, Recht und Staat – Grundlagen der Jurisprudenz, 1988, S. 301 ff., zur Trennung der häuslichen und staatlichen Gewalt in der antiken Staatslehre auch G. Jellinek, Allgemeine Staatslehre, 3. Auflage 1914, 7. Neudruck 1960, S. 424. 38 K. A. Schachtschneider, Res publica res populi, S. 225. 39 R. Geuss, Privatheit – Eine Genealogie, S. 58 f.; zur Bevölkerung zählten jedoch nur diejenigen, die frei geboren und als römische Bürger berechtigt waren, am öffentlichen, politischen Leben teilzunehmen; in diesem Sinne auch K. A. Schachtschneider, Freiheit in der Republik, S. 625 ff. 40 Vgl. K. A. Schachtschneider, Res publica res populi, S. 225; ders., Freiheit in der Republik, S. 143 ff., 224 f., 235, 243 f. 41 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 29 f.

A. Begriffliche Einordnung

115

sein, aus seiner individuellen Persönlichkeit heraus einen unantastbaren Bereich benötigt, welcher der privaten Lebensgestaltung42 nach seinen Maximen vorbehalten bleibt. Unter dem Begriff der Privatsphäre wird allgemein ein abgrenzbarer Bereich verstanden, eine private Sphäre, abseits des Öffentlichen, des Staatlichen, innerhalb dessen der Mensch als gemeinschaftsbezogene und gemeinschaftsgebundene Person handelt und dem Allgemeinwohl verpflichtet ist.43 In Anknüpfung an die Sphärentheorie des Bundesverfassungsgerichts44 erfasst der Schutz der engeren persönlichen Lebenssphäre die Privat- und Intimsphäre in folgendem Umfang:

42 BVerfGE 6, 32 (41), in diesem Sinne auch BVerfGE 27, 344 (350 f.); 32, 373 (378 f.); 34, 238 (245 ff.); 35, 202 (232); 44, 353 (372 f.); so auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 5; G. Dürig, in: T. Maunz/G. Dürig (Hrsg.), GG, Art. 10 Abs. 1, Rdn. 2 f., 17 ff.; vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, S. 421, 623. 43 BVerfGE 4, 7 (15 f.); 12, 45 (51); 27, 1 (7); 30, 173 (193); vgl. K. A. Schachtschneider, Res publica res populi, S. 222; ders., Freiheit in der Republik, S. 627; M. Herdegen, in: T. Maunz/G. Dürig (Hrsg.), GG, Art. 1 Abs. 1, Rdn. 46; zur Abgrenzung des Begriffs der Privatsphäre vgl. auch K. A. Schachtschneider, Res publica res populi, S. 223 ff.; ders., Freiheit in der Republik, S. 275; ders., Prinzipien des Rechtsstaates, S. 33; grundlegend zur Achtung der Privatsphäre vgl. U. Di Fabio, in: T. Maunz/ G. Dürig, GG, Art. 2 Abs. 1, Rdn. 147 ff.; vgl. dazu auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.). 44 BVerfGE 27, 344 (350 f.); 32, 373 (378 f.); 33, 367 (376 f.); 34, 205 (209); 34, 238 (245); 35, 35 (39); 35, 202 (220); 38, 312 (320); 44, 353 (372 f.); 80, 367 (373 ff.); 89, 69 (82 f.); die Einteilung und Abstufung der Schutzwürdigkeit des privaten Lebensbereichs erfolgte vor der Rechtsprechung des Bundesverfassungsgerichts zum Volkzählungsurteil (BVerfGE 65, 1 (1 ff.) im Allgemeinen in Form einer Dreiteilung; dieser „Sphärentheorie“ folgend wurde zwischen Individualsphäre (Schutz des Selbstbestimmungsrechts), Privatsphäre (Leben im häuslichen Bereich, im Familienkreis, Privatleben) und Intimsphäre (Innere Gedanken- und Gefühlswelt, Sexualbereich) unterschieden; vgl. dazu C. Degenhart, Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. m. Art. 1 I GG, in: JuS 1992, S. 362 ff.; G. Dürig, Kommentierung des Art. 1 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1958, Rdn. 37; zu dieser Einteilung auch K. A. Schachtschneider, Medienmacht versus Persönlichkeitsschutz, in: ders., Freiheit. Recht. Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, S. 284, welcher allerdings zu Recht kritisch anführt, dass der Versuch, Sphären oder Räume der Freiheit zu definieren, verkennt, dass die Freiheit ein Prinzip richtigen Handelns des Menschen im Gemeinwesen ist, nicht aber eine empirische Kategorie, vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, S. 421. Eine andere Einteilung in „Individualsphäre“ (Kreis von Gütern, der auch dann, wenn sie zum öffentlichen Leben einer Person gehören, in der Öffentlichkeit zu achten ist, wie Identität, Name und Ehre), „Vertraulichkeitssphäre“ und „Privatsphäre“ findet sich bei H. Hubmann, Das Persönlichkeitsrecht, 1967, S. 157 ff., 269 f.; weiter findet sich bei Hubmann auch der Begriff der Geheimsphäre; dieser umfasst Handlungen, Äußerungen und Gedanken, von denen niemand oder höchstens ein genau beschränkter Kreis von Vertrauten Kenntnis nehmen soll, an denen ein Geheimhaltungsinteresse besteht und die vor unbefugter Kenntnisnahme durch Dritte zu schützen sind; der Begriff der Geheimsphäre findet auch im Strafrecht Eingang; vgl. dazu J. Wessels/M. Hettinger, Strafrecht Besonderer Teil/1 – Straftaten gegen Persönlichkeits- und Gemeinschaftswerte, 28. Aufl. 2004, S. 154 ff.

116

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

„Dem Einzelnen wird ein Innenbereich freier Persönlichkeitsentfaltung garantiert, in dem er ,sich selbst besitzt‘ und in den der sich frei von jeder staatlichen Kontrolle und sonstiger Beeinträchtigung zurückziehen kann. Die geschützte Privatsphäre hat dabei zum einen eine thematische Ausprägung. Der Persönlichkeitsschutz umfasst insoweit Angelegenheiten, die von ihrem Inhalt her dem Bereich der engeren Lebensführung zugeschrieben werden und deren öffentliche Erörterung daher als peinlich oder zumindest unschicklich empfunden wird. [. . .] Daneben erfasst der Schutz der Privatsphäre auch einen räumlichen Rückzugsbereich, in dem der Betroffene er selbst sein und wo er eine vom Öffentlichkeitsdruck verursachte Selbstkontrolle ablegen kann, weil er nicht damit rechnen muss, dass Fremde ihn beobachten. Dieser räumliche Schutzbereich der Privatsphäre beschränkt sich nicht auf den rein häuslichen Bereich, sondern erfasst auch sonstige abgeschiedene Örtlichkeiten, in denen der Betroffene erkennbar davon ausgehen kann, nicht der Observation durch Dritte zu unterliegen. Der räumliche Privatsphärenschutz endet grundsätzlich an Orten, wo sich der Betroffene unter vielen Menschen befindet und daher ohnehin den Blicken der Öffentlichkeit ausgesetzt ist.“ 45

Zu dieser Definition muss hinzugefügt werden, dass jegliches Handeln des einzelnen Bürgers innerhalb oder außerhalb der Privatsphäre den durch die äußeren, „sozialen“ Verhältnisse geregelten Gesetzen unterliegt.46 Dies verdeutlicht, dass zwar ein privater Bereich eingeräumt wird, in dem der Bürger nach seinen besonderen Handlungsmaximen47 entscheiden kann. Jedoch kann keine eindeutige räumliche Differenzierung innerhalb und außerhalb des Hauses getroffen werden. Die Wirkung des allgemeinen Gesetzes endet nicht vor einer Haustür, sondern die sozialen Verhältnisse wirken von außen auch nach innen. Während der Begriff der Privatsphäre einen bestimmten und bestimmbaren, abgegrenzten Lebensbereich beschreibt, hat dieser demnach auch einen sozialen Charakter.48 Handelt ein Bürger innerhalb seiner eigenverantwortlichen Privatsphäre rechtswidrig, so wirken die allgemeinen Gesetze auch in diesen Bereich hinein, um das Gemeinwohl und die Freiheit für die Allgemeinheit zu gewährleisten.49 45

U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 149. K. A. Schachtschneider, Freiheit in der Republik, S. 458. 47 Entscheidungen im Bereich des Staatlichen erfolgen nach Maßgabe allgemeiner Handlungsmaximen, der Gesetze; vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 458. 48 A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundamente der Demokratie, 1979, S. 51, 68 f. 49 Zur Fehlinterpretation der Privatsphäre aufgrund der modernen Idee der Differenzierung zwischen Privatheit und Öffentlichkeit vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127; vgl. auch K. A. Schachtschneider, Freiheit in der Republik, S. 42, 209, 322, 328, 378 ff., 501 ff., 621, 632, insbesondere zum Gemeinwohlprinzip S. 486 ff.; zum Freiheitsverständnis vgl. ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte. Konzeption und Begründung eines einheitlichen, formalen Freiheitsbegriffs, dargestellt am Beispiel der Kunstfreiheit, 1995, S. 43 ff. 46

A. Begriffliche Einordnung

117

Der Handelnde partizipiert damit notwendigerweise auch innerhalb seiner Privatsphäre am öffentlichen, politischen Prozess50 der Rechtsfindung und Gesetzgebung als Teil der staatlichen Gesamtheit. Durch die Ausübung seiner Privatheit51 trägt er zur Erfüllung der nach innen und außen gestellten gemeinschaftlichen Aufgaben und zur Erhaltung des guten Lebens aller bei. Einen echten rechtsfreien Raum, fern der Existenz staatlicher Gesetzlichkeit durch Sittlichkeit gibt es also in einer Republik nicht.52 Genauso wenig existiert eine echte Trennung zwischen Bürger und Staat53 oder Privatheit und Öffentlichkeit. Die Privatheit stellt damit eine grundrechtlich anerkannte Eigenschaft des Bürgers dar, in einem eingeschränkten Bereich besondere Handlungsmaximen ausüben zu können.54 Dennoch bleibt der Bürger auch hier Teil der Allgemeinheit, Teil des politischen Gemeinwesens, und damit der allgemeinen Gesetzlichkeit. Daraus folgt die Verwirklichung der Freiheit nicht nur für den Einzelnen, sondern schließlich auch für die Allgemeinheit.55 Will man einen speziellen Bereich des Privaten definieren, so darf der Fokus nicht auf der Freiheit von gesetzlichen Regelungen liegen, sondern auf dem ureigenen Bedürfnis des Menschen, eine räumliche Sphäre zu schaffen, in der er sich fast ungestört so geben kann wie er will. Dazu zählt insbesondere die empfundene Sicherheit, risikofrei persönlichen Interessen nachgehen oder soziale Kontakte entfalten zu können.56 50 C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 51 Zum Begriff der Privatheit vgl. K. A. Schachtschneider, Res publica res populi, S. 164 ff., 195 ff., 225 f., 384 ff., 387 ff., 389, 409, 449 ff., 515; ders., Freiheit in der Republik, S. 245, 249 ff., 262, 280, 293, 323, 365 ff., 388 ff., insbesondere 455 ff., 458 ff., 465 ff., 610 ff. 52 K. A. Schachtschneider, Res publica res populi, S. 163; ders., Freiheit in der Republik, S. 390. 53 Nach Hermann Heller kann der Staat als die Selbstorganisation der Gesellschaft definiert werden, H. Heller, Staatslehre, 1934, 2. Aufl. 1961, S. 228 ff., S. 238 ff.; vgl. dazu K. A. Schachtschneider, Res publica res populi, S. 165 f.; ders., Freiheit in der Republik, S. 347 ff.; vgl. dazu auch ders., Der Anspruch auf materiale Privatisierung – Exemplifiziert am Beispiel des staatlichen und kommunalen Vermessungswesens in Bayern, 2005. 54 Ders., Res publica res populi, S. 164; ders., Freiheit in der Republik, S. 347 ff. 55 Ders., Freiheit in der Republik, 42, 322, 387 ff.; zum Freiheitsverständnis vgl. auch K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff. 56 P. Mayer definiert den Begriff der Privatheit als „im Gegensatz zur Öffentlichkeit derjenige Bereich individueller und sozialer Lebensgestaltung, der besonders ausgeprägte Möglichkeiten der Selbstdarstellung, Interessenentfaltung risiko- und sanktionsfreier sozialer Kontakte bietet“; gemäß den vorangegangenen Ausführungen zum Be-

118

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Übertragen auf die Diskussion um die Weitergabe personenbezogener Daten im WWW, besteht beim Einzelnen der Wunsch, sogar das Bedürfnis, in einem bestimmten Bereich selbst über die Teilnahme weiterer Personen am Informations- und Kommunikationsaustausch bestimmen zu können.57 Dies schließt die Gewissheit ein, dass Äußerungen oder Handlungen innerhalb des Kommunikationsprozesses im WWW nicht oder zumindest nicht ohne Kenntnis des Nutzers verbreitet, verwertet und allgemein bekannt gemacht werden können.58 Gesucht ist daher für die weitere Diskussion ein geeigneter Begriff, der die vorgenannten Faktoren impliziert, aber nicht soweit geht, vollständig anonymes Handeln als einziges Mittel der Wahl darzustellen. Da sich der Begriff der Privatheit weniger auf die Definition eines bestimmten Bereiches privater Lebensführung bezieht, erscheint zunächst der Rückgriff auf den auch vom Bundesverfassungsgericht verwendeten Terminus der Privatsphäre angezeigt.59 Wie dieses im Volkszählungsurteil bereits festgestellt hat, bedingen die verfassungsrechtlichen Grundsätze aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG, dass jedem Bürger grundsätzlich das Recht zusteht, über die Verarbeitung seiner persönlichen Daten selbst zu entscheiden.60 Explizit hat das Bundesverfassungsgericht zum Begriff der Privatsphäre in seinem Mikrozensus-Beschluss Stellung genommen.61 Allein die Anführung ist jedoch nicht Grund genug, eine allgemeine Verwendung des Begriffs zu rechtfertigen. Vielmehr ist in diesem Zusammenhang die verfassungsrechtliche Grundlage für die Ableitung des Rechts auf informationelle Selbstbestimmung ausschlaggebend. Die Wichtigkeit des Rechts auf Achtung und Entfaltung der Persönlichkeit wurde im Jahr 1954 vom Bundesgerichtshof erkannt und auf der Basis von Art. 2 Abs. 1 GG, dem Grundrecht der freien Entfaltung der Persönlichkeit in Verbindung mit Art. 1 Abs. 1 GG, dem Schutz der Menschenwürde, unter dem Begriff des Rechts auf informationelle Selbstbestimmung entwickelt.62 Gemäß

deutungsgehalt der Privatheit kann lediglich den Aspekten der Interessenentfaltung und Risikolosigkeit widerspruchsfrei entsprochen werden. Vgl. P. Meyer, Privatheit im Netz, S. 87. 57 BVerfGE 65, 1 (43). 58 P. Meyer, Privatheit im Netz, S. 88. 59 BVerfGE 34, 238 (245); 27, 1 (6 f.); 6, 32 (41); 389 (433). 60 BVerfGE 65, 1 (43). 61 BVerfGE 27, 1 (6 f.); 6, 31 (41), 389 (433). 62 Die Bedeutung des allgemeinen Persönlichkeitsrechts wurde vom Bundesverfassungsgericht insbesondere 1973 im so genannten Lebach-Urteil herausgestellt, vgl. BVerfGE 35, 202 (225, 244); zur Bedeutung der freien Entfaltung der Persönlichkeit auch K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur

A. Begriffliche Einordnung

119

den genannten Feststellungen des Bundesverfassungsgerichts dient die Rechtmäßigkeit und Notwendigkeit der Abgrenzung eines privaten Lebensbereichs, der Privatsphäre, somit als Grundlage zur Ableitung eines Grundrechts auf informationelle Selbstbestimmung. Im Zusammenhang mit der Nutzung moderner Kommunikationsmittel wie dem Internet und der Verwendung personenbezogener Daten spielt jedoch vorrangig der Schutz des allgemeinen Persönlichkeitsrechts und des Rechts auf informationelle Selbstbestimmung, nicht der Privatsphäre, eine Rolle. Die Schutzpflicht des Staates besteht grundsätzlich aufgrund einer verfassungsrechtlichen Grundlage, nicht anhand der Definition eines Lebensbereiches. Der Schutz der Privatsphäre ist eng mit dem Recht auf informationelle Selbstbestimmung verbunden, weil das allgemeine Persönlichkeitsrecht auch die Kommunikation innerhalb der engeren Privatsphäre schützt.63 Die Verwirklichung des Rechts auf informationelle Selbstbestimmung bedeutet für den einzelnen Nutzer des WWW, dass er nicht in einem als privat definierten Raum nach Belieben handeln kann, sondern dass er ortsunabhängig selbst entscheiden darf, wie seine Daten verwendet werden. Damit steht im Zusammenhang mit dem Schutz der Privatsphäre im WWW nicht der persönliche Lebensraum, sondern das Selbstbestimmungsrecht des von der Datenverarbeitung Betroffenen im Vordergrund. Dieses Recht auf informationelle Selbstbestimmung findet seine Grundlage nicht in einer näher bestimmten und abgrenzbaren Örtlichkeit, sondern in dem verfassungsrechtlich garantierten Grundrecht auf Würde und Persönlichkeitsschutz.64 Somit wird auch eine Differenzierung zwischen Öffentlichem und Privatem obsolet, weil der Schutz personenbezogener Daten primär auf die betroffene Person, nicht auf deren Aufenthaltsort fokussiert. Die Sicherung des Rechts auf informationelle Selbstbestimmung und damit der Privatsphäre erfolgt jedoch nicht ausschließlich zum Schutz der Würde und der Persönlichkeit des Einzelnen, sondern auch zur Sicherung des guten Lebens aller und schließlich zur Wahrung der Freiheit für die Allgemeinheit im Rechtsstaat.65 Um dem internationalen Kontext des Internets Rechnung zu tragen, wird der Begriff der Privatsphäre ferner oft als deutsche Übersetzung des amerikanischen Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 63 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 156. 64 Ders., Rdn. 162. 65 K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff., 423; ders., Res publica res populi, S. 567 ff., 573 ff.; zum Freiheitsverständnis allgemein vgl. ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff.; so auch K. Jaspers, Vom Ursprung und Ziel der Geschichte, S. 197 ff.; J. Habermas, Erläuterungen zur Diskursethik, S. 119 ff., 142 ff.

120

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Begriffs Privacy66 verwendet.67 Der sinnhaften Bedeutung nach kann Privacy als „Das Recht in Ruhe gelassen zu werden“ 68 übersetzt werden. Es erscheint jedoch falsch, diesen Begriff aus dem amerikanischen Kulturkreis auf den deutschen zu applizieren. Vor dem Hintergrund der grundsätzlich verschiedenen kultur- und rechtswissenschaftlichen Geschichte der Vereinigten Staaten, sowie des angeführten Begriffsinhalts, greift dieser Terminus grundsätzlich zu kurz. Zusammenfassend erscheint es für den Bereich der Verwendung personenbezogener Daten im Internet angezeigt, den Begriff des Schutzes Privatsphäre lediglich im Zusammenhang mit dem Recht auf informationelle Selbstbestimmung, abgeleitet aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG, zu verwenden. Ferner umfasst der Begriff der Privatsphäre abschließend folgende Grundsätze: • Generell soll der Terminus der Privatsphäre „jene Lebensumstände erfassen, die einem bestimmten oder unbestimmten, aber beschränkten Personenkreis ohne weiteres zugänglich sind, die der Einzelne aber der Kenntnisnahme durch weitere Kreise, insbesondere durch die breite Öffentlichkeit, entziehen möchte.“ 69 • Die Privatsphäre und das Grundrecht auf informationelle Selbstbestimmung wird nicht primär durch den Inhalt personenbezogener Daten, sondern durch die Verarbeitung und weitere Verwendung dieser im Zusammenhang mit der Nutzung moderner Informations- und Kommunikationsmittel wie dem WWW gefährdet.70 • Der Schutz der Privatsphäre basiert auf dem Recht des Einzelnen auf Schutz seines Grundrechts auf informationelle Selbstbestimmung. Beidem liegt grundsätzlich das allgemeine Persönlichkeitsrecht aus dem Recht auf Wahrung der Menschenwürde gemäß Art. 1 Abs. 1 GG sowie der freien Entfaltung der Persönlichkeit gemäß Art. 2 Abs. 1 GG zugrunde.71

66 Der Begriff geht auf das „Right to Privacy“ zurück, welches im Jahr 1890 in einem Aufsatz der Anwälte Samuel Warren und Louis Brandeis entwickelt worden ist. Vgl. dazu S. D. Warren/L. D. Brandeis, The Right to Privacy, Harvard Law Review 1890, S. 193 ff. 67 H. Garstka, Informationelle Selbstbestimmung und Datenschutz, in: C. SchulzkiHaddouti, Bürgerrechte im Netz, S. 49. 68 R. Grötker, Privat – Kontrollierte Freiheit in einer vernetzten Welt, S. 9 f. 69 H. Hubmann, Das Persönlichkeitsrecht, S. 270. 70 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 19. 71 Zur freien Entfaltung der Persönlichkeit vgl. auch K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff.; M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 71 ff.

B. Missbrauch personenbezogener Daten

121

B. Missbrauch personenbezogener Daten I. Relevanz Mit der weit verbreiteten Nutzung des Internets und speziell des WWW geht bei vielen privaten Nutzern ein hohes Maß an Unsicherheit einher. Einerseits ausgelöst durch die unüberschaubare Größe des Systems, andererseits infolge mangelnder Kenntnisse der technischen Funktionen hinter der Systemoberfläche. Für einen effektiven Schutz der Privatsphäre stellt neben der Schaffung geeigneter rechtlicher Grundlagen die Fähigkeit des privaten Nutzers, mit dem neuen Medium verantwortungsvoll umgehen zu können, eine notwendige Voraussetzung dar. Gefahrenbewusstes Handeln kann nur dort stattfinden, wo der Nutzer darüber informiert ist, wo und wie ein möglicher Missbrauch seiner Daten durch Dritte während einer Internetnutzung erfolgen kann.72 Trotz der ständig steigenden Frequentierung des WWW herrscht bei vielen Nutzern noch überwiegendes Unverständnis für die Notwendigkeit der Sicherung des eigenen PCs durch eine Firewall oder aktuelle Virenscanner. Infolge der empfundenen Anonymität am Computer im eigenen Heim fühlen sich viele Nutzer vor einer Datenspionage sicher oder halten diese zumindest für unwahrscheinlich.73 Vorangegangen wurden bereits die technischen Grundlagen zum Aufbau und zur Struktur des WWW erläutert. Grundlage für ein erhöhtes Gefahrenbewusstsein bildet jedoch ergänzend zum einen die Kenntnis über die einzelnen technischen Prozesse im Rahmen der Nutzung des WWW, sowie der derzeit bekannten Sicherheitslücken. Beides sei nachfolgend skizziert, bevor die Möglichkeiten und verbundenen rechtlichen Grundlagen für die Erhebung, Speicherung und Verwendung personenbezogener Daten im WWW genauer analysiert werden. Sobald der Nutzer durch Eingabe seiner Benutzernummer und seines Passworts bei seinem Service Provider eine Verbindung zum Internet mittels der Telefonleitung oder W-LAN74 hergestellt hat, erfolgt zwischen Service Provider und Privatrechner ein Datentransfer zur Authentifizierung des Nutzers. Es erfolgt ein Abgleich der beim Provider im Rahmen des Nutzungsvertrags hinterlegten personenbezogenen Daten mit den persönlichen Logindaten und dem Kennwort. Bei erfolgreicher Authentifizierung wird dem Rechner des Nutzers eine IP-Adresse zugewiesen, sowie die Nutzungsdaten (Datum, Uhrzeit, 72 In diesem Sinne auch BVerfGE 65, 1 (43); vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 73 H. Garstka, Informationelle Selbstbestimmung und Datenschutz, in: C. SchulzkiHaddouti, Bürgerrechte im Netz, S. 53. 74 Zur Funktionsweise vgl. J. Eberspächer, Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel, Internet@future, S. 24.

122

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Dauer der Nutzung, etc.) zu Abrechnungszwecken mitprotokolliert. Die IPAdresse stellt eine weltweit eindeutige Zahlenkennung dar, welche eine richtige Zuordnung der versendeten Datenpakete zum jeweiligen Empfänger sicherstellt.75 Private Nutzer erhalten bei jeder Einwahl in das Internet in der Regel verschiedene, so genannte dynamische IP-Adressen. Unternehmen oder öffentliche Stellen verfügen zumeist über eine so genannte „Standleitung“, d.h. eine statische IP-Adresse für jeden angeschlossenen Server.76 Nach der Wahl der Nutzung des WWW als Teildienst des Gesamtsystems Internet erfolgt die Darstellung und der Zugriff auf Webseiten unter Verwendung eines Browsers, der als Software lokal gespeichert auf dem privaten Rechner zur Verfügung steht und von diesem je nach Konfiguration mit erfolgreicher Verbindung über den Service Provider automatisch geladen werden kann. Der Nutzer wählt sodann eine Webseite seines Interesses durch die Eingabe einer merkfähigen Adresse, der DNS, in der Form www.xy.de, wobei neben Länderkürzeln wie „de“ auch die Kurzformen „org“, „net“ oder „info“ möglich sind. Der Browser fragt die gewünschte Internetseite bei dem Rechner an, auf dem die Daten gespeichert sind. Dabei wird die DNS von so genannten DNS-Servern wieder in eine IP-Nummer aufgelöst und eine Verbindung zwischen beiden Rechnern hergestellt. Bevor nun die entsprechenden Daten versendet werden, erfolgt ein Prozess der Authentifizierung zwischen anfragendem und empfangendem Rechner. Ist die Authentifizierung erfolgreich, so werden die Daten vom Empfänger zum Adressaten weitergeleitet und die Website auf dem Bildschirm des Nutzers innerhalb des Browserfensters sichtbar. Dieser kann nun auf der gewählten Seite verbleiben, mithilfe von Verlinkungen auf weitere Unterseiten zugreifen, oder eine neue Internetadresse eingeben. Doch wo liegen nun innerhalb dieses Prozesses die eigentlichen Gefahrenquellen, die zu einer zweckfremden, unzulässigen oder unbefugten Erhebung, Speicherung und Verwendung personenbezogener Daten und damit einer Verletzung der Privatsphäre des Einzelnen führen können? 75 M. Wiese, Unfreiwillige Spuren im Netz, in: H. Bäumler, E-Privacy – Datenschutz im Internet, 2000, S. 9; vgl. dazu auch P. Schaar, Datenschutz im Internet, S. 3; C. Meinel/H. Sack, WWW, S. 476; T. Roessler, Internet: Das Netz der Netze, in: T. Hoeren/ R. Queck, Rechtsfragen der Informationsgesellschaft, S. 2 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 58 f., 67; vgl. auch A. Tanenbaum, Computer Networks, 1996, S. 521 ff. 76 Die wechselnde Zuweisung von IP-Adressen geht auf den Umstand zurück, dass der Adressraum der 16-stelligen Nummer auf eine bestimmte Anzahl von Rechnern begrenzt war. Im Rahmen der raschen Entwicklung und Ausbreitung des Internets sind heute mehr Rechner angeschlossen als IP-Nummern vorhanden. Um dennoch die eindeutige Zuordnung von Datenpaketen und damit die Stabilität und Authentizität des Systems zu gewährleisten, wurde die Vergabe dynamischer IP-Nummern eingeführt. Dies stellt neben dem Einsatz so genannter Proxy-Rechner, die stellvertretend für andere Rechner Daten aus dem Internet abrufen, jedoch nur eine Variante der Problemlösung dar.

B. Missbrauch personenbezogener Daten

123

II. Zweckfremde, unzulässige oder unbefugte Verwendung personenbezogener Daten Für die zweckfremde,77 unzulässige oder unbefugte Verwendung personenbezogener Daten über das WWW, unter welcher allgemein auch deren missbräuchliche Verwendung verstanden wird, lassen sich Handlungen von Providern oder dritten Personen unterscheiden, bei denen Daten ohne die Kenntnis des Nutzers erhoben, gespeichert und verwendet werden.78 Ziel ist es dabei, informationelle oder monetäre Vorteile, beispielsweise durch die Erstellung, Nutzung oder den Verkauf von Nutzerprofilen79 zu erlangen. Voraussetzung für die Subsumption der Datenverwendung unter den Begriff des Missbrauchs ist, dass ein Verstoß gegen die datenschutzrechtlichen Vorschriften zur Zulässigkeit der Datenverarbeitung gemäß § 4 BDSG existiert. Grundlage für die Möglichkeit der zweckfremden, unzulässigen oder als Straftatbestand seitens unbefugter Dritter rechtswidrigen Erhebung oder Verarbeitung personenbezogener Daten, ist stets, dass die technischen Möglichkeiten, die das Internet dafür bietet, vorhanden sind und entsprechend ausgeschöpft werden.80 Dazu zählen im Wesentlichen: • Hacking, Phishing und Spoofing, • Cookies, Viren, Würmer und Trojaner, • Data Mining und Data Warehousing, • Systemausfälle (Systeminstabilität), • Ungenügende Sicherheitsvorkehrungen. Das so genannte Hacking bezeichnet allgemein die Handlung eines Nutzers, sich zu einem fremden Rechner widerrechtlich Zugang zu verschaffen, um diesen zu manipulieren, zu zerstören oder wichtige Daten in Erfahrung zu bringen. Meist werden von diesen Personen, den Hackern, gezielt Sicherheitslücken81 aufgrund von Administrationsfehlern oder Unkenntnis technischer Funktionen von 77 Zur zweckfremden Verwendung personenbezogener Daten vgl. auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 78 Ders.; zum Begriff der Einwilligung vgl. auch B. Eichhorn, Internetrecht, S. 119. 79 A. Wien, Internetrecht, S. 187; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95; J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 17 ff. 80 Ausführlich dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff. 81 Häufig werden gezielte Angriffe auf Sicherheitslücken im Internet mittels eines oder mehrerer Port-Scans durchgeführt. Diese dienen dazu, „offene Türen“ innerhalb eines Rechnersystems zu ermitteln um diese später für einen rechtswidrigen Zugang zu diesem System zu nutzen. Eine genaue Beschreibung der zugrundeliegenden Technik findet sich bei C. Meinel/H. Sack, WWW, S. 715.

124

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Seiten privater Nutzer ausgenutzt.82 Eine Form des Hackings stellt das Phishing dar. Dabei handelt es sich um das gezielte Ausspionieren von persönlichen Kundendaten, Kontonummern, PIN- und TAN-Nummern durch die Nachbildung einer vorhandenen Website (Spiegelung).83 Die so erhobenen Daten werden von unbefugten Dritten dazu benutzt, Überweisungen zu tätigen oder bei Internetauktionen im Namen des Geschädigten Waren zu verkaufen, ohne nach Abschluss des Kaufvertrages die Lieferung oder Leistung zu erbringen.84 Eine weitere Form, um an Informationen oder fremde Daten von Nutzern während deren WWW-Sitzung zu gelangen, stellt das so genannte IP-Spoofing, die Fälschung der Identität des Senders im Kommunikationsprozess, dar.85 Da jeder Datentransfer innerhalb des Internets über das IP-Protokoll erfolgt, macht sich der Angreifer seine rechtswidrig erlangte Kontrolle über dieses System zu nutze, um die Protokollsoftware so zu verändern, dass dem Nutzer zwar die bekannte Internetseite angezeigt wird. Diese stammt jedoch von einem völlig anderen Absender, der die eingegebenen Login-Daten oder Kennwörter abfangen kann. Zur Gruppe der Sicherheitsrisiken gehören weiter die bekannten Cookies. Wohl kaum einem Nutzer des WWW ist wirklich bewusst, was sich hinter diesen Programmen, deren Speicherung bei entsprechender Einstellung des Browsers meist vom Nutzer per Mausklick bestätigt werden muss, bevor eine Webseite86 geladen wird, verbirgt. Es handelt sich im Wesentlichen um kleine Programme, die zusätzlich zu der angefragten Webseite übertragen und auf dem Rechner des Nutzers gespeichert werden. Bei späterem Abruf der gleichen Webseite wird das Cookie aktiviert und sendet Daten über frühere oder die laufende Nutzung des Internets zurück an den Server des Betreibers der Webseite.87 82

P. Schaar, Datenschutz im Internet, S. 24. B. Eichhorn, Internetrecht, S. 50; J. Knupfer, Phishing for Money, MMR 2004, 641 f. Diese Form des Ausspionierens erfolgte bisher hauptsächlich im Finanzbereich, dem so genannten Online-Banking. Ziel ist es, die Internetseite so realgetreu wie möglich abzubilden um dem Nutzer die reale Webseite seines Finanzinstituts zu suggerieren und so über dessen Login an seine Daten wie die Benutzerkennung, den PIN-Code sowie gegebenenfalls weitere Kreditkarteninformationen zu gelangen; vgl. dazu Phishing, Sicherheit + Management, Magazin für Safety und Security, 9 (2005), S. 60; M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 38 f. 84 A. Wien, Internetrecht, S. 179. 85 C. Meinel/H. Sack, WWW, S. 652, 714; P. Schaar, Datenschutz im Internet, S. 23, 196; vgl. dazu auch D. Gollmann, „Wer ist mein Nächster?“. Zur Authentifikation des Kommunikationspartners, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, 147. 86 Eine Webseite wird als Verbund von Webseiten bezeichnet, die ein einheitliches Angebot bildet. Die Startseite einer Webseite wird als Homepage bezeichnet; dazu Teia, Recht im Internet, S. 633. 87 C. Meinel/H. Sack, WWW, S. 698, 779, 802; Teia, Recht im Internet, S. 620; P. Schaar, Datenschutz im Internet, S. 64; R. Ihde, Cookies. Datenschutz als Rahmenbedingungen der Internetökonomie, CR 2000, 413; T. Hoeren, Grundzüge des Internet83

B. Missbrauch personenbezogener Daten

125

So kann der Nutzer vom Betreiber identifiziert und sein Verhalten sowie die Häufigkeit des Zugriffs, die Ansicht bestimmter Inhalte oder Informations- und Warenangebote sowie die Kaufhäufigkeit genau erfasst werden.88 Ein Risiko stellt nicht allein die Datensammlung dar, sondern die Gefährdung der Privatsphäre durch die mangelnde Informiertheit des Nutzers über die Installation eines Cookies auf seinem Rechner und der Protokollierung der Häufigkeit und Art seiner Internetnutzung. Die strukturierte Zusammenführung aller gespeicherten Daten aus allen Bereichen eines Unternehmens wird Data Warehouse89 genannt. Mithilfe des Data Mining erhalten Unternehmen durch gezielte Filterung und Analyse aus dem Data Warehouse wichtige Informationen für marketingstrategische Zwecke, beispielsweise das Kaufverhalten anhand von gespeicherten Nutzerdaten.90 Damit werden Unternehmen zunehmend zu interessanten Zielen für Angriffe von außen. Doch auch ohne das technisch komplexere Vorgehen des Hacking können Datensammler mithilfe einfacher Suchmaschinen oder aus Diskussionsforen global verteilte Datenbestände erschließen und umfassende Informationen aus persönlichen Angaben, Interessen und Meinungen der Nutzer erhalten. Das WWW fungiert damit nicht nur als weltweite Informations-, Kommunikations- und Handelsplattform, sondern liefert fast jedem Interessierten per Mausklick umfassende Einblicke in private Angelegenheiten anderer Nutzer. Diese Informationen sind für die Erstellung so genannter Persönlichkeitsprofile, insbesondere aber für

rechts, S. 260 ff.; J. Bizer, Web-Cookies. Datenschutzrechtlich, DuD 1998, 277; M. Wichert, Web-Cookies. Mythos und Wirklichkeit, DuD 1998, 273. 88 Vgl. dazu J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz – ein Widerspruch?, DuD 27 (2003), 621; als Beispiel kann hier der Internetbuchhandel Amazon.com dienen. Besucht man nach einer Bestellung, bei der man seine persönlichen Daten zum Zwecke der Lieferung angegeben hat, diese Webseite erneut, so wird man durch eine persönliche Anrede in der Kopfzeile mit dem Wortlaut „Hallo, (NAME)“ begrüßt. Desweiteren erhält man bereits auf der Startseite Informationen über Buch- und Multimediaangebote, die auf der Grundlage der Informationen der letzten Nutzung als ein persönlich abgestimmtes, vom Händler empfohlenes Angebot ausgewiesen sind. Ob diese Erfassung, Auswertung und Verwendung der persönlicher Daten und des Nutzerverhaltens als rechtmäßig eingestuft werden kann, ist durchaus diskussionswürdig. Zur Registrierung des Nutzerverhaltens auch P. Schaar, Datenschutz im Internet, S. 64 f.; J. Becker, Datenschutz-Nutzen, IT-Sicherheit 1 (2003), S. 46. 89 P. Gola/R. Schomerus, Kommentierung des § 28 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 12; P. Schaar, Datenschutz im Internet, S. 15; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 64, 560; T. Hoeren, Grundzüge des Internetrechts, S. 267 ff. 90 Teia, Recht im Internet, S. 620 f.; P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 8; ders., § 4d, Rdn. 12; ders., § 28 BDSG, Rdn. 12; so auch P. Schaar, Datenschutz im Internet, S. 15; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 64; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 80.

126

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

die Entwicklung kundenspezifischer Marketingkonzepte für Unternehmen von großem materiellem Wert.91 Viren, Würmer und Trojaner stellen technische Möglichkeiten zur Manipulation oder Zerstörung von Rechnern oder Rechnernetzen dar. Viren sind Programmbestandteile mit schädlicher Funktion, die nicht selbständig tätig werden, sondern mittels eines Zentralprogammes aktiviert werden müssen. Dagegen sind Würmer und Trojanische Pferde Programme, die die Manipulation oder meist Zerstörung eines fremden Rechnersystems selbständig ausführen.92 Risiken für den Nutzer entstehen insbesondere beim Herunterladen von Dateien oder Programmen aus dem WWW. Die meisten Gefahren resultieren jedoch nach wie vor nicht ausschließlich durch die Möglichkeit einzelner, gezielter Angriffe. Unbefugten Dritten stehen oftmals infolge ungenügender Sicherheitsvorkehrungen öffentlicher und nicht-öffentlicher Stellen für illegale Zugriffe auf fremde Rechner viele Türen offen.93 Auf Seiten privater Nutzer können hier fehlende Sicherheitsupdates, veraltete Hard- und Software fehlender Sicherheitseinstellungen und Firewalls genannt werden. Öffentliche sowie nicht-öffentliche Stellen stehen zum einen vor der Problematik, gegenüber privaten Rechnern einer stark erhöhten Anzahl von Systemangriffen von außen ausgesetzt zu sein. Zum anderen resultiert aus der vermehrten Frequentierung der firmeneigenen Netzwerke intern und extern ein erhöhtes Risiko des Ausspähens von Daten sowie der Einspeisung von Viren.94 III. Erstellung von Kunden- und Nutzungsprofilen Die im Wege der Nutzung des WWW vom Nutzer gewonnenen Daten stellen, sofern rechtmäßig durch befugte Stellen erhoben und gespeichert, per se keine Gefährdung für die Privatsphäre des Betroffenen dar.95 Zumeist kann dieser den 91 Zur Erstellung von Persönlichkeitsprofilen S. Simitis, in: ders., BDSG, § 1, Rdn. 95; P. Schaar, Datenschutz im Internet, S. 13. 92 H. Kersten, Sicherheit in der Informationstechnik, 2. Aufl., 1995, S. 55 f.; M. Schreibauer, Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/ M. A. Gimmy, Handbuch zum Internetrecht, S. 589; Teia, Recht im Internet, S. 631; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff.; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 80. 93 P. Schaar, Datenschutz im Internet, S. 23 f.; J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 17 ff. 94 Vgl. dazu im Rahmen der Bereitstellung von Bürgerportalen im WWW H. Stach, Für eine sichere und verbindliche Präsenz von Bürgerinnen und Bürgern im Internet, in: A. Zechner (Hrsg.), Handbuch E-Government. Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 156. 95 Zur Verwendung des Begriffs Gefährdung im Zusammenhang mit dem Schutz der Privatsphäre und der Nutzung der automatisierten Verarbeitung personenbezogener

B. Missbrauch personenbezogener Daten

127

Umfang seiner übermittelten personenbezogenen Daten an dieser Stelle noch überschauen. Eine Gefährdung für das Recht auf informationelle Selbstbestimmung und die Privatsphäre tritt erst ein, sobald die im Zusammenhang mit der konkreten Zweckbestimmung gespeicherten Daten mit anderen Datenbeständen in einem Data Warehouse zu einem gemeinsamen Datenbestand aggregiert werden.96 Mithilfe des Data Mining besteht so die Möglichkeit, aus dem sich auf Basis des Gesamtdatenbestandes ergebenden Verbraucherverhalten konkrete Kundenprofile für die individuelle werbliche Ansprache abzuleiten.97 Eine mögliche Gefährdung des Rechts auf informationelle Selbstbestimmung unterliegt den Beschränkungen des grundrechtlich verfassten Rechts auf Achtung der Würde des Menschen98 aus Art. 1 Abs. 1 GG sowie dem Persönlichkeitsrecht aus Art. 2 Abs. 1 GG. Im Zusammenhang mit der Erstellung von Profilen sind zunächst Nutzungsprofile zu nennen. Hierbei handelt es sich ausschließlich um die Zusammenfassung von Nutzungsdaten, wie beispielsweise Dauer der Verbindung mit dem Provider, Dauer des Aufenthalts auf einer Webseite sowie Informationen über Art und Umfang der angewählten Webseiten.99 Im Gegensatz zu Nutzerprofilen stellen Kundenprofile eine Zusammenfassung von Bestands- und Nutzungsdaten, sowie dem individuellen Kaufverhalten des Betroffenen dar.100

Daten vgl. BVerfGE 65, 1 (44); zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 96 P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 12; vgl. dazu auch U. Dammann, in: S. Simitis, BDSG, § 3, Rdn. 25; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 621; J. Becker, Datenschutz-Nutzen, IT-Sicherheit 1 (2003), S. 46; A. Roßnagel, Die Zukunft des Datenschutzes, in: H. Kubicek/D. Klumpp/G. Fuchs/ders. (Hrsg.), Internet@future. Jahrbuch Telekommunikation 2001, 2001, S. 230. 97 U. Möncke, Data Warehouses – Eine Herausforderung für den Datenschutz?, DuD 1998, 561; T. Weichert, Datenschutz als Verbraucherschutz, DuD 2001, 264; ders., Persönlichkeitsprofile und Datenschutz bei CRM, RDV 2003, 113 ff.; J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 621; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95; zum Data Mining grundlegend P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 8; ders., Kommentierung des § 4d BDSG, Rdn. 12; ders., Kommentierung des § 28 BDSG, Rdn. 12; so auch P. Schaar, Datenschutz im Internet, S. 15; M.-T. Tinnefeld/E. Ehmann/ R. W. Gerling, Einführung in das Datenschutzrecht, S. 64; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 80. 98 Zur Unantastbarkeit und Verpflichtung zur Achtung der Menschenwürde sowie der daraus resultierenden Schutzpflicht gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/ T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 99 P. Schaar, Datenschutz im Internet, S. 218; H. Buxel, Customer Profiling im Electronic Commerce, 2001, S. 61. 100 J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 621; A. Roßnagel, Die Zukunft des Datenschutzes, S. 230.

128

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Für die Erstellung umfassender Kundenprofile werden nicht nur personenbezogene Daten zu Persönlichkeitsprofilen verknüpft, sondern auch Präferenzen des einzelnen Kunden durch die Auswertung der erhobenen Nutzungsdaten erstellt.101 Dabei wird nicht nur auf das individuelle Verhalten im WWW, sondern auch auf Anfragen bei Suchmaschinen, Spielen, Verlosungen und das Anklicken von Werbebannern mithilfe der Übermittlung von Web-Cookies102 auf den Rechner des Nutzers zurückgegriffen.103 Allein anhand der IP-Adresse ist eine Zuordnung des Zugriffs von einem Privat- oder Firmenrechner sowie der zugeordneten Adresse möglich. So resultieren aus der Analyse der erhobenen Daten beispielsweise demografische Merkmale des Nutzers, die mit Erkenntnissen aus seinem Nutzungsverhalten, wie Interessen und Einstellungen, zu einem umfassenden Persönlichkeitsprofil verbunden werden können.104 Die Erhebung von Nutzungsdaten und deren Verarbeitung für Werbezwecke stellt für Unternehmen aus allein wirtschaftlichem Interesse einen großen Anreiz dar.105 Aufgrund der damit verbundenen Möglichkeit zur gezielten, personalisierten Ansprache bestehender und potenzieller Kunden, können mittels auf die Präferenzen des Kunden zugeschnittener Angebote und Werbebanner Kundenbeziehungen stabilisiert und gefördert, sowie deutliche Kosteneinsparungseffekte erzielt werden.106 Das deutsche Datenschutzrecht bindet auf der Grundlage eines grundsätzlichen Verbots die Verarbeitung personenbezogener Daten an eine gesetzliche Erlaubnis 101 Zur Gefährdung des Rechts auf informationelle Selbstbestimmung durch Persönlichkeitsprofile vgl. P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 102 J. Bizer, Web-Cookies. Datenschutzrechtlich, DuD 1998, 277; M. Wichert, WebCookies. Mythos und Wirklichkeit, DuD 1998, 273; J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 622; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 77. 103 P. Schaar, Datenschutz im Internet, S. 219; J. Weber, Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher, DuD 27 (2003), 625; so auch G. Spiegel, Spuren im Netz – Welche Spuren der Internet-Nutzer hinterlässt und wie man sie vermeiden kann, DuD 27 (2003), S. 265. 104 P. Schaar, Datenschutz im Internet, S. 219; J. Weber, Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher, DuD 27 (2003), 625. 105 J. Rifkin, Access. Das Verschwinden des Eigentums, 2000, S. 132 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 2; J. Bizer, TK-Daten im Data Warehouse, DuD 1998, 577; J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 17 ff. 106 P. Wittig, Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59; P. Schaar, Datenschutz im Internet, S. 213; vgl. dazu auch A. Podlech/M. Pfeifer, Die informationelle Selbstbestimmung im Spannungsverhältnis moderner Werbestrategien, RDV 1998, 139 f.; P. Götz/H. Diller, Die Kunden-Portfolio-Analyse. Ein Instrument zur Steuerung von Kundenbeziehungen, 1991, S. 1, 3, 18; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73.

B. Missbrauch personenbezogener Daten

129

oder die Einwilligung des Betroffenen107 (§ 4 Abs. 1 BDSG). Dem Schutz des Rechts auf informationelle Selbstbestimmung des Einzelnen wird damit vor den wirtschaftlichen und technischen Interessen der Gemeinschaft grundsätzlich Vorrang gegeben. Gemäß den Vorschriften aus § 28 Abs. 3 S. 1 Nr. 3 BDSG ist die Verwendung in Form der Übermittlung und Nutzung personenbezogener Daten für Zwecke der Werbung, der Markt- und Meinungsforschung nur zulässig, sofern es sich um „listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf a) eine Angabe über die Zugehörigkeit des Betroffenen zu dieser Personengruppe, b) Berufs-, Branchen- oder Geschäftsbezeichnung, c) Namen, d) Titel, e) akademische Grade, f) Anschrift, g) Geburtsjahr beschränken und kein Grund zu Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat.“ 108

Mit der zum 1. September 2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes gelten gemäß § 47 BDSG für die Änderungen im Zusammenhang mit der Zulässigkeit der Datenverwendung für eigene Geschäftszwecke (§ 28 Abs. 1 und 3 BDSG) Übergangsvorschriften. So ist die alte Fassung des § 28 BDSG für Daten, die vor dem 1. September 2009 erhoben wurden, anzuwenden.109 Die neue Fassung des § 28 BDSG gilt uneingeschränkt für alle Daten, die ab dem 1. September 2009 erhoben wurden und werden. § 28 Abs. 3 BDSG regelt nun in der neuen Fassung lediglich die Verwendung personenbezogener Daten für Zwecke der Werbung.110 Für den Zweck der Marktund Meinungsforschung gilt nun der neu geschaffene § 30a BDSG.111 Unverändert zur alten Fassung des § 28 Abs. 3 S. 1 BSDG ist die Übermittlung und Nutzung personenbezogener Daten zulässig, sofern es sich um listenmäßig oder sonst zusammengefasste Daten handelt. Die Datenkategorien wurden gegenüber 107 Zum Begriff der Einwilligung vgl. auch B. Eichhorn, Internetrecht, S. 119; zur Einwilligung gemäß § 4 Abs. 1 BDSG vgl. P. Gola/R. Schomerus, Kommentierung des § 4 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 3 f., 15 ff.; ders., § 4a BDSG, Rdn. 1 ff.; mit Verweis auf das Volkszählungsurteil des Bundesverfassungsgerichts B. Sokol, Kommentierung des § 4 BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 5. Aufl. 2003, Rdn. 6; S. Simitis, in: ders., BDSG, § 4a, Rdn. 1. 108 C. Müller, Internationales Privatrecht und Internet, S. 273; P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 54 ff.; S. Simitis, Kommentierung des § 28 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, § 28, 5. Aufl. 2003, Rdn. 232 ff. 109 Für Zwecke der Markt- und Meinungsforschung bis zum 31. August 2010; für Zwecke der Werbung bis zum 31. August 2012. 110 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I, S. 2816, in Kraft getreten zum 1.9.2009. 111 Ders., BGBl. I, S. 2817.

130

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

denen in § 28 Abs. 3 S. 1 BDSG der vormals gültigen Fassung nicht verändert. Neu ist hingegen, dass diese Regelung nur eingeschränkt gilt. Listen, die personenbezogene Daten enthalten, dürfen nur noch übermittelt oder genutzt werden, sofern dies für eigene Werbezwecke (§ 28 Abs. 3 S. 2 Nr. 1 BDSG), Zwecke der Geschäftswerbung (§ 28 Abs. 3 S. 2 Nr. 2 BDSG) oder Spenden-Werbung (§ 28 Abs. 3 S. 2 Nr. 3 BDSG) erforderlich ist. Für andere als die vorgenannten Zwecke ist dies nur zulässig, sofern die Weitergabe und der Empfang der Listen von beiden verantwortlichen Stellen zwei Jahre lang gespeichert wird (§ 34 Abs. 1a BDSG), damit der Betroffene jederzeit darüber Auskunft erhalten kann. Ferner muss aus der Werbung hervorgehen, wer die Daten erstmalig erhoben hat. In allen Fällen gilt, dass das schutzwürdige Interesse des Betroffenen nicht entgegenstehen darf. Eine Aggregierung von Datenbeständen zur Erstellung von Nutzer- und Zielgruppenprofilen ist sowohl gemäß § 28 Abs. 1 BDSG der alten und der neuen Fassung nicht zulässig. Eine Einwilligung des Betroffenen ist gemäß der für Daten, die vor dem 1. September 2009 erhoben wurden, gültigen Vorschrift des § 28 Abs. 3 BDSG nur dann zwingend erforderlich, wenn die Auswertung der Daten nicht in anonymisierter Form erfolgt.112 Handelt es sich nicht um Daten, die unter das genannte Listenprivileg subsumiert werden können, so ist die Nutzung personenbezogener Daten gemäß § 28 Abs. 3 S. 1 BDSG nur dann zulässig, wenn der Betroffene schriftlich, elektronisch oder in anderer Form eingewilligt hat. Neu ist, dass die Einwilligung in elektronischer Form (§ 28 Abs. 3a BDSG), beispielsweise durch setzen eines Häkchens auf einer Webseite von der Daten verarbeitenden Stelle protokolliert werden muss. Der Betroffene muss jederzeit in der Lage sein den Inhalt der Einwilligung abrufen und widerrufen zu können.113 Widerspricht der Betroffene, so ist die Nutzung oder Übermittlung der Daten gemäß der neuen und alten Vorschrift des § 28 Abs. 4 BDSG für Zwecke der Werbung oder Markt- und Meinungsforschung unzulässig. Diese Widerspuchsregelung ist im Hinblick auf das durch das Bundesverfassungsgericht anerkannte Recht des einzelnen Nutzers auf Schutz der Privatsphäre im WWW fragwürdig. Mit der Schaffung eines geeigneten Rechtsrahmen für den Schutz personenbezo112 P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 12; S. Simitis, in: ders., BDSG, § 28, Rdn. 18, 272; zum Begriff der Einwilligung vgl. auch B. Eichhorn, Internetrecht, S. 119; C. Müller, Internationales Privatrecht und Internet, S. 273. 113 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I, S. 2816, in Kraft getreten zum 1.9.2009.

B. Missbrauch personenbezogener Daten

131

gener Daten unter den Bedingungen der modernen Datenverarbeitung soll der Einzelne, wie in § 1 Abs. 1 BDSG festgelegt, vor möglichen Beeinträchtigungen seines Rechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V. m. Art. 1 Abs. 1 GG geschützt werden.114 Die Erstellung von Persönlichkeitsprofilen hingegen stellt nach Ansicht des Bundesverfassungsgerichts einen wesentlichen Eingriff in das allgemeine Persönlichkeitsrecht dar, sofern die Daten nicht hinreichend anonymisiert werden.115 Ferner folgt aus der Würde des Menschen und dem damit verbundenen sozialen Achtungsanspruch, dass der Einzelne nicht ohne Kenntnis in seiner ganzen Persönlichkeit registriert und katalogisiert werden darf.116 Das Recht auf Widerspruch gemäß § 28 Abs. 4 BDSG unterstellt, dass der betroffene Nutzer die Verarbeitung seiner übermittelten personenbezogenen Daten hinreichend überschauen kann.117 Dies dürfte jedoch im Falle der Aggregierung von Datenbeständen älteren und neueren Datums für den Einzelnen im Einzelfall schwer nachvollziehbar sein.118 Kann der Betroffene mithin das ihm zuerkannte Recht auf informationelle Selbstbestimmung nicht vollständig ausüben, ist die Rechtmäßigkeit der Widerspruchsregelung grundsätzlich in Frage gestellt. Die Legitimation des § 28 BDSG in der alten Fassung bezieht sich jedoch nur auf die Verwendung personenbezogener Daten zum Zwecke der Markt- und Meinungsforschung im Rahmen direkter Vertragsverhältnisse. Dies ist beispielsweise bei Geschäftsabschlüssen, wie dem Einkauf von Waren über das WWW der Fall.119 Mit der Novellierung zum 1. September 2009 gilt die Vorschrift nun nicht nur ausschließlich für die Datennutzung zum Zwecke der Werbung. Überdies wurde der Terminus des Vertragsverhältnisses durch den des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses ersetzt und damit eine Angleichung an die Terminologie des § 3 BGB angestrebt. Über die Zweckgebundenheit sowie die in § 28 Abs. 4 S. 2 BDSG festgelegte Pflicht zur Unterrichtung des Betroffenen, wird die Informiertheit des einzelnen Nutzers über die Verwendung seiner Daten auch in der neuen Fassung des Bundesdatenschutzgesetzes sichergestellt.

114

So auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. BVerfGE, 21, 1 (7); vgl. dazu auch J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 622; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95. 116 BVerfGE, 21, 1 (6); zum Achtungsanspruch aus der Würde des Menschen gemäß Art. 1 Abs. 1 GG vgl. auch BVerfGE 5, 85 (204); BVerfGE 7, 198 (205). 117 BVerfGE 65, 1 (43); P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 27, 54, 59 ff.; S. Simitis, in: ders., BDSG, § 28, Rdn. 272 ff. 118 J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 21 f. 119 P. Schaar, Datenschutz im Internet, Rdn. 682, S. 215. 115

132

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Eine zweckfremde Nutzung ohne Einwilligung120 ist nur in den in § 28 Abs. 3 S. 2 BDSG genannten Fällen zulässig, um den Schutz der öffentlichen Sicherheit oder die Verfolgung von Straftaten zu gewährleisten. Der Geltungsbereich der Vorschriften erstreckt sich jedoch nur auf die Erhebung, Speicherung und Verwendung personenbezogener Daten im Zusammenhang mit Rechtsgeschäften, deren Vertragserfüllung nicht ausschließlich auf elektronischer Basis erfolgt. So ist das Bundesdatenschutzgesetz nur subsidiär anwendbar, soweit das Telekommunikationsgesetz und das Telemediengesetz für Telekommunikations- und Telemediendienste keine einschlägigen Regelungen enthalten. Gemäß § 95 Abs. 2 TKG ist die Erhebung und Verarbeitung von Bestandsdaten aus dem vertraglichen Verhältnis mit dem Kunden zum Zwecke der Werbung für eigene Angebote und zur Marktforschung nur zulässig, soweit dies für diese Zwecke erforderlich ist und der Teilnehmer eingewilligt hat.121 Verkehrsdaten über Dauer und Umfang der Verbindung des Nutzers mit dem WWW sind gemäß § 96 Abs. 2 S. 1 TKG unverzüglich zu löschen, es sei denn sie werden zum Zwecke der Entgeltermittlung und Entgeltabrechnung benötigt (§ 97 Abs. 1 S. 1 TKG).122 Auch für die Verwendung personenbezogener Daten durch Telemediendienste gilt gemäß § 12 Abs. 1 und 2 TMG eine enge Zweckbindung. Für jede über den vorher festgelegten Zweck hinausgehende Verarbeitung und Nutzung ist das Einholen einer informierten Einwilligung des Nutzers erforderlich.123 Anders verhält es sich bei Telemediendiensten jedoch für die Verwendung von Nutzungsdaten im Wege der Werbung und der Markt- und Meinungsforschung. Mit der Schaffung des Telemediengesetzes wurde in § 15 Abs. 3 S. 1 TMG explizit auf die Erstellung von Nutzerprofilen eingegangen. So ist der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder bedarfsgerechten Gestaltung der Telemedien dazu befugt, Nutzungsprofile unter Verwendung von Pseudonymen zu erstellen.124 Eine Einwilligung des Nutzers ist dann nicht erforderlich. 120 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 52; S. Simitis, in: ders., BDSG, § 28, Rdn. 225 ff. 121 E. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 7 ff. 122 Ders., in: G. Spindler/F. Schuster, RdeM, § 96 TKG, Rdn. 4 ff.; ders., § 97 TKG, Rdn. 4. 123 J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 622; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; zum Begriff der Einwilligung vgl. auch B. Eichhorn, Internetrecht, S. 119; zur Maßgeblichkeit der informierten Einwilligung im Lichte der Sicherung der Grundrechte des Betroffenen vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 929; dazu auch Der Bundesbeauftragte für den Datenschutz, Datenschutz in der Telekommunikation, 6. Aufl. 2004, S. 22; P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; S. Simitis, in: ders., BDSG, § 4a, Rdn. 23; G. Spindler/J. Nink, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 12 TMG, Rdn. 7. 124 T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83.

B. Missbrauch personenbezogener Daten

133

Vielmehr wird analog den Regelungen der subsidiär geltenden Vorschrift aus § 28 BDSG dem Nutzer ein Widerspruchsrecht zuerkannt, auf das der Diensteanbieter im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen hat (§ 15 Abs. 3 S. 2 TMG).125 Insgesamt wird das Recht auf Schutz personenbezogener Daten und der informationellen Selbstbestimmung durch die geltenden Vorschriften für die Zweckgebundenheit der Erhebung und Verwendung von Bestands- und Nutzungsdaten des Telemediengesetzes, Bestands- und Verkehrsdaten des Telekommunikationsgesetzes sowie Bestandsdaten für den elektronischen Geschäftsverkehr durch die Vorschriften des Bundesdatenschutzgesetzes weitgehend anerkannt und abschließend geregelt. Die Aggregierung von Datenbeständen zur Erstellung von Kunden- und Nutzerprofilen ist gemäß der Zweckgebundenheit der Datenerhebung und -speicherung grundsätzlich nicht zulässig.126 Auch das Telemediengesetz bindet die Erlaubnis der Erstellung von Nutzerprofilen eng an die Verwendung von Pseudonymen und weist ausdrücklich darauf hin, dass diese Profile nicht mit Bestandsdaten zusammengeführt werden dürfen (§ 15 Abs. 3 S. 3 TMG).127 Jedoch ist festzustellen, dass die angeführten Bestimmungen des Bundesdatenschutzgesetzes und des Telemediengesetzes zur Datenverwendung für Werbe- und Marktforschungszwecke durch die Bindung der Zulässigkeit an die Inanspruchnahme eines Widerspruchsrechts des Betroffenen, den Schutz der personenbezogenen Daten des einzelnen Nutzers und seines Grundrechts auf informationelle Selbstbestimmung aushöhlen. Infolge kann der Betroffene seine berechtigten Interessen und damit den Schutz seines allgemeinen Persönlichkeitsrechts nur eingeschränkt wahrnehmen,128 weil er in der Regel nicht in der Lage ist, die weitere Verwendung seiner Daten vollends zu übersehen. IV. Scoring Mit jedem Vertragsschluss geht der Verkäufer das wirtschaftliche Risiko eines Zahlungsausfalls seitens des Kunden ein. Das sogenannte Scoring stellt ein Ins125

G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 2 f. Zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 127 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 7; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 128 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1; vgl. grundlegend zum allgemeinen Persönlichkeitsrecht D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 59 ff.; M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 138 ff.; vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 318 f.; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 64 ff., ders., Kritik der praktischen Vernunft, S. 142, 144; ders., Metaphysik der Sitten, S. 331, 519. 126

134

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

trument dar, bei dem mit Hilfe standardisierter, mathematisch-statistischer Verfahren ein zukünftiges Zahlungsverhalten eines bestimmten potenziellen oder tatsächlichen Kunden vorhergesagt wird.129 Hierzu werden meist aus vergangenen Rechtsgeschäften gespeicherte Daten über den Betroffenen oder statistisch gewonnene Erfahrungswerte einer Vergleichsgruppe verwendet. „Gehört der Kunde zu einer bestimmten Personengruppe, das heißt, weist er ein Persönlichkeitsprofil auf, bei dem aufgrund des Verhaltens anderer Personen mit gleichen Merkmalen die statistische Vermutung dafür spricht, dass er seinen Zahlungsverpflichtungen wahrscheinlich nicht nachkommen wird, so erhält er keinen Kredit oder keine auf Rechnung gelieferte Ware.“ 130 So kann das Ergebnis des Scorings, der sogenannte Scoringwert, einen entscheidenden Einfluss auf den finanziellen Verfügungsrahmen des Kunden haben. Für den Betroffenen stellt dies einen erheblichen Eingriff in sein Recht auf informationelle Selbstbestimmung dar, da er bei Abschluss eines Rechtsgeschäftes nicht hinreichend überschauen kann, wann und zu welchen Zwecken ein Scoringverfahren über ihn durchgeführt wird, wenn er von der verantwortlichen Stelle oder vom Verkäufer darüber nicht unmittelbar informiert wird. Mit der steigenden Anzahl von Vertragsschlüssen über das Internet, geht unter anderem auch durch den fehlenden persönlichen Kontakt, ein zunehmender Bedarf der Verkäufer einher, die Bonität des Kunden vorab eingehend zu prüfen.131 Aufgrund des Spannungsverhältnisses zwischen der Notwendigkeit nach unternehmerischer Kreditrisikosteuerung und der Verhältnismäßigkeit des Eingriffs in die Grundrechte des Betroffenen, wurden mit der Novellierung des Bundesdatenschutzgesetzes in der Novelle I zum 1. April 2010 die bestehenden Rechtsgrundlagen zur automatisierten Einzelentscheidung (§ 6a BDSG) und zur Datenübermittlung von (§ 28a BDSG) und an Auskunfteien (§ 29 BDSG) weiter konkretisiert.132 Mit § 28b BDSG wurde eine neue Norm geschaffen, mit der die allgemeinen Voraussetzungen für die Durchführung von Scoringverfahren festgelegt wurden. Zulässig ist die Erhebung oder Verwendung von Wahrscheinlichkeitswerten über das zukünftige Verhalten des Betroffenen zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses nur dann, wenn133

129 P. Gola/R. Schomerus, in: ders., BDSG, § 6a, Rdn. 15a; T. B. Petri, Sind Scorewerte rechtswidrig?, in: DuD 27 (2003), S. 631; P. Gola/C. Klug, Die BDSG-Novellen 2009 – Ein kurzer Überblick, in: RDV 4 (2009), Sonderbeilage, S. 1. 130 P. Gola/R. Schomerus, in: ders., BDSG, § 6a, Rdn. 15a. 131 T. B. Petri, Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 631 f. 132 Zur Novelle I des BDSG vgl. BT-Drs.16/13219, 16/10581 und 16/10529; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254 ff. 133 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2255 f.

B. Missbrauch personenbezogener Daten

135

1. die zur Berechnung des Score-Wertes verwendeten Daten auf Basis eines mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. (§ 28b Abs. 1 BDSG) 2. die Herkunft der verwendeten Daten rechtmäßig nach den Voraussetzungen der Datennutzung gemäß § 28 BDSG oder im Falle der Berechnung durch eine Auskunftei die Voraussetzungen der Datenübermittlung gemäß § 29 BDSG erfüllen. (§ 28b Abs. 2 BDSG) 3. für die Berechnung nicht ausschließlich die Anschrift des Betroffenen genutzt wurde, sondern weitere Daten zugrunde liegen. (§ 28b Abs. 3 BDSG) 4. der Betroffene vorab darüber informiert wurde, dass seine Adressdaten Verwendung finden und diese Information von der Daten verarbeitenden Stelle dokumentiert wurde. (§ 28b Abs. 4 BDSG) Die Voraussetzungen des § 28b BDSG tragen dem Umstand Rechnung, dass die Daten verarbeitenden Stellen entweder selbst oder im Auftrag regelmäßig vergangenheitsbezogene Datenbestände auswerten, um auf die künftige Bonität des Kunden schließen zu können. Für den Scorewert, der sich aus diesem Verfahren ergibt werden also Einzelangaben über persönliche und sachliche Verhältnisse des Betroffenen mit anderen Datensammlungen zu einem Persönlichkeitsbild zusammengeführt.134 Bei Scorewerten handelt es sich demnach um automatisiert erstellte Persönlichkeitsbilder, die in Zahlenwerten ausgedrückt werden. Der Gesetzgeber erkennt durch die Aufnahme des Scorings in den Wortlaut des Bundesdatenschutzgesetzes die Entwicklungen und Umstände der modernen Datenverarbeitung an und verbietet dieses Verfahren nicht generell. Er knüpft jedoch die Zulässigkeit dieser Datenverarbeitung zu Recht an die genannten Voraussetzungen des § 28b BDSG, da damit die Gefahr einhergeht, dass automatisierte Entscheidungen, die im Zuge der modernen Technik des Internets ubiquitär speicher- und abrufbar sind, höher gewichtet werden als der Schutz des einzelnen Individuums. Dies gefährdet den Wert und die Würde des Betroffenen und damit verbunden sein Recht auf informationelle Selbstbestimmung.135 So sind gemäß § 6a Abs. 2 Nr. 2 BDSG die wesentlichen Gründe der automatisierten Entscheidung auf Verlangen dem Betroffenen mitzuteilen und zu erläutern.136 Dies setzt jedoch voraus, dass dieser über die Art der Datenverarbeitung Kenntnis erlangt oder be134

T. B. Petri, Sind Scorewerte rechtswidrig?, in: DuD 27 (2003), S. 631. Vgl. dazu BVerfGE 65, 1 (41 f.); T. B. Petri, Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 632. 136 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254. 135

136

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

reits im Vorfeld darüber informiert worden ist. Der Gesetzgeber hat dieser Anforderung in § 34 BDSG entsprochen, indem die Pflichten der verantwortlichen Stelle auf Auskunft gegenüber dem Betroffenen, insbesondere für Scoringverfahren, deutlich erweitert und dessen Rechte damit gestärkt wurden. Mit der Novelle I des Bundesdatenschutzgesetzes zum 1. April 2010 trat mit § 28a BDSG eine neue Vorschrift in Kraft, die spezielle Erlaubnistatbestände für die Übermittlung von Daten an Auskunfteien, wie beispielsweise die SCHUFA definiert, wenn diese die Daten selbst an Dritte übermitteln.137 Voraussetzung für eine zulässige Weiterleitung ist, dass der betroffene Kunde trotz fälliger Rechnung seiner Zahlungsverpflichtung nicht nachgekommen ist, die Übermittlung den berechtigten Interessen auch von Dritten dient und zudem eine der unter § 28a Abs. 1 Nr. 1 bis 5 BDSG angeführten Voraussetzungen gegeben ist.138 Einen besonderen Schutz erfährt der Betroffene bei der Übermittlung von Bankdaten. Gemäß § 28a Abs. 2 BDSG dürfen nur Rahmendaten, keine näheren Einzelheiten, wie das Einkommen des Kunden, weitergegeben werden. Grundsätzlich überwiegt das schutzwürdige Interesse des Betroffenen und dieser ist vor Vertragsabschluss auf die Übermittlung seiner Daten an eine Auskunftei hinzuweisen. § 29 Abs. 1 Nr. 3 BDSG bildet für Auskunfteien die Rechtsgrundlage, auf derer diese Daten speichern und übermitteln dürfen, die ihnen nach § 28a BDSG zugegangen sind. Dabei ist die Auskunftei gemäß § 29 Abs. 2 Satz 2 BDSG dazu verpflichtet, in Stichproben festzustellen, ob bei demjenigen, der Daten aus einem automatisierten Abrufverfahren erhält, tatsächlich ein berechtigtes Interesse vorhanden ist.139 Um einen weitreichenden Schutz des Betroffenen vor Eingriffen in sein Recht auf informationelle Selbstbestimmung zur gewährleisten, wurde ferner mit der umfassenden Novellierung des § 34 BDSG versucht, das Recht auf Auskunft des Betroffenen speziell für die Durchführung von Scoringverfahren zu stärken. Gemäß § 34 Abs. 2 BDSG hat dieser einen Anspruch auf Auskunft über die dafür erhobenen und gespeicherten Wahrscheinlichkeitswerte und die verwendeten Daten sowie die Art der Berechnung des Scoringwertes im Zeitraum der letzten 6 Monate. Stellen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erheben, speichern und verändern, sind nun gemäß § 34 Abs. 3 und 4 BDSG in erweitertem Umfang zur Auskunft gegenüber dem Betroffenen 137

Ders., S. 2254 f. T. B. Petri, Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 634; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254 f. 139 Für externe Scoringverfahren vgl. T. B. Petri, Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 635; zur novellierten gesetzlichen Grundlage des § 29 BDSG vgl. Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2255. 138

C. Datenschutz im WWW

137

verpflichtet.140 Mit § 34 Abs. 1 und 2 BDSG hat der Gesetzgeber dem Schutz des Einzelnen vor der Verbreitung von Wahrscheinlichkeitswerten als Faktum eindeutig Vorrang gegeben. Geschätzte Daten sind von der verantwortlichen Stelle, die diese weitergibt, deutlich als solche zu kennzeichnen. Ferner ist regelmäßig zu prüfen, ob deren Speicherung noch notwendig ist. Ist dies nicht der Fall, sind die Daten umgehend zu löschen. Dies gilt insbesondere nach Beendigung eines Vertrages, allerdings nur auf Verlangen des Betroffenen. Insgesamt wurden die Rechte des Betroffenen durch diese neuen Normen zum Scoringverfahren wesentlich gestärkt und das Ziel des Gesetzgebers141, geeignete rechtliche Grundlagen für mehr Transparenz und Einwirkungsmöglichkeiten für den Betroffenen sowie Rechtssicherheit für die Verarbeitung personenbezogener Daten zu schaffen, erreicht.

C. Datenschutz im WWW I. Inhalte und Ziel Kommunikation über das WWW bedeutet den Austausch von Daten auf elektronischem Wege. Als schützenswert sind jegliche Daten einzustufen anhand derer Rückschlüsse auf die Identität des Nutzers oder auf wesentliche Merkmale der Persönlichkeit des Betroffenen gezogen werden können. Gemäß der Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil existiert im Rahmen der modernen Datenverarbeitung kein belangloses Datum mehr.142 Der Provider kann persönliche Daten hinsichtlich Interessen des Verbrauchers sowie seines Kaufverhaltens erheben. Insbesondere die Möglichkeit, Einschätzungen über die Ansprechbarkeit auf weitere Produkte abzuleiten oder auf dieser Basis Persönlichkeitsprofile zu erstellen,143 machen einen umfassenden Schutz der Identität des Einzelnen notwendig.144 Das Ziel des innerhalb der Grenzen der Bundesrepublik Deutschland geltenden Datenschutzes wird in § 1 BDSG formuliert:145 140 P. Gola/C. Klug, Die BDSG-Novellen 2009, Sonderbeilage RDV 4 (2009), S. 3; zur novellierten Norm des § 34 BDSG vgl. Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2255 f. 141 P. Gola/C. Klug, Die BDSG-Novellen 2009, Sonderbeilage RDV 4 (2009), S. 1. 142 BVerfGE 65, 1 (42, 45); in diesem Sinne auch S. Simitis, in: ders. (Hrsg.), BDSG, Einleitung, Rdn. 33. 143 T. Strömer, Online-Recht – Rechtsfragen im Internet, 4. Aufl. 2006, S. 385; S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 144 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 4; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95; vgl. dazu auch BVerfGE 21, 1 (6). 145 A. Wien, Internetrecht, S. 187.

138

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

„[. . .]den Einzelnen davor zu schützen, dass er durch den Umgang mit personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Da dem einzelnen Nutzer durch die Diversifiziertheit des Angebots146 sowie der Vielzahl von Anbietern im WWW eine vollständige Kontrolle der Verwendung seiner persönlichen Daten unmöglich ist, muss ein umfassender Schutz seines Persönlichkeitsrechts und seines Grundrechts auf informationelle Selbstbestimmung gewährleistet werden. Ähnlich stellte dies im Zusammenhang mit der Verarbeitung von Verbraucherdaten aus elektronischen Rechtsgeschäften auch die Bundesregierung im Zwischenbericht zum Petersberg-Kreis fest. Danach ist im Rahmen von rechtsgeschäftlichen Angeboten im WWW sicherzustellen, dass eine Angabe personenbezogener Daten durch den Verbraucher nur erfolgen muss, wenn dies zu einer Abwicklung des Vertragsverhältnisses zwingend erforderlich ist. Datenerhebungen, die zu dem Zweck erfolgen, die Nutzung eines bereitgestellten Angebots im Internet, im Einzelnen die Verweildauer auf der Webseite und damit die Präferenz einzelner Produkte zu protokollieren, sind untersagt.147 Der Schutz der Privatsphäre leitet sich für den privaten Nutzer des Internets aus der Verwirklichung des Grundrechts auf Persönlichkeitsschutz ab, welches nicht primär mit dem Schutz personenbezogener Daten, sondern insbesondere mit der Sicherung des Rechts auf informationelle Selbstbestimmung verbunden ist. Dem Gesetzgeber obliegt auf der Grundlage des allgemeinen Persönlichkeitsrechts gemäß Art. 1 und Art. 2 GG und dem daraus abgeleiteten Recht auf informationelle Selbstbestimmung die Schutzpflicht148 für den einzelnen Bürger und damit auch die Verpflichtung zum Erlass geeigneter datenschutzrechtlicher Vorschriften.149 Für den Schutz personenbezogener Daten im Internet wurden seit dem Volkszählungsurteil des Bundesverfassungsgerichts, in dem die elektronische Verarbeitung personenbezogener Daten als ein regelungsrelevanter Bestandteil der modernen Gesellschaft erkannt und anerkannt wurde, zahlreiche Gesetze erlassen.150 Nach ebenso zahlreichen Novellierungen und zuletzt der Vereinheitlichung der Gesetze für den Datenschutz bei Tele- und Mediendiensten durch das Telemediengesetz, existiert nunmehr ein Regelungskatalog, welcher stärker auf eine effektive Sicherung der Grundrechte der betroffenen Nutzer fokussiert ist. So bilden die verfassungsrechtlichen Grundlagen des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG und des Grundrechts auf infor146 V. Boehme-Neßler, Cyberlaw, 2001, S. 284 f.; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241. 147 Vgl. Zwischenbericht des „Petersberg-Kreises“, abgedr. in RDV 1996, S. 149. 148 M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 149 BVerfGE, 65, 1 (44) unter Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 150 A. Wien, Internetrecht, S. 188.

C. Datenschutz im WWW

139

mationelle Selbstbestimmung die Grundlage für die in den Vorschriften des Bundesdatenschutzgesetzes materialisierten Grundsätze für das deutsche Datenschutzrecht.151 Weiter sind die spezialgesetzlichen Vorschriften des Telekommunikationsgesetzes, des Telemediengesetzes und des Rundfunkstaatsvertrags (RStV)152 für den Schutz personenbezogener Daten im WWW heranzuziehen. Für strafrechtlich relevante Handlungen sind die entsprechenden Vorschriften des Strafgesetzbuches einschlägig. Das deutsche Datenschutzrecht findet seinen Ursprung in den vorgenannten verfassungsrechtlichen Grundlagen, aus welchen das Bundesverfassungsgericht für den Betroffenen ein Recht auf informationelle Selbstbestimmung abgeleitet hat.153 Das Bundesverfassungsgericht hat in seinem Volkszählungsurteil vom 15. Dezember 1983154 den Schutz personenbezogener Daten im Wege der elektronischen Datenverarbeitung erstmalig in Verbindung mit den verfassungsrechtlich materialisierten Grundrechten des Betroffenen festgestellt: „Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf ,informationelle Selbstbestimmung‘ sind nur im überwiegenden Allgemeininteresse zulässig.“ 155

Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz nicht als eigenständiges Grundrecht expliziert,156 sondern wurde auf Grundlage des allgemeinen Persönlichkeitsrechts abgeleitet. Das Bundesverfassungsgericht erkennt in vorgenanntem Urteil dieses als vorrangige Grundlage für den Datenschutz an: „[. . .] wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 i.V. m. Art. 1 Abs.1 Grundgesetz umfasst.“157

151

A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 244. Staatsvertrag für Rundfunk und Telemedien (RStV) vom 31.8.1991 in der Fassung von Artikel 1 des zehnten Staatsvertrages zur Änderung rundfunkrechtlicher Staatsverträge vom 19.12.2007 (GBl. 2008, S. 237), in Kraft getreten am 01.09.2008. 153 BVerfGE 65, 1 (43). 154 BVerfGE 65, 1 (1 ff.). 155 BVerfGE 65, 1 (42). 156 Vgl. zum Eingriff in die Rechtssphäre des Bürgers Quellensteuerurteil des Bundesverfassungsgerichts, BVerfGE, 84, 239 (269); zur Ableitung eines grundrechtlichen Ansatzes der informationellen Selbstbestimmung gemäß der Europäischen Charta der Grundrechte sowie der EG-Datenschutzrichtlinie vgl. P. Schaar, Datenschutzrecht, S. 44; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 244; vgl. auch zum Recht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts grundlegend D. Murswiek, Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, 1996, Rdn. 88, 121 ff. 157 BVerfGE 65, 1 (43); A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 244. 152

140

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Gemäß dem Prinzip des Gesetzesvorbehalts bedürfen Beschränkungen dieses Grundrechts einer gesetzlichen Grundlage. Demnach müssen die Voraussetzungen, sowie der Umfang einer Einschränkung des allgemeinen Persönlichkeitsrechts für den Bürger, als dem betroffenen privaten Nutzer des WWW klar erkennbar sein und dem rechtsstaatlichen Gebot der Normenklarheit entsprechen.158 Liegt keine ausdrückliche gesetzliche Erlaubnis vor, so ist jegliche Verwendung persönlicher Angaben des Betroffenen von vorneherein untersagt.159 Durch den Ausschluss der Abhängigkeit des Schutzanspruchs vom Sensibilitätsgrad der Daten hat das Bundesverfassungsgericht seine vormals vertretene Dogmatik der unterschiedlichen Schutzwürdigkeit personenbezogener Daten aufgrund der Differenzierung verschiedener persönlicher Sphären, nicht explizit aufgehoben, jedoch weitgehend dadurch entkräftet, dass der Fokus für die Bewertung eines Eingriffs in die Grundrechte der Betroffenen nun primär anhand des Verwendungszusammenhangs der Datenverarbeitung erfolgt.160 Dies ist insbesondere vor dem Hintergrund der zahlreichen Auswertungs- und Verknüpfungsmöglichkeiten personenbezogener Daten relevant.161 Stellt ein Nutzer beispielsweise ein Angebot auf einer Internetauktionsplattform wie Ebay ein, so wird dieses auch als Ergebnis einer Recherche von Internetsuchmaschinen wie Google angezeigt.162 Dritte können somit auf personenbezogene Daten des Nutzers wie Benutzername, das eingestellte Angebot, Ort des Versands oder Anzahl der Bewertungen des Verkäufers durch Käufer zugreifen. Im Rahmen der Novellierung des Bundesdatenschutzgesetzes im Jahr 2001 wurde die Erhebung personenbezogener Daten in § 4 Abs. 1 BDSG aufgenommen. Somit erstreckt sich ein Eingriff in das Recht auf informationelle Selbstbestimmung nun auf den gesamten Prozess der Datenverarbeitung, genauer der Erhebung, Speicherung, Nutzung und Löschung.163

158

BVerfGE 65, 1 (44). S. Simitis, Auf dem Weg zu einem neuen Datenschutzkonzept, DuD 2000, 720; P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 4 f., 7; B. Sokol, Kommentierung des § 4 Abs. 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 2, 6 f., 8 f. 160 Zur Berücksichtigung des Verwendungszusammenhangs vgl. S. Simitis, in: ders. (Hrsg.), BDSG, § 1, Rdn. 95. 161 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 2; P. Schaar, Datenschutz im Internet, S. 4; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241. 162 W. Schmidt, Google – Lustige Gugelei, in: Nürnberger Nachrichten, 19./20.8. 2006, Magazin, S. 1; vgl. M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 108; zur Medien- und Datenmacht des Suchmaschinenbetreibers auch J. Rohlederer/ J. Hirzel, Google oder böse?, in: Focus 42 (2006), S. 226 f. 163 P. Schaar, Datenschutz im Internet, S. 45; zur vorher geltenden Regelung über die Zulässigkeit der Datenerhebung für öffentliche Stellen unter der Voraussetzung des Handelns nach Treu und Glauben vgl. D. Christians, Die Novellierung des Bundesda159

C. Datenschutz im WWW

141

Die Erhebung und Nutzung werden vom Begriff der Verarbeitung gemäß § 3 Abs. 2 BDSG nicht explizit erfasst.164 Der Schutz dieser Phasen ergibt sich jedoch anhand der Vorschriften des Art. 2 Abs. 2 EG Datenschutzrichtlinie, der die Materialisierung in weiteren Normen des Bundesdatenschutzgesetzes, wie der automatisierten Verarbeitung gemäß § 3 Abs. 2 BDSG, vorschreibt.165 Mit dem Recht auf Schutz der personenbezogenen Daten auf Grundlage des Rechts auf informationelle Selbstbestimmung ist auch eine präventive Wirkung zugunsten der Teilnahme des einzelnen Bürgers am öffentlichen Geschehen verbunden. Dies hat das Bundesverfassungsgericht in seinem Volkszählungsurteil wie folgt festgestellt: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden [. . .] Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Informationen dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. Wer damit rechnet, dass etwa die Teilnahme an einer Versammlung oder einer Bürgerinitiative behördlich registriert wird und dass ihm dadurch Risiken entstehen könnten, wird möglicherweise auf einer Ausübung seiner entsprechenden Grundrechte (Art. 8, 9 GG) verzichten. Dies würde nicht nur die individuellen Entfaltungschancen des Einzelnen beeinträchtigen, sondern auch das Gemeinwohl, weil Selbstbestimmung eine elementare Funktionsbedingung eines auf Handlungsfähigkeit und Mitwirkungsfähigkeit seiner Bürger begründeten freiheitlichen demokratischen Gemeinwesens ist.“ 166

Somit ist nicht nur eine erfolgte unbeschränkte Registrierung und Verarbeitung personenbezogener Daten, sondern bereits die Möglichkeit, dass das Grundrecht auf informationelle Selbstbestimmung des einzelnen Nutzers dadurch beschränkt wird, mit der auf der allgemeinen Freiheit beruhenden demokratischen Grundordnung nicht vereinbar.167 Der Schutzbereich des deutschen Datenschutzrechts umfasst analog des Geltungsbereichs des Grundrechts auf informationelle Selbstbestimmung natürliche tenschutzgesetzes – Statusbericht, in: RDV 4, 2000, Sonderdruck zur BDSG-Novellierung, S. 10. 164 Von dieser Vorschrift wird lediglich das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten erfasst. 165 Gemäß den Vorschriften der Landesdatenschutzgesetze wird die Erhebung und Nutzung unter den Begriff der Verarbeitung subsumiert. 166 BVerfGE 65, 1 (43 f.); zur Teilhabe am öffentlichen, politischen Prozess vgl. C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 167 K. A. Schachtschneider, Freiheit in der Republik, S. 116, 238; vgl. dazu BVerfGE 2, 1 (12 f.); zur freiheitlichen Demokratie als Staatsordnung ferner BVerfGE 5, 85 (197).

142

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Personen. Daten juristischer Personen werden somit vom Geltungsbereich des Bundesdatenschutzgesetzes nicht erfasst. Gemäß § 3 Abs. 1 BDSG werden unter den Begriff der Betroffenen nur natürliche und bestimmte oder bestimmbare Personen subsumiert. Die Voraussetzung der Bestimmbarkeit ist auch bei einer indirekten Identifizierung von Personen unter Verwendung zusätzlicher zugänglicher, erhobener oder gespeicherter Informationen erfüllt.168 Ferner differenziert das für die Bundesrepublik Deutschland gültige Datenschutzrecht für den Schutz personenbezogener Daten unterschiedliche Regelungsbereiche für öffentliche und nicht-öffentliche Stellen. Grundsätzlich handelt es sich bei den verfassungsrechtlich garantierten Rechten, und damit auch dem allgemeinen Persönlichkeitsrecht, um Abwehrrechte des einzelnen Bürgers gegen staatliche Stellen.169 Staatlichen Organen und Behörden erwächst damit als eingesetzten Vertretern der Bürger anhand dieser Rechte auch eine Verpflichtung zum Schutz vor Eingriffen in das Grundrecht auf informationelle Selbstbestimmung des Einzelnen.170 Da jedoch die automatisierte Datenverarbeitung, insbesondere auch im nichtöffentlichen Bereich, vorgenommen wird, erstreckt sich der Geltungsbereich des Rechts auf informationelle Selbstbestimmung als unverzichtbare Grundlage zum Erhalt der objektiven Wertordnung, auch auf die Regelung von Rechtsbeziehungen zwischen Privaten.171

168 Als ausreichend für den Personenbezug gilt nicht nur eine direkte, sondern auch die indirekte Zuordnung oder Identifizierung einer Person, evtl. unter Verwendung zusätzlicher Informationen. Entscheidend ist allein die Möglichkeit einer Zuordnung. Vgl. dazu P. Schaar, Datenschutz im Internet, S. 55; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 3; S. Simitis, in: S. Simitis, BDSG, § 1, Rdn. 58 ff.; ebenso P. Gola/ R. Schomerus, in: ders., BDSG, § 3 Abs. 1, Rdn. 3; U. Dammann, in: S. Simitis, BDSG, § 3 Abs. 1, Rdn. 4 ff. 169 P. Schaar, Datenschutz im Internet, S. 47; kritisch K. A. Schachtschneider, Freiheit in der Republik, S. 276; vgl. dazu auch F. Ossenbühl, Die Interpretation der Grundrechte in der Rechtsprechung des Bundesverfassungsgerichts, NJW 1976, 2100 ff. 170 Zur Schutzpflicht vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 312, 370, 512; ders., Umweltschutz (FCKW-Verbot), in: ders., Fallstudien zum Öffentlichen Wirtschaftsrecht, 3. Aufl. 2003, S. 303 ff.; ders., Res publica res populi, S. 545 ff., 819 ff.; J. Isensee, HStR, Bd. V, § 111, Rdn. 80 ff.; E.-W. Böckenförde, Grundrechte als Grundsatznormen. Zur gegenwärtigen Lage der Grundrechtsdogmatik, Der Staat 29 (1990), S. 12 ff.; P. Kirchhof, HStR, Bd. III, § 59, Rdn. 35 ff.; E. Klein, Grundrechtliche Schutzpflichten des Staates, NJW 1989, 1633 ff.; M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 3, Rdn. 1 ff.; 13; 39; zur Funktion der Grundrechte als Abwehrrechte gegen den Staat vgl. Rechtsprechung BVerfGE 7, 198 (204). 171 Vgl. dazu U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 139 ff., 173 ff., insbesondere zur Bedeutung des Rechts auf informationelle Selbstbestimmung im Privatrechtsverhältnis Rdn. 191; T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 91; so auch B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, 2006, S. 46 ff.; C.-W. Canaris, Grundrechte und Privatrecht, AcP 184 (1984), 231; vgl. Rechtsprechung grundlegend BVerfGE 7, 198 (203 ff.).

C. Datenschutz im WWW

143

Dieser Ableitung können die Feststellungen des Bundesgerichtshofs in der Schachtbriefentscheidung aus dem Jahr 1954 zugrunde gelegt werden. Danach stellt das Grundrecht auf Würde und freie Entfaltung der Persönlichkeit ein „als privates, von jedermann zu achtendes Recht“ dar, aus welchem die Anerkennung eines allgemeinen Persönlichkeitsrechts für den Privatrechtsverkehr folgt.172 Dieser Ansatz der Drittwirkung der Grundrechte wird in der Literatur vielfach kritisch diskutiert.173 Für den Regelungsbereich des Internets und speziell des WWW erlangt die mittelbare Drittwirkung der Grundrechte eine besondere Relevanz, weil bis heute die Quantität an Regelungssachverhalten nicht-öffentlicher Stellen über denen öffentlicher Stellen liegt. So wurden bei der Novellierung des Bundesdatenschutzgesetzes im Jahr 1991 die vormals für den öffentlichen Bereich entwickelten Vorschriften analog den Vorgaben des Volkszählungsurteils des Bundesverfassungsgerichts und der damit einhergehenden Anwendung des Rechts auf informationelle Selbstbestimmung für Private auch auf nicht-öffentliche Stellen übertragen und bedarfsgerecht weiterentwickelt.174 Gemäß den im Volkszählungsurteil festgestellten Grundlagen zum Schutz des Rechts auf informationelle Selbstbestimmung und der Privatsphäre des Betroffenen, dürfen öffentliche und nicht-öffentliche Stellen personenbezogene Daten nur insoweit erheben, als dies zur Erfüllung ihrer Aufgaben unmittelbar notwendig ist.175 Somit ist die Daten verarbeitende Stelle dazu verpflichtet, Daten nur soweit es für einen bestimmten Geschäftszweck erforderlich ist, zu erheben, zu speichern oder zu verarbeiten. Der Grundsatz der Erforderlichkeit ist als erfüllt anzusehen, sofern Art und Umfang der zur Speicherung und Verarbeitung erhobenen Daten geeignet sind, das Ziel der Verarbeitung unmittelbar zu erreichen und sich dieses Ziel nicht ohne die Sammlung personenbezogener Daten oder unverhältnismäßigen Auf172 BGHZ 13, 334 (338); kritisch dazu C.-W. Canaris, Grundrechte und Privatrecht, AcP 184 (1984), 231; weiterführend zum Ansatz der unmittelbaren Drittwirkung auch BGHZ 24, 72 (76); 27, 284 (285). 173 Vgl. H. C. Nipperdey, Grundrechte und Privatrecht, S. 15, 16 ff.; H. Hubmann, Das Persönlichkeitsrecht, 1967, S. 107 ff.; B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, 2006, S. 46 ff.; zur Anwendung der mittelbaren Drittwirkung U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 138 ff.; vgl. Rechtsprechung zur mittelbaren Drittwirkung des allgemeinen Persönlichkeitsrechts BVerfGE 35, 202 (219 ff.); BVerfG, 1 BvR 348/98 vom 25.11.1999, Abs. 1 ff.; NJW 2000, 1859 f. 174 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 11; P. Gola/R. Schomerus, in: ders., BDSG, Einleitung, Rdn. 6 ff. 175 BVerfGE 65, 1 (53); T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 307; zum Recht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs (Hrsg.), GG, Art. 2 Abs. 1 GG, Rdn. 88, 121 ff.; vgl. auch P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 14.

144

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

wand realisieren lässt.176 Dieser Grundsatz wurde durch Art. 7 EG Datenschutzrichtlinie auch für nicht-öffentliche Stellen materialisiert und in § 28 BDSG umgesetzt. Der aus dem Gebot der Erforderlichkeit resultierende Grundsatz der Datenvermeidung und Datensparsamkeit wurde darüber hinaus explizit für die Gestaltung und Auswahl von Datenverarbeitungssystemen in § 3a S. 1 BDSG materialisiert.177 Weiter fand die Bindung der Datenerhebung an das Gebot der Erforderlichkeit auch in die spezialgesetzlichen Regelungen des Telekommunikationsgesetzes und des Telemediengesetzes Eingang. Das Telekommunikationsgesetz bindet Anbieter von Telekommunikationsdienstleistungen in § 89 TKG ausdrücklich an diese Voraussetzung. Die vormals gemäß §§ 5 und 6 TDDSG geltenden Vorgaben zur Erforderlichkeit für Bestands- und Nutzungsdaten wurden nun anhand der vorgenannten Datenarten in § 14 Abs. 1 TMG (Bestandsdaten) und § 15 Abs. 1 TMG (Nutzungsdaten) getrennt materialisiert. Neben der Erforderlichkeit wird der Umfang der Datenerhebung und -speicherung zu eigenen Zwecken durch den Grundsatz der Zweckbindung beschränkt. Die Speicherung, Veränderung oder Nutzung personenbezogener Daten durch öffentliche Stellen ist gemäß § 14 Abs. 1 S. 1 BDSG nur im Rahmen des ursprünglichen Zwecks der Datenerhebung zulässig. Nicht-öffentliche Stellen unterliegen diesem Gebot nur eingeschränkt (§ 31 BDSG).178 Für die weitere Nutzung der Daten durch nicht-öffentliche Stellen ist die Zulässigkeit des gesamten Datenverarbeitungsprozesses (erheben, speichern, verändern, übermitteln oder nutzen) gemäß § 28 Abs. 1 S. 2 BDSG daran gebunden, dass der konkrete Zweck zum Zeitpunkt der Erhebung festgelegt wird.179 Eine nachträgliche Zweckänderung ist mithin nicht zulässig. 176 P. Schaar, Datenschutz im Internet, S. 48; P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 7, 28. 177 P. Gola/R. Schomerus, Kommentierung des § 3a BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzegesetz Kommentar, 9. Aufl. 2007, Rdn. 4 ff.; J. Bizer, Kommentierung des § 3a BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 50 ff.; gemäß der mit der Novellierung des Bundesdatenschutzgesetzes zum 1.9.2009 inkraftgetretenen Neufassung des § 3a BDSG gelten die Grundsätze der Datenvermeidung und Datensparsamkeit nun generell. Eingeschlossen ist neben der Arbeit mit Datenverarbeitungssystemen beispielsweise auch die Verarbeitung von Daten in Papierform. Vgl. Gesetz zur Änderung datenschutzrechtlicher Vorschriften, BGBl. I, S. 2814. 178 P. Schaar, Datenschutz im Internet, S. 48; P. Gola/R. Schomerus, Kommentierung des § 14 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 9 ff.; U. Dammann, Kommentierung des § 14 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 39 ff.; für nicht-öffentliche Stellen vgl. P. Gola/R. Schomerus, Kommentierung des § 31 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 5 f. 179 P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 48; S. Simitis, Kommentierung des § 28 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 65 f.

C. Datenschutz im WWW

145

Allgemein differenziert § 3 Abs. 1 BDSG für die Zulässigkeit des Umgangs mit personenbezogenen Daten für öffentliche wie nicht-öffentliche Stellen zwischen deren Erhebung und Verwendung. Die Verwendung unterteilt sich wiederum in die Verarbeitung (§ 3 Abs. 4 BDSG) und die Nutzung (§ 3 Abs. 5 BDSG).180 Für die Datenverarbeitung im Rahmen von vertraglichen Verhältnissen zwischen privatem Nutzer und Telekommunikationsanbieter oder Anbieter von Telemediendiensten nehmen die Vorschriften des Telekommunikationsgesetzes und des Telemediengesetzes keine Differenzierung zwischen öffentlichen und nichtöffentlichen Stellen vor. Als Ausfluss aus dem Erforderlichkeitsgrundsatz resultiert, dass erhobene Daten nicht über den zur Zielerreichung erforderlichen Zeitraum hinaus gespeichert werden dürfen. Die speichernde Stelle ist verpflichtet, personenbezogene Daten so früh wie möglich zu löschen (§ 35 Abs. 1 S. 1 Nr. 3 BDSG). Ist der Grund und Zweck der Datenspeicherung und -verarbeitung bereits entfallen, kann der Gesetzgeber stattdessen auch eine Sperrung des vorhandenen Datenmaterials verlangen.181 Ein Anbieter von Waren im WWW darf demnach persönliche Daten des Bestellers rechtmäßig nur solange speichern, wie es der Prozess der Erfüllung seiner vertraglichen Pflichten zur Lieferung und Leistung erfordert. Demgegenüber dürfen gemäß § 97 Abs. 3 S. 3 TKG Anbieter von Telekommunikationsdienstleistungen Verkehrsdaten in anonymisierter Form maximal 6 Monate nach Versenden der Abrechnung für den Nutzer speichern. Entsprechendes gilt für Nutzungsdaten als Abrechnungsdaten von Telemediendiensten gemäß § 15 Abs. 4 S. 1 und Abs. 7 S. 1 TMG.182 Unumgängliche Voraussetzung für die Inanspruchnahme und Gewährleistung des Grundrechts auf Persönlichkeitsschutz sowie der informationellen Selbstbestimmung ist, dass der Betroffene über die Art und den Umfang der Verwendung

180 Gemäß § 3 Abs. 4 BDSG wird das Verarbeiten von Daten in fünf eigenständige Phasen der Datenverarbeitung unterteilt: das Speichern, Verändern, Übermitteln, Sperren und Löschen von Daten; vgl. zur den einzelnen Phasen weiterführend B. Eichhorn, Internetrecht, S. 121 f.; ausführlich dazu U. Damann, Kommentierung des § 3 Abs. 4 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 106 ff., 117 ff., 120 ff. 181 Explizit zur Berichtigung, Löschung und Sperrung von Daten § 35 BDSG. vgl. dazu P. Gola/R. Schomerus, Kommentierung des § 35 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 10 ff.; O. Mallmann, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, § 35, Rdn. 15 ff., zur Sperrung Rdn. 38 ff.; entsprechend gilt für Anbieter von Telekommunikationsdienstleistungen § 95 Abs. 1 und 3 TKG sowie zur Speicherung von Verkehrsdaten auch § 96 Abs. 2 Satz 2 TKG, im Rahmen der Entgeltermittlung und Entgeltabrechnung § 97 Abs. 3 Satz 2 TKG. 182 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 97 TKG, Rdn. 12 f.; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 9 f.

146

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

seiner Daten Kenntnis hat. Das Bundesverfassungsgericht hat die Information des Betroffenen als „verfahrensrechtliche Schutzvorkehrung“ anerkannt.183 Entsprechend wurde diese Feststellung in den Vorschriften des Bundesdatenschutzgesetzes im Rahmen des Gebots der Transparenz der Datenverarbeitung materialisiert. Im Vordergrund der Bestimmungen steht die Gewährleistung der Informiertheit des betroffenen Nutzers, auf deren Grundlage er eine selbstbestimmte Entscheidung in Form einer Einwilligung oder eines Widerspruchs zur Verwendung seiner persönlichen Daten treffen kann.184 Die Daten verarbeitende Stelle hat somit sicherzustellen, dass der Einzelne vor der Erhebung seiner Daten darüber in Kenntnis gesetzt wird, was mit diesen weiter geschieht. Die Einwilligung des Betroffenen ist gemäß § 4a Abs. 1 BDSG nur wirksam, sofern sie auf einer freien Entscheidung des Betroffenen beruht.185 Diese Voraussetzung hat insbesondere bei Angeboten von Waren- und Dienstleistungen Bedeutung, bei welchen die Bestellung mitunter von der Preisgabe186 zusätzlicher Informationen wie E-Mail Adresse, Geburtsdatum oder Telefonnummer abhängig gemacht wird.187 Damit ist der Anbieter in der Lage, die Adressdaten des Kunden mit dessen Bestandsdaten zu einem persönlichen Profil zusammenzuführen oder die Datensammlung Dritten zur weiteren Nutzung zur Verfügung zu stellen.188

183

BVerfGE 65, 1 (46). B. Eichhorn, Internetrecht, S. 119; B. Sokol, Kommentierung des § 35 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 39 f.; S. Simitis, Die EU-Datenschutzrichtlinie: Stillstand oder Anreiz ?, NJW 1997, 281, 285; H.-H. Trute, Der Schutz personenbezogener Informationen in der Informationsgesellschaft, JZ 1998, 827. 185 Gemäß Art. 2 Buchst. h der EU-Datenschutzrichtlinie wird die informierte Einwilligung als eine Willensbekundung definiert, welche „in Kenntnis der Sachlage“ erfolgt. P. Gola/R. Schomerus, in: ders., BDSG, § 4a, S. 178; S. Simitis, in: ders., BDSG, § 4a, Rdn. 67. 186 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 187 Der Anbieter fragt diese Zusatzdaten üblicherweise unter der Maßgabe der Erforderlichkeit im Rahmen der vertraglichen Pflichten zur Abrechnung, Lieferung oder Leistung ab. Tatsächlich erhält der Kunde unter Umständen auch nach der Lieferung oder Leistung auch Informationen wie Newsletter, Kataloge oder Angebote per SMS von fremden Unternehmen zugesandt. So bindet der Mailbox-Anbieter GMX (www. gmx.de) beispielsweise die Inanspruchnahme seines Angebots einer kostenlosen E-Mail-Adresse und Mailbox an eine regelmäßige Erneuerung des Kundenprofils von seinen Nutzern. Anzugeben sind hier Präferenzen hinsichtlich vorausgewählter Kategorien wie genutzte Medien und Medientitel, Sportarten, Konsumverhalten, etc.; vgl. dazu T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. Ob es sich hier um eine freie Entscheidung des Betroffenen handelt, ist in diesem Fall in Frage gestellt, da der Betroffene zwar wissentlich vor der ersten Nutzung des Angebots per Mausklick in die Allgemeinen Geschäftsbedingungen des Anbieters eingewilligt, jedoch die Inanspruchnahme der kostenlosen Nutzung der Mailbox von einer regelmäßigen Folgeauskunft über seine persönlichen Präferenzen abhängig ist. 188 J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), S. 621 f.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 184

C. Datenschutz im WWW

147

In diesen Fällen liegt es nahe, dass der Kunde sowohl mangels Kenntnis die Verwendung seiner Daten nicht hinreichend überschauen kann und ihm damit die Möglichkeit, sein Recht auf informationelle Selbstbestimmung in Anspruch zu nehmen, vorenthalten wird. Kommt ein Anbieter mithin seinen Informationspflichten nicht in ausreichendem Masse nach und verwendet die erhobenen Daten zu anderen als den ursprünglich angegebenen Zwecken ohne ausreichende rechtliche Grundlage, so verstößt dieser gegen die Vorschrift des § 4 in Verbindung mit § 4a BDSG. Wie jedoch kann der Betroffene im Nachhinein unter den Bedingungen der Möglichkeit zur dezentralen Speicherung und Verarbeitung seiner Daten feststellen, an welche Stellen diese zur weiteren Verwendung weitergeleitet wurden? Gemäß § 4 Abs. 2 S. 2 BDSG dürfen personenbezogene Daten ohne die Mitwirkung des Betroffenen erhoben werden, sofern 1.

eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt,

2a. die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder der Geschäftszweck eine Erhebung bei anderen Personen oder Stellen erforderlich macht, oder 2b. die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, und 3.

keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.

Die Bestimmungen des Bundesdatenschutzgesetzes gelten entsprechend auch für das Angebot von Telekommunikationsdienstleistungen und Telemediendiensten, weil die spezialgesetzlichen Regelungen keine entsprechenden Vorschriften enthalten. So weist § 12 Abs. 4 TMG darauf hin, dass, sofern dieses Gesetz keine speziellen Bestimmungen enthält, die allgemeinen Vorschriften zum Schutz personenbezogener Daten aus dem Bundesdatenschutzgesetz anzuwenden sind. Um die Transparenz der Datenverwendung über das WWW sicherzustellen, dienen neben der Hinweispflicht des Anbieters über die Erhebung, Verarbeitung und Nutzung personenbezogener Daten weiter die im Bundesdatenschutzgesetz sowie Telemediengesetz enthaltenen Vorschriften zur Anbieterkennzeichnung (Impressumspflicht) gemäß § 4 Abs. 3 Nr. 1 BDSG (Unterrichtungspflicht)189, § 5 TMG und Auskunftsrechte der Betroffenen190 gemäß §§ 6, 19, 34 BDSG sowie § 13 Abs. 7 S. 1 TMG. 189 P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 30; B. Sokol, in: S. Simitis, BDSG, § 4, Rdn. 41. 190 P. Gola/R. Schomerus, in: ders., BDSG, § 34, Rdn. 8 ff.; O. Mallmann, in: S. Simitis, BDSG, § 34, Rdn. 9 ff.; zu § 13 TMG vgl. G. Spindler/J. Nink, Kommentierung des § 13 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 16.

148

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Die gesetzliche Materialisierung der vorgenannten Prinzipien zur Verwendung personenbezogener Daten im WWW rekurriert direkt auf den grundrechtlich garantierten Schutz des Einzelnen vor Eingriffen in seine persönlichen Lebensumstände. Die Sicherung der Privatsphäre und des allgemeinen Persönlichkeitsrechts erscheint allerdings im Rahmen der vielfältigen Möglichkeiten zur Erhebung, Verknüpfung und weiteren Verwendung personenbezogener Daten deutlich erschwert. Insbesondere fallen diejenigen Handlungen von Providern ins Gewicht, die unter Einsatz der technischen Möglichkeiten sowie der Unkenntnis des privaten Nutzers Daten erheben, um diese zur Erstellung von Persönlichkeitsprofilen des Kunden weiter zu verarbeiten oder an Fremdunternehmen zu verkaufen.191 Das Bundesverfassungsgericht hat die Notwendigkeit der Festlegung einer absoluten Grenze für die automatisierte Datenerhebung und -verarbeitung erkannt und bereits in der Mikrozensus-Entscheidung im Jahr 1969192 die Unvereinbarkeit der Erstellung von Persönlichkeitsprofilen mit der Menschenwürde festgestellt: „Mit der Menschenwürde wäre es nicht zu vereinbaren, wenn der Staat das Recht für sich in Anspruch nehmen könnte, den Menschen zwangsweise in seiner ganzen Persönlichkeit zu registrieren und zu katalogisieren, sei es auch in der Anonymität einer statistischen Erhebung, und ihn damit wie eine Sache zu behandeln, die einer Bestandsaufnahme in jeder Beziehung zugänglich ist.“ 193

So überschreitet die Erstellung von detaillierten Persönlichkeitsprofilen dem Grundsatz nach die Schwelle der durch verfassungsrechtliche und spezialgesetzliche Vorschriften beschränkten und beschränkbaren Datenverarbeitung als Eingriff in den privaten Lebensbereich des WWW-Nutzers.194 Diesen Grundsatz hat das Bundesverfassungsgericht auch in seinem Urteil zur Volkszählung im Jahr 1983 seiner Entscheidung zugrunde gelegt: „Das Erhebungsprogramm vermag zwar einzelne Lebensbereiche, zum Beispiel den Wohnbereich des Bürgers, jedoch nicht dessen Persönlichkeit abzubilden. Etwas anderes würde nur gelten, soweit eine unbeschränkte Verknüpfung der erhobenen Daten mit den bei den Verwaltungsbehörden vorhandenen, zum Teil sehr sensitiven Daten191 Zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95. 192 BVerfGE 27, 1 (1 ff.). 193 BVerfGE 27, 1 (6); zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95. 194 J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 623; P. Schaar, Persönlichkeitsprofile im Internet, DuD 2001, 383; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, Kommentierung des § 1 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 95.

C. Datenschutz im WWW

149

beständen oder gar die Erschließung eines derartigen Datenverbundes durch ein einheitliches Personenkennzeichen oder sonstiges Ordnungsmerkmal möglich wäre; denn eine umfassende Registrierung und Katalogisierung der Persönlichkeit durch die Zusammenführung einzelner Lebensdaten und Personaldaten zur Erstellung von Persönlichkeitsprofilen der Bürger ist auch in der Anonymität statistischer Erhebungen unzulässig.“ 195

Die Unzulässigkeit von Persönlichkeitsprofilen, wie sie auch in die Bestimmungen des Bundesdatenschutzgesetzes Eingang gefunden hat, bezieht sich nicht ausschließlich auf die Datenverwendung öffentlicher Stellen. Auch nicht-öffentliche Stellen unterliegen in ihrer Eigenschaft als Private dem Verbot, ohne ausdrückliche Einwilligung des Betroffenen Persönlichkeitsprofile zu erstellen.196 Die aus den Grundsätzen der informationellen Selbstbestimmung resultierenden Vorgaben zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten lassen sich somit in sieben Grundsätzen zusammenfassen:197 1. Präventives Verbot mit Erlaubnisvorbehalt: Voraussetzung für die Zulässigkeit der Verwendung personenbezogener Daten ist die rechtswirksame Einwilligung des Betroffenen oder das Vorliegen einer expliziten Ermächtigung. 2. Normenklarheit: Der Inhalt der gesetzlichen Normen zur Erlaubnis der Verwendung personenbezogener Daten muss für den Betroffenen eine eindeutige Zweckbestimmung enthalten. Der Datenverwender unterliegt gemäß § 4a Abs. 1 S. 2 BDSG umfassenden und dem Wortlaut der Norm eindeutig zu entnehmenden Hinweispflichten, deren Erfüllung die Einwilligung des Betroffenen zur Verwendung seiner Daten bedingen. 3. Zweckbindung: Die weitere Verarbeitung und Verwendung personenbezogener Daten ist nur im Rahmen der bereits bei der Erhebung festgelegten Zweckbestimmung zulässig; Änderungen des Verarbeitungszwecks erfolgen ohne Einwilligung des Betroffenen und sind damit von Rechts wegen unzulässig. 4. Erforderlichkeit und Datensparsamkeit: Gemäß dem Grundsatz des minimal notwendigen Eingriffs in das Recht auf informationelle Selbstbestimmung des Betroffenen dürfen Daten nur soweit und solange verwendet werden, wie es zur Erreichung des vorher bestimmten Zwecks erforderlich ist.

195

BVerfGE 65, 1 (53). P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 197 B. Steckler, Grundzüge des EDV-Recht, 1999, S. 21; V. Haug, Grundwissen Internetrecht, Rdn. 83; V. Boehme-Neßler, Cyberlaw, S. 294 f.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 6; B. Eichhorn, Internetrecht, S. 119. 196

150

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

5. Angemessenheit: Der Zwecksetzung der Verwendung personenbezogener Daten ist der Grundsatz der Verhältnismäßigkeit zugrunde zu legen. Die Erforderlichkeit sowie der Umfang der Datenerhebung und -verwendung müssen sich anhand der Zielsetzung rechtfertigen lassen. 6. Informationspflicht: Die Verwendung von Daten darf durch die verarbeitende Stelle nur im Rahmen ihrer Zuständigkeit oder vertraglichen Verpflichtung erfolgen. Die Übermittlung der personenbezogenen Daten an andere Stellen oder dritte Personen ist nur zulässig, soweit der Betroffene zum Zeitpunkt der Erhebung willentlich in diese weitere Verwendung eingewilligt hat oder eine rechtliche Grundlage dies rechtfertigt. Die Informationspflicht im Falle der Weitergabe von Daten bindet den Datenverwender ausdrücklich daran, dem Betroffenen ein Widerspruchsrecht gegen die weitere Nutzung seiner Daten einzuräumen. 7. Transparenzgebot: Der Gewährleistung einer umfassenden Kenntnis und Einsichtnahme in die Verwendung der personenbezogenen Daten dienen zum einen die im BDSG festgelegten Informationspflichten sowie Auskunftsansprüche des Betroffenen. So wurde bereits durch das Bundesdatenschutzgesetz in der Fassung vom 18. Mai 2001 dem Interesse der Verbraucher am Schutz ihrer personenbezogenen Daten in Verbindung mit der Speicherung durch die Provider sowie den Anforderungen eines modernen Datenschutzrechts, umfassend Rechnung getragen. Dennoch machte die Erweiterung des Angebots an Internetdiensten eine Ergänzung der bestehenden rechtlichen Regelungen notwendig. Für Anbieter von Telekommunikationsdiensten ist nun maßgeblich das Telekommunikationsgesetz, für das Angebot von Telediensten und Mediendiensten das Telemediengesetz einschlägig. Den Normen des Bundesdatenschutzgesetzes zur Regelung der Datenverarbeitung kommt damit für das Angebot von Telekommunikations- und Telemediendiensten nur eine subsidiäre Funktion zu. Hingegen entfaltet sich die primäre Funktion des Bundesdatenschutzgesetzes, den Einzelnen vor Eingriffen in sein Recht auf informationelle Selbstbestimmung zu schützen, durch die rechtlichen Normen, welche explizit zugunsten des Betroffenen als Anspruchsgrundlage gegenüber den Daten verarbeitenden Stellen materialisiert wurden. II. Rechte der Betroffenen Der Geltungsbereich des Bundesdatenschutzgesetzes umfasst nicht nur die Regelung der Datenverarbeitung seitens der Provider, sondern stellt im ersten Teil, den Allgemeinen und gemeinsamen Bestimmungen, mit § 6 Abs. 1 BDSG aus-

C. Datenschutz im WWW

151

drücklich auf die Rechte des betroffenen Nutzers ab, welche nicht durch ein Rechtsgeschäft beschränkt oder ausgeschlossen werden können.198 Diese allgemeine Anspruchsgrundlage wird in den folgenden Unterabschnitten des Gesetzes durch weitere Normen, differenziert nach ihrer Geltung gegenüber öffentlichen (§§ 19, 19a, 20 BDSG) und nicht-öffentlichen Stellen (§§ 33, 34, 35 BDSG), ergänzt. Mit Inkrafttreten der Novelle I des Bundesdatenschutzgesetzes zum 1. April 2010 wurden die Rechte des Betroffenen durch die Ergänzung um § 6 Abs. 3 BDSG weiter gestärkt.199 So darf diesem kein Nachteil daraus entstehen, dass er seine Rechte auf Basis geltender datenschutzrechtlicher Normen ausübt. Die verantwortliche Stelle ist danach nur befugt personenbezogene Daten im Zusammenhang mit der Ausübung der Rechte des Betroffenen zu verwenden, soweit es für den vorgesehenen Zweck erforderlich ist. Auf der Grundlage der Anerkennung des Grundrechts auf informationelle Selbstbestimmung wurden zum Schutz des privaten Nutzers des WWW nachfolgende Rechte abgeleitet und als Vorschriften im Bundesdatenschutzgesetz materialisiert: 1. Recht auf Auskunft (§§ 19 und 34 BDSG), 2. Recht auf Benachrichtigung (§§ 19a und 33 BDSG), 3. Recht auf Berichtigung, Löschung und Sperrung (§§ 20 und 35 BDSG), 4. Recht auf Einwilligung (§ 4 BDSG), 5. Koppelungsverbot (§ 28 BDSG), 6. Widerspruchsrecht (§§ 20 und 35 BDSG). 1. Recht auf Auskunft Gemäß den Feststellungen des Bundesverfassungsgerichts im Volkszählungsurteil stellt die Möglichkeit zur individuellen Entscheidung des Einzelnen über die Verwendung seiner persönlichen Daten eine Befugnis dar, die das Grundrecht mit Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 2 GG gewährleistet.200 Denn erst wenn der 198 B. Eichhorn, Internetrecht, S. 119; zur Stärkung dieses Rechts vgl. auch A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 243; vgl. auch P. Gola/ R. Schomerus, Kommentierung des § 6 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 1; J. Bizer, in: S. Simitis (Hrsg.), BDSG, § 34, Rdn. 3 f.; P. Schaar, Datenschutz im Internet, S. 159. 199 Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 29. Juli 2009, BGBl. I, 2254; zur Novelle I des BDSG vgl. BT-Drs. 16/10529 vom 10.10.2008 i. d. F. der Beschlussempfehlung des Innenausschusses vom 27.5.2009, BT-Drs. 16/13219. 200 BVerfGE, 65, 1 (43); so auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54.

152

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Betroffene darüber Kenntnis hat, welche Daten über ihn in welcher Weise gespeichert, verarbeitet oder weitergegeben werden, ist er auch in der Lage, sein Recht auf Berichtigung, Löschung oder Sperrung gemäß § 20 und § 35 BDSG in Anspruch zu nehmen.201 Analog kann das in § 19 BDSG materialisierte Recht auf Auskunft auch als primäres oder fundamentales, individuelles Datenschutzrecht bezeichnet werden.202 Als gesetzliche Grundlage hierfür ist das Grundrecht auf informationelle Selbstbestimmung maßgeblich, welches aus dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG abgeleitet wurde. Der Schutz dieses Grundrechts wird auch von der Europäischen Union anerkannt. Als Vorgabe für den Erlass nationaler Datenschutzgesetze verpflichtet Art. 12 der EG-Datenschutz-Richtlinie alle Mitgliedstaaten der Union dazu, ein Auskunftsrecht für den betroffenen Nutzer gegenüber der Daten verarbeitenden Stelle zu gewährleisten. Das Recht auf Auskunft gegenüber öffentlichen Stellen steht dem Betroffenen gemäß den Vorschriften des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze203 als auch dem Telemediengesetz, auf Antrag zu. Auf der Regelungsebene des Bundes enthalten § 19 BDSG für öffentliche Stellen und § 34 BDSG für nicht-öffentliche Stellen als Datenverwender einschlägige Vorschriften zum Auskunftsanspruch für den Betroffenen. Die in §§ 19 und 34 BDSG materialisierten Auskunftsrechte umfassen im Einzelnen:204 1. Die zu der Person des Betroffenen gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen. 2. Die Empfänger und Kategorien von Empfängern, an welche die Daten weitergegeben oder weitervermittelt werden. 3. Den Zweck der Speicherung. 201 P. Gola/R. Schomerus, Kommentierung des § 20 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 2 ff., 9 ff., 13 ff.; J. Bizer, in: S. Simitis, BDSG, § 34, Rdn. 3 f.; O. Mallmann, in: S. Simitis, BDSG, § 19, Rdn. 1; so auch H. Bäumler, Der Auskunftsanspruch des Bürgers gegenüber Nachrichtendiensten, NVwZ 1988, 199; S. Lodde, Informationsrechte des Bürgers gegen den Staat, 1996, S. 36 ff.; D. Kugelmann, Die informatorische Rechtsstellung des Bürgers: Grundlagen und verwaltungsrechtliche Grundstrukturen individueller Rechte auf Zugang zu Informationen der Verwaltung, 2001, 302 f. 202 In diesem Sinne U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 178, welcher unter Verweis auf BVerfGE 65, 1 (51) im Rahmen der verfahrensrechtlichen Schutzvorkehrungen die Aufklärungs-, Auskunfts- und Löschungspflichten als Verfassungsgebot hervorhebt; vgl. dazu weiter O. Mallmann, in: S. Simitis, BDSG, § 19, Rdn. 1; P. Schaar, Datenschutz im Internet, S. 160. 203 Vgl. § 18 HmbDSG, Art. 10 BayDSG, § 16 BlnDSG, § 18 BbgDSG, § 19 BrDSG. 204 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 589 ff.; P. Schaar, Datenschutz im Internet, S. 159; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 53.

C. Datenschutz im WWW

153

Dabei bezieht § 34 BDSG im Rahmen der Regelungen für nicht-öffentliche Stellen auch Angebote von Telemediendiensten ein und ist damit ergänzend zu den Vorschriften des Telemedienrechts, insbesondere § 13 Abs. 7 TMG, anwendbar.205 Die Vorschriften des Bundesdatenschutzgesetzes zum Auskunftsanspruch sind im Zusammenhang mit der Nutzung des WWW dann einschlägig, sofern es sich zwischen Betroffenem und verantwortlicher Stelle nicht um Anbieter-NutzerVerhältnisse handelt und die Daten nicht von einem Dritten gespeichert werden.206 Voraussetzung ist weiter, dass es sich um personenbezogene Daten handelt, die von einer öffentlichen oder nicht-öffentlichen Stelle gemäß dem Geltungsbereich des Bundesdatenschutzgesetzes erhoben, verarbeitet oder genutzt werden. a) Auskunftsanspruch gegenüber nicht-öffentlichen Stellen Der Umfang des Anspruchs des Betroffenen gegenüber nicht-öffentlichen Stellen erstreckt sich gemäß § 1 Abs. 2 Nr. 3 BDSG auf solche Daten, die unter Einsatz von Datenverarbeitungsanlagen verarbeitet, genutzt oder erhoben wurden; ferner werden solche Daten erfasst, die aus nicht-automatisierten Dateien stammen. Ausgeschlossen sind solche Daten, die in persönlichen Adressverzeichnissen oder Kalendern gespeichert werden.207 Erfolgt die Speicherung personenbezogener Daten zum Zwecke der geschäftsmäßigen Übermittlung in Form von Werbung, Adresshandel oder Auskunftsdateien (§ 29 BDSG), wie beispielsweise elektronischen Telefonbüchern oder Verzeichnissen im WWW, sowie Markt- und Meinungsforschung (§ 30a BDSG)208, wirkt gemäß § 34 Abs. 1 S. 3 BDSG die Wahrung des Geschäftsgeheimnisses beschränkend gegenüber den schutzwürdigen Interessen des Betroffenen. Auf 205 Vgl. dazu P. Gola/R. Schomerus, Kommentierung des § 34 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 10. Der Auskunftsanspruch für Betroffene wurde vor Inkrafttreten des TMG für Teledienste durch § 4 Abs. 7 TDDSG sowie für Mediendienste durch § 19 MDStV geregelt. Entsprechende Bestimmungen enthält nun einheitlich für Telemedien § 13 Abs. 7 TMG; vgl. dazu G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16. 206 P. Schaar, Datenschutz im Internet, S. 163. 207 Ders., S. 162; so auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 590. 208 Im Wege der am 1.9.2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes gilt § 29 BDSG nur noch für Werbung, Auskunfteien und den Adresshandel. Für die geschäftsmäßige Datenerhebung zur Markt- und Meinungsforschung gilt nun der neu geschaffene § 30a BDSG; vgl. dazu Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2816 f., in Kraft getreten zum 1.9.2009.

154

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Grundlage des Schutzes des Rechts auf informationelle Selbstbestimmung wird diesem jedoch ein grundlegendes Recht auf die uneingeschränkte Auskunft über Herkunft und Empfänger seiner Daten zuerkannt.209 Hierfür sieht das Gesetz vor, dass die Auskunft über Herkunft und Empfänger auch dann zu erteilen ist, wenn entsprechende Angaben bei der zuständigen Stelle vorliegen, auch wenn sie dort nicht gespeichert wurden. Unterliegen Daten ihrem Wesen nach oder namentlich aufgrund eines überwiegenden rechtlichen Interesses eines Dritten sowie aus weiteren Gründen des § 33 Abs. 2 S. 1 Nr. 2, 3 und 5 bis 7 BDSG der Geheimhaltung, so überwiegen diese Interessen vor denen des Nutzers. An dieser Stelle erhalten die geschäftsmäßigen Interessen nicht-öffentlicher Stellen Vorrang vor dem Gesetz, welches stets dem Erhalt des Gemeinwohls und damit dem Wohl aller Bürger im Rechtsstaat dienen sollte. Mit der Novelle I des Bundesdatenschutzgesetzes210 vom 1. April 2010 wurden mit der Neufassung des § 34 BDSG die Rechte der Betroffenen wesentlich gestärkt. Nicht-öffentliche Stellen, die Daten geschäftsmäßig zu Zwecken der Übermittlung speichern, sind nun dem Betroffenen gegenüber in erweitertem Umfang zur Auskunft über seine Daten verpflichtet. Speziell für den Bereich des Scorings und die Speicherung von berechneten Wahrscheinlichkeitswerten wird dem Betroffenen in § 34 Abs. 2 BDSG211 ein umfassender Auskunftsanspruch zum Schutz seines Grundrechts auf informationelle Selbstbestimmung gewährt. Nach § 34 Abs. 6 BDSG sollte die Auskunftserteilung durch nicht-öffentliche Stellen in der Regel in Textform erfolgen.212 Im Zuge der verbreiteten Nutzung der E-Mail ist der Versand der Auskunft auch auf elektronischem Wege erlaubt. Hier sind entsprechend die Bestimmungen zur Anwendung und Gültigkeit des Gesetzes zur elektronischen Signatur gemäß Signaturgesetz (SigG)213 einschlägig, weil es sich um personenbezogene Daten handelt, zu denen lediglich der Betroffene selbst Zugang erhalten darf. 209 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 53; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 590; P. Gola/R. Schomerus, in: ders., BDSG, § 34, Rdn. 2, 11a; O. Mallmann, in: S. Simitis, BDSG, § 34, Rdn. 28 f. 210 Zur Novelle I des BDSG vgl. BT-Drs.16/13219, 16/10581 und 16/10529; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254 ff. 211 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2255. 212 Ders., S. 2256. 213 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 592; vgl. 18. Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz – SigG) vom 16. Mai 2001, BGBl. I, S. 876, zuletzt geändert durch Art. 4 Elektronischer-Geschäftsverkehr-VereinheitlichungsG vom 26. Februar 2007, BGBl. I, S. 179; zur Anwendung der elektronischen Signatur im Wege der Datenverarbeitung durch öffentliche Stellen vgl. A. Roßnagel, Recht der digitalen Signaturen 2000, in: H. Kubicek/D. Klumpp/G. Fuchs/ders. (Hrsg.), Internet@future, S. 513.

C. Datenschutz im WWW

155

b) Auskunftsanspruch gegenüber öffentlichen Stellen Vom Auskunftsanspruch gegenüber öffentlichen Stellen werden alle über den Betroffenen gespeicherten, personenbezogenen Daten erfasst. Der Betroffene hat gemäß § 19 Abs. 7 BDSG einen Anspruch auf unentgeltliche Auskunft.214 Dabei obliegt der verantwortlichen Stelle gemäß § 19 Abs. 1 S. 4 BDSG das Verfahren und die Form der Auskunftserteilung unter Maßgabe des pflichtgemäßen Ermessens. Der Betroffene hat gegenüber öffentlichen Stellen keinen oder nur eingeschränkten Anspruch auf Auskunft, sofern es sich um Daten handelt die gemäß § 19 Abs. 2 BDSG gesperrt sind oder aufgrund gesetzlicher, satzungsmäßiger oder vertraglicher Aufbewahrungsvorschriften nicht gelöscht werden dürfen. Gleiches gilt für solche Daten, die zum Zwecke der Datensicherung oder Datenschutzkontrolle erhoben wurden und deren Auskunft einen unverhältnismäßigen Aufwand erfordern würde. Kein Anspruch besteht grundsätzlich in solchen Fällen, in denen die Auskunft gemäß § 19 Abs. 4 S. 1–3 BDSG215 1. die ordnungsgemäße Erfüllung der Aufgaben der zuständigen Stelle gefährden, 2. gegen die öffentliche Sicherheit oder Ordnung,216 oder 3. gegen die Geheimhaltungsvorschriften aufgrund berechtigter Interessen von Dritten verstoßen würde. Für die Ablehnung eines Auskunftsersuchens steht dem Betroffenen grundsätzlich eine Begründung zu. Kann ihm diese nicht erteilt werden, so kann die Auskunft gemäß § 19 Abs. 6 BDSG auch dem Bundesbeauftragten für Datenschutz erteilt werden. Die Fälle in denen keine Benachrichtigung erforderlich ist, wurden in § 19 Abs. 5 BDSG geregelt. Für die Form der Auskunftserteilung enthält das Bundesdatenschutzgesetz für öffentliche Stellen keine gesonderte Vorschrift. Es ist jedoch davon auszugehen, dass die Bestimmungen des § 34 Abs. 6 BDSG217 für nicht-öffentliche Stellen 214 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54; P. Gola/R. Schomerus, Kommentierung des § 19 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 34; O. Mallmann, in: S. Simitis, BDSG, § 34, Rdn. 48 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54; M.-T. Tinnefeld/E. Ehmann/ R. W. Gerling, Einführung in das Datenschutzrecht, S. 592. 215 P. Gola/R. Schomerus, in: ders., BDSG, § 19, Rdn. 24 ff.; O. Mallmann, in: S. Simitis, BDSG, § 19, Rdn. 75 ff., 82 ff., 87 ff., 91 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54. 216 Zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, Polizeiaufgaben, in: H. Lisken/ders. (Hrsg.), Handbuch des Polizeirechts, 2. Aufl. 1996, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 217 Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2256.

156

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

dem Grundsatz nach Anwendung finden und Auskünfte in der Regel in Textform oder per E-Mail erteilt werden können. c) Auskunftsanspruch gemäß Telemediengesetz Ergänzend zu den subsidiär anwendbaren Anspruchsnormen des Bundesdatenschutzgesetzes enthält das Telemediengesetz Vorschriften zur Erhebung, Speicherung und Verarbeitung personenbezogener Daten aus Anbieter-Nutzer-Verhältnissen sowie der Nutzung von Tele- und Mediendiensten. Das spezielle Auskunftsrecht für Nutzer von Telemediendiensten über die vom Diensteanbieter im Rahmen des Nutzungsverhältnisses gespeicherten Daten wurde in § 13 Abs. 7 TMG geregelt.218 Inhalt dieser Norm sind nur Daten, die ein Telemediendiensteanbieter über einen Nutzer speichert. Gespeicherte Daten über Dritte, die selbst nicht Nutzer sind, werden von dieser Norm nicht erfasst. Wie in § 13 Abs. 7 TMG durch Verweis auf § 34 BDSG festgelegt, hat das Auskunftsrecht gemäß den Vorschriften des Telemediengesetzes ergänzende Wirkung zu den Auskunftsansprüchen des Bundesdatenschutzgesetzes. Anbieter von Telemediendiensten sind somit zusätzlich zu den Vorgaben des Telemediengesetzes an die Vorgaben der §§ 19, 34 BDSG gebunden.219 Stellen mehrere Diensteanbieter ein Angebot in Kooperation bereit oder sind für dieses gemeinsam verantwortlich, so erstreckt sich der Anspruch des Betroffenen auf alle Anbieter. Der Auskunftsanspruch ist nicht von der Verantwortlichkeit des Anbieters abhängig.220 Er bezieht sich ferner auf alle Daten, die der Diensteanbieter vom Nutzer gespeichert hat, insbesondere die nach § 14 und 15 TMG definierten Bestands- und Nutzungsdaten.221 Der Betroffene kann sein Recht auf Auskunft nur für diejenigen Daten geltend machen, die der Provider zum Zeitpunkt der Anfrage gespeichert hat. Werden die Daten über Cookies oder in lokal auf dem Rechner des Nutzers zu installierenden Programmen gespeichert, so muss der verantwortliche Diensteanbieter im Sinne des Transparenzgebots auch über diese Daten und darüber hinaus über den Inhalt, Zweck sowie technische Funktionsweise von Cookies zur Datenerhebung und -weiterleitung Auskunft erteilen.222 218

G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16. Zu den Vorschriften des Bundesdatenschutzgesetzes vgl. P. Gola/R. Schomerus, in: ders., BDSG, § 19, Rdn. 1 ff.; entsprechend für öffentliche Stellen ders., § 34, Rdn. 1 ff., 8; so auch P. Schaar, Datenschutz im Internet, S. 164; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16. 220 P. Schaar, Datenschutz im Internet, S. 164; vgl. auch G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16. 221 Ders., § 14 TMG, Rdn. 2 f.; ders., § 15 TMG, Rdn. 2. 219

C. Datenschutz im WWW

157

Eingeschlossen sind auch Daten, die bei der Nutzung fremder Inhalte entstanden sind und vom Provider lediglich gespeichert werden, wie beispielsweise LogDateien auf zwischengeschalteten Servern, sogenannten Proxy-Servern, die dem Provider zur Zwischenspeicherung bei der Durchleitung von Daten dienen. Der Diensteanbieter muss nach § 13 Abs. 7 S. 1 TMG grundsätzlich über alle zu einem Pseudonym des Nutzers gespeicherten Daten Auskunft erteilen. Wurden die Daten des Nutzers in anonymisierter Form erhoben und gespeichert, so entfällt dieser Anspruch. Diese Regelung entspricht der Bestimmung des § 13 Abs. 6 S. 1 TMG, wonach die Nutzung von Telemedien nach Möglichkeit anonym oder unter Pseudonym zu realisieren ist.223 Um sicherzustellen dass die personenbezogenen Daten auch tatsächlich dem Pseudonym des Betroffenen richtig zugeordnet sind, kann die Auskunft auch unter Pseudonym erfolgen.224 § 13 Abs. 7 S. 2 TMG weist auch auf die Möglichkeit einer elektronischen Auskunftserteilung via E-Mail oder elektronischem Zugang zu einer Datenbank hin. Dies stellt eine Erweiterung der in § 34 Abs. 3 BDSG materialisierten Schriftform dar. Der Diensteanbieter hat im Falle der elektronischen Auskunftserteilung gemäß § 4 Abs. 2 BDSG die entsprechenden technischen und organisatorischen Voraussetzungen zu schaffen, um den Zugang zu personenbezogenen Daten gegen den Zugriff unbefugter Dritter und deren Kenntnisnahme zu schützen. Wie bereits im Abschnitt „Auskunftsanspruch gegenüber nicht-öffentlichen Stellen“ angeführt, sind ergänzend die Vorschriften des Signaturgesetzes zur verschlüsselten Übertragung von persönlichen Informationen einschlägig. Als Lösungsmöglichkeit erscheint beispielsweise eine Online-Auskunft nach erfolgter Authentifizierung des Nutzers mit einer Kennung und Passwort rechtmäßig sowie geeignet im Sinne des Gesetzes. Dabei sollte die Auskunft unter Pseudonym erfolgen. Zur eindeutigen Zuordnung könnte der Nutzer dieses als Kennung eingeben.225 Als Beispiel kann in diesem Zusammenhang die Auskunft der SCHUFA angeführt werden.226 Jeder Bürger kann online in seine persönlichen gespeicherten Daten Einsicht nehmen oder auf schriftlichem Wege Auskunft über diese per Post erhalten.

222 O. Mallmann, in: S. Simitis, BDSG, § 19, Rdn. 19 ff.; für nicht-öffentliche Stellen entsprechend ders., § 34, Rdn. 12 ff.; vgl. dazu auch P. Schaar, Datenschutz im Internet, S. 165. 223 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16. 224 Ders., Rdn. 10 ff.; vgl. dazu auch P. Schaar, Datenschutz im Internet, S. 166. 225 T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 226 S. Simitis, in: ders., BDSG, § 4a, Rdn. 5; weiterführend auch M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 325 ff., 334, 558.

158

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Die Anfrage erfolgt jedoch auf der Grundlage der geschäftsmäßigen Speicherung zum Zwecke der Übermittlung gemäß § 34 Abs. 5 S. 2 BDSG nicht unentgeltlich, sondern ist je nach Umfang der Datenauskunft preislich gestaffelt. Das Unternehmen handelt als Telemediendiensteanbieter gemäß § 13 Abs. 7 S. 1 TMG sowie § 34 BDSG insoweit rechtmäßig, als es dem Betroffenen jederzeit auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten erteilt und von seiner rechtlichen Befugnis zur Entgelterhebung Gebrauch macht. Allerdings steht die Rechtmäßigkeit der Gebührenerhebung insoweit in Frage, als der Auskunftsanspruch durch den Gesetzgeber als ein dem Betroffenen aufgrund seines Rechts auf informationelle Selbstbestimmung immanentes Recht anerkannt wurde. Ist das Angebot kostenpflichtig, stellt dies für den Antragsteller eine Einschränkung und Verwässerung der Gewährleistung seiner Grundrechte als Bürger dar, weil der kommerziellen Weitergabe personenbezogener Daten Vorrang vor dem Schutz des Einzelnen gegeben wird. d) Entgeltliche Auskunft Ferner ist der Provider gemäß §§ 19 und 34 BDSG dazu verpflichtet, die Auskunft für den betroffenen Nutzer leicht verständlich aufzubereiten. Dazu sind bei Verwendung von kodierten Dateien diese zu entschlüsseln oder dem Betroffenen eine entsprechende Dekodierungsdatei, Passwort oder ähnliches zur Verfügung zu stellen.227 Öffentliche Stellen sind gemäß § 19 Abs. 7 BDSG, nicht-öffentliche gemäß § 34 Abs. 6 S. 1 BDSG dazu verpflichtet dem Auskunftsersuchen des Betroffenen unentgeltlich zu entsprechen.228 Nicht-öffentliche Stellen sind gemäß § 34 Abs. 5 S. 2 BDSG zur Erhebung eines Entgelts befugt, soweit sie personenbezogene Daten zu geschäftsmäßigen Zwecken verarbeiten und der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann.229 Das Entgelt ist so zu bemessen, dass lediglich die dem Auskunft gebenden Unternehmen entstandenen Kosten im Zusammenhang mit der Anfrage des Betroffenen berechnet werden und der Betroffene vorab auf die Erhebung einer Ge227 P. Schaar, Datenschutz im Internet, S. 161; P. Gola/R. Schomerus, in: ders., BDSG, § 19, Rdn. 34; entsprechend für öffentliche Stellen ders., § 34, Rdn. 15. 228 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54; P. Gola/R. Schomerus, in: ders., BDSG, § 19, Rdn. 34; O. Mallmann, in: S. Simitis, BDSG, § 34, Rdn. 48 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54; M.-T. Tinnefeld/E. Ehmann/ R. W. Gerling, Einführung in das Datenschutzrecht, S. 592. 229 Gemeint sind hier Auskünfte von nicht-öffentlichen Stellen wie Kreditinformationssystemen, Adresshändlern oder kommerziellen Datenbankbetreibern; vgl. dazu auch P. Schaar, Datenschutz im Internet, S. 161; O. Mallmann, in: S. Simitis, BDSG, § 34, Rdn. 48 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54; M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 592; P. Gola/R. Schomerus, in: ders., BDSG, § 19, Rdn. 34.

C. Datenschutz im WWW

159

bühr für Auskünfte hinzuweisen ist.230 Das Daten speichernde Unternehmen hat dem Betroffenen jedoch auch bei kostenpflichtigen Auskünften einen Zugang zu seinen gespeicherten Daten zu ermöglichen. Dies kann beispielsweise über eine elektronische Datenbank im Internet erfolgen, in die der Betroffene selbst Einsicht nehmen kann. Vor Inkrafttreten des Telemediengesetzes erstreckte sich der Anspruch auf unentgeltliche Auskunft auch auf Anbieter von Tele- oder Mediendiensten. Im Zuge der Harmonisierung durch die Vereinheitlichung beider Regelungsbereiche im Telemediengesetz wurde der Auskunftsanspruch des Betroffenen durch § 13 Abs. 7 TMG wieder in den Gesetzestext aufgenommen. Die Verpflichtung zur unentgeltlichen Überlassung wurde jedoch nicht materialisiert.231 So sind Provider, die Telemediendienste bereitstellen, gemäß dem Telemediengesetz berechtigt, dem betroffenen Nutzer für die Auskunft gemäß seinem grundrechtlich anerkannten Anspruch auf Informiertheit über die Verwendung seiner Daten Gebühren, zu erheben.232 Diese vom Gesetzgeber geschaffene Voraussetzung ist im Rahmen der Umsetzung der datenschutzrechtlichen Grundprinzipien, welche aus dem Recht auf informationelle Selbstbestimmung folgen, jedoch fragwürdig. Der Gesetzgeber gibt hier den Interessen des Providers Vorrang vor dem Schutz des Betroffenen. Dies trägt maßgeblich zu einer Verwässerung der Verpflichtung bei, das Grundrecht auf informationelle Selbstbestimmung unter den Umständen der elektronischen Datenverarbeitung zu wahren. 2. Recht auf Benachrichtigung In der Entscheidung zum Volkszählungsurteil hat das höchste Gericht festgestellt, dass jegliche Verarbeitung personenbezogener Daten zur Sicherung seines Rechts auf informationelle Selbstbestimmung für den Betroffenen transparent sein muss. Hierfür sind verfahrensrechtliche Schutzvorkehrungen wie Aufklärungs- und Auskunftspflichten erforderlich. Eine solche Aufklärungspflicht stellt die Benachrichtigungspflicht gemäß §§ 19a, 33 BDSG dar.233

230 P. Schaar, Datenschutz im Internet, S. 161; P. Gola/R. Schomerus, in: ders., BDSG, § 34, Rdn. 23. 231 Vgl. dazu G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 16, welche lediglich darauf hinweisen, dass das Recht auf Auskunft gemäß § 13 Abs. 7 S. 1 TMG nach § 6 Abs. 1 BDSG nicht vertraglich ausgeschlossen werden kann. Hingegen findet sich in der Kommentierung kein Hinweis auf die Zulässigkeit oder Unzulässigkeit der Entgelterhebung für diese Auskunft. 232 Zur Kenntnis der Verwendung personenbezogener Daten durch den Betroffenen vgl. BVerfGE 65, 1 (43). 233 Zur Feststellung des Bundesverfassungsgerichts vgl. BVerfGE 65, 1 (43, 46); O. Mallmann, Kommentierung des § 19a BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 4.

160

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Die verantwortliche Stelle ist gemäß § 19a Abs. 1 S. 3 BDSG als öffentliche und § 33 Abs. 1 BDSG als nicht-öffentliche Stelle verpflichtet, den Betroffenen grundsätzlich zum Zeitpunkt der erstmaligen Speicherung seiner personenbezogenen Daten zu benachrichtigen.234 Diese Benachrichtigung umfasst gemäß § 19a Abs. 1 S. 1 BDSG nicht nur den Umstand der Speicherung, sondern auch die Art der gespeicherten Daten sowie den Zweck, zu dem die Erhebung, Verarbeitung oder Nutzung erfolgt. Darüber hinaus ist auch über die Identität der Daten verarbeitenden Stelle zu informieren. Kann von der Daten verarbeitenden Stelle sichergestellt werden, dass der Betroffene auf anderen Wegen bereits Kenntnis über die Speicherung oder Übermittlung seiner Daten erlangt hat (§ 19a Abs. 2 S. 1 Nr. 1 BDSG), so muss dieser über die Datenspeicherung und -verarbeitung nicht informiert werden. § 19a BDSG materialisiert hier die in § 19 Abs. 4 S. 1–3 BDSG festgelegten Voraussetzungen, in denen kein Auskunftsanspruch seitens öffentlicher Stellen besteht. Analog entfällt hier auch die Verpflichtung zur Benachrichtigung. Die Voraussetzungen unter denen keine Benachrichtigung erfolgt, sind von der Daten verarbeitenden Stelle jedoch schriftlich festzulegen und dem Betroffenen zur Kenntnisnahme zugänglich zu machen (§§ 19a Abs. 2 S. 2, 33 Abs. 2 S. 1 Nr. 1 BDSG).235 Ein Anspruch auf Benachrichtigung kann nicht geltend gemacht werden, sofern es sich um Daten handelt, die aus allgemein zugänglichen Quellen frei verfügbar sind. Dazu zählen beispielweise Daten aus elektronischen Telefonverzeichnissen im WWW sowie auch Daten, die über Internet-Suchmaschinen wie Google zugänglich sind.236 Für den Vorgang der Benachrichtigung gibt der Gesetzgeber vor, die Verhältnismäßigkeit des Aufwands der öffentlichen Stelle vorrangig gegen die Interessen des Einzelnen (§ 19a Abs. 2 S. 1 Nr. 2 BDSG) abzuwägen. Für die Form der Benachrichtigung bestehen keine gesetzlichen Vorgaben.237 Um sicherzustellen, dass es sich bei dem Adressaten tatsächlich um den Betroffe234 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 52; O. Mallmann, in: S. Simitis, BDSG, § 19a, Rdn. 25 ff.; ders., § 33 BDSG, Rdn. 36. 235 P. Schaar, Datenschutz im Internet, S. 168; P. Gola/R. Schomerus, in: ders., BDSG, § 19a, Rdn. 6 ff.; entsprechend auch für nicht-öffentliche Stellen ders., § 19a, Rdn. 28 ff.; vgl. dazu auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 52. 236 Im Jahr 2006 erfasste die Internetsuchmaschine Google, bestehend aus 200.000 Rechnern weltweit, über 12 Milliarden Webseiten und damit fast das gesamte Internet. Vgl. dazu M. Hohensee, Das Imperium, in: Wirtschaftswoche 10 (2006), S. 108; zum Suchmaschinendienst Google W. Schmidt, Google – Lustige Gugelei, in: Nürnberger Nachrichten, 19./20.8.2006, Magazin, S. 1; J. Rohlederer/J. Hirzel, Google oder böse?, in: Focus 42 (2006), S. 226 f. 237 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 53; ergänzend für nichtöffentliche Stellen O. Mallmann, in: S. Simitis, BDSG, § 33, Rdn. 29 ff.; für öffentliche Stellen ders., § 19a, Rdn. 19.

C. Datenschutz im WWW

161

nen selbst handelt, sind im Fall einer elektronischen Benachrichtigung per E-Mail oder Zugang zu einer Datenbank im WWW die bereits im Abschnitt „Auskunftsanspruch“ in diesem Kapitel erwähnten Sicherheitsvorkehrungen der Verschlüsselung nach den Vorgaben des Signaturgesetzes anzuwenden.238 Mit der zum 1. September 2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes sind gemäß § 42a BDSG öffentliche und nicht-öffentliche Stellen dazu verpflichtet, im Falle einer unrechtmäßigen Kenntniserlangung von Daten seitens unberechtigter Dritter, den Betroffenen sowie die Aufsichtbehörde unverzüglich zu informieren.239 Ist eine solche Benachrichtigung aufgrund eines unverhältnismäßig hohen Aufwands, beispielsweise aufgrund der hohen Anzahl der Fälle, nicht möglich, so ist entsprechend die Öffentlichkeit zu informieren. Ausschlaggebend ist, dass sich durch den unrechtmäßigen Zugang von Dritten zu den personenbezogenen Daten, schwerwiegende Beeinträchtigungen für den Betroffenen ergeben. § 42a S. 3 und 4 BDSG enthalten weiter explizite Anforderungen an die zu ergreifenden Maßnahmen und den Inhalt der Benachrichtigung. Mit dieser neuen Vorschrift wurde versucht, die Rechte des Betroffenen im Zusammenhang mit der Kenntnis über die Verwendung seiner Daten wesentlich zu stärken. Dies setzt jedoch auch die rasche Kenntnisnahme der Daten verarbeitenden Stelle über den Missbrauch der Daten und vorausgehend umfassende Informationssicherheitsmaßnahmen voraus. Inwiefern dies in der Praxis für die Daten verarbeitende Stelle umsetzbar ist, bleibt fraglich. 3. Recht auf Berichtigung, Löschung und Sperrung Das Recht des Betroffenen auf Berichtigung, Löschung und Sperrung seiner personenbezogenen Daten ergänzt das Recht auf Auskunft und Benachrichtigung. Die Vorschriften des § 20 BDSG für öffentliche und § 35 BDSG für nichtöffentliche Stellen sind auf den Zeitpunkt der Datenverarbeitung und weiteren Verwendung nach der Erhebung und Speicherung gerichtet. Der Gesetzgeber hat hier das Recht des einzelnen Nutzers, stets über die Maßgabe der Verwendung seiner Daten selbst entscheiden zu können,240 konsequent umgesetzt. Demnach hat der Betroffene nicht nur das Recht, von der verantwortlichen Stelle umfas238 P. Schaar, Datenschutz im Internet, 2002, S. 168; zum Verfahren der Verschlüsselung ausführlich M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 91 ff.; F.-L. Bauer, Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie, 1995, S. 36 ff.; R. Gerling, Verschlüsselungsverfahren. Eine Kurzübersicht, DuD 1997, 197 ff. 239 Vgl. Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I Nr. 54, S. 2818. 240 BVerfGE 65, 1 (43).

162

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

send über die Verarbeitung seiner Daten informiert zu werden, sondern kann im Falle der unrichtigen oder unzulässigen Verwendung einen Anspruch auf Korrektur, Löschung oder Sperrung geltend machen.241 Die Legaldefinitionen zur Löschung und Sperrung von Daten wurde in § 3 Abs. 4 BDSG materialisiert. Dabei stellt das Berichtigen von Daten gemäß § 3 Abs. 4 Nr. 2 BDSG eine besondere Form der Veränderung dar. Grundsätzlich sind nach den Vorschriften der §§ 20, 35 BDSG personenbezogene Daten soweit zu berichtigen, als sie unrichtig sind. Jedoch ist eine Berichtigung unrichtiger Daten gemäß §§ 20 Abs. 1, 35 Abs. 1 BDSG von der Daten verarbeitenden Stelle auch unabhängig vom Verlangen des Betroffenen durchzuführen.242 Eine Legaldefinition für den Begriff der Berichtigung enthält das Bundesdatenschutzgesetz nicht. Es wird davon ausgegangen, dass es sich um eine Veränderung von Daten handelt, bei der falsche durch richtige ersetzt werden.243 Gemäß der Legaldefinition des § 3 Abs. 5 Nr. 5 BDSG ist mit dem Vorgang der Löschung das Unkenntlichmachen gespeicherter personenbezogener Daten verbunden. Insoweit ergänzen die Vorschriften zur Löschung die Regelungen des Bundesdatenschutzgesetzes zur Zulässigkeit der Datenverarbeitung.244 Verantwortliche Stellen sind zur Löschung insoweit verpflichtet, als die Daten unzulässig gespeichert wurden oder ihre Kenntnis zur Erfüllung des ursprünglichen Verarbeitungszwecks nicht mehr erforderlich ist (§ 20 Abs. 2 S. 1 und 2, § 35 Abs. 2 S. 2 Nr. 3 BDSG). Die gemäß § 35 Abs. 2 S. 2 BDSG als besonders sensibel eingestuften Daten245 sind auch dann zu löschen, wenn von der verantwortlichen Stelle nicht bewiesen werden kann, dass diese richtig sind. Handelt es sich um eine geschäftsmäßige Übermittlung von Daten, wie dem Handel von Adressdaten, ist gemäß § 35 Abs. 2 S. 2 Nr. 4 BDSG eine Prüfung für die Erforderlichkeit der weiteren Speicherung am Ende jedes vierten Ka241 Die Rechte auf Berichtigung, Löschung und Sperrung sind unabdingbar und können gemäß § 6 Abs. 1 BDSG nicht durch Rechtsgeschäft beschränkt oder ausgeschlossen werden. Vgl. dazu P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 55; P. Schaar, Datenschutz im Internet, S. 519 ff. 242 O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 9; entsprechend für nicht-öffentliche Stellen ders., § 35, Rdn. 7; P. Schaar, Datenschutz im Internet, S. 170. 243 P. Gola/R. Schomerus, in: ders., BDSG, § 20, Rdn. 3; entsprechend für nicht-öffentliche Stellen ders., § 35, Rdn. 4. 244 P. Schaar, Datenschutz im Internet, S. 171; P. Gola/R. Schomerus, in: ders., BDSG, § 3, Rdn. 40 f. 245 Gemäß § 35 Abs. 2 Satz 2 Nr. 2 BDSG handelt es sich explizit um Daten über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit, über die Gesundheit oder das Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten; vgl. dazu auch P. Gola/ C. Klug, Grundzüge des Datenschutzrechts, S. 55; so auch O. Mallmann, in: S. Simitis, BDSG, § 35, Rdn. 22 ff.

C. Datenschutz im WWW

163

lenderjahres notwendig. Fällt der Grund weg, sind die Daten umgehend zu löschen.246 Die Vorgaben zur Löschung können auch mittels Anonymisierung erfüllt werden, wobei der Personenbezug nachweislich aufgehoben werden muss. Die Daten sind also jedoch nicht nur teilweise, sondern vollständig zu anonymisieren.247 Anbieter von Telemediendiensten sind hierfür jedoch an die Voraussetzung gebunden, dass es sich um eine zulässige Verwendung von Nutzungsprofilen gemäß § 15 Abs. 3 S. 1 TMG handelt.248 Die Vorschriften zur Löschung personenbezogener Daten richten sich für Telemediendienste nach den grundsätzlichen Pflichten des Diensteanbieters aus § 13 Abs. 4 TMG sowie den Normen zur Erforderlichkeit der Speicherung von Bestands- und Nutzungsdaten zu Abrechnungszwecken gemäß §§ 14 Abs. 1 und 15 Abs. 1 und 7 TMG. Ferner hat der Diensteanbieter durch technische und organisatorische Vorkehrungen sicherzustellen, dass personenbezogene Daten unmittelbar nach Beendigung des Zugriffs oder einer sonstigen Nutzung gelöscht werden (§ 13 Abs. 4 S. 1 Nr. 2 TMG). Eine Sperrung ist dann zulässig, soweit der Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 13 Abs. 4 S. 2 TMG).249 Die §§ 14 Abs. 1 und 15 Abs. 1 S. 1 TMG binden den Diensteanbieter an die Verpflichtung, personenbezogene Daten nur in Verbindung mit einem vertraglichen Verhältnis zur Nutzung von Telemedien mit dem Betroffenen zu erheben und zu speichern. Diese Nutzungsdaten dürfen zum Zweck der Abrechnung gemäß § 15 Abs. 4 S. 1 TMG nur über das Ende der Nutzungsdauer gespeichert und verwendet werden, soweit es zur Erfüllung der vertraglichen Pflichten erforderlich ist.250 § 15 Abs. 1 S. 1 TMG definiert die Art von Daten, die nach Wegfallen der Erforderlichkeit zu löschen sind. Dabei handelt es sich um jegliche Daten zur Identifikation des Nutzers, wie Name, Kennwörter, Adresse, IP-Nummer sowie URLs besuchter Webseiten. Für Abrechnungsdaten schreibt § 15 Abs. 7 TMG eine maximal erlaubte Speicherfrist von sechs Monaten nach Versand der Rechnung an den Nutzer vor. Unter der Sperrung wird gemäß der Legaldefinition des § 3 Abs. 4 Nr. 4 BDSG das Kennzeichnen gespeicherter personenbezogener Daten verstanden, 246 P. Gola/R. Schomerus, in: ders., BDSG, § 35, Rdn. 14, entsprechend für öffentliche Stellen, ders., § 20, Rdn. 12. 247 P. Schaar, Datenschutz im Internet, S. 172; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 287. 248 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 7 f.; P. Schaar, Datenschutz im Internet, S. 172. 249 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 8 f.; so auch P. Schaar, Datenschutz im Internet, S. 172 f., welcher darauf hinweist, dass sich die Löschungsverpflichtung auch auf solche Daten erstreckt, die der Provider auf dem Rechner des Betroffenen ablegt oder speichert, wie beispielsweise Cookies. 250 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 9 f.

164

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

um deren weitere Verarbeitung oder Nutzung einzuschränken.251 Diese Maßnahme ist erforderlich, wenn unter bestimmten Voraussetzungen die Löschung nicht angemessen ist (§§ 20 Abs. 3, 35 Abs. 3 BDSG) oder die Richtigkeit der Daten vom Betroffenen bestritten wird und sich die Richtigkeit oder Unrichtigkeit nicht feststellen lässt (§§ 20 Abs. 4, 35 Abs. 4 BDSG). Die §§ 20 und 35 BDSG enthalten explizite Vorgaben, in welchen Fällen Daten lediglich zu sperren, jedoch nicht zu löschen sind: 1. Sofern einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§§ 20 Abs. 3 Nr. 1, 35 Abs. 3 S. 1 BDSG. Eine entsprechende Regelung findet sich für Telemediendienste auch in § 15 Abs. 4 S. 2 TMG). 2. Sofern schutzwürdige Interessen des Betroffenen durch eine Löschung seiner Daten wesentlich beeinträchtigt werden (§§ 20 Abs. 3 Nr. 2, § 35 Abs. 3 S. 2 BDSG). 3. Sofern eine Löschung von Daten nur mit unverhältnismäßig hohem Aufwand oder aufgrund der besonderen Art der Speicherung nicht zu realisieren ist (§§ 20 Abs. 3 Nr. 3, 35 Abs. 3 S. 3 BDSG). 4. Sofern die Richtigkeit der personenbezogenen Daten vom Betroffenen bestritten wird und sich ihre Richtigkeit oder Unrichtigkeit nicht feststellen lässt (§§ 20 Abs. 4, 35 Abs. 4 BDSG). Die Beweislast obliegt dabei der verantwortlichen Stelle.252 Gesperrte Daten dürfen gemäß § 35 Abs. 8 BDSG ohne Einwilligung des Betroffenen durch nicht-öffentliche Stellen nur übermittelt oder genutzt werden, sofern dies zu wissenschaftlichen Zwecken, im Falle einer bestehenden Beweisnot oder sonstigen Gründen geschieht, die im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegt. Voraussetzung dafür ist die zulässige Nutzung der Daten ohne Verpflichtung zur Sperrung.253 Die Daten verarbeitende Stelle ist darüber hinaus dazu verpflichtet, im Fall der Übermittlung von Daten an weitere Stellen diese über die Berichtigung, Löschung oder Sperrung der Daten zu unterrichten. Mit der Vorschrift des § 35 Abs. 7 BDSG wird das Recht des Betroffenen auch über die erhebende und speichernde Stelle hinaus gegenüber beteiligten Dritten sichergestellt.254 Aufgrund 251

U. Dammann, in: S. Simitis, BDSG, § 3, Rdn. 170 f. P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 55; so auch P. Gola/ R. Schomerus, in: ders., BDSG, § 20, Rdn. 13 ff.; entsprechend für nicht-öffentliche Stellen, ders., § 35, Rdn. 15 ff.; ausführlicher O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 47 ff., 55 ff.; ders., § 35 BDSG, Rdn. 40 ff., 43 ff. 253 Ders., § 35 BDSG, Rdn. 46 ff.; P. Gola/R. Schomerus, in: ders., BDSG, § 35, Rdn. 20 ff. 254 P. Schaar, Datenschutz im Internet, S. 169; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 55; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 598. 252

C. Datenschutz im WWW

165

der dezentralen Struktur und unüberschaubaren Vielfalt an Webseiten im WWW bereitet die effektive Löschung, Berichtigung und Sperrung von Daten insbesondere bei Dritten beteiligten Anbietern, die Daten kopieren und wieder auf ihren Webseiten zum Abruf bereit stellen (wie beispielsweise Suchmaschinen), erhebliche Schwierigkeiten.255 Selbst wenn der ursprüngliche Diensteanbieter die Daten löscht, sind diese immer noch über die Datenbank des Drittanbieters abrufbar. Der Gesetzgeber hat diesen Umstand erkannt und mit § 35 Abs. 6 BDSG für Stellen, die Daten zur geschäftsmäßigen Übermittlung speichern, einer Lösung zugeführt. Eine Berichtigung, Sperrung und Löschung entfällt in solchen Fällen, in denen die Daten aus frei zugänglichen Quellen entnommen und zu Dokumentationszwecken durch nicht-öffentliche Stellen gespeichert wurden. Zu Sicherung der schutzwürdigen Interessen und der Gewährleistung des Grundrechts auf informationelle Selbstbestimmung obliegt dem Betroffenen das Recht, zu jedem Zeitpunkt selbst über die Verwendung seiner personenbezogenen Daten entscheiden zu können.256 Mit dem Recht auf Auskunft, Benachrichtigung, Berichtigung, Löschung und Sperrung hat der Gesetzgeber die Daten verarbeitende Stelle dazu verpflichtet, den Betroffenen auf der Grundlage der Transparenz der Datenverarbeitung umfangreich über die Verwendung seiner Daten zu informieren.257 Dieser ist jedoch maßgeblich davon abhängig, ob dies in der Praxis auch geschieht. Aus diesem Grund hat der Gesetzgeber weitere Rechte eingeräumt, die dem Einzelnen eine aktive Beeinflussung der Verwendung seiner Daten ermöglichen sollen. Hierzu zählt die rechtsverbindliche und willentliche Einwilligung258 des Betroffenen in die Datenverarbeitung, welcher insbesondere beim Abschluss von Verträgen im WWW eine besondere Rolle zukommt. In Verbindung mit der Einwilligung steht darüber hinaus das Koppelungsverbot sowie das Widerspruchsrecht gemäß § 20 BDSG. 4. Recht auf Einwilligung Gemäß dem in § 4 Abs. 1 BDSG materialisierten Gesetzesvorbehalt ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten dann rechtmäßig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene selbst dazu eingewilligt hat. Die Willentlichkeit der Einwilligung wurde vom Gesetzgeber als entscheidendes Kriterium anerkannt, um die Wahrung des allgemeinen Persönlich255 Zur Problematik der dezentralen Struktur vgl. F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. 256 BVerfGE 65, 1 (43 f.). 257 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 55; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 318, 585. 258 B. Eichhorn, Internetrecht, S. 119.

166

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

keitsrechts bei der Verwendung personenbezogener Daten sicher zu stellen. Insofern ist gemäß § 4a Abs. 1 BDSG „die Einwilligung nur rechtlich wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Es ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen.“

Im Unterschied zum Widerspruchsrecht, bei dem die verantwortliche Stelle personenbezogene Daten verwenden darf, sofern der Betroffene dieser Nutzung nicht widerspricht, stellt der Gesetzgeber mit der Einwilligung in die Datenverarbeitung auf eine eindeutige Willensäußerung des Betroffenen ab. Gemäß den Vorgaben des § 4a Abs. 1 BDSG sind jegliche Einwilligungserklärungen nichtig und eine darauf basierende Datenverarbeitung unzulässig, wenn der Betroffene hierzu nicht explizit seine schriftliche Zustimmung auf Basis seiner freien Entscheidung erteilt hat. Diese Vorgabe bereitet besonders im Zusammenhang mit der Erhebung, Speicherung und Verarbeitung personenbezogener Daten im WWW erhebliche Schwierigkeiten. Die dort weit verbreitete Form der Einwilligungserklärung ist diejenige per Mausklick oder Markierung eines Kästchens durch Tastenklick.259 Obwohl die Auskunft über Art und Umfang oft nicht unmittelbar neben dem Kontrollkästchen zur Zustimmung zu finden ist, wird dem privaten Nutzer auferlegt, auf diese Art in die Verarbeitung seiner persönlichen Daten einzuwilligen. Die Regelungen zur Datenverarbeitung sind häufig Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) des Anbieters, die vom Betroffenen auf schriftlichem Wege gesondert angefordert werden müssen oder auf einer anderen Webseite eingesehen werden können.260 Zwar ist vom Betroffenen oftmals die Kenntnisnahme der Allgemeinen Geschäftsbedingungen oder der pauschalen Datenschutzhinweise auf der Webseite des Anbieters per Mausklick zu bestätigen. Da der Abschluss des Vertrages jedoch an diese Zustimmung gebunden ist, kann nicht ohne weiteres von einer unabhängigen Entscheidung des Nutzers gesprochen werden. Dieser hat faktisch keine Einwirkungsmöglichkeit auf die Bedingungen des Vertragsschlusses, da er unerwünschte Passagen aus den Geschäftsbedingungen in der Regel nicht streichen oder löschen kann. Damit wird durch den Provider auf den Nutzer oft kein expliziter, aber dennoch faktischer Zwang ausgeübt, in die Datenverarbeitung einzuwilligen. Dies insbesondere dann, wenn zwischen verantwortlicher Stelle und dem Betroffenen 259

M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 930. Dies stellt gemäß § 4a BDSG eine unzulässige Form dar. Vgl. dazu P. Gola/ R. Schomerus, in: ders., BDSG, § 4a, Rdn. 14; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 322; ausführlich zu den Voraussetzungen der Zulässigkeit elektronischer Einwilligungserklärungen S. Simitis, in: ders., BDSG, § 4a, Rdn. 39 f., insbesondere 42 ff. 260

C. Datenschutz im WWW

167

ein Abhängigkeitsverhältnis, wie durch ein vertragliches Dienst- und Arbeitsverhältnis besteht oder der Anbieter seine vorrangige Marktstellung dazu nutzt, einen Vertragsabschluss von der Einwilligung des Betroffenen abhängig zu machen.261 Notwendige Bedingung für eine rechtswirksame Einwilligung ist deshalb, dass der Betroffene über die Möglichkeit hierzu informiert ist und damit die Tragweite seiner Entscheidung ausreichend erfassen kann.262 Beides wird jedoch durch die Zustimmung mittels Anklicken eines Kontrollkästchens nicht sichergestellt. Mit der Novelle II des Bundesdatenschutzgesetzes zum 1. September 2009 wurde in § 30a BDSG festgelegt, dass im Falle einer elektronischen Einwilligung, wie beispielsweise durch das Setzen eines Häkchens auf einer Webseite, diese von der Daten verarbeitenden Stelle protokolliert werden und für den Betroffenen jederzeit abrufbar und damit widerrufbar sein muss. Ebenso ist es gemäß § 28 Abs. 3b BDSG unzulässig, einen Vertragsabschluss von der Einwilligung des Kunden in die Datenverarbeitung zum Zwecke der werblichen Ansprache abhängig zu machen.263 Mit diesen neuen Vorschriften wurden die Rechte des Betroffenen wesentlich gestärkt. Allerdings sind diese nur für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten im Sinne des Bundesdatenschutzgesetzes sowie im Rahmen eigener Geschäftszwecke und der Nutzung zur werblichen Ansprache des Kunden anzuwenden. Sie gelten damit nicht für Daten, die im Zusammenhang mit der Nutzung des Internets vom Telekommunikations- oder Telemedienanbieter erhoben und verarbeitet werden.

261 Wie beispielsweise der Anbieter kostenloser E-Mail Adressen GMX (www. gmx.de): Die kostenlose Eröffnung eines E-Mail Accounts ist von der Offenlegung persönlicher Verhältnisse und der Zustimmung zur Verarbeitung und Weiterleitung dieser Angaben and dritte Partnerunternehmen abhängig. Darüber hinaus wird das Fortführen des E-Mail Accounts vom Anbieter GMX nur gewährt, wenn der Nutzer seine Präferenzen zu verschiedenen Interessensgebieten vierteljährlich erneuert. Kommt er der dann zugesandten Aufforderung nicht nach, behält sich GMX vor, den Zugang des Mitglieds zu löschen. Vgl. dazu T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet. S. 73; P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 6 f.; zu den Voraussetzungen der Einwilligung vgl. P. Schaar, Datenschutz im Internet, S. 179; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 320; so auch H. Heidemann-Peuser, Rechtskonforme Gestaltung von Datenschutzklauseln, DuD 2002, 389, 393; kritisch zur elektronischen Einwilligung C. Starck, in: H. v. Mangoldt/ F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 178. 262 P. Schaar, Datenschutz im Internet, S. 180; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 929; B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 241; A. Roßnagel, Handbuch Datenschutzrecht, Kap. 4.8, Rdn. 45; P. Gola/ R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; S. Simitis, in: ders., BDSG, § 4a, Rdn. 67, 71. 263 Vgl. dazu Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I, S. 2816, in Kraft getreten zum 1. September 2009.

168

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Zur Freiwilligkeit der Einwilligung mittels einer elektronischen Willenserklärung über das WWW, enthält das Telekommunikationsgesetz für Telekommunikationsdienste in § 94 Nr. 1 TKG eine ausdrückliche Vorgabe. Eine entsprechende Regelung für Telemediendienste enthält § 12 Abs. 1 TMG.264 Im Einzelnen sind für die durch die Nutzung von Diensten im WWW anfallende Verarbeitung personenbezogener Daten nachstehende spezielle Regelungen des Telemedien- und des Telekommunikationsgesetzes anzuwenden: • Grundsätze zur Datenerhebung, -speicherung und -verwendung für andere Zwecke nur mit Einwilligung (§ 12 Abs. 1 und 2 TMG). • Pflichten des Telemediendiensteanbieters zur Information über Art, Umfang und Zwecke der Datenverarbeitung zu Beginn des Nutzungsvorgangs, Möglichkeit der elektronischen Einwilligung und Hinweispflicht zur Widerrufsmöglichkeit der Einwilligung (§ 13 Abs. 1, 2 und 3 TMG). • Informationspflichten des Telekommunikationsdienstleisters und Möglichkeit der elektronischen Einwilligung, Freiwilligkeit der Einwilligung sowie Hinweispflicht zur Widerrufsmöglichkeit (§§ 93 Abs. 1 und 94 TKG)265. Weiter dürfen personenbezogene Daten für Zwecke der Werbung, Marktforschung und zur bedarfsgerechten Gestaltung der Tele- und Mediendienste entgegen der nach § 15 Abs. 3 S. 1 TMG geltenden Regelung nur verarbeitet werden, soweit der Betroffene dieser Nutzung nicht widerspricht. Die Form der in § 4 BDSG materialisierten erforderlichen Einwilligung wird in § 4a BDSG weiter konkretisiert: soweit nicht aufgrund besonderer Umstände eine andere Form angemessen ist, ist eine schriftliche Einwilligung des Betroffenen erforderlich.266 Aufgrund dieser in § 4a Abs. 1 BDSG festgelegten Schriftform der Einwilligungserklärung ist für die Anwendbarkeit im WWW zu klären, inwieweit die elektronische Form der Zustimmung diesen gesetzlichen Anforderungen genügt. § 13 Abs. 2 TMG enthält für Telemediendienste, § 94 TKG für Telekommunikationsdienste267 genaue Vorgaben zur Abgabe einer rechtsgültigen elektronischen Einwilligung. Danach ist durch den Provider sicherzustellen, dass

264 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 7; G. Spindler/ J. Nink, in: G. Spindler/F. Schuster, RdeM, § 12 TMG, Rdn. 3. 265 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 93 TKG, Rdn. 5 ff.; ders., § 94 TKG, Rdn. 5 ff.; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 12 TMG, Rdn. 3, 7; ders., § 13 TMG, Rdn. 2 ff., 6 ff. 266 P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 5; ders., § 4a, Rdn. 1; mit Verweis auf das Volkszählungsurteil des Bundesverfassungsgerichts B. Sokol, in: S. Simitis, BDSG, § 4, Rdn. 3; vgl. weiter auch B. Eichhorn, Internetrecht, S. 119. 267 Ders., Rdn. 6; J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 93 TKG, Rdn. 5 ff.; ders., § 94 TKG, Rdn. 5 ff.

C. Datenschutz im WWW

169

1. der Betroffene die Zustimmung bewusst und eindeutig erteilt hat, 2. der Provider ein Protokoll über den Vorgang erstellt, 3. der Inhalt der Einwilligung für den Betroffenen jederzeit abrufbar ist, 4. der Betroffene seine Zustimmung jederzeit mit Wirkung auf die Zukunft widerrufen kann. Im Wortlaut enthalten die Vorschriften der §§ 4 und 4a BDSG hingegen keine weiteren Vorgaben für die Form der elektronischen Einwilligung. Demnach steht es Anbietern wie Nutzern zunächst grundsätzlich frei, die Einwilligung per E-Mail oder online innerhalb des Vertragsformulars direkt auf der Anbieterwebseite zu erteilen. Jedoch ist für die elektronische Form der Einwilligung in jedem Fall sicherzustellen, dass es sich bei dem Urheber tatsächlich um den von der Datenverarbeitung Betroffenen handelt. Denn gemäß der Voraussetzungen des § 126 BGB hat ein Verstoß gegen die Vorschriften des § 4a BDSG die Nichtigkeit der Einwilligung zu Folge.268 Die Erfüllung der genannten Voraussetzungen bereitet in der Praxis jedoch meist Schwierigkeiten. Wie bereits angeführt, erfolgt die Zustimmung zur Datenverarbeitung im WWW oft lediglich durch einen Klick auf einen visuell dargestellten Button oder Anklicken eines Kontrollkästchens auf einer Webseite. Obwohl die Frage der Zulässigkeit der Form der Einwilligung für Rechtsgeschäfte im virtuellen Raum von erheblicher Bedeutung ist, enthält das Bundesdatenschutzgesetz hierfür keine genaueren Vorschriften. Die Regelung dieses Bereiches wurde bisher, gemäß der subsidiären Wirkung des Bundesdatenschutzgesetzes, mit der Ausgestaltung der Landesdatenschutzgesetze den Ländern übertragen. So gehen diese Vorschriften, wie beispielsweise § 4a HmbDSG,269 in ihrem Wortlaut explizit auf die Möglichkeit einer elektronischen Einwilligung ein. Mit der zum 1. September 2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes hat in § 28 Abs. 3a BDSG die Möglichkeit der elektronischen Einwilligung in die Datenverarbeitung explizit in den Wortlaut des Gesetzes Eingang gefunden. Für die Daten verarbeitende Stelle besteht für diese Art der im Sinne des § 4a Abs. 1 S. 3 BDSG erteilten Einwilligung die Verpflichtung, diese zu protokollieren.270 Dem Betroffenen soll damit zur Sicherung seiner schutzwürdigen Interessen die Möglichkeit gegeben werden, jederzeit auf den Inhalt seiner Einwilligung zugreifen und diese widerrufen zu können. Allerdings steht 268 S. Simitis, in: ders., BDSG, § 4a, Rdn. 38 f.; vgl. auch R. Schulze, in: H. Dörner u. a., BGB, § 125 Abs. 1, Rdn. 1 f. 269 Hamburgisches Datenschutzgesetz (HmbDSG) vom 30.1.2001, HmbGVBl., S. 9. 270 Vgl. Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I, S. 2816, in Kraft getreten zum 1. September 2009.

170

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

die Vorschrift des § 28 Abs. 3a BDSG lediglich im Zusammenhang mit der Nutzung personenbezogener Daten, die im Rahmen eines rechtsgeschäftlichen Schuldverhältnisses erhoben wurden und darüber hinaus zur werblichen Ansprache des Kunden genutzt werden sollen. Über die Zulässigkeit der Formvorschriften im Zusammenhang mit Vertragsschlüssen gibt das Bürgerliche Gesetzbuch weitere Auskunft. Die elektronische Form bedarf insoweit keiner ausdrücklichen Erwähnung im Gesetz, weil gemäß § 126 Abs. 3 BGB eine Form so lange zulässig ist, solange sie nicht ausgeschlossen wird.271 Die Vorgabe der Schriftform ist gemäß § 126 Abs. 1 BGB dann als erfüllt anzusehen, wenn der Betroffene seine Einwilligung „eigenhändig durch Namensunterschrift oder mittels notariell bekundeten Handzeichen“ abgegeben hat.272 Durch die vorgeschriebene Form soll der Betroffene zum einen auf die Datenverarbeitungsabsicht des Providers aufmerksam gemacht werden. Zum anderen dient die Einwilligung dem Provider der verantwortlichen Stelle als Nachweis.273 Gemäß § 126a BGB274 kann die gesetzlich vorgeschriebene Schriftform durch die elektronische Einwilligung nur dann ersetzt werden, sofern zwei Voraussetzungen erfüllt sind: 1. Der Betroffene muss der Ausstellung der Erklärung seinen Namen hinzufügen. 2. Das Dokument muss mit einer qualifizierten elektronischen Signatur gemäß § 2 Nr. 2 SigG275 versehen sein. § 2 Nr. 3 SigG definiert die qualifizierte elektronische Signatur als solche, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt worden ist. Somit ist für die elektronische Form der Einwilligungserklärung gemäß den Vorgaben 271

S. Simitis, in: ders., BDSG, § 4a, Rdn. 38. H. Dörner, in: ders. u. a., BGB, § 126 Abs. 1, Rdn. 1, 6 f. 273 P. Schaar, Datenschutz im Internet, S. 182. 274 Diese Vorschrift wurde im Zuge des Gesetzes zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsverkehr vom 13.7.2001 ergänzt (BGBl. I, S. 1542); vgl. dazu auch H. Dörner, in: ders. u. a., BGB, § 126a Abs. 1, Rdn. 2 f.; zur Verwendung der elektronischen Signatur als rechtlich wirksamem Nachweis mit Verweis auf § 126a BGB vgl. auch S. Simitis, in: ders., BDSG, § 4a, Rdn. 39. 275 18. Gesetz über die Rahmenbedingungen für elektronische Signaturen (Signaturgesetz – SigG) vom 16.5.2001, BGBl. I, S. 876, zuletzt geändert durch Art. 4 Elektronischer-Geschäftsverkehr-VereinheitlichungsG vom 26.2.2007, BGBl. I, S. 179); vgl. dazu ausführlich A. Roßnagel, Recht der digitalen Signaturen, S. 513 ff.; weiter bewertend M. Bergfelder, Was ändert das 1. Signaturgesetz?, CR 2005, 148 ff.; P. Fringuelli/ M. Wallhäuser, Formerfordernisse beim Vertragsschluss im Internet, CR 1999, 93 ff.; T. Kunz/A. Schmid/U. Viebeg, Konzepte für rechtssichere Transformation signierter Dokumente, DuD 2005, 279 ff. 272

C. Datenschutz im WWW

171

des Bundesdatenschutzgesetzes eine willentliche Abgabe der Zustimmung des Nutzers erforderlich. Darüber hinaus ist die Zulässigkeit der Erklärung an die Formvorschriften des Bundesdatenschutzgesetzes, Bürgerlichen Gesetzbuches und des Signaturgesetzes gebunden, die den Nachweis der Identität des Betroffenen voraussetzen. Diese Vorgaben werden durch die im Internet verbreitete Form der Zustimmung per Mausklick auf Kontrollkästchen im Vertragsformular jedoch nur in seltenen Fällen erfüllt. Mithin kann der Betroffene aufgrund der ihm zur Verfügung stehenden Mittel sein Recht auf informationelle Selbstbestimmung nur unzureichend wahrnehmen, weil weder die Identität des Betroffenen noch die Willentlichkeit der Zustimmung per Tastenklick eindeutig sichergestellt werden können.276 5. Koppelungsverbot Für den Bereich der Telekommunikations- sowie Telemediendienste hat der Gesetzgeber Verbote materialisiert, die die Erbringung eines Dienstes von der Einwilligung des Betroffenen in die Verarbeitung personenbezogener Daten für andere Zwecke abhängig macht.277 Ebenso folgt aus den Vorgaben für rechtswirksame Einwilligungserklärungen gemäß § 4a BDSG, § 12 Abs. 3 TMG und § 95 Abs. 5 TKG, dass eine Verbindung (sogenannte Koppelung) der Erbringung einer Leistung von der Einwilligung in eine ansonsten unzulässige Datenverarbeitung unzulässig ist.278 Gemäß der zum 1. September 2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes ist es der verantwortlichen Stelle im Rahmen der Datenerhebung und -speicherung für eigene Geschäftszwecke (§ 28 BDSG) untersagt, den Abschluss eines Vertrags von einer Einwilligung des Betroffenen abhängig zu machen, wenn diesem ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist.279 276 In besonderen Fällen, wie bei hohem Sensibilitätsgrad, Datenverarbeitung zu wissenschaftlichen Forschungszwecken oder Eilbedürftigkeit der Datenverarbeitung kann gemäß § 4a Abs. 2 BDSG von den gesetzlichen Bestimmungen der Schriftform abgewichen werden. Jedoch liegen diese Umstände für die überwiegende Anzahl von Rechtsgeschäften oder Vertragsschlüssen im WWW nicht vor. 277 P. Schaar, Datenschutz im Internet, S. 179; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 320; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 194. 278 S. Simitis, in: ders., BDSG, § 4a, Rdn. 65 mit Verweis auf die Materialisierung des Koppelungsverbots in den Vorschriften des TMG und TKG; dazu auch P. Gola/ R. Schomerus, BDSG, § 4a, Rdn. 6a. 279 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2816, in Kraft getreten zum 1.9.2009.

172

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Diese vom Gesetzgeber neu geschaffene Vorschrift des § 28 Abs. 3b BDSG wirkt sich maßgeblich beschränkend auf solche Unternehmen aus, die aufgrund ihres Waren- oder Dienstleistungsangebots eine für den Verbraucher marktbeherrschende Stellung haben. Hiermit werden die Rechte des Betroffenen wesentlich gestärkt. Verweigert dieser also die Einwilligung in die Zusendung von Werbung (§ 28 Abs. 3 S. 1 BDSG), so darf der Vertragspartner den Vertragsabschluss nicht verweigern. Eine unter diesen Voraussetzungen erzwungene Einwilligung ist gemäß § 28 Abs. 3b BDSG unwirksam. Die Zustimmung des Betroffenen unter Anwendung von Zwang oder Täuschung verstößt ferner gegen das Recht auf informationelle Selbstbestimmung280 und das allgemeine Persönlichkeitsrecht gemäß Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 2 GG.281 Die Einhaltung der Vorgaben zur Einwilligung in Form einer freien Willensäußerung ist damit im Sinne der Grundrechte des Betroffenen sicherzustellen.282 Entsprechende Regelungen hierzu enthält das Telemediengesetz in § 13 Abs. 2 TMG für Telemediendienste und das Telekommunikationsgesetz in § 95 Abs. 5 TKG für Telekommunikationsdienste.283 So ist es dem Provider untersagt, die Erbringung seiner Dienste von einer Einwilligung des Teilnehmers in eine Verwendung seiner Daten für andere Zwecke abhängig zu machen, sofern dem Nutzer ein anderer Zugang zu diesen Diensten nicht oder nicht in zumutbarer Weise möglich ist. Als Beispiel kann wieder der Freemail-Dienst GMX angeführt werden, welcher eine kostenlose Führung eines E-Mail Accounts von der Preisgabe persönlicher Präferenzen zu verschiedenen Lebensbereichen abhängig macht. Diese Voraussetzungen sind den AGBs des Anbieters zwar in der Regel zu entnehmen; die Zustimmung des Nutzers als Antragsteller ist jedoch notwendige Bedingung für die Eröffnung und weitere Nutzung des Accounts für ein elektronisches Postfach.284 Der Frage der Rechtmäßigkeit von Einwilligungser-

280 U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs (Hrsg.), GG, Art. 2 Abs. 1 GG, Rdn. 88, 121 ff. 281 P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 7. 282 P. Schaar, Datenschutz im Internet, S. 188; insbesondere zur Unantastbarkeit und Verpflichtung zur Achtung der Menschenwürde sowie der daraus resultierenden Schutzpflicht gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, 2006, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39; zum Begriff des freien Willens als Ausdruck der Grundlage der praktischen Vernunft vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 40 ff.; zur freien Entfaltung der Persönlichkeit auf der Grundlage des Vernunftwesens, der Menschheit des Menschen vgl. ders., S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 283 J. Eckhardt, RdeM, § 95 TKG, Rdn. 11 f.; G. Spindler/J. Nink, in: G. Spindler/ F. Schuster, RdeM, § 13 TMG, Rdn. 6. 284 T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73.

C. Datenschutz im WWW

173

klärungen soll im Rahmen der Betrachtung des personenbezogenen Datenverkehrs im E-Commerce eingehender nachgegangen werden. 6. Widerspruchsrecht Generelle Vorschriften zum Widerspruchsrecht des Betroffenen gegen die Verarbeitung seiner personenbezogenen Daten finden sich in § 20 Abs. 5 BDSG für öffentliche und in § 35 Abs. 5 BDSG für nicht-öffentliche Stellen.285 Demnach dürfen von nicht-öffentlichen Stellen personenbezogene Daten nicht automatisiert erhoben, verarbeitet oder genutzt werden, wenn der Betroffene diesem bei der verantwortlichen Stelle widerspricht. Der Widerspruch ist ein Widerruf des Betroffenen, aufgrund dessen die verantwortliche Stelle die weitere Datenverarbeitung zu unterlassen hat. Davon zu unterscheiden ist das Recht auf Löschung oder Sperrung gemäß §§ 20 Abs. 5 S. 1, 35 BDSG, bei dem der Betroffene nachträglich von einer unrichtigen oder unzulässigen Datenverarbeitung, die ohne seine Einwilligung erfolgt, Kenntnis erlangt und den Provider zur Einstellung dieser Verarbeitung veranlasst.286 Voraussetzung für die Einstellung der Datenverarbeitung ist gemäß § 20 Abs. 5 S. 1 BDSG eine Prüfung, die eindeutig ergibt, dass das schutzwürdige Interesse des Betroffenen aufgrund seiner besonderen persönlichen Situation gegenüber dem der verantwortlichen Stellen überwiegt. Der Betroffene kann vom Widerspruchsrecht gemäß § 20 Abs. 5 S. 2 BDSG keinen Gebrauch machen, sofern eine bestehende Rechtsvorschrift die verantwortliche Stelle zur Datenverarbeitung verpflichtet. Das Widerspruchsrecht ist grundsätzlich auch im Falle einer rechtmäßigen Datenverarbeitung gültig. Ein Widerspruch ist jedoch nur begründet und die Datenverwendung durch den Provider einzustellen, sofern der Betroffene die besonderen Umstände, die in seiner Person selbst begründet liegen, ausreichend darlegen kann. Trotz rechtmäßiger Datenverarbeitung treten im Einzelfall die Interessen der Daten verarbeitenden Stelle hinter die schutzwürdigen Interessen des Einzelnen zurück.287 Diese enge Auslegung erkennt eindeutig an, dass die kommerziellen oder geschäftsspezifischen Interessen öffentlicher oder nicht-öffentlicher Stellen im Verhältnis zu den grundgesetzlich verankerten Rechten des Bürgers als nachrangig einzustufen sind. 285 P. Gola/R. Schomerus, in: ders., BDSG, § 20, Rdn. 21 ff.; ders., § 35 BDSG, Rdn. 27 ff.; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 80 ff.; ders., § 35, Rdn. 47 ff. 286 P. Gola, Informationelle Selbstbestimmung in Form des Widerspruchsrechts, DuD 2001, 278; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 54. 287 BT-Drs. 14/4329, 41; ebenso P. Gola/R. Schomerus, in: ders., BDSG, § 20, Rdn. 23 f.; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 87 ff.; P. Schaar, Datenschutz im Internet, S. 190.

174

2. Teil, 1. Kap.: Grundlagen zur Verwendung personenbezogener Daten

Fehlt eine gesetzliche Grundlage zur rechtmäßigen Datenverarbeitung, so ersetzt das Widerspruchsrecht das Einholen einer Einwilligung nicht. Der Widerspruch bezieht sich auf solche Fälle, in denen eine Abwägung zwischen den Interessen der verantwortlichen Stelle und dem Betroffenen notwendig ist, wie dies beispielsweise bei der Bestimmung der Zulässigkeit für die Datenverarbeitung für eigene Zwecke durch nicht-öffentliche Stellen gemäß § 28 Abs. 1 BDSG gegeben ist. Neben den allgemeinen Vorgaben zum Widerspruchsrecht enthält das BDSG in § 28 Abs. 4 S. 1 BDSG eine gesonderte Regelung, wonach dem einzelnen Nutzer das Recht zugesichert wird, durch seinen Widerspruch die verantwortliche Stelle zum Einstellen der Übermittlung und Verarbeitung seiner personenbezogener Daten zum Zwecke der Werbung oder Markt- und Meinungsforschung veranlassen zu können.288 Hierfür ist es jedoch notwendig, dass der Betroffene gemäß § 28 Abs. 4 S. 2 BDSG über die Verwendung seiner Daten zu den oben genannten Zwecken vorab unterrichtet wird.289 Gemäß der subsidiären Wirkung des Bundesdatenschutzgesetzes wurden die Regelungen zum Widerspruchsrecht auch in den vorrangig für Telemedien und Telekommunikationsdienste anzuwendenden spezialgesetzlichen Regelungen des Telemediengesetzes und des Telekommunikationsgesetzes materialisiert. So enthält § 15 Abs. 3 S. 1 TMG eine entsprechende Vorschrift für die Erstellung von Nutzungsprofilen auf der Basis von Nutzungsdaten, die im Rahmen des vertraglichen Anbieter-Nutzer-Verhältnisses anfallen und zum Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung der Telemedien verarbeitet werden sollen. Hierbei handelt es sich jedoch nur um ein eingeschränktes Recht, welches dem Betroffenen zuerkannt wird. Gemäß § 15 Abs. 3 S. 1 TMG ist die Erstellung von Nutzungsprofilen, welche eine Einschränkung des Rechts auf informationelle Selbstbestimmung für den Nutzer darstellen, unter den genannten Bedingungen grundsätzlich zulässig, sofern der Betroffene nicht widerspricht. Der Nutzer des WWW kann von seinem Recht auf Widerspruch jedoch nur Gebrauch machen, wenn er über die Art und den Umfang der tatsächlich über ihn erstellten Nutzungsprofile ausreichend Kenntnis hat. Diese umfassende Information liegt bei den meisten Nutzern jedoch nicht vor. Insofern wird mit der genannten Vorschrift des Telemediengesetzes zum Widerspruch das Grundrecht 288 Für Daten, die ab dem 1.9.2009 erhoben werden, gilt entsprechend § 28 Abs. 4 BDSG in der novellierten Fassung ausschließlich für Zwecke der Werbung. Für Zwecke der Markt- und Meinungsforschung ist entsprechend § 30a BDSG heranzuziehen. Vgl. dazu Gesetz zur Änderung der datenschutzrechtlichen Vorschriften vom 14. August 2009, BGBl. I Nr. 54, S. 2816 f. 289 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 520; ebenso P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 59 ff.; S. Simitis, Kommentierung des § 20 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 5. Aufl. 2003, Rdn. 272 ff.

A. E-Government

175

auf informationelle Selbstbestimmung des Nutzers lediglich verwässert. Anders hingegen ist für Anbieter von Telekommunikationsdienstleistungen gemäß § 95 Abs. 2 S. 1 TKG die Erstellung von Nutzungsprofilen aus Bestandsdaten nicht erlaubt, sofern der Betroffene nicht widerspricht, sondern ausdrücklich eine Einwilligung des Nutzers erforderlich.290

Zweites Kapitel

Analyse der Gefahrenbereiche im WWW Für die Betrachtung der Gefährdung291 der Privatsphäre des einzelnen Bürgers spielt im Zusammenhang mit den dargestellten Möglichkeiten zum Missbrauch personenbezogener Daten die Analyse der Gefahrenbereiche im WWW eine entscheidende Rolle. Anhand der Differenzierung der Regelungsbereiche des Bundesdatenschutzgesetzes nach öffentlichen und nicht-öffentlichen Stellen, lassen sich für den öffentlichen Bereich das E-Government als elektronische Abwicklung von Behördendienstleistungen sowie für den nicht-öffentlichen Bereich der E-Commerce als der Erwerb von Waren und Dienstleistungen durch den Abschluss von Geschäftsverträgen im WWW unterscheiden. Weiter soll im Zusammenhang mit der Betrachtung des Schutzes der Privatsphäre auch auf die Nutzung des Internets am Arbeitsplatz näher eingegangen werden.

A. E-Government I. Begriff und Einordnung Mit der Initiierung der Initiative „BundOnline 2005“ im Jahr 2000 mit dem Ziel, Dienstleistungen der Bundesverwaltung über das WWW für jeden Nutzer verfügbar zu machen, wurden bereits bis April 2004 444 Dienstleistungen der Bundesverwaltung als internetfähige Anwendungen zum Abruf online zur Verfügung gestellt. Bis zum Jahr 2010 erfuhr die Umstellung von Verwaltungsdienstleistungen auf den internetbasierten Zugriff im Rahmen des Programms des Bundes „E-Government 2.0“ eine umfangreiche Förderung.292 290 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 10 f.; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 7 f. 291 Zur Verwendung des Begriffs der Gefährdung infolge einer zweckfremden, unzulässigen oder unbefugten Datenverarbeitung resultierenden Eingriffen in das Recht auf informationelle Selbstbestimmung des Betroffenen vgl. BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 292 M. Schallbruch, E-Government 2.0: Das Programm des Bundes, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 23; E. Bürger, Deutschland-Online: Die gemeinsame E-Government-Strategie von

176

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Der Bund sieht sich in der Nutzung moderner Medien zur Verbesserung der direkten Kommunikation zwischen Bürger und Staat als Nachfrager und Förderer von Zukunftstechnologien, wie der Informationstechnik. Insbesondere das Angebot elektronischer Behördendienste soll als wesentlicher Standortfaktor für Länder, Kommunen sowie die Bundesrepublik Deutschland fungieren.293 E-Government ist damit kein singuläres Novum, sondern wird als Teil der Gesamtstrategie des Regierungsprogramms und als „Daueraufgabe der Verwatungsmodernisierung“ begriffen.294 Der Begriff des Electronic Government (E-Government) bezieht sich im weiten Sinne auf die Nutzung moderner Informations- und Kommunikationstechnologien, um Bürgern sowie Unternehmen eine vereinfachte Teilhabe an Regierungs- und Verwaltungsabläufen zu ermöglichen.295 Subsumiert werden darunter alle Prozesse innerhalb des öffentlichen Sektors, sowie gegenüber Verbrauchern und Unternehmen auf kommunaler, subnationaler, nationaler und internationaler Ebene. Der Begriff des öffentlichen Sektors bezieht sich dabei gleichermaßen auf Legislative, Exekutive, die Jurisdiktion sowie öffentliche Unternehmen.296 Eine enge und häufiger gebräuchliche Definition des E-Government erfasst ausschließlich die vereinfachte Verfügbarkeit und Standardisierung von Verwaltungsvorgängen für den Bürger.297

Bund, Ländern und Kommunen, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 29, 31. 293 Statistisches Bundesamt, Entwicklung der Informationsgesellschaft – IKT in Deutschland, 2007, S. 25; M. Mayer, E-Government – Perspektive 2015, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 55 ff. 294 E-Government 2.0 – Programm des Bundes, Bundesministerium des Inneren, Online-Dokument, abrufbar unter: http://www.cio.bund.de/DE/E-Government/egovern ment_node. html, Stand 20.06.2011; E. Bürger, Deutschland-Online, S. 29. 295 Vgl. R. Kaiser, Bürger und Staat im virtuellen Raum – E-Government in deutscher und internationaler Perspektive, in: A. Siedschlag/A. Bilgeri/D. Lamatsch, Kursbuch Internet und Politik, Band 1, 2001, Elektronische Demokratie und virtuelles Regieren, 2001, S. 57; diese Definition impliziert einen Antagonismus zwischen Bürger und Staat. Die Menge aller Bürger jedoch ist der Staat. Das Verhältnis, wie Kaiser es darstellen will, kann per definitionem daher nur zwischen Bürgern und den von ihnen als Vertretung eingesetzten staatlichen Amtswaltern bestehen. Statistisches Bundesamt, Entwicklung der Informationsgesellschaft, S. 25; zum Begriff des E-Government auch M. A. Wimmer, Beiträge der Wissenschaft zur erfolgreichen E-Government-Umsetzung, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 76. 296 J. v. Lucke, Gestaltungspotenziale durch E-Government, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen und Wirtschaftlichkeit, 2007, S. 97. 297 Eingeschlossen sind hier die Abwicklung von Verwaltungsabläufen über Internet und E-Mail, Informations- und Kommunikationsdienstleistungen der öffentlichen Verwaltung sowie elektronische Märkte für das behördliche Beschaffungswesen, vgl. R. Kaiser, Bürger und Staat im virtuellen Raum, S. 58; M. Dürig, Informationstechnologie

A. E-Government

177

Gemäß der „Speyerer Definition von E-Government“ 298 wird dieser Terminus in zwei Begriffsebenen untergliedert299: 1. E-Democracy als elektronisches Angebot im Zusammenhang mit der politischen Dimension des Regierens und der politischen Willensbildung. 2. E-Administration als administrative Beziehung zwischen Bürgern und staatlichen Behörden auf elektronischem Wege. E-Democracy gliedert sich in zwei weitere Bereiche: die Durchführung politischer Kampagnen und Wahlen über das Internet (E-Voting) sowie die Teilhabe des Bürgers am Prozess der politischen Willensbildung über Foren, Meinungsund Trendumfragen sowie Abstimmungen (E-Participation).300 E-Administration umfasst sowohl die Interaktion von Behörde zu Behörde auf administrativem Weg als Vernetzung von Verwaltungen (Government to Government – G2G) sowie diejenige zwischen Behörde und Bürger über ein virtuelles Rathaus, in welchem der Zugang zu Verwaltungsdienstleistungen elektronisch zur Verfügung gestellt wird (Government to Citizen – G2C). Hier kann der Bürger Behördengänge wie beispielsweise das An- und Ummelden seines Wohnsitzes und die Abgabe von Steuererklärungen per Online-Formular, zeitunabhängig erledigen.301 Weiter wird unter E-Administration auch die Zusammenarbeit der Verwaltung mit Wirtschaft oder Verbänden über elektronische Bürgerdienstportale gefasst (Government to Business – G2B).302

im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36. 298 J. v. Lucke/H. Reinermann, Speyerer Definition von Electronic Government, in: dies. (Hrsg.), Electronic Government in Deutschland, Ziele – Stand – Barrieren – Beispiele – Umsetzung, Speyerer Forschungsbericht, Band 226, Forschungsinstitut für öffentliche Verwaltung, 2002, S. 2; so auch M. A. Wimmer, Beiträge der Wissenschaft zur erfolgreichen E-Government Umsetzung, S. 76. 299 Die englischen Begriffe „E-Government“, „E-Democracy“ und „E-Administration“ sollen in dieser Arbeit stellvertretend für den internationalen Geltungsbereicht des Internets Verwendung finden. Gleichwohl sei an dieser Stelle angemerkt, dass eine Ableitung oder Anlehnung angloamerikanischer Begrifflichkeiten zur Anwendung für den deutschen Rechtsraum aus rechtsgeschichtlicher Sicht durchaus kritisch zu sehen ist. 300 A. Goerdeler, E-Voting, in: A. Zechner, Handbuch E-Government, Strategien, Lösungen, Wirtschaftlichkeit, 2007, S. 391; C. Ahlert, Ohne Access kein Success: Hat die weltweite Onlinewahl ICANN demokratisiert?, in: H. Kubicek/D. Klumpp/G. Fuchs/ A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, 2001, S. 127; O. Märker/J. Wehner, E-Participation: Gewinnung bürgerschaftlicher Expertise zur Qualifikation von Planungs- und Entscheidungsprozessen, in: A. Zechner (Hrsg.), Handbuch E-Government, Strategien, Lösungen, Wirtschaftlichkeit, 2007, S. 367 f. 301 M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36. 302 V. Haug, Grundwissen Internetrecht, Rdn. 630.

178

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Ziel ist dabei eine Vereinfachung bürokratischer Abläufe zum Wohl von Bürgern und Unternehmen sowie die Erzielung von beiderseitigen Kosten- und Zeitersparniseffekten.303 Gemäß den Empfehlungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Gestaltung eines datenschutzgerechten E-Governments werden im Rahmen der Verwendung personenbezogener Daten durch öffentliche Stellen im Wesentlichen zwei Verarbeitungswege unterschieden:304 1. Personenbezogene Angaben wie Name und Funktionsbezeichnung der Mitarbeiter als Kontaktinformationen auf der Webseite der Behörde. 2. Personenbezogene Daten, die der nutzende Bürger im Wege der Kommunikation an die öffentliche Stelle über das WWW übermittelt und die zur Bearbeitung des so angefragten Verwaltungsvorgangs gespeichert und weiter verarbeitet werden. Obwohl die Entwicklung des E-Governments seitens des Bundes als Fortschritt betrachtet wird, ist die Öffnung und der damit verbundene Austausch von Daten zwischen öffentlichen Stellen sowie zwischen Bürger und Behörde in Bezug auf den Schutz der Erhebung, Speicherung, Verarbeitung und Weitergabe personenbezogenen Daten durchaus kritisch zu sehen.305 Im Rahmen der Wahrung der Schutzrechte der Betroffenen sollen die eingangs vorgestellten Bereiche des E-Government näher beleuchtet werden, die auf die Interaktion zwischen Bürger und Verwaltung (E-Democracy und E-Administration) fokussieren. Im Vordergrund steht hier die mögliche Gefährdung der Privatsphäre und des Rechts auf informationelle Selbstbestimmung des Nutzers infolge der Übertragung personenbezogener Daten zwischen Bürger und Behörde. II. E-Democracy Im Zentrum der E-Democracy steht der Prozess der politischen Willensbildung,306 welche dem Bürger durch den elektronischen Zugang über das Internet vereinfacht angeboten werden soll. Grundlage ist die Idee zur Modernisierung 303

Statistisches Bundesamt, Entwicklung der Informationsgesellschaft, S. 25. Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government – Handlungsempfehlungen, in: Handbuch E-Government, S. 12, abrufbar unter https://www.bsi.bund.de/cae/servlet/contentblob/476812/publicationFile/28039/ 2_Daten_pdf.pdf, Stand 21.6.2011. 305 M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36. 306 BVerfGE 52, 63 (88); weiter auch BVerfGE 69, 92, (107); 73, 40 (80 ff.); in diesem Sinne auch BVerfGE 83, 60 (75); 85, 264 (284 ff.); 89, 155 (171 f., 182); mit Verweis auf die Ausführungen des Bundesverfassungsgerichts K. A. Schachtschneider, Freiheit in der Republik, S. 609. 304

A. E-Government

179

der Teilhabe am öffentlichen Geschehen, an der politischen Meinungsbildung des demokratischen Gemeinwesens.307 Der Bürger soll über das jederzeit verfügbare inhaltliche Angebot im WWW, wie beispielsweise Programme politischer Parteien, genügend Wissen erlangen, um so zum informierten Bürger zu werden. Auf dieser Grundlage soll diesem ebenso auf elektronischem Weg, in Abstimmungen oder durch Abgabe seiner Wahlstimme ermöglicht werden, ortsunabhängig, direkt am politischen Geschehen teilhaben zu können.308 Dieses Modell entspricht dem Ansatz nach dem Grundgedanken zur Verwirklichung der Prinzipien der freiheitlich demokratischen Grundordnung.309 Allerdings steht im Zentrum der vereinfachten Teilnahme am öffentlichen Geschehen auch die Abhängigkeit von einem Medium, dessen technische Sicherheit sowohl für den Zugang als auch für die Datenübertragung aufgrund bestehender technischer Lücken nicht vollends gewährleistet ist.310 Gemäß § 35 BWahlG ist es möglich, im Rahmen einer politischen Wahl, statt Stimmzetteln, elektronische Wahlgeräte einzusetzen. Die im Vergleich zur manuellen Auszählung schnellere und mit der Briefwahl beim Wähler in den letzten

307 Zur Maßgeblichkeit der Teilhabe am öffentlichen, politischen Geschehen vgl. C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 308 A. Goerdeler, E-Voting, S. 391; C. Ahlert, Ohne Access kein Success, S. 127; O. Märker/J. Wehner, E-Participation, S. 367 f.; vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 609; zum Wahlrecht des Bürgers als subjektives Recht BVerfGE 89, 155 (171 f., 182); zur Dogmatisierung des Bürgers als zentrale Institution der Republik auf der Grundlage der Ausführungen des Bundesverfassungsgerichts K. A. Schachtschneider, Freiheit in der Republik, S. 612 ff.; ders., Das Maastricht-Urteil. Die neue Verfassungslage der Europäischen Gemeinschaft, Recht und Politik 1994, S. 1 ff.; ders., Die existentielle Staatlichkeit der Völker Europas und die staatliche Integration der Europäischen Union. Ein Beitrag zur Lehre vom Staat nach dem Urteil des Bundesverfassungsgerichts zum Vertrag über die Europäische Union von Maastricht, in: K. A. Schachtschneider/W. Blomeyer (Hrsg.), Die Europäische Union als Rechtsgemeinschaft, 1995, S. 75 ff.; B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie. Chancen und Risiken, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, S. 227, zur Partizipation und E-Demokratie vgl. insbesondere S. 235. 309 Vgl. hierzu die Feststellungen des Bundesverfassungsgerichts zum SRP-Urteil im Jahr 1952, wonach die freiheitlich demokratische Grundordnung als Ordnung definiert wird „die unter Ausschluss jeglicher Gewalt- und Willkürherrschaft eine rechtsstaatliche Herrschaftsordnung auf der Grundlage der Selbstbestimmung des Volkes nach dem Willen der jeweiligen Mehrheit und der Freiheit und Gleichheit darstellt.“, BVerfGE 2, 1 (12 f.); vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 116; im Hinblick auf die Nutzung moderner Kommunikationsmittel auch B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, S. 229. 310 Zur Notwendigkeit der Verwendung geeigneter elektronischer Verfahren zur Sicherstellung der Identität des Betroffenen vgl. J. Becker, Datenschutz-Nutzen, IT-Sicherheit 1 (2003), S. 46; B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie, in: C. SchulzkiHaddouti, Bürgerrechte im Netz, S. 239.

180

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Jahren zunehmend beliebtere elektronische Form wird jedoch mit vergleichsweise hohen Systemkosten erkauft.311 Eine vollständige Abwicklung der Wahlen über das Medium Internet, speziell dem WWW erfordert einen hohen technischen Sicherheitsstandard der Zertifizierung für die Sicherheit und Verschlüsselung312 der übertragenen Daten aus den abgegebenen Wahlstimmen. Während unter Zuhilfenahme elektronischer Wahlgeräte das Ergebnis nach der Auszählung ausgedruckt wird, erfordert die Abgabe der Wahlstimmen im Online-Verfahren eine Übertragung der Daten des Wählers an eine zentrale Datenbank. Eine wesentliche Herausforderung besteht demnach für die durchführende Behörde, den Vorgang der Speicherung, Verarbeitung und Verwendung des Datenmaterials für den betroffenWähler, den Bürger, gemäß den Vorschriften des Bundesdatenschutzgesetzes transparent sowie weitgehend vollständig nachvollziehbar zu machen.313 Gemäß der Stellungnahme des Innenministeriums Baden-Württemberg ist auch bei Online-Wahlen die Wahrung von Sicherheit, Chancengleichheit, Überprüfbarkeit sowie das Wahlgeheimnis zu garantieren. Im Einzelnen „müssen in technischer Hinsicht die Verfassungsgrundsätze der allgemeinen, unmittelbaren, freien, gleichen und geheimen Wahl gewährleistet sein. Es muss ausgeschlossen sein, dass derartige Stimmabgaben infolge der informationstechnischen Gegebenheiten zu erfolgreichen Wahlanfechtungen und damit auch zu einem grundlegenden Vertrauensverlust des Wählers führen. Die Grundsätze der freien und geheimen Wahl erfordern, dass nicht nur das Verhältnis zwischen Wähler und Wahlorganisation beachtet, sondern die abgegebenen Stimmen ohne Manipulation Dritter – z. B. durch Eingriffe der Übertragungswege von außen – festgehalten und gewertet werden können. Diese Gefahr dürfte umso größer sein, je politisch bedeutsamer und medienwirksamer die Wahl ist. Das System für die Stimmabgabe online muss insbesondere am Wahltag ohne Einschränkungen verfügbar und funktionsfähig sein. Aus den verschiedenen Sicherheitszielen ergeben sich hohe technische Anforderungen. Dabei sind auch Kosten und Nutzen von Online-Wahlen gegeneinander abzuwägen.“ 314

Neben den rechtlichen Maßgaben für den Datenschutz und das Wahlgeheimnis existieren häufig technische Probleme hinsichtlich der Datensicherheit.315 Hier 311 M. Leder, Der Einsatz von Wahlgeräten und seine Auswirkungen auf die Amtlichkeit und Öffentlichkeit der Wahl, DÖV 2002, S. 648, 650; kritisch dazu V. Haug, Grundwissen Internetrecht, Rdn. 634. 312 Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 91 ff.; sowie F.-L. Bauer, Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie, 1995, S. 36 ff.; R. Gerling, Verschlüsselungsverfahren, DuD 1997, 197 ff. 313 Zur Maßgeblichkeit der Sicherheit bei Online-Wahlen vgl. A. Goerdeler, E-Participation, in: A. Zechner Handbuch E-Government, S. 391; J. Becker, Datenschutz-Nutzen, IT-Sicherheit 1 (2003), S. 46. 314 Stellungnahme des Innenministeriums Baden-Württemberg vom 13.8.2001 zur elektronischen Stimmabgabe – LT-Drs. 13/88, S. 4, abrufbar unter http://www.landtagbw.de/WP13/Drucksachen/0000/13_0088_d.pdf, Stand 21.6.2011.

A. E-Government

181

erweisen sich die bereits im Zusammenhang mit den technischen Grundlagen des Internets und des WWW vorgestellten Probleme des Einsatzes von Cookies, Viren, Würmern und Trojanischen Pferden als wesentlich, die für Angriffe auf Computersysteme, Server und Übertragungswege eingesetzt werden.316 Der Schutz personenbezogener Daten wird also bereits zum Zeitpunkt der bei der Eingabe der Daten am Computer des privaten Nutzers oder auf dem Übertragungsweg der Daten durch das rechtswidrige Ausspionieren durch unbefugte Dritte gefährdet. Weiter können die Daten von der erhebenden öffentlichen Stelle im Rahmen der Speicherung in Datenbanken und der anschließenden Auszählung zu Datenpools aggregiert und entsprechend zielgruppenspezifisch ausgewertet werden. Ebenso nicht nachverfolgbar für den Nutzer ist die Verwendung seiner Daten für andere Zwecke (z. B. weitere Verwendung der Daten aus der Wahlbeteiligung als Grundstock für Haushaltsbefragungen, Volkszählungen, etc.) und die eventuelle Weitergabe dieser an Dritte öffentliche oder auch private Stellen. Datensicherheit und Datenschutz greifen an dieser Stelle somit nicht nur ineinander sondern bedingen sich gegenseitig.317 Insgesamt ergeben sich damit für die Beteiligung an einer Wahl über das WWW für den Bürger folgende Problembereiche um die Privatsphäre sowie das Grundrecht auf informationelle Selbstbestimmung ausreichend gewährleisten zu können:318 1. Die Trennung zwischen Erfassung seiner personenbezogenen Daten zur Identifikation zum Zwecke der Wahlberechtigung und den Daten aus der Stimmabgabe nachvollziehbar zu machen. 2. Die ausschließliche Weiterleitung der personenbezogenen Daten und der Stimmabgabe an die berechtigte Stelle sicherzustellen. An dieser Stelle sei festzustellen, dass die derzeit vorliegenden technischen Möglichkeiten nicht ausreichen, um eine verfassungsgemäße Wahl über das Internet durchführen zu können. Zwar kann nicht durchwegs von einer konkreten Gefahr für den Nutzer ausgegangen werden. Jedoch bedingen die zahlreichen technischen Sicherheitslücken sowie die Möglichkeit, die Wahldaten zweckfremd und unzulässig zu verarbeiten oder weiter zu verwenden, eine stete Gefähr315 C. Ahlert, Ohne Access kein Success, S. 128; A. Goerdeler, E-Participation, in: A. Zechner Handbuch E-Government, S. 391, 394; kritisch dazu auch B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, S. 241. 316 C. Müller, Internationales Privatrecht und Internet, S. 260; M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36. 317 Zur Maßgeblichkeit des Datenschutzes für den Bereich der E-Democracy vgl. A. Roßnagel, Die Zukunft des Datenschutzes, S. 230. 318 A. Goerdeler, E-Voting, S. 46; C. Ahlert, Ohne Access kein Success, S. 128.

182

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

dung319 der Grundrechte des Einzelnen durch Eingriffe in sein Grundrecht auf informationelle Selbstbestimmung.320 Mit der Durchführung von Wahlen wird zuvorderst das demokratische Prinzip im Rechtsstaat verwirklicht. Dieses, in Art. 20 Abs. 2 GG, verankert, steht in enger Verbindung mit den obersten Prinzipien des Grundgesetzes, der Menschenwürde aus Art. 1 Abs. 2 GG, sowie der Freiheit und Gleichheit der Bürger aus Art. 2 Abs. 1 und Art. 3 GG. Denn Gleichheit vor dem Gesetz folgt aus dem Prinzip der Menschenwürde.321 Aus dem demokratischen Prinzip folgen die Grundsätze der geheimen, allgemeinen, gleichen und öffentlichen Wahl, im Sinne Art. 38 Abs. 1 S. 1 GG.322 Im Hinblick auf die genannten Sicherheitslücken für die Übertragung personenbezogener Daten, stellt sich die Frage, ob das Internet ein geeignetes Medium für Wahlen ist, um die genannten Grundsätze zu gewährleisten. Gemäß dem Grundsatz der geheimen Wahl ist für den Einsatz elektronischer Hilfsmittel, mittels derer Wahlstimmen erfasst, gezählt und ausgewertet werden, sicherzustellen, dass keine fremde Einsichtnahme des Stimmzettels oder der Wahlbeteiligung anhand der erfassten personenbezogenen Daten möglich ist. Diesem wird von staatlicher Seite grundsätzlich durch den Einsatz von Wahllokalen gemäß § 33 Abs. 1 BWahlG nachgekommen. Hier ist sowohl die Trennung der Identifikation des Wählers von der Abgabe seines Stimmzettels durch zeitliche und örtliche Versetzung beider Handlungen, als auch der Schutz vor der rechtswidrigen Einsichtnahme in die Stimmabgabe gewährleistet.323 319 Zur Verwendung des Begriffs der Gefährdung infolge des aus einer zweckfremden, unzulässigen oder unbefugten Datenverarbeitung resultierenden Eingriffs in das Recht auf informationelle Selbstbestimmung des Betroffenen vgl. BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 320 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1 GG, Rdn. 88, 121 ff., insbesondere zur Sicherheit und Zweckbindung der Datenverarbeitung Rdn. 121 ff.; zum Schutz vor Eingriffen Rdn. 79 ff.; zum Schutzanspruch vor Eingriffen in das allgemeine Persönlichkeitsrecht U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 321 R. Herzog/B. Grzesick, Kommentierung des Art. 20 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 2006, Abschnitt I, Rdn. 17 f.; Abschnitt II, Rdn. 6; K. A. Schachtschneider, Freiheit in der Republik, S. 113; ders., Res publica res populi, S. 366 ff.; ders., Prinzipien des Rechtsstaates, S. 329 f.; vgl. auch P. Kirchhof, Der allgemeine Gleichheitssatz, HStR, Bd. V, 1992, § 124, Rdn. 86 ff., insb. Rdn. 91 ff. 322 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 235; zur allgemeinen und gleichen Wahl vgl. R. Herzog/B. Grzesick, in: T. Maunz/G. Dürig, GG, Art. 20, Abschn. II, Rdn. 6 ff., 9. M. Will, Wahlen und Abstimmungen via Internet und die Grundsätze der allgemeinen und gleichen Wahl, CR 2003, 126, 127 f.; M. Leder, Der Einsatz von Wahlgeräten und seine Auswirkungen auf die Amtlichkeit und Öffentlichkeit der Wahl, DÖV 2002, 648, 652; kritisch dazu im Rahmen der E-Demokratie auch B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, S. 237, 242; auch V. Haug, Grundwissen Internetrecht, Rdn. 636 ff. 323 Gemäß § 33 Abs. 1 BWahlG.

A. E-Government

183

Dies kann hingegen in den privaten Räumlichkeiten des Wählers in der Regel nicht erfolgen. Selbst wenn man die Wahl über das Internet den mit den der Briefwahl verbundenen vereinfachten Bestimmungen gleichsetzt, wäre gemäß § 36 Abs. 2 WahlG eine vom Wähler eindeutig identifizierbare, signierte Datei mit einer eidesstattlichen Willenserklärung zur persönlichen Stimmabgabe notwendige Voraussetzung für die Rechtmäßigkeit und Gültigkeit der Wahl. Ein Ausschluss einer Bevölkerungsgruppe, wie wahlberechtigte Personen ohne eigenen Internetanschluss, von der Wahlteilnahme ist nach dem Grundsatz der allgemeinen Wahl rechtswidrig.324 Die Zugänglichkeit für jeden Wahlteilnehmer zur Stimmabgabe, sei das Internet auch nur als Option zur Verfügung gestellt, bezieht sich ebenfalls auf die Sicherheit der Übertragungswege für die Übermittlung der abgegebenen Stimme gemäß dem Fernmeldegeheimnis aus Art 10 Abs. 1 GG und den Wahlrechtsgrundsätzen aus Art. 38 Abs. 1 S. 1 GG. Technische Schwachstellen, Überlastung oder bewusste Angriffe auf die Empfangsserver sowie der mögliche Zugriff unbefugter Dritter durch Manipulation der Server (Web-Spoofing) oder des Rechners des Betroffenen stellen Gefahren für den Wähler dar, die Kontrolle über seine übermittelten Daten zu verlieren.325 Die Gewährleistung eines umfassenden, lückenlosen Datenschutzes sowie der Datensicherung fordert von staatlicher Stellen einen sehr hohen personellen wie finanziellen Aufwand und ist aufgrund des steten Fortschritts an technischen Möglichkeiten zu rechtswidrigen Angriffen auf das System Internet nicht abschließend zu gewährleisten. Gemäß dem Grundsatz der gleichen Wahl ist bei der Durchführung der Wahl über das Internet ferner die Möglichkeit einer Mehrfachabgabe der Stimme zu verhindern.326 Abschließend ist im Rahmen einer nach den rechtsstaatlich demokratischen Grundsätzen gültigen Wahl der Grundsatz der öffentlichen Wahl zu berücksichtigen.327 Hier steht die Nachvollziehbarkeit der Wahlhandlung bis zur Feststellung des Wahlergebnisses im öffentlichen Raum im Vordergrund. Bei der Durchfüh324

V. Haug, Grundwissen Internetrecht, Rdn. 638 f. W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9 f.; V. Haug, Grundwissen Internetrecht, Rdn. 638 f.; dies widerspricht auch den Feststellungen des Bundesverfassungsgerichts wonach die Erhebung und Speicherung personenbezogener Daten unter den Bedingungen der automatisierten Datenverarbeitung für den Bürger generell unüberschaubar ist, BVerfGE 65, 1 (46). 326 V. Haug, Grundwissen Internetrecht, Rdn. 640 f. 327 Im Rahmen der rechtsstaatlichen Grundsätze sind insbesondere die fundamentalen Ideale des Verfassungsgesetzes und des demokratischen Gemeinwesens der Freiheit, Gleichheit und Brüderlichkeit auf der Grundlage der Menschenwürde als für alle Bürger im Rechtsstaat gleichermaßen verbindlich anzusehen. Vgl. R. Herzog/B.Grzeszick, in: T. Maunz/G. Dürig, GG, 2006, Art. 20, Abschnitt I, Rdn. 16 ff.; 91 ff.; zur Gleichheit der Wahl ders., Abschnitt II, Rdn. 6 ff., 9; K. A. Schachtschneider, Die Würde des Menschen, S. 13 ff.; ders., Freiheit in der Republik, S. 22 ff.; ders., Res publica res po325

184

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

rung im Wahllokal steht jedem Wahlberechtigten nach Wahlschluss das Recht zu, bei der Stimmenauszählung anwesend zu sein. Er kann demnach von seinem Recht auf Partizipation am Prozess der öffentlichen Willensbildung und der Wahl der von ihm und vom Volk als der Menge von Menschen unter Rechtsgesetzen328 eingesetzten politischen Vertretern Gebrauch machen.329 Dies ermöglicht das allgemeine Persönlichkeitsrecht, welches zuvorderst in seiner Menschenwürde, seiner Eigenschaft und den damit verbundenen Rechten als Bürger, als Teil der staatlichen Gemeinschaft330, der Allgemeinheit, begründet liegt. Insbesondere besteht die Gefährdung331 für einen Eingriff in das allgemeine Persönlichkeitsrecht des Nutzers infolge der technologischen Herausforderung, eine sichere Übermittlung der Stimmabgabe gemäß Art. 10 GG zu gewährleisten.332 Dies kann beispielsweise durch das elektronische Signaturverfahren erfolgen sowie durch eine effektive Kontrolle des Wahlergebnisses durch öffentliche Stellen anhand eines Abgleichs der erhaltenen mit den versendeten Wahldaten.333 puli, S. 4 f., 410 ff.; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 69; in diesem Sinne auch BVerfGE 5, 85, (205). 328 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 56; ders., Res publica res populi, S. 519 ff.; I. Kant, Metaphysik der Sitten, S. 432; C. de Montesquieu, Vom Geist der Gesetze, ed. Weigand, 1965, S. 210; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454, 461, 465. 329 Zur Stellung der eingesetzten staatlichen Organe grundlegend: K. A. Schachtschneider, Sittlichkeit und Moralität, S. 26, 29, 44 ff.; zum Begriff des Volkes als der Menge an Bürgern vgl. I. Kant, Metaphysik der Sitten, S. 365 f., 374; ders., Zum ewigen Frieden. Ein philosophischer Entwurf, 1795/1796, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 9, 1968, S. 203; K. A. Schachtschneider, Res publica res populi, S. 426, 447, 551 ff., 562 f.; ders. (O. Gast), Sozialistische Schulden nach der Revolution. Kritik der Altschuldenpolitik. Ein Beitrag zur Lehre von Recht und Unrecht, 1996, S. 29 ff. 330 Zum Menschenbild des Grundgesetzes auf der Basis der Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Einzelperson vgl. BVerfGE 4, 7 (15 f.); G. Robbers, in: H. v. Mangoldt/F. Klein/C. Starck, GG, Art. 6 Abs. 1, Rdn. 37. 331 Zur Verwendung des Begriffs der Gefährdung aus dem infolge einer zweckfremden, unzulässigen oder unbefugten Datenverarbeitung resultierenden Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen vgl. explizit BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 332 C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 115 f.; im weiteren Sinne auch Rdn. 177; weiter U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff.; im weiteren Sinne auch M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 80 ff., insbesondere 86 f., 88 f.; auf Basis des Art. 10 GG und bereits auf die Risiken der Kommunikationsübermittlung hinweisend G. Dürig, in: T. Maunz/ders., GG, Art. 10, Rdn. 2, insbesondere Rdn. 13 f.; zur kommunikativen Privatheit und Privatsphäre vgl. C. Gusy, in: H. v. Mangoldt/F. Klein/C. Starck, GG, Art. 10, Rdn. 14 ff., insbesondere Rdn. 19, bezogen auf den Einsatz moderner, digitaler Kommunikationsmedien Rdn. 20 ff. 333 A. Goerdeler, E-Voting, S. 392; V. Haug, Grundwissen Internetrecht, Rdn. 662; C. Ahlert, Ohne Access kein Success, S. 128; A. Roßnagel, Recht der digitalen Signaturen, S. 513 ff.; kritisch dazu B. Ewert/N. Fazlic/J. Kollbeck, E-Demokratie, S. 241.

A. E-Government

185

Damit kann die Abgabe von Wahlstimmen über das WWW stets nur ein ergänzendes Mittel darstellen und beispielsweise die Briefwahl substituieren. Allerdings muss dem Bürger die Möglichkeit der persönlichen Stimmabgabe vor Ort im Wahllokal offen bleiben. Dies, um den Schutz seines Grundrechts auf informationelle Selbstbestimmung zum einen und zum anderen die Einhaltung der demokratischen Wahlgrundsätze zum Wohle der Gemeinschaft der Bürger im Verfassungsstaat gewährleisten zu können. III. E-Administration Mit der Förderung der Repräsentanz und den damit verbundenen verwaltungsrelevanten Angeboten für Bürger im WWW wollen Bund, Länder und Gemeinden zum einen die Serviceorientierung öffentlicher Stellen stärken, zum anderen auch ein höhere Maß an Bürgernähe erreichen. Dem Nutzer stehen daher über das WWW zunehmend verwaltungsrelevante Dienstleistungen über sogenannte „virtuelle Rathäuser“ zur Verfügung. Neben gemeindebezogenen Informationen und Hinweisen zu kommunalen Dienstleistungen erhält der Bürger auf der Webseite der öffentlichen Stelle die Möglichkeit Ämtergänge zeit- und ortsunabhängig am PC von zu Hause erledigen zu können.334 Im Einzelnen werden für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten drei Formen elektronischer Dienstleistungen öffentlicher Ämter über das WWW unterschieden:335 1. Formulare die zum Download zur Verfügung gestellt werden und ausgefüllt an die öffentliche Stelle per Post zurückgesendet werden müssen (Offline-Formulare). 2. Formulare die per Eingabemaske auf der Webseite direkt im WWW ausgefüllt und online an die Behörde zurückgesendet werden können (Online-Formulare). 3. Formulare die online ausgefüllt werden können und gleichzeitig verschiedene Verwaltungsleistungen in Anspruch nehmen. Dem Bürger wird damit die Erledigung mehrerer Behördengänge mit einem Formular ermöglicht. Der direkte elektronische Zugang zu Verwaltungsdienstleistungen ist im Gegensatz zum persönlichen Behördengang mit einem hohen Maß an zeitlicher wie 334 E. Bürger, Deutschland-Online, S. 29; H. Stach, Bürger-Portale, in: A. Zechner, Handbuch E-Government S. 155 f.; V. Haug, Grundwissen Internetrecht, Rdn. 663. 335 M. Mayer, E-Government – Perspektive 2015, S. 55; V. Haug, Grundwissen Internetrecht, Rdn. 677; vgl. dazu auch in Bezugnahme auf die Einführung der elektronischen Steuererklärung ELSTER R. Krebs, ELSTER – Eine Erfolgsstory, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 345 ff.; zur elektronischen Antragstellung des Antrags auf Ausbildungsförderung vgl. P. Fassbender, BAföG-Online, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 357 f.

186

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

örtlicher Flexibilität verbunden. Weiter ermöglicht der Einsatz neuer Technologien unterschiedliche, auf gleiche Lebenssachverhalte bezogene Verwaltungsvorgänge zu bündeln.336 Als Beispiel lassen sich die mit einem Wohnsitzwechsel verbundenen Änderungen wie Ummeldung, Kfz-Zulassung sowie Steuerbezirk und Steuernummer, anführen, deren Bearbeitung der Bürger bei der öffentlichen Stelle nun mittels eines einzigen Änderungsformular auf der Webseite veranlassen kann.337 Dadurch werden nicht nur unterschiedliche Verwaltungsvorgänge zentralisiert, sondern auch verschiedene öffentliche Stellen wie beispielsweise Einwohnermeldeamt, Kfz-Zulassungsstelle und Finanzamt eingebunden. Diese Vernetzung sowie der damit verbunden Austausch personenbezogener Daten zwischen den öffentlichen Stellen stellt eine weitere Quelle einer vom Benutzer kaum kontrollierbaren Datenverarbeitung dar. Was von vielen Autoren als Effizienzgewinn und effektive Kosteneinsparungsmaßnahme für den öffentlichen Verwaltungsapparat eingestuft wird,338 ist für den Bürger im Hinblick auf den Schutz seines Grundrechts auf informationelle Selbstbestimmung jedoch nur unter dem Gesichtspunkt der Zeitersparnis ein Vorteil. So ist es dem Einzelnen im Rahmen des persönlichen Behördengangs möglich, den Erhalt und die Weitergabe seiner Anträge und damit auch seiner persönlichen Daten bei der zuständigen Stelle weitgehend nachzuvollziehen. Die Eingabe von Daten in ein elektronisch bereit gestelltes Formular im WWW hingegen ist mit dem Umstand verbunden, dass technische Mängel der Übertragungswege oder der bewusste Eingriff unbefugter dritter Personen die Sicherheit der Weitergabe personenbezogener Daten gefährden und weitgehend unkontrollierbar machen.339 Weiter stellt die elektronische Verbindung unterschiedlicher öffentlicher Stellen zum Zwecke des Austauschs von Daten gemäß § 15 BDSG ein Risiko für die Zulässigkeit der Verarbeitung personenbezogener Daten im Wege der Amtshilfe dar. Als Beispiel wird hier der Austausch von Daten zwischen Meldebehörden, Sozialämtern und Jugendämtern angeführt.340

336

M. Mayer, E-Government – Perspektive 2015, S. 55, 58. V. Haug, Grundwissen Internetrecht, Rdn. 663. 338 So auch M. Eifert, Electronic Government als gesamtstaatliche Organisationsaufgabe, ZG 2001, S. 115, 119; V. Boehme-Neßler, Cyberlaw, S. 334; unkritisch V. Haug, Grundwissen Internetrecht, Rdn. 663. 339 In Bezugnahme auf die Problematik des Einsatzes kryptografischer Verfahren zum Identitätsnachweis vgl. M. Herfert, Langzeitarchivierung elektronisch signierter Dokumente, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 172; H. Stach, Bürger-Portale, S. 160 ff.; für die Einführung des elektronischen Personalausweises vgl. auch A. Reisen, Identity Management und der elektronische Personalausweis, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 166 f. 340 Zur Zulässigkeit der Datenübermittlung öffentlicher Stellen im Wege der Amtshilfe vgl. U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 53 ff.; P. Gola/R. Schomerus, 337

A. E-Government

187

Insgesamt muss der Bürger für den Wegfall der Wartezeit eines persönlichen Behördengangs einen weitgehenden Verlust der Kontrolle über die Erhebung, Einsichtnahme und Weitergabe seine persönlichen Daten auf elektronischem Wege in Kauf nehmen. So resultieren aus der Nutzung des E-Government Angebots über das WWW für den einzelnen Bürger erhebliche Risiken, die zu einer allgemeinen Gefährdung der Privatsphäre und dem Grundrecht auf informationelle Selbstbestimmung des Betroffenen maßgeblich beitragen. Dazu zählen im Einzelnen die 1. ordnungsgemäße Nachvollziehbarkeit gespeicherter Daten, 2. Verlustgefahr von Daten durch technische Mängel, 3. dezentrale Verfügbarkeit von Daten, 4. Protokollierung von Daten341. Der Vorteil der Speicherung von Daten geht immer mit einem Risiko des Verlusts derselben und der ordnungsgemäßen Nachvollziehbarkeit des Speicherungsvorgangs einher. Werden personenbezogene Daten beispielsweise verschlüsselt gespeichert, so besteht neben dem Risiko der Löschung auch die Möglichkeit, dass die Daten zu einem späteren Zeitpunkt ohne die entsprechend benötigte Hard- und Software nicht mehr entschlüsselt werden können.342 Des Weiteren ermöglicht die zunehmende Vernetzung und Verzweigung des Internets sowie der Zugriff auf das WWW mittels unterschiedlicher Endgeräte, wie beispielsweise PC, Handy, PDA, dass nationale Regelungen zum Datenschutz durch die örtliche Ungebundenheit des Angebots umgangen werden können. Daraus resultierende Eingriffe in das Persönlichkeitsrecht des Betroffenen können in der Regel selten nachvollzogen und der grenzüberschreitende Datenaustausch343 von staatlichen Behörden nur schwer effektiv kontrolliert werden. Mit der Ausbreitung und Wahrnehmung des Missbrauchs personenbezogener Daten im WWW sind die verarbeitenden Stellen durch gesetzliche Regelungen an die Protokollierung von Datenverarbeitungsvorgängen gebunden. Die damit steigende Anzahl von Datenmengen über die Nutzung des WWW ist für den Betroffenen kaum noch überschaubar.344 Entsprechend binden die Vorschriften des Kommentierung des § 15 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 6 ff. 341 Zur Protokollierung von Daten vgl. J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, S. 621; Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 27. 342 M. Herfert, Langzeitarchivierung elektronisch signierter Dokumente, S. 170. 343 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 15; zur Vernetzung vgl. auch A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241; zur Verwendung von mobilen Endgeräten wie PDAs („Personal Digital Assistents“) vgl. B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 161. 344 So auch die Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, BVerfGE 65, 1 (42 f.).

188

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

§ 9 BDSG, § 13 Abs. 4 S. 1 TMG und § 109 TKG die verantwortlichen Stellen zwar daran, die technische und organisatorische Sicherheit der Datenverarbeitung zu gewährleisten.345 In der Praxis wird diesem jedoch in der Regel aus Zeit- und Kostengründen meist nicht umfassend entsprochen. Zu den spezifischen Gefährdungen für die informationelle Selbstbestimmung des einzelnen Bürgers infolge der Nutzung des E-Government im WWW zählen die 1. Verfügbarkeit personenbezogener Daten, 2. Zentralisierung von Datenbanken, 3. Automatisierung von Einzelentscheidungen 346. Das dezentral verfügbare Angebot im WWW vereinfacht die Erhebung personenbezogener Daten über dessen Nutzer erheblich. Durch die starke Vernetzung unterschiedlicher Kommunikationsschnittstellen innerhalb des E-Government wie der öffentlichen Stelle als Content Provider, der Host Provider als Anbieter des Speicherplatzes für die Webseite sowie der Access Provider als Zugangsanbieter zum WWW,347 wird der gesamte Kommunikationsprozess des einzelnen Bürgers mit der Behörde erfassbar und analysierbar. Aus dieser Analyse lassen sich durch Vernetzung mit weiteren Datenbeständen umfassende Persönlichkeitsprofile erstellen.348 Anhand der Nutzung des E-Government Angebots im WWW werden die Datenbestände unterschiedlicher Behörden auch zu zentralen Datenbeständen aggregiert. Dies ermöglicht neben der schnelleren Bearbeitung von Anträgen die individuelle Gestaltung des Angebots für den Nutzer. Die datenschutzrechtliche Vorgabe der Zweckbindung wird durch diese Möglichkeit des Zugriffs auf Datenbestände unterschiedlicher Dienststellen verwässert. Darüber hinaus ist diese Datenverarbeitung und -weiterleitung im Hinblick auf den Schutz des Grundrechts des Betroffenen auf informationelle Selbstbestimmung kaum nachvollziehbar. Die zentrale Speicherung und Verwaltung von Datenbeständen bedingt überdies einen Verstoß gegen den Grundsatz der informationellen Gewaltenteilung.349 345 Zur Maßgeblichkeit des Datenschutzes im Rahmen des E-Governments vgl. A. Roßnagel, Die Zukunft des Datenschutzes, S. 230; so für das TMG auch G. Spindler/J. Nink, RdeM, § 13 TMG, Rdn. 8 f. 346 Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 28. 347 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103. 348 A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 349 S. Simitis, in: ders., BDSG, Einleitung, Rdn. 36 f.; zur Verpflichtung des Gesetzgebers zum Schutz vor der zweckfremden Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung und zur informationellen Gewaltenteilung vgl. BVerfGE 65, 1 (46, 69); Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 28.

A. E-Government

189

Ferner resultiert aus dem Bestehen zentraler Datenbanken zunehmend die Möglichkeit automatisierter Verwaltungsentscheidungen. Für den Betroffenen stellt dies einen erheblichen Eingriff in sein Persönlichkeitsrecht gemäß Art. 2 Abs. 1 und Art. 1 Abs. 1 GG dar, weil für ihn unter Umständen lebenswichtige Entscheidungen ohne Berücksichtigung seiner persönlichen Umstände, ohne erneute Kontrolle, rein auf Basis der verfügbaren Daten und auf statistischen Auswertungen basierenden Ausschlussregelungen getroffen werden können.350 Weiter wirken sich die Möglichkeiten 1. zur technischen Manipulation der Infrastruktur der öffentlichen Stelle und des E-Government-Portals, 2. zur Öffnung und Vergabe des Zugangs zu E-Government-Anwendungen an unberechtigte Dritte, 3. zu externen Angriffen auf das System durch Schadenssoftware wie Viren, Würmer oder Trojaner gefährdend auf die Privatsphäre und das Recht auf informationelle Selbstbestimmung des einzelnen Bürgers aus.351 Auch kann der sorgsame Umgang mit den personenbezogenen Daten gemäß den datenschutzrechtlichen Grundsätzen durch das Verwaltungspersonal nicht abschließend sichergestellt werden. Eine weitere kritische Größe stellt der Zeitpunkt des Austauschs der Daten dar. So können diese von unberechtigten Dritten, aber auch von Angestellten manipuliert werden. Durch Missbrauch von Identitäten bei mangelnden Authentifizierungsverfahren können unbefugte Dritte Zugang zu wichtigen Daten erhalten. Auf Ebene des Host und Access Providers können darüber hinaus gezielte Angriffe Dritter auf Server, Protokolle oder angebotene Zugangsdienste erfolgen.352 IV. Datenübermittlung zwischen Behörden und Datenverarbeitung durch Dritte Die Übertragung einzelner oder vollständiger Verwaltungsaufgaben auf dritte Stellen stellt eine kritische Größe dar, die einen grundrechtsadäquaten Datenschutz gefährden. Aus der Übermittlung personenbezogener Daten an Dritte re350 Ders., vgl. auch P. Schaar, Datenschutz, in: A. Zechner (Hrsg.), Handbuch EGovernment, 2007, S. 442. 351 C. Müller, Internationales Privatrecht und Internet, S. 260; M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36; vgl. auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff.; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 80. 352 M. Mayer, E-Government – Perspektive 2015, S. 62; so auch Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 30.

190

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

sultiert nicht nur eine potentiell stärkere Gefährdung, sondern bereits eine erhebliche Beschränkung des Rechts auf informationelle Selbstbestimmung, weil der Kontext, also der ursprüngliche Zweck zu dem die Daten erhoben und gespeichert wurden, verlassen wird.353 Die Möglichkeit eines Eingriffs in das allgemeine Persönlichkeitsrecht liegt also im Wege der Datenübertragung begründet und wird durch die Speicherung sowie weitere Verarbeitung konkretisiert. Dem betroffenen Nutzer hingegen ist es mangels ausreichender Kenntnis der Verarbeitungswege in der Regel nicht möglich, dies ausreichend zu kontrollieren.354 Auch wenn er der öffentlichen Stelle seine Einwilligung in die Datenverarbeitung zum Zwecke einer festgelegten Verwaltungsaufgabe gegeben hat, entzieht sich die Weitergabe der Daten an eine dritte speichernde und verarbeitende Stelle bis zum Erhalt eines Bescheides (Steuerbescheid, Meldebescheinigung) seiner Kenntnis.355 Anhand der Vorschrift des § 11 BDSG wird bei der Weiterleitung personenbezogener Daten an dritte Stellen zwischen Datenverarbeitung im Auftrag und Funktionsübertragung unterschieden.356 Verbleibt die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten bei der Stelle, die einer dritten Stelle den Auftrag zur weiteren Verarbeitung gibt, so liegt eine Datenverarbeitung im Auftrag vor. § 11 Abs. 2 BDSG schreibt vor, dass der Auftraggeber für die Auswahl der geeigneten technischen und organisatorischen Maßnahmen verantwortlich ist. Mit der zum 1. September 2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes hat der Gesetzgeber die Vorgaben für die Auftragsdatenverarbeitung wesentlich erweitert. So sind die Inhalte des Auftrags zur Datenverarbeitung in § 11 Abs. 2 BDSG nun gesetzlich festgeschrieben. Der Auftrag ist in Schriftform zu erteilen. Neu ist auch, dass der Auftraggeber sich gemäß § 11 Abs. 2 BDSG nun vor Beginn der Datenverarbeitung und anschließend regelmäßig bei der auftragnehmenden Stelle über die Einhaltung der technischen und organisatorisch notwendigen Maßnahmen zu informieren hat, die zur Einhaltung der datenschutzrechtlichen Vorschriften erforderlich sind. Über das Ergebnis ist von der auftraggebenden Stelle Protokoll zu führen.357 353 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 2; U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 3. 354 C. Starck, in: H. v. Mangoldt/F. Klein/ders. (Hrsg.), GG, Art. 2 Abs. 1, Rdn. 114, 177; P. Schaar, Datenschutz, S. 442. 355 Kritisch zur elektronischen Einwilligung C. Starck, in: H. v. Mangoldt/F. Klein/ ders. (Hrsg.), GG, Art. 2 Abs. 1, Rdn. 178. 356 S. Simitis, in: ders., BDSG, § 15, Rdn. 13 ff.; zur Funktionsübertragung Rdn. 18 f.; so auch Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 21. 357 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes

A. E-Government

191

Dem Auftragnehmer kommt somit lediglich eine Hilfsfunktion für die in Auftrag gegebene Datenverarbeitung zu. Handlungs- und Entscheidungsbefugnis verbleiben beim Auftraggeber (kein Bewertungs- und Ermessensspielraum beim Auftragnehmer).358 Entscheidendes Abgrenzungskriterium ist damit die Entscheidungsbefugnis der auftraggebenden Stelle über die Datenverarbeitung sowie die damit verbundene datenschutzrechtliche Verantwortlichkeit.359 Erhält der Auftragnehmer eine eigenständige rechtliche Zuständigkeit für die ihm übertragene Datenverarbeitung, so liegt eine Funktionsübertragung vor. Der Auftragnehmer verfügt damit über einen eigenen Ermessens- und Handlungsspielraum und wird damit zur Daten verarbeitenden Stelle. Diese ist dafür selbst verantwortlich, dass die Vorschriften zur Datensicherung und Gewährleistung des Schutzes der Rechte der Betroffenen eingehalten werden. Die Datenverarbeitung im Auftrag wird für öffentliche Stellen in § 15 BDSG geregelt. Hier wird zwischen der Weitergabe personenbezogener Daten innerhalb und zwischen öffentlichen Stellen differenziert. Die Weitergabe von Daten innerhalb einer öffentlichen Stelle stellt keine Übermittlung dar und ist gemäß § 15 Abs. 6 BDSG unter den Voraussetzungen des § 15 Abs. 5 BDSG zulässig. Der Austausch von Daten zwischen öffentlichen Stellen impliziert als Normadressaten die öffentlichen Stellen des Bundes und der Länder.360 Die Vorschrift des § 15 Abs. 1 Nr. 1 BDSG bindet öffentliche Stellen an die Voraussetzung, dass die Übermittlung der Daten zulässig ist. Dies dient im Sinne einer Vorfeldsicherung dem Schutz des betroffenen Nutzers vor einer Beeinträchtigung seines grundrechtlich geschützten allgemeinen Persönlichkeitsrechts infolge der Nutzung von E-Government-Angeboten über das WWW. Ergänzend wirkt hier, dass für die Regelung zur Übertragung von Daten zwischen öffentlichen (§ 15 BDSG) und nicht-öffentlichen Stellen (§ 16 BDSG) differenziert wird. Der Übermittlungsvorgang als solcher ist als Verwaltungshandeln, nicht als Verwaltungsakt einzuordnen. Er stellt damit dem Grundsatz nach keinen Eingriff in die schutzwürdigen Rechte361 des Betroffenen dar.362 Eine Davom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2815, in Kraft getreten zum 1.9.2009. 358 P. Gola/R. Schomerus, Kommentierung des § 11 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 9; S. Walz, in: S. Simitis, Kommentar zum Bundesdatenschutzgesetz, § 11, Rdn. 40. 359 Ders.; zum Begriff der Funktionsübertragung vgl. auch H. Sutschet, Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97; M. Wächter, Rechtliche Grundstrukturen der Datenverarbeitung im Auftrag, CR 1991, 333. 360 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 4; U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 4. 361 Vgl. dazu U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.

192

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

tenübermittlung ist dann zulässig, sofern die öffentliche Stelle die Voraussetzungen des § 15 Abs. 1 BDSG erfüllt und darüber hinaus für die zu erfüllende Aufgabe tatsächlich zuständig ist. Weiter wird für die Zulässigkeit gemäß § 15 Abs. 1 Nr. 1 BDSG vorausgesetzt, dass die Übermittlung zur Erfüllung der Verwaltungsaufgabe tatsächlich erforderlich ist. Ist dies nicht der Fall, so ist die Datenübermittlung rechtswidrig.363 Zulässig ist es auch, die Daten gemäß den Voraussetzungen des § 15 BDSG an eine andere öffentliche Stelle zu übermitteln. Diese Amtshilfe muss jedoch zur Erfüllung einer vorab festgelegten Aufgabe der übermittelnden Stelle erforderlich sein.364 Gemäß dem Volkszählungsurteil365 wurde der vormals gültige Grundsatz der Verwaltung als Informationseinheit durch den Grundsatz der informationellen Parzellierung ersetzt.366 Diese Feststellung wurde damit begründet, dass Informationen, die bei anderen öffentlichen Stellen im Wege der Amtshilfe eingeholt werden, meist eine Datenerhebung ohne (wissentliche) Mitwirkung des Betroffenen darstellen. Dem Grundsatz nach ist damit zunächst ein Eingriff in das Recht auf informationelle Selbstbestimmung verbunden.367 Gemäß den Vorgaben des § 4 Abs. 2 S. 2 VwVfG sind Daten vorrangig direkt beim Betroffenen zu erheben. Dies stellt gegenüber dem Amtshilfeersuchen ein rechtmäßiges Vorgehen dar, um die schutzwürdigen Interessen des Betroffenen zu gewährleisten. Ferner schränkt die in § 15 Abs. 3 BDSG materialisierte Zweckbindung zur Übermittlung personenbezogener Daten in Verbindung mit der Vorschrift des § 14 Abs. 2 BDSG die allgemeinen Regelungen zur Amtshilfe gemäß §§ 4 ff. VwVfG wesentlich ein.

362 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 3; anders dazu U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 3, welcher darin durchaus eine Einschränkung des Rechts auf informationelle Selbstbestimmung begründet sieht; anders C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114, welcher den Schutzumfang des Art. 2 Abs. 1 auch auf das Weitergeben von Daten erstreckt, da aus dem Persönlichkeitsrecht ein genereller Anspruch auf eine allgemeine Identität personenbezogener Daten resultiert. Allerdings schränkt C. Starck in Rdn. 115 zu Recht mögliche Einschränkungen für den Betroffenen ein, indem er auf die erforderliche Zweck-Mittelbindung der Datenverarbeitung sowie verfahrens- und organisationsrechtliche Schutzvorkehrungen bei der Datenübermittlung hinweist. 363 BVerwG, Urteil vom 9. März 2005 – 6 C 3/04; NJW 2005, 2330. 364 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 88, 151, 422, 430. 365 BVerfGE 65, 1 (46) zur amtshilfefesten Begrenzung des Informationsflusses. Zur informationellen Gewaltenteilung auch S. Simitis, in: ders., BDSG, Einleitung, Rdn. 36. 366 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 7; U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 3. 367 Ders.; C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 115 ff.; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.; 127 ff.; insbesondere 132 ff., 151 ff., 179 ff.

A. E-Government

193

Der Datenaustausch, der zwischen Behörden erfolgt, um staatliche Leistungen beispielsweise von Arbeits- oder Sozialbehörden zu genehmigen, ist insofern ein zulässiges Verfahren zur Ermittlung der Bedürftigkeit, als die verantwortlichen Stellen dazu verpflichtet sind, diese zu prüfen. Der Abgleich von Datenbeständen zwischen Behörden ist darüber hinaus dann zulässig, weil der Einzelne gemäß dem Volkszählungsurteil „Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen“ muss.368 Die Übermittlung personenbezogener Daten von öffentlichen zu nicht-öffentlichen Stellen wird durch § 16 BDSG geregelt. Normadressaten sind als Übermittler öffentliche Stellen. Empfänger der Daten sind natürliche oder juristische Personen des privaten Rechts sowie öffentliche Stellen die am Wettbewerb teilnehmen.369 Insbesondere von Belang ist die Weiterleitung persönlicher Daten der Nutzer von E-Government-Angeboten im WWW zu politischen Parteien. Die Entscheidung über Anträge politischer Parteien auf Auskunft über einzelne Bürger aus dem Melderegister, obliegt der Meldebehörde (Verantwortlichkeit gemäß § 15 Abs. 2 BDSG).370 Auch diese Art der Übermittlung unterliegt gemäß § 16 Abs. 1 Nr. 1 BDSG den datenschutzrechtlichen Grundsätzen der Zulässigkeit des § 3 BDSG. Voraussetzung ist wiederum, dass dies aufgrund der Aufgaben, die im Zuständigkeitsbereich der übermittelnden Stelle liegen, erforderlich ist. Ebenso sind gemäß § 16 Abs. 4 S. 1 BDSG nicht-öffentliche, dritte Stellen als Empfänger wie öffentliche Stellen an den Zweckbindungsgrundsatz gebunden. Ferner muss die dritte Stelle das berechtigte Interesse an den Daten glaubhaft darlegen können und der Übermittlung darf kein schutzwürdiges Interesse des Betroffenen entgegenstehen (§ 16 Abs. 1 Nr. 2 BDSG). Unter das berechtigte Interesse wird jegliches ideelle und wirtschaftliche Interesse subsumiert, sofern es mit der Rechtsordnung vereinbar ist.371 Entgegen der allgemeinen Anerkennung der Vorrangigkeit schutzwürdiger Interessen des Betroffenen, bevorzugt diese Regelung primär die Interessen privater nicht-öffentlicher Stellen. Das berechtigte Interesse muss zudem lediglich als unmittelbares oder mittelbares eigenes Interesse glaubhaft gemacht, aber nicht bewiesen werden.372 368 BVerfGE 65, 1 (44); P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 7a; zur Einschränkung des Rechts auf informationelle Selbstbestimmung durch § 15 BDSG vgl. U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 1 ff. 369 P. Gola/R. Schomerus, Kommentierung des § 16 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 4; U. Dammann, in: S. Simitis, BDSG, § 16, Rdn. 5f. 370 Ders., Rdn. 7; P. Gola/R. Schomerus, in: ders., BDSG, § 16, Rdn. 4. 371 U. Dammann, Kommentierung des § 16 BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 17; zur Wahrung des schutzwürdigen Interesses im Zusammenhang mit § 28 BDSG auch C. Müller, Internationales Privatrecht und Internet, S. 273. 372 U. Dammann, in: S. Simitis, BDSG, § 16, Rdn. 16 ff.; so auch P. Gola/R. Schomerus, in: ders., BDSG, § 16, Rdn. 10 f.

194

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Kritisch ist in diesem Zusammenhang, dass die gesetzlichen Vorgaben von der Daten verarbeitenden Stelle lediglich eine schlichte Erklärung fordern, die die Gründe der Datenanforderung glaubhaft macht. Angemessen und rechtmäßig im Sinne des Schutzes der Grundrechte des betroffenen Nutzers wäre jedoch, stattdessen eine Nachweispflicht zu fordern. Hätte der einzelne Nutzer umfassende Kenntnis darüber, dass es für politische Parteien vergleichsweise einfach ist, seine persönlichen Daten bei öffentlichen Stellen, wie beispielsweise dem Melderegister der Stadt, anzufordern, würde sich dies nachteilig auf das Vertrauen und die Nutzung des E-Government-Angebots im WWW auswirken. Insgesamt wäre die Teilhabe am öffentlichen Diskurs für den Einzelnen in Frage gestellt, weil er sich über die Nutzung seiner persönlichen Daten durch staatliche Behörden nicht abschließend sicher sein kann. Aufgrund der erhöhten Missbrauchsgefahr hat der Gesetzgeber mit § 43 Abs. 1 BDSG die unzulässige Weitergabe personenbezogener Daten auf Ersuchen einer Dritten Stelle oder für den Fall des Datenabgleichs zwischen Behörden unter Strafe gestellt. Liegt von Seiten der übermittelnden Stelle ein berechtigtes Interesse vor, so ist der Betroffene über die Weitergabe seiner Daten vorab zu informieren (§ 15 Abs. 3 S. 1 BDSG).373 V. E-Government-Angebote und Datenverarbeitung: Anwendbarkeit bestehender rechtlicher Grundlagen Um einen effektiven Schutz der Privatsphäre bei der Erhebung, Verarbeitung und Verwendung personenbezogener Daten durch öffentliche Stellen zu gewährleisten, sind in erster Linie die grundgesetzlichen Normen des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG bindend. Ergänzend dazu steht das Recht des Betroffenen auf die sichere Übertragung seiner Daten aus dem Schutz des Fernmeldegeheimnisses gemäß Art. 10 GG.374 Des Weiteren sind die spezialgesetzlichen Regelungen des Bundesdatenschutzgesetzes sowie der entsprechenden landesgesetzlichen Vorschriften zum Schutz personenbezogener Daten einschlägig. Existieren andere spezialgesetzliche Vorschriften zur Regelung des Sachverhalts, so sind diese vorrangig vor dem Bundesdatenschutzgesetz und dem entsprechenden Landesdatenschutzgesetz anzuwenden.375 373 Dies stellt einen wesentlichen Unterschied zur Datenübermittlung an öffentliche Stellen dar. 374 G. Dürig, in: T. Maunz/ders., GG, Art. 10, Rdn. 2, insbesondere Rdn. 13 f.; C. Gusy, in: H. v. Mangoldt/F. Klein/C. Starck, GG, Art. 10, Rdn. 14 ff., 19, 20 ff., 57; zur Abwehr von Eingriffen Rdn. 58 ff., zur Schutzpflicht Rdn. 61 ff., zur Strafverfolgung gemäß § 100b Abs. 5 StPO Rdn. 87; zur Verbindung mit dem Schutz der Privatsphäre vgl. auch A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff. 375 Zur Maßgeblichkeit des Datenschutzes im Bereich des E-Government vgl. A. Roßnagel, Die Zukunft des Datenschutzes, S. 230.

A. E-Government

195

Die Verwaltung unterliegt neben den spezialgesetzlichen Datenschutzregelungen des Telemediengesetzes und des Rundfunkstaatsvertrags auch dem Polizei-, Ausländer- und Sozialdatenschutzrecht, welche ebenfalls vorrangig vor den Vorschriften des Bundesdatenschutzgesetzes heranzuziehen sind.376 Die durch öffentliche Stellen zur Nutzung auf Webseiten im WWW bereit gestellten E-Government-Angebote sind im Sinne des § 1 Abs. 2 TMG Telemediendienste. Sowohl im Rahmen des E-Voting als auch der E-Administration erfolgt der Austausch personenbezogener Daten über die Bereitstellung von inhaltlichen Angeboten auf einer Webseite im WWW. Der private Nutzer gibt im Wege der Teilnahme an Wahlen über das Internet oder mit der Abgabe seiner elektronischen Steuererklärung seine persönlichen Daten zur Verarbeitung an öffentliche Stellen weiter.377 1. Einordnung der verwendeten Daten Entscheidend für die Anwendbarkeit der bestehenden rechtlichen Regelungen im Rahmen des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung ist bei elektronischen Verwaltungsangeboten im WWW nicht vorrangig die Art des Angebots, sondern die Art der verarbeiteten Daten. Dabei handelt es sich im Einzelnen um: 1. Bestandsdaten, 2. Nutzungsdaten/Verkehrsdaten, 3. Abrechnungsdaten. Zu den Bestandsdaten zählen alle personenbezogenen Daten, die dem Betroffenen auf Dauer zugeordnet sind.378 Diese fallen sowohl im Rahmen von Telemediendiensten (§ 14 TMG379), wie beispielsweise beim Ausfüllen eines OnlineFormulars oder bei der Nutzung einer Website an, indem die IP-Adresse des Nutzers gespeichert wird. Ebenso speichern und verarbeiten Telekommunikationsdienste diese Daten zu Abrechnungszwecken der Zugangsvermittlung zum Internet (Verkehrsdaten gemäß § 96 i.V. m. § 97 TKG). Das Angebot öffentlicher Stellen beinhaltet im Netz vorwiegend Telemediendienste mit Wirkung auf die Offline-Welt. Der Nutzer stellt seinen Antrag auf eine bestimmte behördliche 376

P. Schaar, Datenschutz im Internet, S. 153. R. Krebs, ELSTER – Eine Erfolgsstory, S. 345 ff.; P. Fassbender, BAföG-Online, S. 357 f. 378 P. Schaar, Datenschutz im Internet, S. 123. 379 Hierunter fallen personenbezogene Daten des Nutzers wie Name, Adresse, Rufnummer, E-Mail, IP-Adresse, Kenn- und Passwörter, Zahlungsart, Zahlungsdaten, Geburtsdatum sowie auch die Zuordnung der vereinbarten Leistungsmerkmale und Leistungsbeschränkungen. Vgl. dazu G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 14 TMG, Rdn. 2 f. 377

196

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Leistung über ein Online-Formular (Antrag auf Meldebescheinigung, Sozialversicherungsausweis, Zustellung von Briefwahlunterlagen, Wohngeld oder elektronische Steuererklärung). Die Erfüllung des Antrags erfolgt jedoch in Form eines Bescheides durch die Behörde nicht ebenso online, sondern der Bescheid wird in der Regel offline, also auf dem Postweg zugestellt oder liegt zur persönlichen Abholung durch den Antragsteller auf der Behörde bereit. Werden während des elektronischen Vorgangs der Antragsbearbeitung personenbezogene Daten ausgetauscht, so richtet sich die Datenerhebung, -speicherung und -verarbeitung nach den Bestimmungen des Bundesdatenschutzgesetzes sowie den entsprechenden Landesdatenschutzgesetzen, weil das Telemediengesetz nur für die reine OnlineErfüllung von vertraglichen Leistungen einschlägig ist. Weiter entstehen bei der Nutzung des Angebots öffentlicher Stellen über das WWW Nutzungsdaten. Hierbei handelt es sich um personenbezogene Daten, die gemäß § 15 TMG erhoben werden, um die Inanspruchnahme von Telemediendiensten zu ermöglichen (Identifikation für den Zugang) oder abzurechnen.380 Das E-Government-Angebot im WWW ist jedoch vorwiegend auf Angebote inhaltlicher Art oder die Bereitstellung von Online-Diensten fokussiert, die dem Bürger bestimmte Behördengänge ermöglichen sollen, um auf elektronischem Wege Verwaltungsdienstleistungen zu veranlassen. Für die Nutzung des EGovernment Angebots im WWW über die für den Bürger verfügbaren Dienste wird von der öffentlichen Stelle als Content Provider kein Entgelt erhoben. Obwohl öffentliche Stellen als Anbieter von Telemediendiensten fungieren, sind die Vorschriften des § 15 TMG nicht einschlägig, wenn keine Gebühr für die Nutzung des Dienstes in Form des inhaltlichen Angebots der Webseite erhoben wird.381 Während Nutzungsdaten über den Kommunikationsvorgang zwischen Nutzer und Provider genauer Auskunft geben, beschränken sich Verkehrsdaten auf die Protokollierung des reinen Telekommunikationsvorgangs im Sinne der §§ 3 Nr. 30, 96 TKG.382 Die Erhebung, Speicherung und Verwendung erfolgt zu Abrechnungszwecken und beinhaltet Informationen aus der reinen Übermittlung von Daten. In diesem Zusammenhang wird beispielsweise von Access Providern 380 Dies sind Merkmale zur Identifikation des Nutzers wie Angaben über Anfang, Ende und Dauer der Nutzung sowie die Art der in Anspruch genommenen Dienste; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 2; vgl. dazu auch Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 12. 381 Unter der Erhebung von Gebühren im Sinne des § 15 TMG wird die Berechnung eines Entgelts verstanden, welches in unmittelbarem Zusammenhang mit der Nutzung eines Online-Dienstes steht. Gebühren welche im Rahmen der Erbringung der amtlichen Dienstleistung einer öffentlichen Behörde und auch mit der Inanspruchnahme von Leistungen auf elektronischem Wege anfallen werden von der Vorschrift des § 15 TMG somit nicht erfasst. 382 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 1 f.

A. E-Government

197

Datum und Zeitpunkt der Zustellung einer Datensendung, die IP-Nummer von Sender und Adressat sowie die Größe der übertragenen Datenpakete erhoben, gespeichert und zu Abrechnungszwecken verarbeitet. Da es sich bei öffentlichen Stellen als Anbieter im WWW nicht um Access oder Host Provider handelt, sind die Vorschriften des § 96 und 97 TKG für die Datenverarbeitung nicht einschlägig. So sind Angebote im Rahmen des E-Government als Telemediendienste mit Wirkung auf die Offline-Welt einzuordnen. Für jegliche Verarbeitungsbefugnisse öffentlicher Stellen bei E-Government-Verfahren sind die Vorschriften des Bundesdatenschutzgesetzes sowie der entsprechenden Landesdatenschutzgesetze für öffentliche Stellen einschlägig.383 Gleichzeitig resultiert aus dem Angebot einer Webseite im WWW die Eigenschaft als Telemedienanbieter, die die damit verbundene Datenverarbeitung vorrangig vor den Regelungen des Bundesdatenschutzgesetzes an die Vorschriften des Telemediengesetzes bindet. 2. Zulässigkeit der Datenverarbeitung Gemäß dem Volkszählungsurteil stellt jegliche Erhebung, Verarbeitung und weitere Verwendung personenbezogener Daten, die sich der Kenntnis des Betroffenen entzieht, einen Eingriff in das allgemeine Persönlichkeitsrecht und das daraus abgeleitete Recht auf informationelle Selbstbestimmung dar.384 Dem Datenschutz kommt damit die Aufgabe zu, dieses dem Nutzer immanente Recht zu schützen.385 Ein Eingriff in den privaten Bereich des Bürgers und damit in seine informationelle Selbstbestimmung bedarf daher entweder einer ausdrücklichen gesetzlichen Erlaubnis oder der Einwilligung des Betroffenen.386 Gemäß § 13 Abs. 2 BDSG ist die Erhebung und Verarbeitung personenbezogener Daten seitens öffentlicher Stellen soweit zulässig, sofern die Kenntnis der personenbezogenen Daten erforderlich ist, um die Aufgabe der Daten verarbeitenden Stelle zu erfüllen (Erforderlichkeitsgrundsatz).387 Daten dürfen also nicht 383 Allgemeine Bestimmungen des Ersten Abschnitts (§§ 1–11 BDSG) in Verbindung mit den Bestimmungen zur Datenverarbeitung öffentlicher Stellen (§§12–26 BDSG). 384 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.; 127 ff.; insbesondere 132 ff., 151 ff., 179 ff.; C. Starck, in H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 115 ff. für nicht-öffentliche Stellen auch Rdn. 177. 385 Vgl. auch U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 173; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; in diesem Sinne auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); weiter zum Schutzanspruch vor Eingriffen in das allgemeine Persönlichkeitsrecht U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f. 386 Kritisch dazu C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 178. 387 P. Schaar, Datenschutz im Internet, S. 48; P. Gola/R. Schomerus, in: ders., BDSG, § 4 Abs. 1, Rdn. 7, 28.

198

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

auf Vorrat erhoben werden. Daneben ist von der Möglichkeit, diese zu anonymisieren, Gebrauch zu machen.388 Die Datenverwendung ist nur dann zulässig, wenn der Betroffene vorher eingewilligt hat. Wird dafür die Möglichkeit angeboten diese auf elektronischem Wege abzugeben, muss der Telemedienanbieter diese gemäß § 13 TMG protokollieren. Das Protokoll muss durch den Provider jederzeit abrufbar sein, um eindeutig nachweisen zu können, dass der Betroffene bewusst zugestimmt hat.389 Der Gesetzgeber fordert, dass die Einwilligung auf einer freien Willensentscheidung des Nutzers beruht.390 Stellt die öffentliche Stelle beispielsweise die Teilnahme an einer Wahl über das WWW, die Inanspruchnahme von Verwaltungsdiensten über elektronische Antragsformulare oder deren Bearbeitung unter der Voraussetzung bereit, dass der Betroffene persönliche Daten in höherem Umfang als es zur Bearbeitung der Wahlbeteiligung oder der Verwaltungsaufgabe notwendig ist, angibt, so liegt keine rechtmäßige Einwilligung vor. Da der Betroffene von der Bearbeitung seiner Anträge durch die öffentliche Stelle abhängig ist, um seinen bürgerlichen Pflichten nachzukommen, (beispielsweise Meldung bei der Meldebehörde oder Steuererklärung) stellt eine erzwungene Einwilligung keine freie Willensentscheidung dar. Die Verarbeitung der so erlangten Daten durch die öffentliche Stelle ist eine unzulässige und rechtswidrige Handlung im Sinne des § 4 BDSG i.V. m. § 4a BDSG. Die Einwilligung des Betroffenen ist ebenso unwirksam, sofern die öffentliche Stelle diesen nicht oder nur unvollständig vorab über den genauen Zweck der Datenerhebung sowie die weitere Verwendung informiert hat. Zu den Rechten des Nutzers gehört, dass er gemäß § 28 Abs. 4 BDSG vorab darüber informiert werden muss, dass ihm die Möglichkeit des Widerrufs seiner Einwilligung oder der Verweigerung offen steht.391 Allerdings ist es im Zusammenhang mit der Beantragung von Verwaltungsaufgaben über das WWW dem Nutzer fast unmöglich, der Verarbeitung seiner Daten vorab zu widersprechen oder nicht in diese einzuwilligen. Insofern kann für die elektronische Datenverarbeitung im Rahmen des 388 T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83; vgl. Neufassung des § 3a BDSG Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2814, in Kraft getreten zum 1.9.2009. 389 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TM, Rdn. 6 f. 390 P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 6 ff.; zu den Voraussetzungen der Zulässigkeit elektronischer Einwilligungserklärungen ausführlich S. Simitis, in: ders., BDSG, § 4a, Rdn. 64 ff.; kritisch C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 178; vgl. auch Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 14. 391 P. Gola/R. Schomerus, in: ders., BDSG, § 20, Rdn. 21 ff.; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 80 ff.

A. E-Government

199

E-Government festgestellt werden, dass der Bürger als Nutzer faktisch dazu gezwungen ist, eine mögliche Gefährdung seines Rechts auf informationelle Selbstbestimmung hinzunehmen, wenn er das Angebot in Anspruch nehmen will. Als Alternative zur elektronischen Verarbeitung seiner Daten bietet sich für den Bürger bisher noch die Möglichkeit an, das Antragsformular von der Webseite des E-Government Portals der öffentlichen Stelle herunterzuladen, auszufüllen und per Post oder auf persönlichem Wege der Behörde zukommen zu lassen. Jegliche Datenverarbeitung ist an das datenschutzrechtliche Gebot der Zweckbindung gebunden. Dabei legt die jeweilige Fachaufgabe der öffentlichen Stelle den Verarbeitungszweck zugrunde.392 Werden personenbezogene Daten zu einem anderen als dem ursprünglich festgelegten Zweck verwendet, so ist dies nur auf Grundlage eines Gesetzes oder der Einwilligung des Betroffenen zulässig (§ 4 Abs. 1 BDSG). Ergänzend tritt für öffentliche Stellen § 15 BDSG hinzu, wonach die Übermittlung personenbezogener Daten nur zur Erfüllung ihres ursprünglichen Zwecks gestattet ist. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 14 Abs. 2 BDSG erlaubt. § 15 BDSG stellt eine besondere Rechtsvorschrift im Sinne des § 1 Abs. 2 VwVfG dar und schränkt die generellen Regelungen zur Amtshilfe gemäß §§ 4 ff. VwVfG ein.393 Dies spielt bei Verwaltungsaufgaben insbesondere dann eine Rolle, wenn unterschiedliche Behörden eingebunden sind um einen Antrag zu bearbeiten. Da die öffentliche Verwaltung keine Informationseinheit darstellt, ist diese an die Vorgaben des Bundesdatenschutzgesetzes zur Verarbeitung und Weiterleitung personenbezogener Daten auch und insbesondere innerhalb einer Behörde mit unterschiedlichen Amtsstellen gebunden.394 Dieser Regelung liegt der Grundsatz der informationellen Gewaltenteilung zugrunde, wonach personenbezogene Daten von der erhebenden Stelle nur im Rahmen ihrer Zuständigkeit oder aufgrund eines Vertrags mit dem Betroffenen verarbeitet werden dürfen.395 Um das Recht auf informationelle Selbstbestimmung in Verbindung mit der Teilnahme an Wahlen über das WWW zu gewährleisten, muss der Bürger eine freie Entscheidung über die Wahrnehmung seiner individuellen Rechte treffen können. Dafür benötigt er jedoch ausreichend Kenntnis über den Prozess der 392 Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 16; P. Schaar, Datenschutz im Internet, S. 443. 393 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 9; ähnlich bezugnehmend auf § 7 Abs. 2 VwVfG auch U. Dammann, Kommentierung des § 15 BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 20. 394 Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 16. 395 P. Gola/R. Schomerus, in: ders., BDSG, § 15, Rdn. 7; U. Dammann, in: S. Simitis, BDSG, § 15, Rdn. 3; V. Haug, Grundwissen Internetrecht, Rdn. 88.

200

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Verarbeitung seiner personenbezogenen Daten.396 Das Transparenzgebot bindet öffentliche Stellen als Anbieter von Telemediendiensten im WWW daran, ihren Hinweispflichten zur Art der Datenverwendung und den Unterrichtspflichten über die Erstellung von Nutzerprofilen397 nachzukommen. Darüber hinaus ist der Betroffene über die Möglichkeiten einer anonymen und pseudonymen Nutzung des Angebots sowie die Identität der verarbeitenden Stelle zu unterrichten.398 Zu den Korrekturrechten des Betroffenen besteht gemäß § 20 BDSG gegenüber öffentlichen Stellen ein Anspruch auf Berichtigung, Löschung und Sperrung der Daten.399 In jedem Fall hat die verantwortliche Stelle im Fall eines Widerspruchs die Datenverarbeitung im Hinblick auf die durch den Betroffenen dargelegte persönliche Situation zu überprüfen. Für die Erfüllung von Verwaltungsaufgaben ist im Besonderen die Vorschrift des § 6a BDSG über die Regelung zu automatisierten Einzelentscheidungen maßgeblich. Durch die mögliche Weiterleitung personenbezogener Daten die im Rahmen von Entscheidungen zur Bewilligung staatlicher Sozialleistungen oder Steuerprüfungen verarbeitet werden, resultiert für den Betroffenen ein höheres Risiko, über die Verwendung und Auswertung seiner personenbezogenen Daten nicht informiert zu sein und in darauf basierende Entscheidungen der Verwaltung nicht eingebunden zu werden. § 6a BDSG bindet Entscheidungen der verantwortlichen Stelle, die auf der Basis von Persönlichkeitsmerkmalen, wie Leistungsfähigkeit oder Verhalten erfolgen, an die Voraussetzung, dass diese von einer Person zu treffen und zu verantworten sind und nicht lediglich durch ein technisches Auswahlsystem erfolgen.400 Mit Inkrafttreten der Novelle I des Bundesdatenschutzgesetzes zum 1. April 2010 wurde in § 6a Abs. 1 BDSG weiter konkretisiert, dass es sich insbesondere dann um eine automatisierte Einzelentscheidung handelt, wenn in die inhaltliche 396 Wie auch das Bundesverfassungsgericht im Volkszählungsurteil festgestellt hat, BVerfGE 65, 1 (43 f.). 397 A. Wien, Internetrecht, S. 187; P. Schaar, Datenschutz im Internet, S. 442. 398 Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 16; P. Schaar, Datenschutz im Internet, S. 443; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 399 P. Gola/R. Schomerus, in: ders., BDSG, § 20, Rdn. 2 ff., 9 ff., 13 ff.; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 9 ff., 34 ff., 45 ff.; vgl. auch Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 17. 400 P. Gola/R. Schomerus, in: ders., BDSG, § 6a, Rdn. 4 ff.; zustimmend gegen die Herabwürdigung des Menschen zum bloßen Objekt mittels der automatisierten Verarbeitung bewertender Persönlichkeitsmerkmale J. Bizer, Kommentierung des § 6a BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 3; vgl. dazu auch BT-Drs. 14/4329, S. 30; J. Becker, Datenschutz-Nutzen, IT-Sicherheit 1 (2003), S. 46; zur Transparenz vgl. auch P. Schaar, Datenschutz im Internet, S. 443.

B. E-Commerce

201

Bewertung und die darauf gestützte Entscheidung keine natürliche Person eingebunden war. Die Rechte des Betroffenen werden allerdings gewahrt, sofern die verantwortliche Stelle gemäß § 6a Abs. 2 BDSG diesen über die Entscheidung informiert und die Gründe dafür mitteilt und erläutert, wenn dieser dies verlangt.401 Neben den datenschutzrechtlichen Vorgaben sind durch die öffentliche Stelle in Verbindung mit einem E-Government Angebot im WWW auch technische und organisatorische Sicherheitsvorkehrungen zu treffen (§ 9 BDSG und § 13 Abs. 4 S. 1 TMG).402 Dabei ist die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten sicher zu stellen. Bereits im Vorfeld der Verfügbarkeit der Webseite ist von der verantwortlichen Behörde die wirksame Kontrolle der für den Betroffenen entstehenden Risiken zu prüfen.403 Diese Risikoabschätzung und Vorabkontrolle gemäß § 9 BDSG ist insbesondere dann bindend, wenn sensible Daten gemäß § 3 Abs. 9 BDSG verarbeitet werden sollen und daraus die Persönlichkeit des betroffenen Nutzers bewertet wird.

B. E-Commerce I. Begriff und Einführung Der Handel über das Internet ist heute ein bedeutender Wirtschaftsfaktor.404 Dem Umstand zunehmender globaler Wirtschaftsbeziehungen wurde durch die Entwicklung und Verwendung des Internets und des WWW als elektronischer Handelsplattform in hohem Maße Rechnung getragen.405 Bis sich die Nutzung des Internets in privaten Haushalten etabliert hatte, war der Erwerb von Waren privater Personen auf den Einkauf in Geschäften oder der Bestellung via Brief, Fax oder Telefon beschränkt. Mit der Verbreitung der Internetnutzung in privaten Haushalten als Kommunikations- und Informationsmedium erfuhr auch das Angebot von Waren und Dienstleistungen über das WWW umfangreiche Beachtung. Ein wesentlicher Vorteil gegenüber den herkömmlichen Lösungen war und ist die wesentlich günstigere Einrichtung eines „virtuellen“ Geschäfts in Form

401 Zur Novelle I des BDSG vgl. BT-Drs.16/13219, 16/10581 und 16/10529; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2254. 402 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 8 f. 403 P. Gola/R. Schomerus, Kommentierung des § 9 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 9; außerdem Bundesamt für Sicherheit in der Informationstechnik (BSI), Datenschutzgerechtes E-Government, S. 20. 404 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 158; W. Hömberg/ H. Pürer/U. Saxer, Die Zukunft des Internet, S. 9 f., 120 ff., welche einen weltweiten Umsatz von über 100 Mrd. USD für das Jahr 2010 (Vergleichsbasis 1997: 12 Mrd. USD) für den Bereich des Electronic Shopping über das Internet prognostizierten. 405 A. Büllesbach, Selbstregulierungsinstrumente in der globalen Wirtschaft, S. 269.

202

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

einer Website für den Anbieter sowie die schnelle und zeitunabhängige Erreichbarkeit für den Käufer.406 So entwickelte sich das Internet schnell zur neuen Handelsplattform für zahlreiche Anbieter und Entwickler neuer, privater Handelsformen, wie beispielsweise Internetauktionen. Mit dem Wegfall der persönlichen Abwicklung von Geschäften ging und geht bis heute jedoch auch eine steigende Anzahl von Betrugsfällen und Straftaten einher.407 Dies führte insgesamt zu einer zunehmenden Verletzung der Rechte des Käufers. Im Vordergrund rechtswidriger Handlungen stand und steht bis heute die zweckfremde oder unzulässige Verwendung personenbezogener Daten, welche im Wege des elektronischen Geschäftsabschlusses durch den Verkäufer oder auch unbefugte Dritte erhoben, gespeichert und verarbeitet werden.408 Für die Abwicklung geschäftlicher Vorgänge über das Internet hat sich heute der Begriff Electronic Commerce oder kurz E-Commerce etabliert.409 Darunter wird allgemein das Betreiben von Geschäften mit Hilfe neuer elektronischer Medien verstanden. Unter diese Definition wird nicht nur der Handel mittels PC subsumiert, sondern weitere mobile Endgeräte wie Mobiltelefone, Miniatur Computer wie PDA’s (Personal Digital Assistants) und IPods einbezogen. Der Begriff umfasst darüber hinaus auch die Verwendung digitaler Signaturen sowie die elektronische Zahlungsabwicklung über das Internet.410 Für die Analyse der Gefährdung der Privatsphäre411 und des Grundrechts auf informationelle Selbstbestimmung ist der Einsatz unterschiedlicher Hardware oder Zahlungsformen zunächst zweitrangig. Vielmehr liegt der Fokus der Betrachtung nachfolgend auf der Verwendung personenbezogener Daten im Zusammenhang mit den einzelnen Geschäftsbereichen des E-Commerce.

406 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 49; dazu auch A. Picot/R. Reichwald/R. Wigand, Die grenzenlose Unternehmung, 2000; zur rechtlichen Übersicht M. Lehmann, Electronic Business in Europa. Internationales, europäisches und deutsches Online-Recht, 2002, S. 99 ff.; B. Weiser, Verbraucherschutz im Electronic Commerce, S. 343. 407 Vgl. dazu Polizeiliche Kriminalstatistik für den Freistaat Bayern 2010, abrufbar unter http://www.polizei.bayern.de/content/6/4/9/krimstat2010.pdf, S. 65 f. 408 Zur Vertrauensfrage im E-Commerce vgl. H. Eggs/G. Müller, Sicherheit und Vertrauen, Mehrwert im E-Commerce, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 27 . 409 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 158. 410 R. Grimm, Vertrauen im Internet – wie sicher soll E-Commerce sein?, Berliner Kolloquium, 9.5.2001, 2001, S. 58; B. Weiser, Verbraucherschutz im Electronic Commerce, S. 344; zur elektronischen Signatur ausführlich A. Roßnagel, Recht der digitalen Signaturen, S. 513 ff. 411 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 173; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; in diesem Sinne auch BVerfGE 6, 32 (32 ff.); 6, 389 (389 ff.).

B. E-Commerce

203

Die Art der Geschäftsabwicklung im E-Commerce lässt sich allgemein in Privatkundengeschäft (Business-to-Consumer, B2C) und Firmenkundengeschäft (Business-to-Business, B2B) differenzieren.412 Während mit dem privaten Kunden vorwiegend Einzelgeschäfte wie Bücher- und Kleiderbestellungen oder Bankgeschäfte abgewickelt werden, steht im Bereich des B2B die Vernetzung von Vertrieb und Einkauf im Vordergrund. Hier werden Geschäftsprozesse mit Zulieferbetrieben im In- und Ausland firmenübergreifend synchronisiert.413 Da B2BGeschäfte vorwiegend in externen Netzwerken zwischen den beteiligten Akteuren abgewickelt werden, ist für die Betrachtung des Austauschs personenbezogener Daten des privaten Nutzers der Bereich des B2C maßgeblich. Zu den hierfür relevanten Angeboten des E-Commerce zählen:414 • Erwerb von Waren (Bücher, Kleidung, etc.) und Dienstleistungen (Internetzugang, Video on demand, Rechtsberatung, Versicherungsverträge). • Internetauktionen (Virtuelle Auktionen über Auktionsplattformen wie E-Bay). • E-Banking (Abwicklung von Bankkundengeschäften) und E-Broking (Angebot internetbasierten Handels von Wertpapieren). Fester Bestandteil des E-Commerce ist die Verarbeitung personenbezogener Daten des Kunden, um die auf elektronischem Wege geschlossenen Rechtsgeschäfte abzuwickeln.415 Dabei erfolgt die Datenübertragung in der Regel vom Kunden an den Anbieter, sofern dieser zum ersten Mal bestellt. Oftmals wird danach ein individuelles Kundenprofil angelegt, auf das der Kunde sowie der Verkäufer bei wiederholten Bestellvorgängen zugreifen kann. Hinsichtlich der datenschutzrechtlichen Sicherheit der Datenverarbeitung im elektronischen Geschäftsverkehr soll nachfolgend auch die Art und Form der Einwilligung im Rahmen des Vertragsschlusses sowie der Einsatz elektronischer Signaturen betrachtet werden. II. Verarbeitung personenbezogener Daten Für die Annahme und Erfüllung eines Angebots im E-Commerce ist es unerlässlich, dass personenbezogene Daten des Kunden vom Verkäufer erhoben, gespeichert und verarbeitet werden. Der Nutzer des E-Commerce Angebots über das WWW muss also seine persönlichen Daten per Registrierungsformular an 412 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 162; M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 49; H. Fuhrmann, Vertrauen im E-Commerce, 2001, S. 23 ff., 32; W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 120. 413 So erhält der Zulieferer bei sinkenden Lagerbeständen automatisch eine Bestellung. Vgl. dazu M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 162. 414 W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 120; M.-T. Tinnefeld/ E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 49 ff. 415 B. Weiser, Verbraucherschutz im Electronic Commerce, S. 344.

204

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

den jeweiligen Anbieter senden, um ein Waren- oder Dienstleistungsangebot in Anspruch zu nehmen.416 Beispielhaft kann in diesem Zusammenhang die Bestellung beim Internetversandhandel wie Amazon,417 die Teilnahme an einer Internetauktion bei Ebay418 oder der Abruf von Videofilmen über video-on-demandAnbieter wie maxdome419 oder videoload420 genannt werden. Der Nutzer gibt auf diese Weise zweckgebunden einen Teil seiner persönlichen Daten preis. Er muss sich daher darauf verlassen können, dass der adressierte Händler als Daten erhebende Stelle diese nur auf zulässige Weise gemäß den einschlägigen Vorschriften des Bundesdatenschutzgesetzes sowie des Telekommunikationsgesetzes als Telekommunikationsanbieter (§ 95 TKG i.V. m. § 3 Nr. 3 TKG) oder des Telemediengesetzes als Telemedienanbieter (§ 12 Abs. 1 i.V. m. § 13 TMG) erhebt, speichert und verarbeitet.421 Für den Abschluss von Geschäftsverträgen deren Erfüllung offline erfolgt, wie beispielsweise die Bestellung von Waren über einen Internetversandhandel oder den Abschluss eines Versicherungsvertrages, unterliegt die Datenverarbeitung ausschließlich den Bestimmungen des Bundesdatenschutzgesetzes.422 Erfolgen die Erfüllung der vertraglichen Pflichten des Anbieters ebenso online, so sind die Vorschriften des Telemediengesetzes oder des Telekommunikationsgesetzes vor dem Bundesdatenschutzgesetz einschlägig. Somit knüpfen je nach Art der Erfüllung des Rechtsgeschäfts zwischen Nutzer und Anbieter gemäß den anwendbaren rechtlichen Grundlagen unterschiedliche Befugnisse an die Verarbeitung personenbezogener Daten an.423 Anhand der eingangs angeführten Geschäftsbereiche des E-Commerce soll nun auf diese unter Berücksichtigung des Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung des Nutzers näher eingegangen werden. Dabei werden die Möglichkeiten der zweckfremden, unzulässigen oder rechtswidrigen Nutzung personenbezogener Daten zugrunde gelegt. Hingegen wird auf die rechtswidrige Datenerhebung und -verwendung seitens unbefugter Dritter an dieser Stelle nicht eingegangen, weil diese Handlungen als 416 Zum Einsatz von Bestellmasken als Online-Formulare auf einer Website vgl. H. Dörner, in: ders. u. a., BGB, § 147 Abs. 1, 2. Aufl. 2002, Rdn. 2, 7; A. Wien, Internetrecht, S. 78. 417 www.amazon.de. 418 www.ebay.de. 419 www.maxdome.de. 420 www.videoload.de. 421 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 2 ff.; G. Spindler/J. Nink, in: G. Spindler/F. Schuster (Hrsg.), § 12 TMG, Rdn. 2, 7; ders., § 13 TMG, Rdn. 3 ff. 422 T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 423 P. Schaar, Datenschutz im Internet, S. 212; so auch M.-T. Tinnefeld/E. Ehmann/ R. W. Gerling, Einführung in das Datenschutzrecht, S. 49.

B. E-Commerce

205

strafrechtlich relevante Delikte im Rahmen der Strafverfolgung über das WWW zu erörtern sind. 1. Erwerb von Waren und Dienstleistungen Im Zusammenhang mit dem Erwerb von Waren- oder Dienstleistungen über das WWW werden vom Anbieter folgende Daten beim Nutzer erhoben: 1. Bestandsdaten (Telekommunikations- und Telemediendienste) Name, Anschrift, Geburtsdatum, Geschlecht, E-Mail-Adresse, Telefonnummer, Bankverbindung oder Kreditkartennummer, 2. Nutzungsdaten (Telemediendienste) Z. B. Session-IDs, Bewegungsdaten aus der Nutzung einer Website, 3. Verkehrsdaten (Telekommunikationsdienste) Anschlussnummer, Passwörter, Beginn und Ende der Verbindung, IP-Adresse sowie Datenvolumen, 4. Abrechnungsdaten Kombination aus Bestands- und Verkehrsdaten für Telekommunikationsanbieter oder Bestands- und Nutzungsdaten für Telemediendienste zum Zwecke der Abrechnung. Bei personenbezogenen Daten, die durch reine Telekommunikationsanbieter, die lediglich den Zugang zum Internet bereitstellen, erhoben werden, handelt es sich um Bestandsdaten (§ 3 BDSG, § 14 TMG), Verkehrsdaten (§ 96 TKG) sowie Abrechnungsdaten. Letztere stellen eine Kombination von Bestands- und Verkehrsdaten dar, um eine erbrachte Leistung gegenüber dem Nutzer abzurechnen.424 Da diese Anbieter über ihre Webseiten im WWW oft ein integriertes Angebot aus Telekommunikationsdienstleistungen (z. B. Abschluss eines Telefonund Internetzugangs) sowie Telemediendiensten wie Waren (Telefone, Handys) oder Services (Softwaredownloads oder Handy Klingeltöne) zur Verfügung stellen, sind auch Access Provider am Datenverkehr im Wege der Nutzung des E-Commerce über das WWW beteiligt. Telekommunikationsanbieter sind, soweit sie Verkehrsdaten im Wege der Werbung und Markt- und Meinungsforschung verwenden, an die Vorschriften des § 95 Abs. 1 und 2 TKG gebunden.425 Da die Erhebung und Verarbeitung von Verkehrsdaten im Rahmen der Nutzung des WWW generell erfolgt, soll dies bei der Betrachtung von Internetauktionen, des E-Banking sowie des E-Broking nicht mehr gesondert angeführt werden. Im Wege von Rechtsgeschäften werden durch Anbieter von Waren- und Dienstleistungen, wenn sie reine Telemedienanbieter sind, Bestandsdaten, Nut424 425

12 ff.

T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. J. Eckhardt, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 95 TKG, Rdn. 9 f.,

206

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

zungsdaten sowie Abrechnungsdaten erhoben. Im Einzelnen handelt es sich hier um Rechtsgeschäfte ohne Wirkung auf die Offline-Welt, wie das Abrufen und Ansehen von Filmen über video-on-demand. Zum anderen um solche mit Wirkung auf die Offline-Welt, wie die Bestellung von Büchern, Kleidung oder sonstiger Waren über Internetversandhäuser wie beispielsweise Amazon.de oder OTTO. Die Datenverarbeitung ist grundsätzlich an die Vorschriften des § 4 Abs. 1 BDSG gebunden.426 Es handelt sich um einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung und in die Privatsphäre427 des einzelnen Nutzers, wenn die verantwortliche Stelle personenbezogene Daten vom Betroffenen ohne dessen Kenntnis oder Einwilligung erhebt, speichert oder verarbeitet. Hat der Betroffene nicht eingewilligt, so ist die zweckfremde Verarbeitung seiner persönlichen Daten gemäß §§ 4 Abs. 1 und 4a BDSG unzulässig. Bei Telemedienangeboten richtet sich die Datenverarbeitung durch Diensteanbieter nach den Vorschriften des Telemediengesetzes. Werden personenbezogene Daten als Bestandsdaten zur Abwicklung von Rechtsgeschäften verarbeitet und wird die Leistung ausschließlich über das Internet erbracht, sind hierfür die Vorgaben der §§ 12 Abs. 1 und 14 Abs. 1 TMG einschlägig. Für die auf Basis des Telemedienangebots vom Betroffenen erhobenen, gespeicherten und verarbeiteten Daten, sowie für die Zulässigkeit der Erstellung von Nutzerprofilen, sind die Vorschriften der §§ 12 Abs. 1 und 15 Abs. 1 und 3 TMG bindend.428 2. Internetauktionen Eine besondere und weitgenutzte Form des elektronischen Handels stellt der Erwerb von Waren über Auktionsplattformen des WWW dar. Nach erfolgreicher Registrierung kann der einzelne Nutzer entweder selbst Waren zur Versteigerung anbieten oder diese auf diesem Wege erwerben. Hat der Nutzer durch Abgabe des höchsten Gebots die angebotene Ware ersteigert, so ist der Anbieter verpflichtet, diesem nach erfolgtem Eingang der Zahlung die Ware zu liefern und zu übereignen.429

426 A. Roßnagel, Datenschutz beim Online-Einkauf, 2002, S. 48; P. Schaar, Datenschutz im Internet, S. 103; so auch T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 83. 427 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 173; C. Gusy, in: H. v. Mangoldt/F. Klein/Ch. Starck, GG, Art. 10, Rdn. 14; in diesem Sinne auch BVerfGE 6, 32 (32 ff.); 6, 389 (389 ff.). 428 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 12 TMG, Rdn. 3; ders., § 14 TMG, Rdn. 4; ders., § 15 TMG, Rdn. 7 f. 429 Zu den wohl bekanntesten und meistgenutzten Anbietern im WWW zählt die Internetauktionsplattform eBay. Vgl. dazu M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 102.

B. E-Commerce

207

Bezogen auf die unzulässige oder zweckfremde Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Online-Versteigerungen werden vom Anbieter der Auktionsplattform personenbezogene Daten erhoben, gespeichert und verarbeitet. Anbieter von Waren einer Internetauktionsplattform können sowohl private als auch gewerbetreibende Nutzer sein. Stellen diese eine Ware zum Verkauf ein, sind sie damit ebenfalls an die Befugnisse zur Datenverarbeitung gemäß den Vorschriften des Bundesdatenschutzgesetzes gebunden. Zumeist handelt es sich dabei jedoch um Angaben wie Name, Anschrift, E-MailAdresse, Bankverbindung oder Kreditkartennummer, welche für die Abwicklung der Lieferung der ersteigerten Ware notwendig sind. Da der Nutzer durch die Einstellung des Angebots auf einer Internetauktionsplattform als Content Provider fungiert, knüpft die Verarbeitung von Bestandsdaten an die Vorschrift des § 14 TMG an.430 Für die Erfüllung der vertraglichen Pflichten aus einem nach einer abgeschlossenen Auktion resultierenden bindenden Rechtsgeschäft durch Zusendung der Ware außerhalb des Internets (OfflineGeschäft), unterliegt die Zulässigkeit der Verarbeitung personenbezogener Daten jedoch den Vorschriften des §§ 4 Abs. 1 und 4a BDSG sowie § 28 Abs. 1 BDSG. Weil es sich bei der Abwicklung des Rechtsgeschäfts jedoch zumeist nur um die Adressdaten zum Versand der Ware handelt, soll im Folgenden auf die Datenverarbeitung des Plattformanbieters näher eingegangen werden. Bei der Eröffnung eines Nutzeraccounts, der Einstellung von Warenangeboten sowie der Teilnahme an Versteigerungen werden folgende Daten erhoben, gespeichert und verarbeitet: 1. Bestandsdaten Name, Anschrift, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Bankverbindung oder Kreditkartennummer, Loginname und Passwort für den Nutzeraccount. 2. Nutzungsdaten Z. B. Session-IDs, Bewegungsdaten im Zusammenhang mit der Auktionsplattform. 3. Abrechnungsdaten Kombination aus Bestands- und Nutzungsdaten zum Zwecke der Abrechnung der kostenpflichtigen Leistung der Einstellung eines Warenangebots zur Versteigerung durch den Anbieter der Auktionsplattform. Internetauktionsanbieter sind Telemedienanbieter im Sinne des Telemediendienstegesetzes. Diese erheben, speichern und verarbeiten personenbezogene Daten des Nutzers in Form von Bestandsdaten und Nutzungsdaten.

430

G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 14 TMG, Rdn. 2 f.

208

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Zu den Bestandsdaten (§ 14 TMG) zählen solche, die bei der Registrierung des Betroffenen zur Eröffnung eines Nutzeraccounts abgefragt werden. So muss dieser neben den persönlichen Angaben wie Name, Anschrift, Alter und Telefonnummer zur Abwicklung der rechtsgeschäftlichen Tätigkeit, also der Ersteigerung und Versteigerung von Waren, auch seine Bankverbindung hinterlegen. Daneben kann er einen Benutzernamen und ein Passwort als Zugangssicherung zu seinem Benutzerkonto wählen. Der Anbieter der Auktionsplattform ist so in der Lage das gesamte Verhalten des Nutzers auf der Webseite zu protokollieren. So werden die Bestandsdaten des Nutzers auch im Rahmen der Abwicklung eines Rechtsgeschäfts zwischen Käufer und Verkäufer gespeichert, um die Transaktion über das jeweilige Nutzerkonto für beide Seiten jederzeit nachvollziehbar zu machen. Als Telemedienanbieter ist der Plattformanbieter zudem in der Lage Nutzungsdaten (§ 15 TMG) wie Session-IDs, Bewegungsdaten der Nutzer, angesehene, ersteigerte sowie zur Versteigerung eingestellte Produkte, den erzielten Kaufpreis, den Stand der Abwicklung der Kauf- und Verkaufstätigkeiten zu erheben, zu speichern und weiter zu verwenden. Dies ist ebenso mit den durch den Käufer erhaltenen oder an den Verkäufer eine Ware abgegebenen Bewertungen eines Nutzers möglich. Wesentlich im Zusammenhang mit der Durchführung von Internetauktionen ist nicht zuvorderst die Möglichkeit des Betreibers der Auktionsplattform, personenbezogene Daten unzulässig zu erheben, zu speichern oder beispielsweise zweckfremd im Rahmen von Kunden- und Nutzerprofilen zu verarbeiten. Vielmehr traten in der Vergangenheit gehäuft Fälle auf, in denen die rechtswidrige Verwendung personenbezogener Daten durch unbefugte Dritte aus dem Missbrauch der Identität des Nutzers und seines Benutzerkontos resultierte.431 Fraglich ist hierbei, inwieweit der Anbieter der Plattform für den Schutz der Daten der Nutzer verantwortlich ist. Gemäß dem Urteil des Oberlandesgerichts München zum Betreiber der Auktionsplattform eBay432 handelt es sich bei der Nutzung einer Kennung eines Dritten um eine Handlung unter fremdem Namen. Der Betreiber kann jedoch zunächst davon ausgehen, dass die Benutzung einer Kennung auch tatsächlich mit der Person in Verbindung zu bringen ist, deren personenbezogene Daten registriert und im Nutzeraccount hinterlegt sind.433 Ein Eingriff in die Privatsphäre und das Recht auf informationelle Selbstbestimmung434 findet dann statt, sobald ein Account ohne Einwilligung des tatsäch431 Vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 106; weiterführend auch G. Spindler/A. Wiebe, Internet-Auktionen, 2001. 432 Urteil des OLG München vom 05.02.2004 – 19 U 5114/03: Handeln „unter“ fremdem Namen bei Internetauktion, MMR 2004, 625. 433 Vgl. dazu BGH, Urteil vom 18. Januar 1988 – II ZR 304/86, NJW-RR 1988, 814. 434 Zur Privatsphäre vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/Ch. Starck, GG,

B. E-Commerce

209

lichen Inhabers genutzt wird. Die Beweislast für die tatsächliche Übereinstimmung der Identität des unter einer Kennung bietenden Käufers mit derjenigen des Accountinhabers liegt jedoch beim Verkäufer, nicht beim Anbieter der Plattform.435 Durch die Rechtsprechung wird jedoch regelmäßig festgestellt, dass der bestehende Sicherheitsstandard im WWW derzeit insgesamt nicht als ausreichend eingestuft werden kann. Somit ist es nicht möglich, anhand der Zugangskennung für das Nutzerkonto und dem vergebenen Passwort die Identität des Nutzers und tatsächlichen Inhabers eindeutig feststellen zu können.436 Für den Schutz der Privatsphäre des Betroffenen als Inhaber eines Benutzerkontos spielt diese Feststellung der Rechtsprechung eine entscheidende Rolle. Folglich ist der Einzelne, der das Angebot einer Internetauktion nutzt, vor einem Missbrauch seiner Identität oder der des Bieters nicht ausreichend geschützt. Im Schadensfall, d.h. bei Nichtbezahlung der Ware, ist der Geschädigte dazu verpflichtet, die rechtswidrige Verwendung seiner Nutzerkennung nachzuweisen. Zum anderen kann der Bieter im Rahmen einer Auktion ebenso nicht auf die wahre Identität des Verkäufers vertrauen und ist im Schadensfall, beispielsweise bei Nichtlieferung oder Lieferung von mangelhafter Ware, in der Beweispflicht. Eine einschlägige Rechtsgrundlage, die zum Schutz des Betroffenen den Betreiber einer Auktionsplattform für die Sicherheit der Daten eines Nutzeraccounts verantwortlich macht, existiert derzeit nicht. Allerdings wurde mit dem Urteil durch das AG Potsdam437 entschieden, dass der Plattformbetreiber für die Sicherheit der persönlichen Daten der Teilnehmeraccounts in vollem Umfang verantwortlich ist. Insgesamt kann damit der Auffassung, die Rechtsprechung würde die Beliebigkeit des Missbrauchs personenbezogener Daten im Rahmen von Internetauktionen dulden, nicht zugestimmt werden. Dennoch spiegelt die existente RechtArt. 10, Rdn. 14; BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zum Eingriff U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, insbesondere Rdn. 48 f., 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; ferner D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, insbesondere Rdn. 79 ff., 88, 121 ff. 435 Vgl. dazu OLG Hamm, Urteil vom 16.11.2006 – 28 U 84/06: Beweislast für Vertragsabschluss bei eBay = MMR 2007, 449 ff. 436 So OLG Hamm vom 16.11.2006 – 28 U 84/06: Beweislast für Vertragsabschluss bei eBay, MMR 2007, 449 ff.; OLG Köln, Urteil vom 06.09.2002 – 19 U 16/02: Beweislast für Gebote bei Internetauktion, MMR 2002, 813; LG Bonn, Urteil vom 07.08.2001 – 2 O 450/00: Identität eines Teilnehmers an einer Internetauktion, MMR 2002, 255 f.; Urteil des LG Bonn vom 19.12.2003 – 2 O 472/03: Sofortkauf-Option bei eBay, MMR 2004, 179; kritisch zur Ablehnung des Anscheinsbeweises zum Nachweis der Identität des Inhabers eines Nutzeraccounts im Wege der Teilnahme an einer Online-Auktion vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 107. 437 AG Potsdam, Urteil und Beschluss vom 03.12.2004 – 22 C 225/04: Ebay muss Identitätsklau unterbinden.

210

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

sprechung in diesem Bereich derzeit ein hohes Maß an Rechtsunsicherheit bei der Anwendung bestehender gesetzlicher Regelungen zum Schutz der Privatsphäre und des Grundrechts auf informationelle Selbstbestimmung für den Betroffenen wider. Hierzu trägt auch die strittige Frage der unmittelbaren Wirkung verfassungsrechtlicher Regelungen auf die für Rechtsgeschäfte unter Privaten anwendbaren Vorschriften des Bürgerlichen Rechts bei.438 3. E-Banking und E-Broking a) E-Banking Mit der Verbreitung des WWW als neues jederzeit verfügbares Informationsund Kommunikationsmedium beschränkte sich die Nutzung bald nicht nur auf den Handel mit Waren. Insbesondere das Angebot von Dienstleistungen über das WWW profitiert wesentlich davon, dass der Nutzer von Öffnungszeiten von Filialen nicht-öffentlicher Institutionen oder Dienststellen öffentlicher Behörden weitgehend unabhängig ist. So fand auch die Möglichkeit, Bankgeschäfte auf elektronischem Wege zu erledigen, rasch Akzeptanz.439 Das so genannte OnlineBanking oder kurz E-Banking ermöglicht dem einzelnen Nutzer als Kunde einer Bank, zeit- und ortsunabhängig, beispielsweise Auskünfte über den Kontostand zu erhalten, Überweisungen zu tätigen, Sparpläne zu eröffnen oder auch Kreditkarten zu beantragen.440 Aus technischer Sicht erfolgt der Datenaustausch beim E-Banking zwischen dem Rechner des Kunden, dem Nutzer des WWW, sowie dem Rechner der Bank.441 Dabei werden im Einzelnen folgende Daten erhoben, gespeichert und verarbeitet: 438 Zur Ausstrahlungswirkung des Art. 2 Abs. 1 i.V. m. Art. 1 Abs. GG auf das Privatrecht vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 138, 163; zur mittelbaren Wirkung der Grundrechte in Verbindung mit dem Grundrecht auf informationelle Selbstbestimmung Rdn. 173 ff., 191; weiter auch M. Herdegen, in: T. Maunz/ G. Dürig, GG, Art. 1 Abs. 3, Rdn. 59 ff. 439 W. Hömberg/H. Pürer/U. Saxer prognostizierten, dass über 50 % der privaten Haushalte im Jahr 2010 Bankgeschäfte regelmäßig vom eigenen Rechner aus erledigen; vgl. W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 131. 440 M.-T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 49 f.; zu den rechtlichen Rahmenbedingungen für den E-Commerce, insbesondere im Zusammenhang mit Online-Auktionen vgl. weiterführend G. Spindler/A. Wiebe, Internet-Auktionen, 2001; kritisch zur Ausdünnung der Filialstruktur und dem damit verbundenen Abbau von Arbeitsplätzen auch W. Hömberg/H. Pürer/U. Saxer, Die Zukunft des Internet, S. 12. 441 M.-T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 50; zur technischen Funktionsweise basierend auf dem Client-Server-Modell vgl. M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 77 ff.; M. Scheller/K.-P. Boden/A. Geenen/J. Kampermann, Internet: Werkzeuge und Dienste, 1994, S. 47 f., 61, 69; zum Client-Server-Modell vgl. B. Schneier, Applied Cryptography. Protocols, Algorithms and Source Code in C, 2nd edition, 1 C. Meinel/H. Sack, WWW, S. 576.

B. E-Commerce

211

1. Bestandsdaten Name, Anschrift, Geburtsdatum, Geschlecht, Anschrift, E-Mail- Adresse, Telefonnummer, Kontonummer und Bankleitzahl, Loginname und Passwort für den Nutzeraccount. 2. Nutzungsdaten Z. B. Session-IDs, Bewegungsdaten im Zusammenhang mit der Nutzung der Online-Banking-Plattform. 3. Abrechnungsdaten Kombination aus Bestands- und Nutzungsdaten zum Zwecke der Abrechnung der kostenpflichtigen Leistungen im Zusammenhang mit der Nutzung des Online-Kontos. Für das E-Banking lassen sich demnach unterschiedliche Leistungsbereiche differenzieren. Zum einen ist die Bank als Websiteprovider in der Lage und gemäß § 15 Abs. 1 TMG dazu befugt, Nutzungsdaten aus dem Besuch der Website durch den Nutzer zu erheben und zu verarbeiten.442 Dies muss jedoch für die Geschäftstätigkeit im Zusammenhang mit dem Kunden erforderlich sein. Diese Daten können in der Praxis jedoch nicht nur bei solchen Nutzern erhoben werden, welche Kunden der Bank sind. Neben den individuellen Informationen, die der Nutzer nach erfolgtem Login erhält, stellt die Bank meistens auch allgemein zugängliche Informationen, wie Aktienkurse oder diverse Angebote und Leistungen der Bank, auf ihrer Webseite zur Verfügung. Diese dienen der Ansprache potentieller Kunden und sind damit auch ohne Nutzerkennung erreichbar. Der Provider erhält auf diesem Wege also auch Nutzungsdaten die nach § 15 Abs. 1 TMG nicht für die Inanspruchnahme oder Abrechnung des genutzten Angebots erforderlich sind. Authentifiziert sich der Kunde durch Eingabe seines Logins und des Passworts, so stehen diesem neben dem allgemeinen Informationsangebot erweiterte Funktionen, wie Überweisungsassistent oder Abruf des Kontostands zur Verfügung.443 In diesem Rahmen werden beim Provider bei jedem Login die eingegebenen Zugangsdaten erhoben und mit den registrierten Bestandsdaten abgeglichen. Weiter besteht auch die Möglichkeit Nutzungsdaten zu erheben, die in Kombination mit den Bestandsdaten zum Zwecke der werblichen Ansprache des Kunden zu Kunden- oder Nutzungsprofilen verarbeitet und genutzt werden können.444 442 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 2 f.; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. 443 B. Bachmann, Internet und IPR, in: M. Lehmann (Hrsg.), Internet- und Multimediarecht (Cyberlaw), 1997, S. 180; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. 444 M.-T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 51; zur Unzulässigkeit der Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders.,

212

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Dies ist jedoch gemäß § 28 Abs. 3 Nr. 3 BDSG445 in Verbindung mit Vertragsverhältnissen analog der vormals gültigen, als auch der zum 1.9.2009 in Kraft getretenen Novelle II des Bundesdatenschutzgesetzes, für personenbezogene Daten zu eigenen Geschäftszwecken in Verbindung mit rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen,446 sowie gemäß § 15 Abs. 3 S. 1 TMG für Nutzungsdaten zulässig. Voraussetzung ist, dass diese unter Maßgabe der Erforderlichkeit zu eigenen Zwecken verarbeitet werden und der vorab informierte Kunde dem nicht widersprochen hat.447 Ist die Datenverarbeitung nicht erforderlich oder kommt der Provider seinen datenschutzrechtlichen Pflichten nicht ausreichend nach, so ist das Handeln der verantwortlichen Stelle unzulässig.448 Macht der Kunde von kostenpflichtigen Angeboten, wie beispielsweise Auslandsüberweisungen, Gebrauch, ist die Bank dazu berechtigt, zum Zwecke der Leistungserfüllung aus Vertrag mit dem Kunden Abrechnungsdaten als Kombination aus Bestands- und Nutzungsdaten zu verarbeiten. Im Zusammenhang mit der elektronischen Beantragung von Bankdienstleistungen, wie beispielsweise bei der Online-Beantragung einer Kreditkarte, welche dann per Post zugestellt wird, sind also die Vorschriften zur Datenverarbeitung nach dem Bundesdatenschutzgesetz einschlägig. Wesentliches Merkmal ist hierbei, dass diese ihre rechtsgeschäftliche Wirksamkeit auf Basis eines Vertrags erlangen (Rechtsgeschäft mit Wirkung auf die Offline-Welt). Erfolgt die Beantragung und Erfüllung rein auf elektronischem Wege, wie beispielsweise die Einsichtnahme in den Kontostand oder die Vornahme einer elektronischen ÜberweiBDSG, § 1, Rdn. 95; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. 445 Diese Regelung ist nur im Zusammenhang mit Rechtsgeschäften deren Erfüllung nicht ausschließlich auf elektronischem Wege erfolgt, anwendbar. Im Bereich des EBanking handelt es sich um den mit dem Kunden meist auf realem Wege in der Bank geschlossenen Nutzervertrag zum Bankkonto und den Online-Diensten. Vgl. zur Anwendbarkeit des BDSG im Wege von E-Banking Transaktionen mit Wirkung auf den Offline-Bereich P. Schaar, Datenschutz im Internet, S. 102 f.; zur Zulässigkeit der Datenerhebung und -verarbeitung zu Werbe- und Marketingzwecken nach dem BDSG vgl. T. Weichert, Datenschutzrechtliche Probleme beim Adresshandel, WRP 1996, 522; A. Breinlinger, Datenschutzrechtliche Probleme bei Kunden- und Verbraucherbefragungen zu Marketingzwecken, RDV 1997, 247; A. Podlech/M. Pfeifer, Die informationelle Selbstbestimmung im Spannungsverhältnis zu modernen Werbestrategien, 148. 446 Vgl. dazu Gesetz zu Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I Nr. 54, S. 2816. 447 Vgl. dazu kritisch A. Roßnagel, Datenschutz beim Online-Einkauf, S. 48; W. Schulz, Das TDDSG – erster Schritt zum „Digital Millenium Data Protection Act“?, in: H. Kubicek u. a., Jahrbuch Telekommunikation und Gesellschaft 1999: Multimedia@Verwaltung, 1999, S. 206 f.; vergleichbar H. Bäumler, Das TDDSG aus der Sicht eines Datenschutzbeauftragten, DuD 1999, 261; G. Spindler/J. Nink, in: G. Spindler/ F. Schuster, RdeM, § 15 TMG, Rdn. 7 f. 448 A. Roßnagel, Datenschutz beim Online-Einkauf, S. 50.

B. E-Commerce

213

sung, so ist die Bank als Telemedienanbieter an die datenschutzrechtlichen Vorschriften des Telemediengesetzes gebunden. Werden elektronische Bankdienstleistungen in Anspruch genommen, so werden die erhobenen Bestandsdaten des Antragstellers, beispielsweise zur Prüfung der Kreditwürdigkeit, auch an Dritte (SCHUFA) weitergeleitet.449 Dies eröffnet dem übermittelnden sowie dem empfangenden Unternehmen die Möglichkeit, diese Datenbestände und die damit verbundene Informationen über die Art der Anfrage sowie die Auskunft über die persönliche finanzielle Situation, in gemeinsamen Datenbeständen, so genannten Data Warehouses, zu aggregieren und daraus wiederum Nutzungs- oder Persönlichkeitsprofile über den Nutzer zu erstellen.450 Beim so genannten Scoring, wird aus den über den Kunden vorhandenen Daten ein Wahrscheinlichkeitswert für dessen Zahlungsverhalten gebildet.451 Da diese Daten für die Einschätzung der Bonität des Betroffenen bei einem Finanzdienstleister von entscheidender Bedeutung sein können, hat der Gesetzgeber mit der zum 1. April 2010 in Kraft getretenen Novelle I des Bundesdatenschutzgesetzes die rechtlichen Grundlagen für die Durchführung von automatisierten Einzelentscheidungen (§ 28b BDSG), die damit verbundenen Pflichten der verantwortlichen Stellen zur Datenverwendung und -speicherung in §§ 28a, § 29 BDSG sowie die erweiterten Auskunftsrechte des Betroffenen in § 34 BDSG genau festgelegt.452 Weiter wurde mit der Novelle II des Bundesdatenschutzgesetzes zum 1. September 2009 der Möglichkeit des unberechtigten Zugriffs Dritter auf personenbezogene Daten Rechnung getragen. Die Daten verarbeitende Stelle ist nun gemäß § 42a BDSG dazu verpflichtet, im Falle eines Datenmissbrauchs, die schwerwiegende Beeinträchtigung für den Betroffenen zur Folge hat, diesen sowie die zuständige Aufsichtsbehörde umgehend zu informieren.453 Gemäß § 42a S. 1 BDSG werden explizit Datenarten genannt, auf die sich die Informationspflicht bezieht, darunter nach § 42a S. 1 Nr. 4 BDSG auch personenbezogene Daten zu Bank- und Kreditkartenkonten. Die Verpflichtung, den Betroffenen über den Datenmissbrauch unverzüglich in Kenntnis zu setzen bleibt auch bei unverhältnismäßigem Aufwand gegenüber dem Einzelnen bestehen. So 449 S. Simitis, in: ders., BDSG, § 4a, Rdn. 5; P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 7. Zur Erstellung des Scorewerts der SCHUFA vgl. B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 121 ff. 450 Zur Unzulässigkeit der Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders. (Hrsg.), BDSG,§ 1, Rdn. 95. 451 T. B. Petri, Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 631. 452 Zur Novelle I des BDSG vgl. BT-Drs.16/13219, 16/10581 und 16/10529; Gesetz zur Änderung des Bundesdatenschutzgesetzes vom 29. Juli 2009, BGBl. I, S. 2255 f. 453 Vgl. Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I Nr. 54, S. 2818.

214

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

ist in diesem Fall von der verantwortlichen Stelle die Öffentlichkeit zu informieren. Die Information an die Aufsichtsbehörde muss die ergriffenen Maßnahmen sowie die nachteiligen Folgen, die aus dem Datenmissbrauch resultieren, enthalten. Dies erfordert jedoch bereits im Vorfeld umfassende Maßnahmen der Datenund Informationssicherheit bei der verantwortlichen Stelle. Diese Vorschrift trägt zwar zur Stärkung der Rechte des Betroffenen wesentlich bei. Die Umsetzung bleibt jedoch angesichts der damit verbundenen Kosten für die nicht-öffentliche Stelle fraglich. b) E-Broking Einen weiteren wichtigen Bereich im Rahmen der elektronischen Finanzgeschäfte stellt für private Nutzer des WWW das E-Broking dar. Hierbei handelt es sich um die elektronische Form des Aktienhandels, welche oftmals in das EBanking Angebot einer Bank integriert ist. Daneben existieren jedoch auch externe Anbieter, so genannte Online-Broker, wie Cortal Consors454 oder flatex.455 Ähnlich der elektronischen Auftragsannahme von Überweisungen werden hier Kaufaufträge für Aktienpositionen entgegengenommen. Die Ausführung geht jedoch regelmäßig über ein reines Handeln im Auftrag des Kunden hinaus. Aktiengeschäfte auf Antrag des Kunden stellen mit Annahme sowie Ausführung der Bank auch auf elektronischem Wege ein Rechtsgeschäft mit Wirkung auf die Offline-Welt dar. Die Aktien werden zwar nur virtuell in das Depot des Besitzers eingebucht. Dieser erhält von der Bank jedoch eine schriftliche Bestätigung und kann auf Wunsch auch die Aktienstücke in Papierform anfordern. Demgemäß ist die Zulässigkeit der Verwendung personenbezogener Daten vorrangig an die Vorschriften des § 4 Abs. 1 BDSG sowie § 28 Abs. 1 BDSG gebunden. Für den E-Broking Anbieter besteht grundsätzlich die Möglichkeit anhand der vom Nutzer angesehenen Aktienkurse oder getätigten Transaktionen ein individuelles Präferenzmuster in Form von Kunden- und Nutzerprofilen abzuleiten.456 Der Provider ist im Falle der Datenverwendung für Zwecke der Marktforschung, Werbung oder zur Anpassung seines Angebots auf der Webseite, lediglich an die Vorgaben des § 15 Abs. 3 TMG gebunden. Und dies nur insoweit als der Betroffene diesem Handeln nicht widerspricht. Dies birgt für den Einzelnen das Risiko, dass die Bank aufgrund seines personenbezogenen Verhaltens auf ein grundsätzliches Handlungsmuster schließen kann. Insbesondere wenn Informationen über seine finanzielle Disposition hinzu454

www.cortalconsors.de www.flatex.de 456 M.-T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 51; vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95; vgl. dazu auch T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73. 455

B. E-Commerce

215

gezogen werden können.457 Werden personenbezogene Daten an Dritte weitergegeben, besteht auch hier, wie beim E-Banking, für die übermittelnde und die rezipierende Stelle die Möglichkeit, umfassende Persönlichkeitsprofile über den Kunden zu erstellen. Dies ist beispielsweise bei Namensaktien der Fall, bei der eine Registrierung des Aktieninhabers bei dem ausgebenden Unternehmen notwendig ist.458 Ungeachtet der zweckfremden oder unzulässigen Verwendung personenbezogener Daten durch den Provider der Website, sind beim E-Banking darüber hinaus auch rechtswidrige Handlungen der unbefugten Erhebung, Speicherung und Nutzung von Daten zu nennen. Diese können im Sinne der Tatbestände des § 202a StGB durch Phishing oder der Einschleusung von Trojanern auf dem Rechner des Nutzers sowie während der Eingabe seiner Logindaten ausgespäht werden.459 Mit der Novelle II des Bundesdatenschutzgesetzes zum 1.9.2009 wurde dieser Möglichkeit Rechnung getragen. Wie bereits im Zusammenhang mit dem E-Banking ausgeführt, ist die Daten verarbeitende Stelle gemäß § 42a S. 1 Nr. 4 BDSG dazu verpflichtet, im Falle eines Datenmissbrauchs, den Betroffenen sowie die zuständige Aufsichtsbehörde umgehend darüber zu informieren.460 Elektronische Bankgeschäfte über das Internet erweitern nicht nur das Dienstleistungsspektrum der Banken. Vielmehr gehen damit auch neue Möglichkeiten für erhebliche Eingriffe in das Recht auf informationelle Selbstbestimmung einher, woraus insgesamt eine Gefährdung der Privatsphäre für den einzelnen Bürger resultiert.461 Um dieser entgegenzuwirken ist die bewusste Zustimmung des Kunden für die Datenverarbeitung entscheidend. Die Einwilligung ist im datenschutzrechtlichen Sinne jedoch nur rechtswirksam und die Einwilligung in die Daten457

B. Weiser, Verbraucherschutz im Electronic Commerce, S. 346. Vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 459 M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 36 f.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff.; in diesem Sinne auch K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 3 f.; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, 80. 460 Vgl. Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August 2009, BGBl. I Nr. 54, S. 2818. 461 U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 147 ff., insbesondere auch Rdn. 173; C. Gusy, in: H. v. Mangoldt/F. Klein/Ch. Starck, GG, Art. 10, Rdn. 14; in diesem Sinne auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zur Gefährdung der Grundrechte des Betroffenen im Rahmen der modernen Datenverarbeitung vgl. BVerfGE 65, 1 (44); zu Eingriffen in das Grundrecht auf informationelle Selbstbestimmung vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.; auch Rdn. 138 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ ders., GG, Art. 2 Abs. 1, Rdn. 114; ferner D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, insbesondere Rdn. 79 ff., 88; zur Sicherheit und Zweckbindung der Datenverarbeitung Rdn. 121 ff. 458

216

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

verarbeitung rechtmäßig, wenn der Nutzer zum Zeitpunkt seiner Antragstellung über das WWW auch tatsächlich eine Erklärung mit Rechtsbindungswillen für das Zustandekommen eines Vertrags abgibt. Nachfolgend soll deshalb der Vertragsschluss im WWW unter Berücksichtigung der dafür anwendbaren Rechtsgrundlagen des Privatrechts näher betrachtet werden. III. Vertragsschluss im WWW Für den Erwerb von Waren und Dienstleistungen im WWW ist auch in der virtuellen Welt ein Vertrag zu schließen. Beim Online-Handel erfolgt dieser auf elektronischem Wege. Für die Art der Vertragserfüllung unterscheidet man so genannte Online- und Offline-Geschäfte. Bei Online erbrachter Lieferung und Leistung, welche nur auf den Fall von digital erfüllbaren Dienstleistungen zutrifft, erfolgen Vertragsschluss sowie Vertragserfüllung auf elektronischem Wege.462 Bei Offline-Geschäften hingegen erfolgt die Lieferung oder Leistung außerhalb des WWW, zumeist durch Lieferung und Zustellung per Post, Lieferdienst oder auch auf persönlichem Wege.463 Wesentlich für Geschäftsbeziehungen über das Internet ist, dass sowohl der Abschluss als auch die Erfüllung der vertraglichen Pflichten in Abwesenheit beider Vertragsparteien erfolgt. Darüber hinaus ist bei reinen Online-Geschäften zu berücksichtigen, dass zumeist keine physisch materialisierbare Ware vorliegt. Einschlägige Rechtsgrundlage für die Durchführung von Rechtsgeschäften im WWW ist das Bürgerlichen Gesetzbuch. So können Rechtsgeschäfte grundsätzlich nur von rechtsfähigen (§ 1 BGB) oder teilrechtsfähigen und geschäftsfähigen (§§ 2, 104, 106 i.V. m. 107, 112 BGB) Rechtssubjekten abgeschlossen werden.464 Um rechtswirksame Verträge über das WWW zu schließen, sind ferner die gesetzlichen Vorschriften über den Kaufvertrag aus §§ 433 ff. BGB bindend. Da462 Vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 57; B. Weiser, Verbraucherschutz im Electronic Commerce, S. 344. Beispielhaft kann hier das Video on demand Angebot einiger Internetanbieter wie maxdome oder T-Online genannt werden: Der Kunde wählt aus dem Angebot des Anbieters einen Film, welcher ihm zum Abruf für einen bestimmten Zeitraum zur Verfügung gestellt wird. Damit kann der Nutzer nach elektronischer Bezahlung zeitlich begrenzt auf die Datenbank des Anbieters zugreifen und den gewählten Film zur Ansicht abrufen. 463 Vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 57. Bei Offline Geschäften handelt es sich beispielsweise um Warenbestellungen, wie Bücher, Möbel oder Kleidungsstücke, aber auch Dienstleistungen wie Reisen bei denen dem Kunden die Reiseunterlagen auf postalischem Wege zugesandt werden. Vgl. M. Köhler/H.-W. Arndt, Recht des Internet, S. 62; zur kaufrechtlichen oder werkvertraglichen Einordnung von Online-Verträgen unter der Bedingung der fehlenden Körperlichkeit der Ware vgl. G. Spindler/L. Klöhn, Neue Qualifikationsprobleme im E-Commerce – Verträge über die Verschaffung digitalisierter Informationen als Kaufvertrag, Werkvertrag, Verbrauchsgüterkauf, CR 2003, 81. 464 H. Dörner, in: ders. u. a., BGB, § 1, Rdn. 1; ders., Vorbemerkung zu §§ 145–157, Rdn. 1; ders., § 145 Abs. 1, Rdn. 1 ff.

B. E-Commerce

217

nach verpflichtet sich der Verkäufer, dem Käufer den Kaufgegenstand zu übergeben und das Eigentum daran zu verschaffen, während der Käufer dazu verpflichtet ist, den Kaufpreis zu bezahlen. Voraussetzung auch für den Abschluss eines Rechtsgeschäfts auf elektronischem Wege ist ein Vertrag. Dieser kommt gemäß § 145 BGB durch die Annahme eines Angebots zustande.465 Dies erfordert zwei übereinstimmende Willenserklärungen, welche in den Vorschriften der §§ 116 ff. BGB als auf einen rechtlichen Erfolg gerichtete Willensäußerung mit Rechtsbindungswillen definiert sind. Eine Erklärung kann gemäß § 147 Abs. 1 BGB unter Anwesenheit beider Parteien abgegeben werden. Erfolgt der Vertragsschluss im WWW jedoch auf elektronischem Wege, meist über eine Bestellmaske auf einer Webseite des Providers, so wird der Vertrag unter Abwesenheit beider Parteien geschlossen.466 Nach § 147 Abs. 2 BGB kommt ein Vertrag jedoch auch unter Abwesenheit der Erklärenden zustande. Dieser wird nach § 130 Abs. 1 S. 1 BGB mit Zugang der Willenserklärungen wirksam. Die Willenserklärung stellt damit die Grundlage für das Zustandekommen eines Vertrags über das WWW zwischen rechtsfähigen und geschäftsfähigen Rechtssubjekten dar.467 1. Willenserklärungen zum Vertragsschluss im WWW Voraussetzung für eine rechtswirksame Willenserklärung bei gleichzeitig mangelnder körperlicher Anwesenheit ist, dass der Käufer über die Folgen seiner rechtsgeschäftlichen Handlung ausreichend Kenntnis hat. Nicht immer weisen Anbieter im WWW eindeutig darauf hin, dass der Nutzer mit der Bestätigung per Mausklick in den Abschluss eines rechtsverbindlichen Vertrags einwilligt. Das Landgericht Essen hat in seinem Urteil vom 13.2.2003 festgestellt, dass das Einstellen eines Warenangebots im Internet noch kein Angebot, sondern lediglich eine invitatio ad offerendum ist.468 Somit ist das Einstellen von Waren465 A. Wien, Internetrecht, S. 76; I. Saenger, in: H. Dörner u. a., BGB, § 433 Abs. 1, Rdn. 1, 6 f.; C. Müller, Internationales Privatrecht und Internet, S. 279; H. Dörner, in: ders. u. a., BGB, § 145 BGB, Rdn. 1, 2 ff. 466 H. Dörner, in: ders. u. a., BGB, § 147 Abs. 1 Rdn. 2, 7; A. Wien, Internetrecht, S. 78; B. Bachmann, Internet und IPR, S. 173. 467 S.-E. Heun, Die Elektronische Willenserklärung: Rechtliche Einordnung, Anfechtung und Zugang, in: CR 1994, S. 595; H. Redeker, Geschäftsabwicklung mit externen Rechnern im Bildschirmtextdienst, NJW 1984, 2390; J. Mehrings, Vertragsabschluss im Internet. Eine Herausforderung für das „alte“ BGB, MMR 1998, 30, 31; A. Wien, Internetrecht, S. 77; V. Boehme-Neßler, internetrecht.com, München 2001, S. 91; H. Dörner, in: ders. u. a., BGB, § 147 BGB, Rdn. 2. 468 LG Essen, Urteil vom 13.2.2003 – 16 O 416/02 = MMR 2004, 49; so auch OLG Oldenburg, Urteil vom 11.1.1993 – 13 U 133/92 = CR 1993, 558; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 82, 95, 286; in diesem Sinne auch BGHZ 123, 380 (389).

218

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

und Dienstleistungsangeboten allein noch keine Abgabe eines Angebots, sondern dient lediglich dem Überblick über das für den Käufer verfügbare Angebot.469 Somit stellt erst die Bestellung des Kunden ein Angebot dar. Das Geschäft wird erst mit Annahme des Angebots des Käufers durch den Verkäufer rechtswirksam. Diese Annahme erfolgt im WWW meist durch den Versand einer Bestätigung über die eingegangene Bestellung an den Käufer oder konkludent durch Versand der Ware.470 Gemäß § 312e Abs. 1 S. 1 Nr. 3 BGB ist der als Unternehmer handelnde Verkäufer gegenüber dem Kunden dazu verpflichtet, diesen unverzüglichen über die zugegangene Bestellung zu unterrichten. Nicht jedoch zur Bestätigung darüber, ob der Auftrag ausgeführt wurde.471 Die Bestätigung der Bestellung über das WWW geht dem Kunden meist direkt, nachdem er diese abgeschickt hat, ebenfalls auf elektronischem Wege per E-Mail zu. Wird zu diesem Zweck eine gesonderte Webseite zum Ausdrucken bereitgestellt wird, so handelt es sich um so genannte Auto Reply Erklärungen, die per Standardtext den Eingang des Auftrags beim Verkäufer bestätigen. Für das Zustandekommen eines rechtswirksamen Vertrages ist jedoch gerade hier die wörtliche Formulierung ausschlaggebend, damit der Kunde die Bestätigung als verbindliche Annahme seines Angebots verstehen kann. Wesentlich ist demnach, dass nicht nur der Eingang der Bestellung bestätigt wird, sondern auch die abgegebenen Bestellposten, Bestellwert, Versandkosten sowie Lieferbedingungen aufgeführt werden. Erst dann kann von einem Annahme- und Erfüllungswillen des Verkäufers und Absenders der Benachrichtigung ausgegangen werden. Ein rechtsverbindlicher Vertrag liegt dann vor, wenn der Verkäufer seine Verpflichtungserklärung zur Erfüllung des Vertrags dem Käufer eindeutig kommuniziert hat.472

469 Die ist mit der Übersicht des Warenangebots eines Versandhauses in einem Katalog vergleichbar, welcher dem Kunden mit dem Ziel zur Verfügung gestellt wird, ihn zur Bestellung zu ermuntern. Vgl. V. Haug, Grundwissen Internetrecht, Rdn. 521, S. 224; M. Köhler/H.-W. Arndt, Recht des Internet, S. 62, 120 f.; kritisch zur Anwendbarkeit des invitatio ad offerendum Grundsatzes: V. Boehme-Neßler, CyberLaw, S. 141 f. 470 Dies kann entweder durch eine E-Mail oder durch einen Hinweis auf der Website des Verkäufers nach Absendung der Bestellung erfolgen; vgl. zur Bindung an den Antrag im Rahmen des Vertragsschlusses H. Dörner, in: ders. u. a., BGB, § 145 Abs. 1, Rdn. 2 f., 4; zu den Pflichten des Käufers und Verkäufers I. Saenger, in: H. Dörner u. a., BGB, § 433, Rdn. 2, 9, 14; V. Haug, Grundwissen Internetrecht, Rdn. 522; B. Bachmann, Internet und IPR, S. 173. 471 M. Köhler/H.-W. Arndt, Recht des Internet, S. 70 f.; so auch explizit H. SchulteNölke, in: H. Dörner u. a., BGB, § 312e Abs. 1, Rdn. 9. 472 Vgl. LG Köln, Urteil vom 16.4.2003 – 9 S 289/02 = CR 2003, 613 = MMR 2003, 481 f.; ähnlich dazu auch AG Westerburg, Urteil vom 14.3.2003 – 21 C 26/03 = MMR 2003, 609; BGH, Urteil vom 26.1.2005 – VIII ZR79/04 (LG Bielefeld, AG Herford) = NJW 2005, 976 und MMR 2005, 233; so auch A. Wien, Internetrecht, S. 78.

B. E-Commerce

219

Gemäß den Vorschriften der §§ 145 ff. BGB können die für einen Vertrag notwendigen Willenserklärungen mündlich, schriftlich oder durch konkludentes Verhalten abgegeben werden. Im Rahmen des E-Commerce werden Willenserklärungen durch den Käufer zumeist durch Anklicken eines Bestell- oder Bestätigungsbuttons abgegeben.473 Da für das Internet der Austausch von Willenserklärungen unter Abwesenden charakteristisch ist, ist für den Abschluss eines Vertrages der Zeitpunkt, zu dem die Willenserklärung dem Adressaten zugegangen ist, maßgeblich (§ 130 Abs. 1 S. 1 BGB). Vorausgesetzt wird, dass die Willenserklärung auch tatsächlich dem Empfänger und Besteller zugegangen ist. Wird die Annahme des Käuferangebots elektronisch versendet, ist rechtlich entscheidend, wann diese auf dem Server des Access Providers des Empfängers angekommen ist.474 Der Zugang der Erklärung ist ferner nur wirksam, sofern der Absender nach normaler Lebenserfahrung damit rechnen kann, dass der Empfänger diese auch zur Kenntnis nehmen wird.475 Angesichts der genannten Voraussetzungen für die Wirksamkeit von Willenserklärungen im Rahmen von elektronischen Geschäftsabschlüssen stellt sich die Frage, von welchem Recht der Nutzer des Angebots Gebrauch machen kann, sofern der notwendige Rechtserklärungswille nicht vorliegt. Als Beispiel sei hier die Bestellung von Waren zu nennen, die der Kunde nicht selbst oder aus Versehen bestellt hat. Dazu stellte der Bundesgerichtshof in seinem Urteil vom 4.3. 2004476 fest, dass Willenserklärungen auch dann wirksam sind, wenn es dem Erklärenden an Erklärungsbewusstsein fehlt. So sind gemäß der Rechtsprechung eingegangene Erklärungen vorrangig nach dem Empfängerhorizont auszulegen. Für den Empfänger sei zum Zeitpunkt der Zustellung nicht erkennbar, ob der Sender mit Er473 Vgl. BGH, Urteil vom 7. November 2001 – VIII ZR 13/01: zum Vertragsschluss bei Internetauktionen „ricardo.de“, BGHZ 149, 129 (133 ff.); siehe auch NJW 2002, 363. Unter konkludentem Handeln wird allgemein ein Verhalten verstanden, welches für den außenstehenden Beobachter einen bestimmten Erklärungswert darstellt. Vgl. dazu auch A. Wien, Internetrecht, S. 77; so auch H. Schulte-Nölke, in: H. Dörner u. a., BGB, § 312e Abs. 1, Rdn. 2. 474 Der Anscheinsbeweis für den Zugang der Bestätigung kann auf Grundlage des erfolgreichen Übertragungsprotokolls einer versendeten E-Mail abgeleitet werden: H. Dörner, in: ders. u. a., BGB, § 130 Abs. 1, Rdn. 2, 4; vgl. dazu auch P. Mankowski, Zum Nachweis des Zugangs bei elektronischen Erklärungen, NJW 2004, 1901; M. Köhler/ H.-W. Arndt, Recht des Internet, S. 68; A. Wien, Internetrecht, S. 78; so auch M. Wietzorek, Der Beweis des Zugangs von Anhängen in E-Mails, MMR 2007, S. 156. 475 Vgl. V. Haug, Grundwissen Internetrecht, Rdn. 525; zum Zugang elektronischer Post und dessen Abruf und Kenntnisnahme durch den Empfänger analog der Anerkennung des Posteinwurfs des Briefträgers und Leerung des Postkastens durch den Adressaten vgl. H. Dörner, in: ders. u. a., BGB, § 130 Abs. 1, Rdn. 4; B. Bachmann, Internet und IPR, S. 173. 476 Urteil des BGH vom 4.3.2004 III ZR 225/03: Verkehrssicherungspflicht für Straßenbäume = NJW 2004, 1590 ff.

220

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

klärungsbewusstsein gehandelt hat oder nicht.477 Allerdings kann dem Einzelnen durch eine unter seinem Namen irrtümlich abgegebene Willenserklärung über das WWW sowohl ein materieller als auch ein immaterieller Schaden entstehen. Als Beispiel kann hier die Bestellung von Waren oder Dienstleistungen,478 oder die Registrierung zur Nutzung von Angeboten eines Providers über Internetplattformen genannt werden. Erfolgt die Abgabe der Willenserklärung jedoch unter dem Namen des Nutzers, so steht dieser zunächst in der Verpflichtung der rechtsverbindlichen Handlung. Der Betroffene kann diese Willenserklärung gemäß § 119 BGB aufgrund Irrtums oder gemäß § 120 BGB aufgrund falscher Übermittlung anfechten.479 Die Beweislast liegt jedoch beim Betroffenen selbst. Verbunden mit der Umsetzung der Art. 10 und 11 der E-Commerce-Richtlinie480 wurde mit der Vorschrift des § 312e BGB eine wesentliche Ergänzung zu den bestehenden Regelungen zum Vertragsschluss im Internet erlassen. Die Norm stellt speziell auf die Nutzung von Telemedien in Verbindung mit dem elektronischen Geschäftsverkehr ab. Ferner wird auch die räumliche Abwesenheit beider Parteien berücksichtigt.481 Nach § 312e Abs. 1 Nr. 1 bis 4 BGB ist der Provider dazu verpflichtet, dem Nutzer des Angebots auf seiner Webseite bereits vor Vertragsschluss die technischen Mittel zur Verfügung zu stellen, damit dieser die Richtigkeit seiner Angaben überprüfen und korrigieren kann. Darüber hinaus ist dieser ebenso vorab umfassend über seine Handlungen im Zusammenhang mit dem Vertragsschluss über das WWW zu informieren. Der Schutz des Käufers wird hier jedoch insofern eingeschränkt, als es auf die Wirksamkeit des Rechtsgeschäfts keine Auswirkung hat, wenn der Anbieter diesen Pflichten nicht nachkommt.482 477 Vgl. dazu D. W. Dorn/C. Krämer, E-Commerce. Produkte und Dienstleistungen im Internet – die rechtlichen Grundlagen, 2003, Rdn. 643. 478 Zur Eindeutigkeit von Willenserklärungen im Rahmen des Vertragsschlusses bei Internetauktionen vgl. auch BGHZ 138, 339 (342); Urteil des BGH vom 28. Juli 2005 – III ZR 3/05 = MMR 2005, 37 f.; allgemein M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 105. 479 A. Wien, Internetrecht, S. 88. 480 Richtlinie (EG) Nr. 31/2000 des Europäischen Parlaments und des Rates vom 8.6.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs im Binnenmarkt (Richtlinie über den elektronischen Geschäftsverkehr), ABl. EG L 178 vom 17.7.2000, S. 1 ff. 481 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 93; so auch explizit H. Dörner, in: ders. u. a., BGB, § 312e Rdn. 1. 482 M. Hassemer, Elektronischer Geschäftsverkehr im Regierungsentwurf zum Schuldrechtsmodernisierungsgesetz, MMR 2001, 635 f.; in diesem Zusammenhang vgl. auch H.-W. Micklitz, Fernabsatz und E-Commerce im Schuldrechtsmodernisierungsgesetz EuZW 2001, 133; M. Lehmann, Electronic Commerce und Verbraucherrechtsschutz in Europa, EuZW 2000, 517; H. Dörner, in: ders. u. a., BGB, § 312e Abs. 1, Rdn. 7.

B. E-Commerce

221

Insgesamt verbleibt also die Beweislast und das Risiko einer versehentlich oder unwissentlich vorgenommenen, rechtsverbindlichen Handlung im WWW immer noch größtenteils beim betroffenen privaten Nutzer. Auch aus der neueren Rechtsprechung oder der von der Gesetzgebung erlassenen Ergänzung zu den bestehenden rechtlichen Regelungen ergibt sich für den Abschluss von Rechtsgeschäften über das WWW keine erhöhte Rechtssicherheit für den Bürger. Mithin sind die Gesetzgebung und Rechtsprechung an dieser Stelle von einem effektiven Schutz seiner Privatsphäre, welche aus der Gefährdung seines Grundrechts auf informationelle Selbstbestimmung resultiert, noch weit entfernt. 2. Elektronische Signatur Wie bereits im Zusammenhang mit dem Vertragsschluss im WWW angeführt, spielt die Anonymität des Vertragspartners im elektronischen Handel eine wesentliche Rolle. Somit ist der Anbieter nur aufgrund der Identifikation des Käufers über die IP-Adresse in der Lage, dessen Willenserklärung eindeutig zuzuordnen.483 Dies kann nur durch eine elektronische Unterschrift analog zur sonst üblichen handschriftlichen Signierung des Bestellscheins oder Vertrags sichergestellt werden.484 Bezogen auf den Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung spielt daher für den Vertragsschluss über das WWW der Einsatz der elektronischen Signatur eine wesentliche Rolle. Nur so kann gewährleistet werden, dass eine vorliegende Willenserklärung tatsächlich mit den vom Urheber versendeten Daten übereinstimmt.485 Dies ist für den Verkäufer nicht nur zur Erfüllung der anknüpfenden vertraglichen Pflichten wichtig. Vielmehr ist von diesem zweifelsfrei zu klären, ob es sich beim Absender nicht um einen unbefugten Dritten handelt, der unter fremdem Namen handelt und die Identität des Betroffenen missbraucht. In diesem Falle wäre es vom Provider gemäß den datenschutzrechtlichen Vorschriften unzulässig, die übermittelten personenbezogenen Daten zu erheben, zu speichern oder weiter zu verarbeiten. Die elektronische Signatur wurde ursprünglich als Ersatz für die eigenhändige Unterschrift entwickelt, um E-Mails ihrem Adressaten eindeutig zuordnen zu können. Mit Erlass und Inkrafttreten des Signaturgesetzes (SigG)486 sowie der in 483 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 70; B. Weiser, Verbraucherschutz im Electronic Commerce, S. 346. 484 A. Wien, Internetrecht, S. 76 f.; T. Schweppe, Die digitale Signatur – Verfahren und systematische Einordnung, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, 1999, S. 120. 485 B. Steckler, Grundzüge des IT-Rechts, S. 292; A. Wien, Internetrecht, S. 86; M. Köhler/H.-W. Arndt, Recht des Internet, S. 70; weiterführend auch K.-J. Melullis, Zum Regelungsbedarf bei der elektronischen Willenserklärung, MDR 1994, 109 ff. 486 Gesetz über die Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001 (BGBl. I, S. 876), zuletzt geändert durch Gesetz vom 26. Februar 2007 (BGBl. I,

222

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Verbindung mit diesem Gesetz erlassenen Signaturverordnung (SigV)487 wurden die rechtlichen Rahmenbedingungen über die E-Mail Kommunikation hinaus den Anforderungen der modernen Informations- und Kommunikationsmedien angepasst.488 In diesem Rahmen wurde auch der bereits bestehende § 126 BGB durch § 126a BGB ergänzt. Die digitale Signatur fand insbesondere für die Abwicklung elektronischer Geschäftsabschlüsse im WWW rasch Eingang.489 Mit der Ergänzung des § 126 BGB durch § 126a BGB wurde die Diskussion, ob die digitale Signatur im Rahmen rechtsgeschäftlich relevanter Erklärungen unter den Begriff der Schriftform subsumiert werden kann, einer Lösung zugeführt.490 Folgende Voraussetzungen sind in diesem Zusammenhang bindend: § 126a BGB – Elektronische Form (1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz versehen. (2) Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren.

Somit ist gemäß § 126a Abs. 2 BGB insbesondere für die Form des elektronischen Abschlusses von Rechtsgeschäften im WWW entscheidend.491 Werden also im Rahmen des E-Commerce bei Abschluss eines Vertrages rechtlich relevante Dokumente wie beispielsweise Angebote, Bestellungen oder Rechnungen zwischen Kunden und dem Anbieter auf elektronischem Wege ausgetauscht, ist das Rechtsgeschäft nur gültig, sofern die Authentizität der übermittelten Daten des Kunden sichergestellt ist. Der Empfänger muss den Adressaten zweifelsfrei idenS. 179) und näher ausgestaltet durch die Verordnung zur elektronischen Signatur (Signaturverordnung – SigV) vom 16. November 2001 (BGBl. I 2001, S. 3074), zuletzt geändert durch Gesetz vom 4. Januar 2005; weiterführend auch M. Bergfelder, Was ändert das 1. Signaturgesetz?, CR 2005, 148 ff.; vgl. dazu auch T. Schweppe, Die digitale Signatur, S.120. 487 Verordnung zur elektronischen Signatur vom 16. November 2001, BGBl. I, S. 3074, geändert durch Art. 2 „Erstes SignaturG-Änderungsgesetz vom 04.01.2005, BGBl. I, S. 2. 488 Zum Erlass des § 126a BGB vgl. das im August 2001 in Kraft getretene Gesetz zur Anpassung der Formvorschriften des Privatrechts an den modernen Geschäftsverkehr: Gesetz zur Anpassung der Formvorschriften im Privatrecht vom 13.7. 2001, BGBl. I 2001, Nr. 35, S. 1542; J. Rieß, Globalisierung und Selbstregulierung, S. 336. 489 A. Wien, Internetrecht, S. 86; ausführlicher A. Roßnagel, Recht der digitalen Signaturen, S. 513 ff. 490 Zur Nichterfüllung der Erfordernis der Schriftform des § 126 BGB durch digital signierte Dokumente vgl. BGHZ 121, 224 (228 ff.). 491 H. Dörner, in: ders. u. a., BGB, § 126a Abs. 1, Rdn. 1; B. Bachmann, Internet und IPR, S. 175.

B. E-Commerce

223

tifizieren können, auch wenn kein Abgleich mit bereits vorhandenen Bestandsdaten durchgeführt werden kann. Überdies muss die Integrität der Daten gewährleistet sein, damit ausgeschlossen werden kann, dass die Daten durch die Beteiligten selbst oder unbefugte Dritte manipuliert oder auf andere Weise verfälscht wurden.492 Die elektronische Signatur kann jedoch nicht als vollständiger elektronischer Ersatz der Unterschrift dienen. Sie stellt einen technischen Standard auf Basis der modernen Kryptographie dar, mittels dessen authentisch Daten auf digitalem Wege über offene Netze ausgetauscht werden können.493 Alle Teilnehmer verfügen über persönliche Verschlüsselungsparameter, sogenannte Schlüssel, mit Hilfe derer sie digitale Texte individuell und unnachahmlich verschlüsseln können. Für Dokumente, die signiert werden sollen, wird über eine spezielle Software ein Wert generiert, der dessen Unterschrift eindeutig nachweisbar macht (Hash-Code).494 Die elektronische Signatur ist ein Kryptogramm und wird mit dem Klartext, den zu übermittelnden Daten in Programmiersprache, gemeinsam weitergegeben. Eine Signatur wird verifiziert, indem sie „entschlüsselt“ und mit dem Klartext verglichen wird. Auf diese Weise wird festgestellt, dass nur der Inhaber des zugehörigen Schlüssels das übermittelte Dokument Text signiert hat.495 Der Gesetzgeber hat im Signaturgesetz das Signaturverfahren in drei Sicherheitsstufen eingeteilt. Im Einzelnen wird zwischen der einfachen (§ 1 Nr. 1 SigG), der fortgeschrittenen (§ 1 Nr. 2 SigG) sowie der qualifizierten elektronischen Signatur (§ 1 Nr. 3 SigG) differenziert.496 Unterschiede ergeben sich, je 492 B. Steckler, Grundzüge des IT-Rechts, S. 292; A. Wien, Internetrecht, S. 86; V. Haug, Grundwissen Internetrecht, S. 240; T. Strömer, Online-Recht, 3. Aufl., S. 121 f.; weiterführend auch P. Fringuelli/M. Wallhäuser, Formerfordernisse beim Vertragsschluss im Internet, CR 1999, 93; T. Schweppe, Die digitale Signatur, S.121. 493 A. Wien, Internetrecht, S. 87; A. Roßnagel, Recht der digitalen Signaturen, S. 513 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 91 ff. 494 V. Haug, Grundwissen Internetrecht, S. 240; A. Wien, Internetrecht, S. 87; T. Schweppe, Die digitale Signatur, S. 122; M. Herfert, Langzeitarchivierung elektronisch signierter Dokumente, S. 164 f.; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 91 ff. 495 Zur Technik der elektronischen Signatur auch weiterführend T. Kunz/A. Schmid/ U. Viebeg, Konzepte für rechtssichere Transformation signierter Dokumente, DuD 2005, 279 ff.; O. Gellert, Elektronischer Brückenschlag – Verbindungen schaffen zwischen Public Key Infrastrukturen, DuD 2005, 579; sowie F.-L. Bauer, Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie, 1995, S. 36 ff.; R. Gerling, Verschlüsselungsverfahren, DuD 1997, 197 ff. 496 Zur Mehrstufigkeit elektronischer Signaturen in Verbindung mit Verfahren im öffentlichen Bereich vgl. A. Roßnagel, Das elektronische Verwaltungsverfahren – Das Dritte Verwaltungsverfahrensänderungsgesetz, NJW 2003, 469 f.; T. Strömer, OnlineRecht, 3. Aufl., S. 128; eine gute Übersicht gibt auch V. Haug, Grundwissen Internetrecht, S. 242; A. Roßnagel, Die fortgeschrittene elektronische Signatur, MMR 2003, S. 164; ders., Recht der digitalen Signaturen, S. 515.

224

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

nach dem inwieweit der technische Sicherheitsstandard an die in § 126 BGB materialisierte, erforderliche Schriftform von Erklärungen mit Rechtsbindungswillen anknüpft.497 Gemäß § 126a BGB erfüllt lediglich die qualifizierte elektronische Signatur gemäß § 1 Nr. 3 SigG diese Anforderungen.498 Mit der Vorgabe zum Einsatz einer elektronischen Signatur hat der Gesetzgeber nicht nur dafür gesorgt, dass die Identität des Urhebers einer vertraglichen Willenserklärung zweifelsfrei festgestellt werden kann. Überdies sollte damit auch den zahlreichen Möglichkeiten des Missbrauchs personenbezogener Daten, speziell im Bereich des E-Commerce im WWW, ausreichend Rechnung getragen werden. Allerdings hängt die Rechtsverbindlichkeit sowie der Beweiswert der digital gesicherten Form der Erklärung maßgeblich vom Einsatz der technischen Mittel ab, die der Provider dem Nutzer tatsächlich über die Zertifizierungsstelle zur Verfügung stellt.499 Nur die höchste Stufe, die qualifizierte elektronische Signatur, entspricht der Form nach den Anforderungen des § 126a BGB. Bei niedrigeren ZertifizierungsStufen besteht für den privaten Nutzer weiter das Risiko, dass unbefugte Dritte Erklärungen oder Dokumente in seinem Namen erzeugen und damit rechtswidrig seine personenbezogenen Daten verwenden.500 Der Gesetzgeber hat damit zwar den unmittelbar notwendigen Anforderungen nach dem Erlass einer geeigneten rechtlichen Grundlage entsprochen, um für den Betroffenen Sicherheit vor dem Missbrauch seiner Identität zu gewährleisten. Insgesamt ist der Nutzer jedoch wesentlich von den technischen Voraussetzungen, dem verfügbaren Signaturstandard des Diensteanbieters abhängig. Daher kann von einer erhöhten Rechtssicherheit für den Betroffenen zum Schutz vor Eingriffen in seine Privatsphäre und damit auch in sein Grundrecht auf informationelle Selbstbestimmung nicht gesprochen werden. IV. Zur Rechtmäßigkeit von Einwilligungserklärungen im Wege der Datenverarbeitung im E-Commerce Wie vorangegangen erläutert, werden im WWW im Zusammenhang mit dem Abschluss und der Erfüllung vertraglicher Verpflichtungen umfangreich Daten vom Nutzer erhoben, gespeichert und verarbeitet. Im Rahmen elektronischer Ge497 R. Erd, Online-Recht kompakt: Von der Domain zum Download, 3. Aufl. 2005, S. 81 f.; A. Wien, Internetrecht, S. 87; zur fortgeschrittenen elektronischen Signatur ausführlich V. Haug, Grundwissen Internetrecht, S. 240. 498 H. Dörner, in: ders. u. a., BGB, § 126a Abs. 1, Rdn. 3. 499 T. Schweppe, Die digitale Signatur, S. 126 f.; kritisch zu den Anforderungen der Signaturstandards auch U. Schliesky, Schleswig-Holstein: E-Government durch Recht, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 54. 500 Ders., S. 127; weiterführend auch I. Geis, Die digitale Signatur, NJW 1997, 3000 ff.

B. E-Commerce

225

schäftsabschlüsse über das WWW ist die Willenserklärung gemäß den Vorschriften des Bürgerlichen Gesetzbuches eng mit der Einwilligung in die Verarbeitung personenbezogener Daten auf Grundlage des Bundesdatenschutzgesetzes verbunden. An dieser Stelle soll daher geprüft werden, ob das datenschutzrechtlich materialisierte Recht auf Einwilligung für den Betroffenen im Rahmen der Nutzung des WWW tatsächlich handhabbar und damit rechtmäßig im Sinne des Gesetzes ist. Jegliche Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist gemäß § 4 BDSG ohne Mitwirkung des Betroffenen zulässig, soweit eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt. Ferner muss die Aufgabe der Daten verarbeitenden Stelle dies erforderlich machen oder die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern.501 Liegt kein gesetzlicher Erlaubnistatbestand vor oder erfolgt die geschäftsmäßige Verwendung personenbezogener Daten im E-Commerce, wie in den Vorschriften der §§ 28–31 BDSG materialisiert, nicht zu dem vorab festgelegten Zweck, so ist eine Einwilligung des Betroffenen einzuholen. Um einen ausreichenden Schutz des Rechts auf informationelle Selbstbestimmung für den Nutzer zu gewährleisten, ist die Anwendbarkeit dieser Vorschrift jedoch zweifelhaft.502 Die Möglichkeit der ortsunabhängigen und weitgehend anonymen Nutzung des WWW, sowie bestehender technischer Sicherheitslücken, bedingt, dass nicht zweifelsfrei sicher gestellt werden kann, ob der Betroffene tatsächlich selbst seine Einwilligung erteilt hat. Selbst wenn diese Voraussetzung erfüllt ist, kann nicht von einer hinreichenden Überschaubarkeit der Verwendung seiner personenbezogenen Daten gesprochen werden.503 In den meisten Fällen ist es ihm technisch nicht möglich die erfolgte Verwendung seiner persönlichen Daten vollständig nachzuverfolgen und mit den erteilten Einwilligungen abzugleichen.504 Daraus resultiert, dass für die Anwendbarkeit und Rechtmäßigkeit der gesetzlichen Vorgabe zu Einwilligungserklärungen geklärt werden muss, ob die vorgenannten Zwecke dadurch sichergestellt werden können. 1. Anwendbarkeit der Einwilligungsvorschrift nach § 4 BDSG Die Anwendbarkeit der Einwilligungsvorschrift nach dem Bundesdatenschutzgesetz resultiert nicht nur aus der physischen Möglichkeit des Betroffenen, diese 501 P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 22 ff.; B. Sokol, in: S. Simitis, BDSG, § 4, Rdn. 26 ff. 502 C. Starck, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 178. 503 Im Sinne der Feststellung des Bundesverfassungsgerichts zum Volkszählungsurteil, BVerfGE 65, 1 (43). 504 Vgl. dazu J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 621, 623.

226

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

tatsächlich abzugeben. Insbesondere steht deren Rechtmäßigkeit als gesetzliche Grundlage zur Verwirklichung des Rechts im Vordergrund. Der Schutz des Rechts auf informationelle Selbstbestimmung ist unmittelbar mit der Gewährleistung der zentralen Grundrechte aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG, der Menschenwürde505 und der Freiheit zur Entfaltung der Persönlichkeit verbunden. Diese Freiheit, welche durch das Grundgesetz als Grundrecht der politischen Freiheit und der Autonomie des Willens, geschützt ist, wird in der allgemeinen und rechtmäßigen Gesetzlichkeit als Rechtlichkeit des gemeinsamen Lebens verwirklicht.506 Da die Autonomie des Willens im Sinne der Freiheit formal ist,507 bedarf es der Materialität des Rechts, um die Freiheit des Einzelnen als elementares Gut für das gemeinschaftliche Zusammenleben der Bürger nach den Grundsätzen einer freiheitlich demokratischen Grundordnung zu gewährleisten. Mit der Materialisierung der Rechtlichkeit durch die Gesetze erfüllt der Gesetzgeber seine Pflicht, die verbindlichen Erkenntnisse des Richtigen für das gute Leben aller in allgemeiner Freiheit festzulegen.508 Die allgemeine Gesetzlichkeit als Rechtlichkeit des gemeinsamen Lebens ist dann gegeben, wenn die Gesetze auf der Grundlage von Wahrheit und Sittlichkeit das Recht verwirklichen.509

505 Zur Achtung und Unantastbarkeit der Menschenwürde gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 506 K. A. Schachtschneider, Freiheit in der Republik, S. 70 f., 423; zur freien Entfaltung der Persönlichkeit auf der Grundlage des Vernunftwesens, der Menschheit des Menschen vgl. auch ders., S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 507 K. A. Schachtschneider, Res publica res populi, S. 346 ff., 574 ff., 778 ff., 990 ff.; ders., Staatsunternehmen und Privatrecht. Kritik der Fiskustheorie, exemplifiziert an § 1 UWG, 1986, S. 236 ff., 242 ff., 247 ff.; ders., Der Anspruch auf materiale Privatisierung. Exemplifiziert am Beispiel des staatlichen und kommunalen Vermessungswesens in Bayern, 2005, S. 35 ff. 508 K. A. Schachtschneider, Res publica res populi, S. 567 ff., 573 ff.; ders., Freiheit in der Republik, S. 308; K. Jaspers, Vom Ursprung und Ziel der Geschichte, S. 197 ff.; so auch J.-J. Rousseau, Vom Gesellschaftsvertrag, II, 7, 1986, S. 43 ff.; J. Habermas, Erläuterungen zur Diskursethik, S. 119 ff., 142 ff. 509 K. A. Schachtschneider, Freiheit in der Republik, S. 423 mit Hinweis zum Ansatz des Bundesverfassungsgerichts zum Gesetzlichkeitsprinzip auf der Grundlage des Art. 2 Abs. 1 GG, vgl. BVerfGE 6, 32 (40 f.); 9, 83 (88); 17, 306 (313 f.); 19, 206 (215); zu der auf dieser Grundlage festgestellten Verfassungsbeschwerdefähigkeit wurden jedoch mit dem Euro-Beschluss (BVErfGE 97, 350 (377) vom Bundesverfassungsgericht Zweifel eingeräumt, vgl. auch weiter dazu das Rechtschreiburteil (BVerfGE, 98, 218 (251 ff., 261 ff.).

B. E-Commerce

227

Mithin ist die Rechtmäßigkeit einer gesetzlichen Grundlage nur gegeben, sofern diese den Schutz der Grundrechte des Einzelnen verwirklicht und damit die der Freiheit für die Allgemeinheit im Rechtsstaat gewährleistet.510 Für die gültige Vorschrift zur Einwilligungserklärung im WWW ist zum Schutz des Betroffenen die Existenz einer ausreichenden verfassungsrechtlichen Grundlage erforderlich, auf deren Basis die Datenverarbeitung der verantwortlichen Stelle beschränkt werden kann. Anschließend ist zu prüfen, ob die Einwilligungserklärung geeignet sowie erforderlich ist, den Schutz der informationellen Selbstbestimmung als Garantie der politischen Freiheit gemäß Art. 2 Abs. 1 GG für den Nutzer zu gewährleisten. 2. Geeignetheit und Erforderlichkeit von Einwilligungserklärungen zum Schutz des Rechts auf informationelle Selbstbestimmung Grundlage der gesetzlichen Bestimmung des § 4 BDSG ist der Schutz des Rechts auf informationelle Selbstbestimmung, welcher durch das Bundesverfassungsgericht als Ausfluss aus dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG abgeleitet wurde. Um dieses Recht zu wahren, ist es gemäß der höchstrichterlichen Rechtsprechung notwendig, dass der von der Datenverarbeitung Betroffene nicht nur einzelne Phasen, sondern den gesamten Verarbeitungsprozess von der Erhebung bis zur weiteren Verwendung seiner persönlichen Daten hinreichend überschauen kann. Ein Eingriff in dieses Recht erfordert eine spezielle Rechtfertigung.511 Der Betroffene muss also in jeder Phase über die Verwendung seiner personenbezogenen Daten ausreichend informiert sein. Zum einen um selbständig darüber bestimmen zu können und zum anderen um sein Grundrecht auf informationelle Selbstbestimmung512 wahrnehmen zu können: „Das allgemeine Persönlichkeitsrecht umfasst die Befugnis des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen.“ 513

510 Zur Gewährleistung der Grundrechte im Sinne der Rechtsstaatlichkeit vgl. T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 94; zur Allgemeinheit der Freiheit K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff.; zum Freiheitsverständnis ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff. 511 P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 5; ders., § 4a, Rdn. 1; mit Verweis auf das Volkszählungsurteil des Bundesverfassungsgerichts B. Sokol, in: S. Simitis, BDSG, § 4, Rdn. 3; so auch U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 512 Ders., Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, Rdn. 88, 121 ff. 513 BVerfGE 65, 1, (43).

228

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Es stellt sich mithin die Frage, ob die Einwilligungserklärung geeignet sowie erforderlich ist, um dem einzelnen Nutzer unter den Bedingungen der modernen Datenverarbeitung zu ermöglichen, sein Recht auf informationelle Selbstbestimmung tatsächlich in Anspruch nehmen zu können. Gemäß der Rechtsprechung des Bundesverfassungsgerichts müsste für den betroffenen Bürger eine ausreichende Überschaubarkeit der Datenverarbeitung gegeben sein. Im Zusammenhang mit der erforderlichen Zustimmung stellt sich die Frage, in welcher Form diese bei der Nutzung des WWW im Rahmen des E-Commerce erteilt werden muss. Nach dem Wortlaut des § 4a Abs. 1 S. 3 BDSG bedarf die Einwilligung grundsätzlich der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Für den elektronischen Geschäftsabschluss ist die Anforderung einer schriftlichen Einwilligungserklärung des Kunden von Seiten des Anbieters durchaus möglich. Hierdurch ginge jedoch durch den erforderlichen Briefwechsel der Vorteil der schnellen Verfügbarkeit von Angeboten und der zeitunabhängigen Bestellung oder Antragstellung über das WWW verloren. Aus diesem Grund wird von der gesetzlichen Vorschrift des § 126 a BGB auch die elektronische Form der Einwilligungserklärung als zulässig erfasst.514 Gemäß § 94 TKG für Telekommunikationsangebote und § 13 Abs. 2 TMG für Telemedienangebote ist die elektronische Einwilligungserklärung nur unter bestimmten Voraussetzungen zulässig. So muss sichergestellt werden, dass die Abgabe der Willenserklärung gegenüber dem Anbieter eindeutig erfolgt, um damit eine unbeabsichtigte oder zufällige Einwilligung zu verhindern.515 Zudem ist zu gewährleisten, dass dem Betroffenen die Folgen der Zustimmung bewusst sind und die elektronische Form der Einwilligung damit ein der schriftlichen Form vergleichbares Maß an Rechtssicherheit erfüllt.516 In der Praxis wird die elektronische Einwilligungserklärung meist durch das Anklicken eines gesondert angeordneten Buttons auf der Website angeboten. Darunter ist oftmals ein Link zu den Allgemeinen Geschäftsbedingungen angeordnet, der mit einem entsprechen514 P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 13; S. Simitis, in: ders., BDSG, § 4a, Rdn. 12, 35 f., 38 f.; H. Dörner, in: ders. u. a., BGB, § 126a Abs. 1, Rdn. 1 ff. 515 Das TMG und TKG verwendet in der Formulierung der Voraussetzungen zur Abgabe der Einwilligung des Betroffenen auf elektronischem Wege die Begriffe „bewusst“ und „eindeutig“. Vgl. § 94 Nr. 1 TKG, § 13 Abs. 2 Nr.1 TMG; BT-Drs. 15/2316, S. 88; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 303; T. Königshofen/C.-D. Ulmer, § 94, in: ders. (Hrsg.), Datenschutz-Handbuch Telekommunikation, 2006, Rdn. 4; J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 94 TKG, Rdn. 7 ff.; G. Spindler/ J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 6, welche der Begriff der freiwilligen anstelle der von Rechts wegen richtigen Formulierung der freien Einwilligung verwenden. 516 T. Königshofen/C.-D. Ulmer, § 94, in: ders., Datenschutz-Handbuch Telekommunikation, Rdn. 4.

B. E-Commerce

229

den Hinweis verbunden ist, dass der Kunde mit seiner Bestätigung auch versichert diese zur Kenntnis genommen zu haben.517 3. Die freie Entscheidung und informierte Einwilligung als Voraussetzung für eine wirksame Einwilligungserklärung Die Voraussetzung der Wirksamkeit von Einwilligungserklärungen wird in § 4a BDSG konkretisiert. Gemäß dem Wortlaut des § 4a Abs. 1 S. 1 BDSG ist eine Einwilligung nur auf der Grundlage der freien Entscheidung des Betroffenen wirksam.518 In der Kommentierung zum Bundesdatenschutzgesetz wird jedoch synonym auch die „Freiwilligkeit der Einwilligung“ oder die „freiwillige Abgabe der Erklärung“ angeführt.519 Zentrale Voraussetzung ist stets, dass die Zustimmung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten eine von den vorrangigen Interessen des Vertragspartners, also dem Anbieter im WWW, unabhängigen Entscheidung gegeben sein muss. Die Verwendung der Begrifflichkeiten der Freiwilligkeit oder einer freiwilligen Zustimmung rekurriert direkt auf die Termini der Freiheit und des Willens. Der Begriff der Freiheit wiederum, welcher untrennbar mit der Würde des Menschen verbunden ist,520 bezieht sich direkt darauf, dass betroffene Nutzer auch im Rahmen der Nutzung moderner Medien ein Recht auf den Schutz seiner Grundrechte, speziell des Grundrechts auf informationelle Selbstbestimmung, hat. Da der freie Wille nach den rechtsstaatlichen Grundsätzen nicht unmittelbar mit der Befreiung des Einzelnen von jeglichem Zwang verbunden ist, ist die Verwendung des Begriffs der Freiwilligkeit im Zusammenhang mit der Gesetzesauslegung fragwürdig.521 Vielmehr resultiert aus der Freiheit des Bürgers zum einen

517

M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 303. B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 239. Entsprechend auch Art. 2 lit. H der EU Datenschutzrichtlinie, welche die Einwilligung des Betroffenen als eine Willensbekundung ohne „Zwang“ definiert; so auch S. Simitis, in: ders., BDSG, § 4a, Rdn. 64 ff. 519 P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. S. 175; anders S. Simitis, in: ders., BDSG, § 4a, Rdn. 64. 520 So im Sinne des BVerfGE 5, 85 (204 f.); 65, 1 (41); vgl. dazu auch K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 28; ders., Staatsunternehmen und Privatrecht, S. 99 ff., 138 ff.; ders., Res publica res populi, S. 4 ff.; ders., Freiheit in der Republik, S. 28, 83 ff., insbesondere 405 ff.; P. Häberle, Die Menschenwürde als Grundlage der staatlichen Gemeinschaft, HStR, § 20, Rdn. 46 ff., 60 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 472 ff., 477 ff. 521 Das Recht spiegelt die Freiheit aller wider und ist um der Freiheit willen mit der Befugnis zu zwingen verbunden. Vgl. I. Kant, Metaphysik der Sitten, S. 338, 340 f.; K. A. Schachtschneider, Res publica res populi, S. 545 ff., 553 ff.; ders., Prinzipien des Rechtsstaates, S. 55 f.; ders., Die existentielle Staatlichkeit der Völker Europas, S. 81. 518

230

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

„die Unabhängigkeit von eines anderen nötigender Willkür“, aber auch die freie Willkür, welche den anderen in seiner Würde, in seiner Persönlichkeit achtet.522 Die Freiheit des Willens basiert auf der Autonomie des Einzelnen und damit auf der Grundlage der Sittlichkeit. Sie ist niemals Selbstzweck, sondern der Wille des Einzelnen ist zugleich der allgemeine Wille, welcher durch die allgemeinen Gesetze auf der Grundlage der Freiheit aller verwirklicht wird.523 Nur anhand dieser Maximen kann sichergestellt werden, dass durch das Handeln zwischen den Bürgern im Rechtsstaat niemand verletzt wird. Voraussetzung ist, dass diesem die Freiheit aller sowie die Achtung der Rechte der Bürger zugrunde liegen.524 Der Begriff der Freiwilligkeit erweist sich insofern als ungeeignet, als er primär auf die Unabhängigkeit eines einzelnen Rechtssubjektes abstellt. Der Einzelne, der Bürger, kann im rechtsstaatlichen Sinne als Teil der Republik jedoch aus seiner inneren Freiheit, aus seiner Sittlichkeit heraus nicht isoliert betrachtet werden, denn: „[. . .] Diese Freiheit versteht das Grundgesetz nicht als diejenige eines isolierten und selbstherrlichen, sondern als die eines gemeinschaftsbezogenen und gemeinschaftsgebundenen Individuums.“ 525 Hingegen entspricht der Begriff der „freien“ Entscheidung zur Einwilligung, wie er auch im Wortlaut des § 4a BDSG Abs. 1 S. 1 BDSG verankert wurde, dem rechtsstaatlichen Verständnis der Freiheit.526 Der Begriff „frei“ ist im Zusammenhang mit dem Schutz des Grundrechts auf informationelle Selbstbestimmung direkt mit der Eigenschaft des betroffenen Nutzers als Bürger eines freiheitlich demokratischen Gemeinweisens verbunden.527 Für die bürgerliche Frei522 Zur äußeren Freiheit vgl. I. Kant, Metaphysik der Sitten, S. 345; zur inneren Freiheit vgl. ders., Grundlegung zur Metaphysik der Sitten, S. 61 und 66 ff.; ders., Kritik der praktischen Vernunft, S. 210; K. A. Schachtschneider, Freiheit in der Republik, S. 343 ff.; ders., Prinzipien des Rechtsstaates, S. 30. 523 K. A. Schachtschneider, Res publica res populi, S. 279 ff., 303 ff., 410 ff., 494 ff., 519 ff.; ders., Freiheit in der Republik, S. 49 ff., 67 ff., 83 ff., 281 ff., 318 ff. auch 405 ff.; ders., Prinzipien des Rechtsstaates, S. 31. 524 Ders.; in diesem Sinne auch BVerfGE 1, 97 (104). 525 BVerfGE 33, 303 (334). Zur Ablehnung des Menschen als Objekt im Staat auch BVerfGE 27, 1 (6); kritisch zur Anwendung der Objektformel M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 33 bezugnehmend auf BVerfGE 9, 89 (95); 27, 1 (6); 28, 386 (391); 45, 187 (228); 50, 166 (175); 87, 209 (228). 526 Vgl. dazu S. Simitis, in: ders. BDSG, § 4a, Rdn. 64 f.; zustimmend zur Verwendung des Begriffs der freien Entscheidung auch M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 303. 527 J.-J. Rousseau, Vom Gesellschaftsvertrag, I, 1, 1986, S. 5; vgl. I. Kant, Metaphysik der Sitten, S. 432 ff.; ders., Über den Gemeinspruch: Das mag in der Theorie richtig sein, taugt aber nicht für die Praxis, 1793, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 9, 1968, S. 150 f.; ders., Zum ewigen Frieden, S. 204 ff.; K. A. Schachtschneider, Res publica res populi, S. 207 ff., 211 ff.; ders., Freiheit in der Republik, S. 44 ff., 274 ff., 440 f.; ders., Prinzipien des Rechtsstaates, S. 28; vgl. BVerfGE 73, 40 (82); 89, 155 (171 f., 182). Zur Sittlichkeit im Rechtsstaat vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 429; ders., Sittlichkeit und Moralität, S. 26 ff.

B. E-Commerce

231

heit als politische Freiheit ist die Autonomie des Willens grundlegend. Sie verwirklicht sich in der Rechtlichkeit und in den allgemeinen Gesetzen.528 Der Mensch ist dann frei, wenn seine Handlungen unter der Maxime der allgemeinen Gesetze erfolgen, welche die Gesetze aller aus Sittlichkeit und Achtung vor der Würde aller Menschen sind.529 Die Gesetze und insbesondere die Grundrechte sichern die Freiheit aller und damit auch die Freiheit des Einzelnen, maßgeblich die äußere Freiheit, als die Unabhängigkeit von eines anderen nötigender Willkür.530 Der Schutz des Grundrechts auf informationelle Selbstbestimmung für alle Bürger im Rechtsstaat welcher auf der Grundlage der Autonomie des Willens sowie der Freiheit und Sittlichkeit basiert, findet somit seine eindeutige Entsprechung im Terminus der freien Entscheidung zur datenschutzrechtlichen Einwilligungserklärung. Darüber hinaus ist diese gemäß § 4a BDSG nur wirksam, sofern die freie Entscheidung des Betroffenen auf der Grundlage eines ausreichenden Wissens über die Folgen und den Umfang seiner Zustimmung erfolgte.531 Der Erklärende muss über die Reichweite der mit seiner Einwilligung verbundenen Datenverarbeitung umfassend informiert werden. Er muss wissen, worin er einwilligt.532 Nur durch eine informierte Einwilligung, kann der Betroffene auf der Basis der Anerkennung und Achtung seiner Grundrechte eine freie Entscheidung treffen und damit sein Recht auf informationelle Selbstbestimmung eigenverantwortlich wahrnehmen und ausüben.533

528 Ders., Prinzipien des Rechtsstaates, S. 29 ff.; ders., Freiheit in der Republik, S. 320. 529 Ders., Prinzipien des Rechtsstaates, S. 29; zur Achtung der Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 1 ff., insbesondere 18 ff., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 530 I. Kant, Metaphysik der Sitten, S. 345. 531 Gemäß Art. 2 Buchst. h der EU-Datenschutzrichtlinie wir die informierte Einwilligung als eine Willensbekundung definiert, welche „in Kenntnis der Sachlage“ erfolgt. P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; S. Simitis, in: ders., BDSG, § 4a, Rdn. 67. 532 Dazu zählt das Wissen darüber, welche Daten wie lange, auf welche Weise und für welchen konkreten Zweck verarbeitet werden und wer die dafür verantwortliche Stelle ist (insbesondere bei der Datenverarbeitung seitens dritter Stellen) sowie die Konsequenzen bei der Nichterteilung der Einwilligung. Vgl. dazu B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 241; A. Roßnagel, Handbuch Datenschutzrecht, Kap. 4.8, Rdn. 45; P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; S. Simitis, in: ders., BDSG, § 4a, Rdn. 67, 71. 533 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 303; dazu auch Der Bundesbeauftragte für den Datenschutz, Datenschutz in der Telekommunikation, 6. Aufl. 2004, S. 22; zur Achtung der Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 1 ff., insbesondere 18 ff., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39; in diesem Sinne auch BVerfGE 1, 97 (104); zum Grundrecht auf informationelle Selbstbestimmung U. Di Fabio, in: Maunz/Dürig, GG, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2

232

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Mit der Voraussetzung der freien und informierten Einwilligung wird nicht nur die Regelung des Art. 2 EU-DatSchRL in nationales Datenschutzrecht umgesetzt, sondern zugleich die vorrangige Stellung des Einzelnen gegenüber der stetig zunehmenden Unüberschaubarkeit an Datenverarbeitungsprozessen berücksichtigt.534 4. Anwendbarkeit der gesetzlichen Vorschriften im Sinne des Nutzers Die Einwilligung kann jedoch nur rechtmäßig im Sinne des zugrundeliegenden Gesetzes sein, wenn der Betroffene über die Folgen seiner Zustimmung nicht nur ausreichend informiert, sondern darüber hinaus auch tatsächlich in der Lage ist, eine freie Willensentscheidung treffen zu können. Dazu muss er sicher sein, kein nachteiligen Auswirkungen auf die Inanspruchnahme von Dienstleistungen, dem Erwerb von Waren oder auf seine Person535 befürchten zu müssen. Will der Einzelne aber vom WWW Gebrauch machen und so am öffentlichen Leben teilhaben, so ist er mitunter gezwungen, diese Einwilligung abzugeben, um bestimmte Angebote im WWW überhaupt nutzen zu können.536 So beispielsweise durch die • Zustimmung zu den Allgemeinen Geschäftsbedingungen des Anbieters von Waren- und Dienstleistungen im Zusammenhang mit der Anforderung eines konkreten Angebots oder der Begründung eines Vertragsverhältnisses. • Zustimmung zur umfassenden Verarbeitung, Verwendung und Weiterleitung personenbezogener Daten an verbundene Unternehmen zum Zwecke der Marktforschung oder der weiteren werblichen Ansprache, um von den angebotenen Diensten kostenlos Gebrauch machen zu können (z. B. Kundenrabattsysteme wie Payback oder Deutschlandcard, sowie kostenlose Email-Accounts bei GMX). Darunter fällt auch die Koppelung537 der Inanspruchnahme von Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs, Grundgesetz Kommentar, Art. 2 Abs. 1 GG, Rdn. 88, 121 ff. 534 BVerfGE 65, 1 (42 f.); so auch B. Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 240; A. Roßnagel, Handbuch Datenschutzrecht, Kap. 5.8, Rdn. 45; J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 27 (2003), 622. 535 Beispielsweise kann die Ablehnung der weiteren Verwendung personenbezogener Daten zur Einholung von Informationen über die Solvenz des Betroffenen bei Auskunfteien wie der SCHUFA oder anderen Scoring-Unternehmen insofern negative Auswirkungen für den einzelnen Nutzer haben, als die Lieferung von Waren mit einem hohen Warenwert nur unter der Bedingung der Vorauskasse erfolgt, oder ein Service-Vertrag mit einem Mobilfunkunternehmen abgelehnt wird; zum Scoring weiterführend auch J. Bizer, in: S. Simitis, BDSG, § 6a, Rdn. 31 ff. 536 Vgl. dazu kritisch P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 6; P. Gola, Die Einwilligung als Legitimation zur Verarbeitung von Arbeitnehmerdaten, RDV 2002, 109; kritisch dazu S. Simitis, in: ders., BDSG, § 4a, Rdn. 18; T. B. Petri, Kommerzielle Datenverarbeitung und Datenschutz im Internet, S. 73.

B. E-Commerce

233

Angeboten im WWW an die Einwilligung zur Datenverarbeitung, die nicht mit dem ursprünglichen Angebot zusammenhängt. Daraus resultiert die Frage, ob die Vorschrift des § 4a BDSG zur Einwilligung als Tatbestand der Zulässigkeit rechtmäßig im Sinne dieses Gesetzes sowie dem zugrundeliegenden Grundrecht auf informationelle Selbstbestimmung des Betroffenen ist. Denn die Vorschriften der §§ 4 und 4a BDSG binden zwar die Daten verarbeitenden Stellen per Gesetz daran, eine Einwilligungserklärung unter der Maßgabe des Transparenzgebots für die Datenverarbeitung vom Betroffenen einzuholen. In der Praxis muss der betroffene Nutzer des WWW jedoch meist erhebliche Einschränkungen seines Rechts hinnehmen, weil seine Einwilligung in den meisten Fällen Voraussetzung für den Zugang zur Nutzung bestimmter Angebote ist. Somit erlangt der Betroffene auf dieser Grundlage meist keine umfassende Kenntnis, Kontrolle oder konkrete Hinweise, um effektive Handlungen zum Schutz seines Rechts auf informationelle Selbstbestimmung einleiten zu können, wie beispielsweise durch Widerspruch oder Anzeige einer zweckfremden Verwendung. Die Verarbeitung seiner Daten konsequent zu verfolgen ist ihm nach erfolgter Übermittlung in den seltensten Fällen möglich. Dazu hat das Bundesverfassungsgericht im Volkszählungsurteil jedoch festgestellt: „Der Einzelne ist vielmehr eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit.538 Dies kann Rücksichtnahme auf die Kommunikationsinteressen anderer bedingen. Grundsätzlich allerdings obliegt es dem Einzelnen selbst, seine Kommunikationsbeziehungen zu gestalten und in diesem Rahmen darüber zu entscheiden, ob er bestimmte Informationen preisgibt oder zurückhält. Auch die Freiheit, persönliche Informationen zu offenbaren, ist grundrechtlich geschützt.“ 539

Für den Schutz des Grundrechts auf informationelle Selbstbestimmung ist die datenschutzrechtliche Einwilligungserklärung im Sinne einer rechtmäßigen gesetzlichen Grundlage somit als fragwürdig einzustufen. Der Betroffene erteilt diese zwar bewusst, jedoch nicht als freie Willensentscheidung im Sinne des Gesetzes. Auf dieser Basis werden somit seine Grundrechte nicht ausreichend gewährleistet und seine individuelle Freiheit sowie letztendlich die Freiheit aller beschränkt. Diese sind zwar grundsätzlich nicht schrankenlos gewährleistet, weil 537 Zum Verbot der Koppelung der Erbringung von Telemedien und Telekommunikation in Abhängigkeit von der Einwilligung des Nutzers in die über das gesetzlich zulässige Maß der erlaubten Datenverarbeitung hinaus vgl. § 12 Abs. 2 TMG und § 95 Abs. 5 TMG; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, S. 303; dazu auch B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, S. 239 f. 538 Vgl. BVerfGE 65, 1 (43 f.); zum Menschenbild des Grundgesetzes M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 25 mit Verweis auf BVerfGE 4, 7 (15 f.); 12, 45 (55). 539 BVerfG, 1 BvR 2027/02 vom 23.10.2006, Abs. 32.

234

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

der Betroffene eine Einschränkung seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen muss.540 Dennoch dominiert hier die wirtschaftlich vorrangige Stellung der Anbieter vor dem Recht des Einzelnen, über die Verwendung seiner Daten zu bestimmen. 5. Prüfung der Rechtmäßigkeit von Einwilligungserklärungen nach dem Verhältnismäßigkeitsprinzip Legt man das Prinzip der Verhältnismäßigkeit zugrunde, ist für die Prüfung der Rechtmäßigkeit von Einwilligungserklärungen zu klären, inwieweit die gesetzliche Vorschrift erforderlich sowie geeignet ist, das Grundecht auf informationelle Selbstbestimmung für den Betroffenen zu wahren. Da der Bereich des E-Commerce vorwiegend auf die rechtsgeschäftlichen Beziehungen zwischen Privaten fokussiert, ist zu erörtern, ob es sich bei der Einwilligung um eine Handlung mit rechtsgeschäftlichem Bezug handelt. Ferner ist von Belang, inwieweit die Grundrechte hier auch die Belange des bürgerlichen Rechts erfassen. Die informierte Einwilligung setzt die Einsichtsfähigkeit der Person in die Tragweite ihrer Entscheidung voraus.541 Dies führt weiter zu der Frage, ob die Zustimmung als rechtsgeschäftliche Erklärung542 oder geschäftsähnliche Handlung543 nach den privatrechtlichen Grundsätzen der §§ 104 ff. BGB zu bewerten ist oder ob es sich um eine Realhandlung handelt, die nicht an die Geschäftsfähigkeit der ausführenden Person gebunden ist.544 Entscheidend ist, ob diese zusammen mit dem Rückgriff auf die Vorschriften des Bürgerlichen Gesetzbuches im Rahmen der Kontrollfunktion der Zustimmung des Nutzers zum Schutz vor Eingriffen in sein Persönlichkeitsrecht erforderlich ist. 540 BVerfGE 61, 1 (44); vgl. dazu auch S. Simitis, in: ders., BDSG, Einleitung, Rdn. 33, 44 f.; ders., § 1, Rdn. 86 ff., 171; P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 17. 541 P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; S. Simitis, in: ders. (Hrsg.), BDSG, § 4a, Rdn. 23. 542 Bejahend dazu M. Kloepfer, Informationsrecht, 2002, § 8 Rdn. 75; S. Simitis, in: ders. (Hrsg.), BDSG, § 4a, Rdn. 23; M. Wächter, Datenschutz im Unternehmen, 2003, Rdn. 231; B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, S. 236. 543 M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 318; A. Roßnagel, Handbuch Datenschutzrecht, Kap. 4.8, Rdn. 21; so auch W. Däubler, Gläserne Belegschaften? – Datenschutz in Betrieb und Dienststelle, 2002, Rdn. 138; zur Geschäftsfähigkeit vgl. H. Dörner, in: ders. u. a., BGB, § 104, Rdn. 1 ff. 544 Bejahend zur Einordnung als Realhandlung vgl. P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; so auch H.-J. Schaffland/N. Wiltfang, Kommentierung des § 4a BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz Kommentar, 2004, Rdn. 21; weiter auch H. Dörner, in: ders. u. a., BGB, Vorbemerkung zur Kommentierung der §§ 104– 185 BGB, Rdn. 11.

B. E-Commerce

235

Im Rahmen des E-Commerce handelt es sich bei der Einwilligungserklärung jedoch nicht nur um eine einseitige Willenserklärung.545 Sie stellt keinen vom Vertragsschluss unabhängigen Vorgang dar, sondern ist als notwendige Information zur Erfüllung der vertraglichen Pflichten des Anbieters im WWW fester Bestandteil des schuldvertraglichen Rechtsverhältnisses.546 Für die vertragsgebundene Zustimmung zur Datenverarbeitung sind demnach die §§ 104 ff. BGB einschlägig und die Geschäftsfähigkeit der handelnden Person erforderlich.547 Zwischen schuldvertraglicher oder einseitiger Einwilligung zu differenzieren ist mithin primär für die Frage nach der Fähigkeit des Betroffenen, diese abzugeben, maßgeblich. Da jedoch selbst bei der rechtsgeschäftlichen oder geschäftsähnlichen Handlung die Einsichtsfähigkeit als wesentliches Kriterium neben der Geschäftsfähigkeit gesehen wird,548 ist auch aus privatrechtlicher Sicht eine Einwilligung mit rechtsgeschäftlichem Charakter nicht nur nach den einschlägigen Vorschriften der Rechtsgeschäftslehre zu beurteilen.549 Vielmehr folgt daraus, dass beiden Formen der Einwilligungserklärung, der schuldvertraglichen und der einseitigen neben den privatrechtlichen auch die Bestimmungen des Datenschutzrechts zugrundezulegen sind. Dies erkennt die rechtsstaatlichen Grundsätze an, wonach der Betroffene das Recht hat, dass die Würde und Freiheit seiner Person gewahrt und geachtet wird, indem seine verfassungsgerichtlich materialisierten Grund545 B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, S. 232 f., 237 mit Verweis auf die § 12 Abs. 1 und 2 TMG sowie §§ 95, 96, und 98 TKG. 546 Ders., S. 253 f. i.V. m. S. 237. 547 Vgl. dazu M. Wächter, Datenschutz im Unternehmen, Rdn. 231: „Vertritt man die Auffassung, die Einwilligung sei in der Regel keine rechtsgeschäftliche Handlung, so wird dies jedenfalls dann anerkannt, wenn die Einwilligung Gegenstand eines Vertrages ist“; so auch A. Ohly, „Volenti non fit iniuria“. Die Einwilligung im Privatrecht, 2002, S. 178; vgl. zur Anwendbarkeit der §§ 104 ff. BGB H. Dörner, in: ders. u. a., BGB, Vorbemerkung zur Kommentierung der §§ 104–185 BGB, Rdn. 1 ff. 548 A. Ohly, „Volenti non fit iniuria“, S. 202 f.; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 318; A. Roßnagel, Handbuch Datenschutzrecht, Kap. 4.8, Rdn. 21. 549 So B. Buchner, Das Recht auf informationelle Selbstbestimmung im Privatrecht, S. 237 unter Verweis auf W. Kohte, Die rechtfertigende Einwilligung, AcP 185 (1985), 105; zwar liegt der Zweck der Einwilligung darin, einen tatsächlichen Eingriff in das Recht auf informationelle Selbstbestimmung zu legalisieren, während die schuldvertragliche Einwilligung die Zulässigkeit der Datenverarbeitung in einem rechtsgeschäftlichen Kontext regelt. Im Ergebnis wird jedoch in beiden Fällen auf der Grundlage der rechtsgeschäftlichen Ausgestaltung der Einwilligung im Datenschutzrecht eine konsequente Vorrangigkeit der Regelungen des BGB im Lichte der Inanspruchnahme des Rechts auf informationelle Selbstbestimmung abgelehnt. Vgl. dazu auch W. Däubler, Gläserne Belegschaften?, Rdn. 138; P. Gola/R. Schomerus, in: ders., BDSG, § 4a, Rdn. 10; gegen die Anknüpfung privatrechtlicher Vorschriften für die Einwilligung zur Datenverarbeitung anhand der Einordnung der rechtsgeschäftlichen Erklärung als Realhandlung vgl. S. Simitis, in: ders., Kommentar zum Bundesdatenschutzgesetz, § 4a, Rdn. 23.

236

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

rechte, hier das aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG abgeleitete Grundrecht auf informationelle Selbstbestimmung, vor Eingriffen Dritter geschützt werden. Wird für die informierte Einwilligungserklärung, im Besonderen für die schuldvertragliche Einwilligung, die Einwilligungsfähigkeit vorausgesetzt und diese ferner an der Geschäftsfähigkeit des Betroffenen gemessen, stellt sich die Frage, inwieweit das Recht auf informationelle Selbstbestimmung als Grundrecht auch in den Regelungsbereich zwischen Privaten hineinwirkt. Wie bereits festgestellt, sind für den Bereich des E-Commerce und den elektronischen Abschluss von Verträgen sowohl die datenschutzrechtlichen Vorschriften als auch die des bürgerlichen Rechts heranzuziehen. Da das Datenschutzgesetz den Einzelnen vor Eingriffen in sein Recht auf informationelle Selbstbestimmung schützt, steht es in engem Zusammenhang mit den verfassungsrechtlich garantierten Grundrechten auf Achtung der Menschenwürde und der Freiheit der Person aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG. Für die Beurteilung der mit dem Vertragsschluss über das WWW verbundenen Einwilligungserklärung ist es mithin unumgänglich auch die Wirkung der Grundrechte auf privatrechtliche Rechtsbeziehungen, in diesem Fall den Geschäftsverkehr zwischen Privaten, in die Diskussion einzubeziehen. So stellt auch das Bundesverfassungsgericht zu Recht fest: „Das Grundrecht auf informationelle Selbstbestimmung entfaltet als Norm des objektiven Rechts seinen Rechtsgehalt auch im Privatrecht. Verfehlt der Richter, der eine privatrechtliche Streitigkeit entscheidet, den Schutzgehalt des allgemeinen Persönlichkeitsrechts, so verletzt der durch sein Urteil das Grundrecht des Bürgers in seiner Funktion als Schutznorm.“ 550

Die höchstrichterliche Rechtsprechung erkennt hier die Wirkung der Grundrechte auf private Rechtsbeziehungen an.551 Diese Folgerung resultiert aus der 550 BVerfGE 84, 192, (194 f.); U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, Rdn. 88, 121 ff. 551 Nach Hans Carl Nipperdey ist der vielfach verwendete Terminus der „Drittwirkung“ der Grundrechte aufgrund seiner Ungenauigkeit abzulehnen, da die klassischen Grundrechte der Würde und Freiheit (Art. 1 Abs. 2 GG) sowie der freien Entfaltung der Persönlichkeit (Art. 2 Abs. 1 GG) sich im engeren Sinne als subjektive öffentliche Rechte nur gegen den Staat und die Inhaber staatlicher Gewalt richten. Aus diesem Grund spricht Nipperdey von einer absoluten, also unmittelbaren Wirkung der Grundrechte: „Es handelt sich um die unmittelbar normative Wirkung einzelner Grundrechtsbestimmungen in ihrer Eigenschaft als objektives, verbindliches Verfassungsrecht, das Bestimmungen des Privatrechts aufgehoben, modifiziert, ergänzt oder neu geschaffen hat.“ Vgl. dazu H. C. Nipperdey, Grundrechte und Privatrecht, S. 15, 17; vgl. dazu M. Herdegen, welcher den ausschließlich unmittelbaren Ansatz der Drittwirkung der Grundrechte kritisch sieht: „Eine stets unmittelbare Wirkung der Grundrechte in privatrechtlichen Rechtsbeziehungen würde – in Umkehr der Zielrichtung des Art. 1 Abs. 3 GG – eine einschneidende Freiheitsbeschränkung nach sich ziehen.“ So ist nach Herde-

B. E-Commerce

237

Bedeutung des Grundgesetzes als Verfassung der Bürger im Rechtsstaat, wonach diese die Grundprinzipien der geltenden Privatrechtsordnung sowie der Wirtschaftsordnung gewährleistet und schützt.552 Ferner ist aufgrund der Gesamtrechtsordnung gemäß Art. 1 Abs. 1 GG alle staatliche Gewalt zum Schutze und der Achtung der Würde des Menschen verpflichtet.553 Diese Verpflichtung obliegt jedoch nicht nur den vom Volk eingesetzten staatlichen Vertretern der gesetzgebenden, rechtsprechenden und vollziehenden Gewalt. Der Staat ist „die Menge von Menschen unter Rechtsgesetzen“ 554 und die Verfassung ist das Gesetz, welches sich die Bürger auf der Grundlage der Prinzipien eines freiheitlich demokratischen Gemeinwesens gegeben haben, um die Freiheit für die Allgemeinheit im Rechtsstaat zu verwirklichen und zu sichern.555 „Das Recht dient der Sittlichkeit, aber nicht indem es ihr Gebot vollzieht, sondern indem es die freie Entfaltung ihrer jedem einzelnen Willen innewohnenden Kraft sichert.“ 556

gen einer unmittelbaren Wirkung nur bei gesetzlich vorgesehenen Grundrechtsbeeinträchtigungen zuzustimmen, die das Gesetz ausdrücklich normiert. Im Falle des Schutzes des Betroffenen vor Beeinträchtigungen Privater, ist von einer mittelbaren Drittwirkung auszugehen: „Vereinfachend lässt sich sagen, dass die „mittelbare Drittwirkung“ – nur – dort gilt, wo das Grundrecht unter Privaten entweder mit anspruchsbegründender Tendenz entfaltet wird oder Schutz vor gesetzlich nicht determinierter Freiheitsausübung Dritter bieten soll.“ Vgl. dazu M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 3, Rdn. 59 ff.; ähnlich auch zur Ausstrahlung der Grundrechte in Verbindung mit dem allgemeinen Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 138 f., 173 ff., 191. 552 H. C. Nipperdey, Grundrechte und Privatrecht, S. 5; M. Herdegen, in: T. Maunz/ G. Dürig, GG, Art. 1 Abs. 3, Rdn. 64. 553 Zur Achtung und Unantastbarkeit der Menschenwürde gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 554 I. Kant, Metaphysik der Sitten, S. 365 f., 374; ders., Zum ewigen Frieden, S. 203; K. A. Schachtschneider, Res publica res populi, S. 426, 447, 551 ff., 562 f.; ders. (O. Gast), Sozialistische Schulden nach der Revolution, S. 29 ff.; ders., Prinzipien des Rechtsstaates, S. 56; C. de Montesquieu, Vom Geist der Gesetze, S. 210; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454, 461, 465. 555 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 41, 87; ders., Res publica res populi, S. 545 ff.; ders., Die existentielle Staatlichkeit der Völker Europas, S. 81 f.; vgl. dazu I. Kant, Metaphysik der Sitten, S. 338 f.; zur Gewährleistung der Grundrechte im Sinne der Rechtsstaatlichkeit vgl. T. Maunz/R. Zippelius, Grundrechte – Staatsrecht, S. 94; zur Allgemeinheit der Freiheit K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff.; zum Freiheitsverständnis siehe auch ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff. 556 F. C. v. Savigny, Das System des heutigen Römischen Rechts, Band I, 1840, S. 332.

238

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Aus dem Recht des einzelnen Bürgers auf die freie Entfaltung seiner Persönlichkeit aus Art. 2 Abs. 1 GG557 folgt, dass gemäß der Rechtsidee der Freiheit und Sittlichkeit, die Würde558 und Freiheit559 der Person nicht nur gegenüber Eingriffen durch staatliche Stellen, sondern auch gegenüber den Machtansprüchen anderer Bürger gewahrt werden muss.560 Für die Verarbeitung der über das WWW erhobenen personenbezogenen Daten resultiert, dass die Befugnisse der Daten verarbeitenden Stelle auch für den Regelungsbereich des bürgerlichen Rechts beschränkt werden muss, um das Recht auf informationelle Selbstbestimmung des betroffenen Bürgers zu schützen. Ebenso sind hierfür nicht allein die Generalklauseln der §§ 138, 242, 826 BGB561 maßgeblich. Vielmehr sind die Grundrechte zuvorderst Ausdruck der rechtsstaatlichen Prinzipien, welche das auf Freiheit, Gleichheit und dem Sozialprinzip beruhende Menschheitsprinzip innerhalb der Gemeinschaft der Bürger verwirklichen.562 Ihre Wirkung kann somit nicht nur auf das Verhältnis von Staat und Bürger beschränkt werden, weil sich das Volk als die Menge aller Bürger dieses Gesetz auf der Grundlage der Freiheit und Würde sowie der Sittlichkeit gegeben hat. Im Zusammenhang mit dem

557 K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 558 Zum Begriff der Würde des Menschen grundlegend I. Kant, Grundlegung zur Metaphysik der Sitten, S. 51, 61, 69; vgl. dazu auch K. A. Schachtschneider, Die Würde des Menschen, S. 13 ff.; ders., Die republikanische Freiheit, in: Festschrift für Martin Kriele, 1997, S. 829 ff. 559 Zur Freiheit als Würde des Menschen grundlegend BVerfGE 5, 85 (204 f.); 65, 1 (41); vgl. auch K. A. Schachtschneider, Staatsunternehmen und Privatrecht, S. 99 ff., 138 ff.; ders., Res publica res populi, S. 4 ff.; ders., Freiheit in der Republik, S. 19 ff., 83 ff., 281 ff., 403 ff.; P. Häberle, Die Menschenwürde als Grundlage der staatlichen Gemeinschaft, HStR, § 20, Rdn. 46 ff., 60 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 472 ff., 477 ff.; M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 11, 23 ff., 31, 80. 560 H. C. Nipperdey, Grundrechte und Privatrecht, S. 6; zum Schutzanspruch gegenüber Eingriffen in die Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 71 ff.; zu Eingriffen in das allgemeine Persönlichkeitsrecht U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff., auch Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; ferner D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, insbesondere Rdn. 79 ff. sowie Rdn. 88, 121 ff. 561 Vgl. zur Sittenwidrigkeit des Rechtsgeschäfts auf Grundlage der Privatautonomie: H. Dörner, in: ders. u. a., BGB, § 138, Rdn. 1 ff.; zur Leistung nach Treu und Glauben vgl. R. Schulze, in: ders. u. a., BGB, § 242, Rdn. 1 ff.; zur Anwendbarkeit der sittenwidrigen vorsätzlichen Schädigung als dritte Generalklausel im Deliktsrecht vgl. A. Staudinger, in: H. Dörner u. a., BGB, § 826, Rdn. 1 ff. 562 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 24 f.; ders., Res publica res populi, S. 9 ff., 234 ff.; ders., Freiheit in der Republik, 405 ff.; ähnlich M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 18 ff.

B. E-Commerce

239

Schutz des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG ist deshalb anzuführen: „Die Bedeutung des Art. 1 Abs. 1 und des Art. 2 Abs. 1 GG für die Beziehungen der Privatrechtssubjekte untereinander zeigt sich vor allem in der Anerkennung des allgemeinen Persönlichkeitsrechts. Würde und Recht auf freie Entfaltung der Persönlichkeit563 des Menschen sind die integrierenden Bestandteile eines allgemeinen Persönlichkeitsrechts, das damit durch die Rechtsordnung als subjektives öffentliches und privates Recht gewährleistet ist.564 [. . .] Eine Verletzung dieses Persönlichkeitsrechts liegt [. . .] vor, wenn jemand sich unbefugt Kenntnis von nicht für ihn bestimmten Äußerungen eines anderen erschleicht oder die auf diese Weise erlangte Kenntnis verbreitet.“ 565

Übertragen auf den Vertragsschluss über das WWW resultiert die Drittwirkung der Grundrechte für den Geschäftsverkehr unter Privaten daraus, dass die Vertragsfreiheit sich nur im Rahmen des Rechts, welches in den Grundrechten und Gesetzen materialisiert ist, entfalten kann. Die Vorschrift des § 4 i.V. m. § 4a BDSG, die Daten verarbeitende Stelle dazu zu verpflichten, eine Einwilligung des Betroffenen einzuholen, ist insoweit rechtmäßig im Sinne dieses Gesetzes sowie der Grundrechte, als dies im Rahmen der Ausübung des Rechts auf informationelle Selbstbestimmung für rechtsgeschäftliche Verhältnisse auf elektronischem Wege (E-Commerce) erforderlich ist. Ebenso kann zugestimmt werden, dass die gesetzliche Vorschrift dazu geeignet ist, den Schutz dieses Grundrechts gemäß der vom Bundesverfassungsgericht im Volkszählungsurteil566 festgestellten Notwendigkeit einer umfassenden Ein- und Übersicht des Betroffenen über die von ihm erhobenen, gespeicherten und verarbeiteten Daten, zu gewährleisten. Zwar ist dem Einzelnen eine vollständige Übersicht über die Verwendung der von ihm übermittelten Daten nicht möglich. Jedoch bedingt die Teilnahme am öffentlichen Leben auch ein gewisses Maß an Einsichtsfähigkeit in die eigenen Handlungen. Handelt der Einzelne gemäß seiner individuellen Freiheit, so ist dies zum einen als Unabhängigkeit von eines anderen nötigender Willkür zu verstehen. Immer aber ist diese individuelle Freiheit auch Teil der allgemeinen Frei563 K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff. 564 Vgl. dazu M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 3, Rdn. 59 ff.; ähnlich auch zur Ausstrahlung der Grundrechte in Verbindung mit dem allgemeinen Persönlichkeitsrecht und dem Recht auf informationelle Selbstbestimmung U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 138 f., 173 ff., 191. 565 H. C. Nipperdey, Grundrechte und Privatrecht, S. 20, 24; zur Schutzpflicht U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 ff., insbesondere Rdn. 138 ff. 566 BVerfGE, 65, 1 (43).

240

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

heit, da der einzelne Nutzer nie isoliert handelt, sondern stets innerhalb der Gemeinschaft der Bürger.567 Ein vollständiger Schutz vor der Gefährdung seiner Grundrechte wäre nur durch ein Verbot des Zugangs zum WWW und dessen Angeboten erreichbar. Dies widerspricht jedoch dem durch das Grundrecht auf informationelle Selbstbestimmung gewährten Recht des Einzelnen, weitgehend ohne Beschränkungen am öffentlichen Leben teilnehmen zu können. Überdies käme diese Maßnahme der Zugangsbeschränkung zu öffentlichen Medien seitens staatlicher Organe einer Zensur gleich. Diese ist gemäß Art. 5 Abs. 1 S. 3 GG rechtswidrig, weil damit ein erheblicher Eingriff in das Informationsrecht des Betroffenen verbunden ist. Somit ist das Recht auf Einwilligung auch dann rechtmäßig im Sinne des Gesetzes, wenn der Betroffene nicht vollständig in der Lage ist dadurch einen vollständigen Schutz vor Eingriffen in sein Persönlichkeitsrecht zu erlangen. Erfolgt die Datenerhebung, wie im E-Commerce, dazu, die schuldvertraglichen Pflichten zu erfüllen, ist davon auszugehen, dass der private Nutzer durch die bewusste Annahme eines Angebots und die Einwilligung in die Verarbeitung seiner personenbezogenen Daten dies auch zu diesem Zweck hinnehmen muss. Auch wenn der Umfang für ihn zunächst nicht vollends ersichtlich ist. Gleichzeitig kann dem Anbieter nicht pauschal unterstellt werden, dass er die Daten grundsätzlich nicht nur zu den vorab festgelegten Zwecken verarbeitet. Dennoch ist es unerlässlich, dass der Provider dazu verpflichtet wird, den Betroffenen über Art und Umfang der Datenverarbeitung ausreichend zu informieren, damit dieser eine informierte und freie Willensentscheidung treffen kann. Um eine weitere Verwendung der Daten zum Schutz des Betroffenen zu vermeiden, sind Diensteanbieter darüber hinaus gemäß § 20 BDSG, § 13 Abs. 4 S. 1 Nr. 2 TMG, §§ 95 ff. TKG dazu verpflichtet, die erhobenen und genutzten Daten unmittelbar zu löschen, sobald die vertraglichen Verpflichtungen zur Lieferung von Waren oder der Abrechnung von Diensten erfüllt sind.568

C. Sonderform: Internetnutzung am Arbeitsplatz Umfassende technische Neuerungen wie der Computer und das Internet haben in den letzten Jahrzehnten die Rahmenbedingungen und Arbeitsformen vieler Be567 K. A. Schachtschneider, Freiheit in der Republik, S. 22, 405 ff.; ders., Prinzipien des Rechtsstaates, S. 30; ders., Res publica res populi, S. 279 ff., 303 ff., 410 ff., 494 ff., 519 ff.; zur äußeren Freiheit vgl. I. Kant, Metaphysik der Sitten, S. 345; zur inneren Freiheit vgl. ders., Grundlegung zur Metaphysik der Sitten, S. 61 und 66 ff.; ders., Kritik der praktischen Vernunft, S. 210; K. A. Schachtschneider, Freiheit in der Republik, S. 343 ff.; ders., Prinzipien des Rechtsstaates, S. 30. 568 O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 34 ff.; J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 95 TKG, Rdn. 20; G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 13 TMG, Rdn. 8 f.

C. Sonderform: Internetnutzung am Arbeitsplatz

241

rufe grundlegend verändert.569 Mit der zunehmenden weltweiten Konzentration von Unternehmen infolge globaler Marktplätze und vernetzter Kommunikation besteht nicht nur ein erweiterter Schutzbedarf für Kundendaten, sondern insbesondere auch der personenbezogenen Daten von Arbeitnehmern. Warum ist jedoch diese Thematik im Rahmen der Diskussion um den Schutz der Privatsphäre im WWW von Bedeutung? Unternehmen wie öffentliche Stellen ermöglichen ihren Mitarbeitern durch Installation einer Browsersoftware auf dem PC am Arbeitsplatz zunehmend die Nutzung des Internets als Kommunikations- und vor allem Informationsplattform für die tägliche Arbeit. So greifen viele Arbeitnehmer während der Arbeitszeit auch für private Informationen auf ihren Zugang zum WWW am Arbeitsplatz zurück.570 Dabei ist sich der Einzelne selten bewusst, dass das Abrufen nicht sicherer Webseiten sowie das Herunterladen von externen Dateien für das Unternehmen ein erhebliches Sicherheitsrisiko darstellt. Da jede Nutzung im Internet auch Spuren hinterlässt,571 werden auf diese Weise auch Daten über die Sicherheit des Unternehmensnetzwerkes unbefugten Dritten zugänglich gemacht. In Folge betreiben Unternehmen heute einen erheblichen Kosten- wie Zeitaufwand, den Vorteilen der Internetnutzung am Arbeitsplatz mit entsprechenden Sicherheitsmaßnahmen gegen Datenspionage und -zerstörung um das Gesamtnetzwerk nach außen abzusichern.572 Unter dem Aspekt der Sicherheit erheben Arbeitgeber heute den Anspruch, das Nutzungsverhalten ihrer Mitarbeiter umfassend kontrollieren zu dürfen. Meist werden diese mittels einer schriftlichen Erklärung dazu verpflichtet, einer

569 Grundlegend zur Veränderung der Arbeitsbedingungen durch die Verwendung moderner Informations- und Kommunikationsmittel: W. Däubler, Internet und Arbeitsrecht, 3. Aufl. 2004; vgl. auch P. Gola, Neuer Tele-Datenschutz für Arbeitnehmer?, in: MMR 1999, 322; zur Beschreibung der rechtlichen Rahmenbedingungen aus datenschutzrechtlicher Sicht: P. Gola/C. Klug, Grundzüge des Datenschutzrechts, 2003, S. 139. 570 A. Wien, Internetrecht, S. 158; kritisch zum Spannungsverhältnis rechtlicher Vorgaben zum Datenschutz des Arbeitnehmers und der Gewährleistung von IT-Sicherheit und E-Mail Kontrolle im Unternehmen vgl. D. M. Barton, Risiko-Management und EMail-Kontrolle, BB 12 (2004), S. 1. 571 Speziell im Zusammenhang mit der Nutzung von Suchmaschinen J. Rohlederer/ J. Hirzel, Google oder böse?, in: Focus 42 (2006), S. 223, 226; allgemein dazu A. Wien, Internetrecht, S. 187; J. Weber, Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher, DuD 27 (2003), 625; so auch P. Schmitz, TDDSG und das Recht auf informationelle Selbstbestimmung, 1. Aufl. 2000, S. 56; A. Roßnagel, Ansätze zur Modernisierung des Datenschutzrechts, S. 241. 572 T. Strömer, Online-Recht, 3. Aufl., S. 320; E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 448; V. Haug, Grundwissen Internetrecht, Rdn. 188 f.; C. Müller, Internationales Privatrecht und Internet, S. 260; A. Wien, Internetrecht, S. 158.

242

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

lediglich geschäftlichen Nutzung von E-Mail und Internet nicht zuwider handeln zu dürfen. Eine entgegen dieser Vereinbarung unbefugte Nutzung des Internets am Arbeitsplatz hat in der Regel eine verhaltensbedingte Kündigung zur Folge. Nach einer Entscheidung des Bundesarbeitsgerichts zur Kündigung eines Arbeitnehmers aufgrund Surfens im Internet, ist dies ohne vorherige Abmahnung nur dann statthaft, wenn die private Nutzung des Dienst-PCs in erheblichem Umfang während der bezahlten Arbeitszeit erfolgt und für den Arbeitgeber daraus ein materieller Schaden oder nachweislich eine Rufschädigung resultiert.573 Dadurch wird ein Eingriff in das Persönlichkeitsrecht574 und die zusätzliche Erhebung und Verarbeitung persönlicher Daten ermöglicht, die meist ohne Wissen des Betroffenen erfolgt. Auf Grundlage der bestehenden gesetzlichen Vorschriften existiert für das Spannungsverhältnis zwischen dem Schutz der Privatsphäre des Arbeitnehmers und den Kontrollbefugnissen des Arbeitgebers jedoch bis heute kein rechtlicher Rahmen, der diesen Anforderungen ausreichend Rechnung trägt. I. Arbeitsrechtliche Grundlagen Arbeitgeber räumen Arbeitnehmern die Nutzung moderner elektronischer Medien ein, um einerseits eine schnellere und effizientere Kommunikation (über E-Mail) sowie den Zugriff auf arbeitsrelevante Informationen (über das WWW) zu ermöglichen.575 Dabei stehen der gewährten Nutzung des zum externen Datenaustausch bestimmten Systems zahlreiche Risiken entgegen, wie beispielsweise rechtswidrige Datenspionage oder die Einschleusung von Computerviren. Daraus können erhebliche Schäden für die unternehmensinterne IT resultieren.576 Der Arbeitgeber ist aufgrund seines in § 106 GewO festgelegten Direktionsrechts dazu befugt, den Zugang zu elektronischen Diensten in seinem Unternehmen einzuführen. So ist der Arbeitnehmer arbeitsrechtlich zur Nutzung der angebotenen Arbeitsmittel und der in diesem Zusammenhang stehenden Dienste, wie dem WWW, verpflichtet, um die ihm übertragenen Aufgaben zu erfüllen. Die Verantwortlichkeit zur Erfüllung der Arbeitsaufgabe ergibt sich aus der Verpflichtung zur Leistungserfüllung, aufgrund des zwischen Arbeitnehmer und Ar573 BAG, Urteil vom 31.05.2007 – 2 AZR 200/06, NJW 2007, 2653; dazu auch BAG, NZA 2006, 98; BAG NZA 2006, 977. 574 Vgl. dazu U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 ff., insbesondere Rdn. 138 ff. 575 A. Wien, Internetrecht, S. 158; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 145. 576 E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 448; T. Strömer, Online-Recht, 3. Aufl., S. 320; V. Haug, Grundwissen Internetrecht, Rdn. 188 f.; C. Müller, Internationales Privatrecht und Internet, S. 260; A. Wien, Internetrecht, S. 158.

C. Sonderform: Internetnutzung am Arbeitsplatz

243

beitgeber geschlossenen Vertrags. Einschränkungen können sich lediglich aus dem Stand der Fähigkeiten und Qualifikation des Arbeitnehmers ergeben.577 Der Arbeitnehmer hat gegenüber dem Arbeitgeber grundsätzlich keinen Anspruch auf einen Zugang zum Internet am Arbeitsplatz. Über die Einführung von Arbeitsmitteln zu entscheiden ist, im Rahmen einer betriebsbedingten Entscheidung, nur der Arbeitgeber befugt.578 Aus seiner Eigenschaft als Inhaber und Anbieter des Systems kann er für rechtswidrige Handlungen im Zusammenhang mit der Internetnutzung in erster Linie haftbar gemacht werden. Er muss also nachweisen, dass ein anderer an seiner Stelle, beispielsweise ein Mitarbeiter, für eine Tathandlung verantwortlich ist. Daher obliegt es dem Arbeitgeber zu entscheiden, ob der Arbeitnehmer das WWW am Arbeitsplatz nur zur rein dienstlichen oder auch privaten Zwecken nutzen darf.579 Dabei besteht keine Verpflichtung die private Nutzung für den Arbeitnehmer zu gestatten. Bei einer rein dienstlichen Nutzungswidmung verstößt der Mitarbeiter bei einer nachweislich privaten Nutzung des Internets am Arbeitsplatz gegen seine arbeitsvertraglichen Pflichten. Dies begründet im Wiederholungsfall ein ordentliches Kündigungsrecht, sofern der Arbeitnehmer mindestens einmal eine Abmahnung erhalten hat.580 Eine fristlose Kündigung ist jedoch nach einem Urteil des Bundesarbeitsgerichts vom 31. Mai 2007 zur Privatnutzung eines Dienstcomputers581 nur im Fall strafrechtlich relevanter Handlungen, wie Downloads von pornografischem Material oder der geschäftsmäßigen Einrichtung von Erotik-Webseiten, aufgrund eines groben Verstoßes gegen die Nutzungsvereinbarung zulässig.582

577 T. Strömer, Online-Recht, 3. Aufl., S. 317; der Arbeitnehmer ist darüber hinaus dazu verpflichtet bei ungenügendem Kenntnisstand, beispielsweise durch Fortbildungen, Abhilfe zu schaffen. Vgl. zu den arbeitsrechtlichen Grundlagen für die Internetnutzung am Arbeitsplatz auch V. Haug, Grundwissen Internetrecht, Rdn. 184 f. 578 Ausnahme bildet die willkürliche Verweigerung eines Zugangs gegenüber einzelnen Arbeitnehmern durch den Arbeitgeber. Um einen Anspruch gegenüber dem Arbeitgeber geltend zu machen, wäre es denkbar, den arbeitsrechtlichen Gleichbehandlungsgrundsatz zugrunde zu legen; vgl. dazu T. Strömer, Online-Recht, 3. Aufl., S. 317. 579 A. Wien, Internetrecht, S. 159, 164; zur Abmahnung auch P. Senne, Arbeitsrecht, 4. Aufl. 2007, S. 172 ff.; dazu auch explizit mit Hinweisen zu kündigungsrelevanten Verletzungen arbeitsvertraglicher Pflichten BAG, Urteil vom 31.5.2007 – 2 AZR 200/ 06 = NJW 2007, 2653. 580 A. Wien, Internetrecht, S. 165 ff. 581 BAG, Urteil vom 31.5.2007, Kündigung wegen Privatverletzung eines DienstComputers, 2 AZR 200/06; vgl. auch BAG, DuD 2006, 243 = MMR 2006, 94 = NJW 2006, 540. 582 Vgl. T. Strömer, Online-Recht, 4. Aufl., S. 320; V. Haug, Grundwissen Internetrecht, Rdn. 191; ausführlich zu den Voraussetzungen für eine Kündigung infolge privater Internetnutzung am Arbeitsplatz A. Wien, Internetrecht, S. 165 ff.; in diesem Sinne auch BAG, Urteil vom 7.7.2005, Private Internetnutzung am Arbeitsplatz – Kündigung, 2 AZR 581/04.

244

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

II. Eingriffe in die Privatsphäre des Arbeitnehmers Der Arbeitgeber ist als Inhaber und Anbieter des Systems in erster Linie für rechtswidrige Handlungen im Zusammenhang mit der Internetnutzung verantwortlich.583 In Folge hat der Arbeitgeber ein verstärktes Interesse daran, die Nutzung des WWW seitens des Arbeitnehmers einer umfassenden Kontrolle zu unterziehen. Protokolliert der Arbeitgeber sämtliche Aktivitäten über die Nutzung des Internets am Arbeitsplatz, resultiert für den Betroffenen daraus ein Eingriff in sein Grundrecht auf informationelle Selbstbestimmung sowie die Gefährdung seiner Privatsphäre.584 In diesem Zusammenhang stellt sich die Frage, inwiefern diese Kontrolle des Datenverkehrs rechtlich zulässig ist. Dabei spielt die Verhältnismäßigkeit der technischen Überwachung des Verhaltens eines Mitarbeiters am Arbeitsplatz, sowie die Erhebung und Speicherung von Nutzungsdaten und deren Verarbeitung in Verbindung mit den Personalstammdaten eine wesentliche Rolle. 1. Zulässigkeit der Kontrolle des Datenverkehrs im Beschäftigungsverhältnis Für die Regelung der Nutzung des Internets am Arbeitsplatz existierte zum Arbeitnehmerdatenschutz bis vor kurzem keine eigene gesetzliche Grundlage. Auch das Arbeitsrecht enthält keine spezialgesetzlichen Regelungen zur Kontrolle der Internetnutzung im Arbeitsverhältnis.585 So wurden Art und Umfang der Kontrollbefugnisse des Arbeitgebers in der datenschutzrechtlichen Literatur bisher kontrovers diskutiert.586 583 Zur Haftbarkeit von Arbeitgebern im Wege der betrieblichen Internetnutzung durch Arbeitnehmer vgl. A. Wien, Internetrecht, S. 162 ff. 584 Zur technischen Möglichkeit der Protokollierung der Nutzung des Internets und des WWW vgl. C. Meinel/H. Sack, WWW, S. 698, 779, 802; Teia, Recht im Internet, S. 620; P. Schaar, Datenschutz im Internet, S. 64; R. Ihde, Cookies – Datenschutz als Rahmenbedingungen der Internetökonomie, CR 2000, 413; T. Hoeren, Grundzüge des Internetrechts, S. 260 ff.; J. Bizer, Web-Cookies. Datenschutzrechtlich, DuD 1998, 277; M. Wichert, Web-Cookies. Mythos und Wirklichkeit, DuD 1998, 273. Vgl. dazu J. Jacob/T. Jost, Marketingnutzung von Kundendaten und Datenschutz, DuD 2003, 621. 585 In einem am 17. Februar 2005 getroffenen Beschluss bedauerte der Deutsche Bundestag, dass „eine gesetzliche Regelung des Arbeitnehmerdatenschutzes trotz mehrfacher Aufforderungen und entsprechender Zusagen der Bundesregierung noch immer nicht erfolgt ist.“ Der Bundestag hält damit ein Arbeitnehmerdatenschutzgesetz, insbesondere im Hinblick auf die elektronische Kommunikation (Internet, E-Mail) und die damit einhergehenden Kontrollmöglichkeiten des Arbeitgebers für erforderlich – BTDrs. 16/12600. Vgl. T. Hoeren, Internetrecht, Stand April 2011, S. 396; A. Wien, Internetrecht, S. 161; S. Simitis, in: ders., BDSG, Einleitung, Rdn. 42. 586 Unter anderem wird der Ansatz vertreten, dass eine Kontrolle durch den Vorgesetzten nur auf Grundlage des Verdachts des Verrats von Geschäftsgeheimnissen oder einer strafbaren Handlung gestattet ist. Bezüglich der die Rechtmäßigkeit einer vollständigen Protokollierung aller angewählten Internetseiten besteht jedoch Uneinigkeit. Vgl. dazu A. Wien, Internetrecht, S. 161; vgl. weiter dazu E. Weißnicht, Die Nutzung des

C. Sonderform: Internetnutzung am Arbeitsplatz

245

Eine Zäsur in der bisher uneinheitlichen Rechtsprechung zu den Kontroll- und Überwachungsrechten des Arbeitgebers stellte die Entscheidung des Europäischen Gerichtshofs für Menschenrechte vom 3. April 2007 dar. Das Gericht entschied, dass eine Überwachung jeglicher Nutzung des Internets am Arbeitsplatz einer gesetzlichen Grundlage bedarf und erkannte damit den Schutz des betroffenen Arbeitnehmers vor einem Eingriff in sein Persönlichkeitsrecht und seine Privatsphäre an.587 Personaldaten, die vom Arbeitgeber elektronisch erhoben, gespeichert und verarbeitet werden, stellen personenbezogene Daten und damit Bestandsdaten dar, deren Verwendung gemäß der §§ 1 Abs. 1, 3 Abs. 1 BDSG den Vorschriften des Bundesdatenschutzgesetzes unterfällt. Mit Inkrafttreten der zweiten Novelle des BDSG zum 1.9.2009588 wurde versucht, das Recht des Arbeitnehmers gegen die Erhebung, Speicherung und Verarbeitung seiner personenbezogenen Daten im Beschäftigungsverhältnis zu stärken. Mit der neu geschaffenen Vorschrift des § 32 BDSG wurde die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung nun für Zwecke des Beschäftigungsverhältnisses geregelt. So enthält die Vorschrift des § 32 Abs. 1 BDSG explizit Voraussetzungen, unter denen personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Da der Arbeitgeber jedoch auch Telekommunikationsanbieter im Sinne des § 91 TKG ist, in dem er den Zugang zum WWW für fremde Zwecke zu Verfügung stellt, ist das Bundesdatenschutzgesetz nur subsidiär anwendbar. Für die bei Nutzung des WWW anfallenden Verbindungs- und Nutzungsdaten sind die §§ 14, 15 TMG sowie § 96 TKG einschlägig. Ferner ist der Arbeitgeber in seiner Funktion als Telekommunikationsanbieter gemäß §§ 113a und 113b TKG dazu verpflichtet, die Nutzungsdaten wie IP-Adresse, Kennung des Anschlusses, sowie Beginn und Ende der Nutzung mit Datum für einen Zeitraum von 6 Monaten zu speichern. Kann der Arbeitgeber dies nicht selbst erbringen, so hat er gemäß § 113a Abs. 1 TKG sicherzustellen, dass die Daten anderweitig gespeichert werInternet am Arbeitsplatz, MMR 2003, 448, 451; V. Haug, Grundwissen Internetrecht, Rdn. 191; differenzierend T. Strömer, Online-Recht, 4. Aufl., S. 320. 587 EGMR, Urteil vom 3.4.2007, Überwachung von E-Mail- und Internetnutzung, Application no. 62617/00 = MMR 2007, 431 mit Anm. von G. Hornung; zur Privatsphäre vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zum Eingriff U. Di Fabio, in: Maunz/ Dürig, GG, 2001, Art. 2 Abs. 1, insbesondere Rdn. 48 f.; 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; ferner D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1, insbesondere Rdn. 79 ff., auch Rdn. 88, 121 ff. 588 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2814 ff., in Kraft getreten zum 1.9.2009.

246

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

den und zur Auskunftserteilung an öffentliche Behörden für die in § 113b TKG genannten Zwecke jederzeit abgerufen werden können. Darüber hinaus können für den Arbeitnehmerdatenschutz die Regelungen des Individualarbeitsrechts sowie der Betriebsvereinbarungen nach dem Betriebsverfassungsgesetz (BetrVG) herangezogen werden. Durch die Protokollierung der Daten aus der Nutzung des Internets am Arbeitsplatz, kann der Arbeitgeber Rückschlüsse auf das Verhalten des einzelnen Mitarbeiters ziehen.589 Doch nicht nur das Erheben und Speichern der Nutzungsdaten, sondern insbesondere die Möglichkeit, diese mit den Personalstammdaten zu aggregieren, stellt einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen dar.590 Der Arbeitnehmer ist in der Regel nicht in der Lage, über den Umfang der von ihm protokollierten Nutzungsdaten umfassend Kenntnis zu erlangen. Dasselbe gilt auch, wenn diese Informationen weiter verwendet werden, beispielsweise um Persönlichkeitsprofile aus der Verbindung von Nutzungs- und Personalstammdaten zu erstellen.591 Aus diesem Grund sind gemäß § 87 Abs. 1 Nr. 6 BetrVG „bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ dessen Mitbestimmungsrechte zu beachten.592 Weniger ausschlaggebend ist hierbei, ob der Arbeitgeber von seinen Kontrollmöglichkeiten auch tatsächlich Gebrauch macht. Allein die objektive Möglichkeit reicht bereits aus, um die Grundrechte des Betroffenen zu gefährden.593 Die Mitbestimmungsrechte können in Abstimmung mit dem Betriebsrat gewährt werden, indem die Nutzungsbedingungen in einer Betriebsvereinbarung festgelegt werden. Diese dient dem Arbeitgeber in zweifacher Hinsicht: Zum ei589 T. Hoeren, Internetrecht, Stand April 2011, S. 397 f.; zur Weitergabe der über den Arbeitnehmer erhobenen Informationen über Landesgrenzen hinweg, vgl. P. Gola/ C. Klug, Grundzüge des Datenschutzrechts, S. 15; M. Kiper, Spione im Büro. Überwachung am Arbeitsplatz, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, 2003, insbesondere S. 93 ff. und 96 ff. 590 S. Simitis, in: ders., Einleitung, Rdn. 30 ff.; ders., §1 BDSG, Rdn. 23 ff.; U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs, GG, Art. 2 Abs. 1 GG, Rdn. 88, 121 ff. 591 Zur Unzulässigkeit der Erstellung von Persönlichkeitsprofilen vgl. auch ders., Rdn. 95; in diesem Sinne auch BVerfGE 65, 1 (43 f.); M. Kiper, Spione im Büro, S. 92 ff. 592 Vgl. dazu W. Däubler, Internet und Arbeitsrecht, 3. Aufl. 2004, Rdn. 293; B. Balke/A. Müller, Arbeitsrechtliche Aspekte beim Einsatz von Emails, DB 1997, 326; K. Post-Ortmann, Der Arbeitgeber als Anbieter von Telekommunikations- und Telediensten, RDV 1999, 102. 593 E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2001, 448, 452; T. Strömer, Online-Recht, 3. Aufl., S. 322 f.; V. Haug, Grundwissen Internetrecht, Rdn. 186.

C. Sonderform: Internetnutzung am Arbeitsplatz

247

nen werden die Nutzungsregelungen für alle Arbeitnehmer eindeutig und nachvollziehbar festgelegt. Zum anderen können Kontrollmaßnahmen gerechtfertigt und damit einem Unterlassungs- und Beseitigungsanspruch des Betroffenen aufgrund unerlaubter Verwertung der Nutzungsdaten ausgeschlossen werden.594 2. Umfang der Kontrollbefugnis des Arbeitgebers In welchem Umfang der Arbeitgeber zu Kontrollen der Internetnutzung befugt ist, richtet sich im Wesentlichen danach, ob dieser eine ausschließlich dienstlichen Nutzung und zusätzlich auch eine private Nutzung (Mischnutzung) gestattet. Um eine rein dienstliche Nutzung handelt es sich, soweit diese ausschließlich einen eindeutigen Bezug zu den dienstlichen Belangen aufweist.595 a) Dienstliche Nutzung Ist die private Nutzung in der Betriebsvereinbarung ausgeschlossen, so bietet der Arbeitgeber keine Telekommunikationsdienstleistungen im Sinne des Telemediengesetzes und Telekommunikationsgesetzes an. Die Zulässigkeit der Verwendung der vom Arbeitnehmer erhobenen Daten unterliegt damit den Vorschriften des § 1 Abs. 2 Nr. 3 BDSG.596 Wobei der Regelungsumfang nur die personenbezogenen Daten, also nicht die IP-Nummer des Rechners des Arbeitnehmers oder Daten über die Nutzungsdauer einschließt. Eine Erhebung, Speicherung und Verarbeitung personenbezogener Daten ist nur dann zulässig, sofern dies an einen Erlaubnistatbestand des Bundesdatenschutzgesetzes geknüpft werden kann oder eine Einwilligung des Betroffenen vorliegt (§ 4 Abs.1 BDSG). Für die Verwendung dieser Daten durch den Arbeitgeber ist der neu geschaffene und mit der Novelle II des Bundesdatenschutzgesetzes zum 1.9.2009 in Kraft getretene § 32 BDSG einschlägig.597 Gemäß dem Zweckbindungsgrundsatz des BSDG ist das Erheben, Verarbeiten oder Nutzen personenbezogener Daten sowie deren Nutzung gemäß § 32 Abs. 1 BDSG für Zwecke des Beschäftigungsverhältnisses zulässig, sofern598 dies für eine Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Be594

S. Bier, Internet und E-Mail am Arbeitsplatz, DuD 2004, 280. A. Wien, Internetrecht, S. 159; S. Bier, Internet und E-Mail am Arbeitsplatz, DuD 2004, 277. 596 Ders., 280. 597 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2817, in Kraft getreten zum 1.9.2009. 598 S. Simitis, in: ders., BDSG, § 28, Rdn. 106 ff.; P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 14 ff.; C. Müller, Internationales Privatrecht und Internet, S. 273. 595

248

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

endigung erforderlich ist. Im Zusammenhang mit der Aufdeckung von Straftaten muss gemäß § 32 Abs. 1 BDSG ein tatsächlicher Anhaltspunkt gegeben sein, dass der im Sinne des § 3 Abs. 11 BDSG Beschäftigte, im Beschäftigungsverhältnis eine Straftat begangen hat. Eine bloße Vermutung des Arbeitgebers ist nicht ausreichend. Das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Erhebung, Verarbeitung und Nutzung überwiegt nicht, sofern Art und Anlass der Datenverarbeitung verhältnismäßig zum Anlass, also der begangenen Tathandlung sind. Der Anhaltspunkt ist in jedem Fall vom Arbeitgeber zu dokumentieren. Jedoch handelt es sich bei den vorgenannten Voraussetzungen stets um die Verarbeitung personenbezogener Daten zur Begründung oder Erfüllung einer arbeitsvertraglichen Beziehung. Der Nutzung des Internets am Arbeitsplatz und den daraus erhobenen Nutzungsdaten des Arbeitnehmers können diese Voraussetzungen damit nicht zugrunde gelegt werden. Mithin ist eine Kontrolle dieser Daten durch den Arbeitgeber mangels einer geeigneten gesetzlichen Grundlage nicht gestattet. Allgemein kann jedoch festgehalten werden, dass mit den unter 3. angeführten Voraussetzungen der Erforderlichkeit, sowie der Abwägung mit den schutzwürdigen Interessen des Arbeitnehmers, also dem Grundrecht auf informationelle Selbstbestimmung, der Gesetzgeber die mit dem allgemeinen Persönlichkeitsrecht aus Art 1 Abs. 1 i.V. m. Art. 2 Abs. 1 GG verbundenen Rechte auf einen umfassenden Schutz vor der unzulässigen oder zweckfremden Verarbeitung personenbezogener Daten zum Ausdruck bringt.599 Die Nutzung personenbezogener Daten ist danach nur soweit zulässig, als für den Betroffenen damit kein unverhältnismäßiger Eingriff in sein Persönlichkeitsrecht verbunden ist. Damit erhält der Schutz und die Gewährleistung der Privatsphäre des Einzelnen gegenüber möglichen technischen Schäden des Unternehmens aufgrund von Viren, oder externen Computerangriffen unberechtigter Dritter,600 eindeutig Vorrang. Dies wird darüber hinaus dadurch bestätigt, dass gespeicherte personenbezogene Daten als Benutzerdaten (Daten von Arbeitnehmern, die bei der Datenverarbeitung tätig sind) der besonderen Zweckbindung des § 31 BDSG unterliegen. Voraussetzung ist, dass der Arbeitgeber für die Datenverarbeitung eine entspre599 Zum Grundrecht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; eingeschränkt auch D. Murswiek, in: M. Sachs (Hrsg.), GG, Art. 2 Abs. 1 GG, Rdn. 88, insbesondere zur Sicherheit und Zweckbindung der Datenverarbeitung Rdn. 121 ff.; vgl. dazu aus datenschutzrechtlicher Sicht zur Erforderlichkeit P. Gola/ R. Schomerus, in: ders., BDSG, § 28, Rdn. 14 ff.; weiter auch M. Kiper, Spione im Büro, S. 92 ff. 600 E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 448; T. Strömer, Online-Recht, 3. Aufl., S. 320; V. Haug, Grundwissen Internetrecht, Rdn. 188 f.; C. Müller, Internationales Privatrecht und Internet, S. 260; A. Wien, Internetrecht, S. 158.

C. Sonderform: Internetnutzung am Arbeitsplatz

249

chende Datenschutzkontrolle, Datensicherung oder den ordnungsgemäßen Betrieb der Datenverarbeitungsanlage sicherstellen kann.601 Für den Arbeitgeber bedeutet dies, dass er mithilfe protokollierter Daten beispielsweise das Einschleusen eines Computervirus nachweisen kann. Unzulässig ist hingegen die Verbindung dieser Belegdaten mit weiteren personenbezogenen Daten des Nutzers, so dass Rückschlüsse auf das Verhalten des Arbeitnehmers oder dessen Leistung möglich sind. Eingriffe in das Persönlichkeitsrecht ergeben sich aus der unzulässigen oder zweckfremden Verwendung der erhobenen Daten ohne gesetzliche Grundlage, sowie der Erstellung von Persönlichkeitsprofilen über den einzelnen Mitarbeiter.602 Somit lässt sich festhalten, dass auch durch die mit der zweiten Novelle des Bundesdatenschutzgesetzes neu geschaffene Vorschrift des § 32 Abs. 1 BDSG keine erhöhte Rechtssicherheit für die Datenerhebung des Arbeitgebers aus der Internetnutzung des Arbeitnehmers resultiert. Die Fokussierung auf den unmittelbaren Zusammenhang der Daten mit der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses, erkennt die Erforderlichkeit des erweiterten Arbeitnehmerdatenschutzes allgemein an. Allerdings ergibt sich durch diese singuläre Regelung für den Betroffenen daraus wieder kein umfassender Schutz seines Persönlichkeitsrechts vor der Protokollierung seines Mediennutzungsverhaltens am Arbeitsplatz. Zwar werden die Rechte zu verdachtsunabhängigen Kontrollen des Arbeitgebers durch § 32 Abs. 1 BDSG insoweit eingeschränkt, als personenbezogene Daten nur im konkreten und dokumentierbaren Verdachtsfall auf eine Straftat verwendet werden dürfen und das schutzwürdige Interesse des Betroffenen Vorrang hat. Da sich § 32 Abs. 1 BDSG jedoch ausschließlich auf die erhobenen und gespeicherten Stammdaten, nicht auf die mit der Internetnutzung anfallenden Nutzungsdaten bezieht, bleibt die mit der Novellierung des Gesetzes beabsichtigte Stärkung der Rechtssicherheit des Arbeitnehmers weitgehend aus. b) Private Nutzung Bezieht der Arbeitgeber die private Nutzung des WWW in die Betriebsvereinbarung ein, so gestattet oder duldet er diese, und unterliegt damit als geschäftsmäßiger603 Anbieter von Telekommunikationsdienstleistungen 604 den Regelun601 P. Gola/R. Schomerus, in: ders., BDSG, § 31, Rdn. 3, 8; U. Dammann, in: S. Simitis, BDSG, § 31, Rdn. 3 ff. 602 Zur Unzulässigkeit der Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders. (Hrsg.), BDSG, § 1, Rdn. 95; M. Kiper, Spione im Büro, S. 92 ff. 603 Ein geschäftsmäßiges Handeln liegt gemäß § 3 Nr. 10 TKG vor, sofern der Anbieter nachhaltig Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht anbietet. 604 T. Hoeren, Internetrecht, Stand April 2011, S. 398; ders., Stand März 2009, S. 403.

250

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

gen des Telekommunikationsgesetzes und des Telemediengesetzes. Für den Schutz der Privatsphäre ist der Arbeitgeber zudem an die Vorschriften des Fernmeldegeheimnisses gemäß Art. 10 Abs. 1 GG und speziell § 88 TKG gebunden.605 Eingeschlossen werden hiervon sowohl der Inhalt, als auch die an einem Telekommunikationsvorgang beteiligten Personen. Im Gegensatz zur Nutzung auf rein dienstlicher Basis ist es dem Arbeitgeber nach den geltenden gesetzlichen Regelungen untersagt, Inhalte oder Verbindungs- sowie Nutzungsdaten des WWW zu protokollieren, zu erheben, zu speichern oder zu verarbeiten.606 Ein Rückgriff auf das berechtigte Interesse oder die Zweckbindung gemäß Bundesdatenschutzgesetz sind bei einer gestatteten privaten Nutzung nicht möglich. Vielmehr steht der Arbeitnehmer als privater Nutzer hier unter dem Schutz vor den Eingriffen in sein grundrechtlich garantiertes Persönlichkeitsrecht,607 welches dadurch gestärkt wird, dass das zugrundeliegende Grundrecht des Art. 10 GG nicht durch eine Betriebsvereinbarung aufgehoben werden kann. Die automatisierte, zweckungebundene Kontrolle oder Überwachung der Internetnutzung stellt nicht nur eine unzulässige Handlung, sondern einen strafrechtlich relevanten Tatbestand gemäß § 206 StGB dar.608 Allerdings wirkt § 96 Abs. 1 TKG einschränkend, indem dem geschäftsmäßigen Anbieter von Telekommunikationsdienstleistungen grundsätzlich ein Recht zur zweckgebundenen Erhebung und Verwendung von Verkehrsdaten aus der Internetnutzung eingeräumt wird.609 Ergänzt wird dies zudem durch die konkretisierten Zwecke der Datenverwendung aus § 97 TKG sowie § 100 TKG.610 Soweit die Voraussetzung der Erforderlichkeit gegeben ist, ist der Arbeitgeber auch bei einer gestatteten privaten Nutzung des WWW in folgenden Fällen dazu befugt, die aus der Nutzung des WWW durch den Arbeitnehmer anfallenden Daten zu verwenden: 1. Aus Gründen der Entgeltermittlung und -abrechung (§ 97 Abs. 1, 2 TKG). 2. Zur Erkennung, Eingrenzung oder Beseitigung der Störung von Telekommunikationsanlagen und Missbrauch von Telekommunikationsdiensten (§ 100 Abs. 1 TKG). 605 Zur E-Mail-Nutzung vgl. analog M. Schmidl, E-Mail Filterung am Arbeitsplatz, MMR 2005, 343; J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 88 TKG, Rdn. 1 ff. 606 Zur Anwendbarkeit des Fernmeldegeheimnisses vgl. E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 449; zur Kontrolle des privaten Datenverkehrs im Arbeitsverhältnis S. Bier, Internet und E-Mail am Arbeitsplatz, DuD 2004, 278; allgemein dazu auch M. Kiper, Spione im Büro, S. 92 ff. 607 Zum Schutzanspruch vor Eingriffen in das allgemeine Persönlichkeitsrecht vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 608 K. Kühl, Kommentierung des § 206 StGB, in: K. Lackner/ders., Strafgesetzbuch Kommentar, 26. Aufl. 2007, Rdn. 2 f., 7, 15. 609 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 96 TKG, Rdn. 1 ff. 610 Ders., § 97 TKG, Rdn. 9 ff.

C. Sonderform: Internetnutzung am Arbeitsplatz

251

3. Zur Aufklärung oder Unterbindung von nachweislich rechtswidriger Inanspruchnahme der Telekommunikationsdienste (§ 100 Abs. 3 S. 1 TKG). Zum Zweck der Entgeltabrechnung kann der Diensteanbieter neben Verkehrsdaten auch personenbezogene Daten, wie die Anschrift des Teilnehmers oder übermittelte Datenmengen erheben und bis längstens 6 Monate nach Rechnungsversand speichern (§ 97 Abs. 3 S. 3 TKG). Danach sind die Daten zu löschen.611 Werden die in einem Unternehmen entstehenden Kosten für Telekommunikationsdienstleistungen abteilungs- oder geschäftsbereichsweise abgerechnet, so muss der Arbeitgeber die Gesamtkosten den einzelnen Nutzern des WWW genau zuordnen können. Die dafür notwendige Erhebung und Speicherung von personenbezogenen Daten ist gemäß § 97 TKG zwar nur unter Einschränkungen zulässig, eröffnet jedoch andererseits die Möglichkeit, Nutzerprofile612 über den Arbeitnehmer zu erstellen. Auch die Protokollierung und Verarbeitung aus den unter 2. und 3. genannten Gründen ist gemäß § 100 Abs. 3 S. 2 TKG nur dann gestattet, sofern tatsächliche Anhaltspunkte für eine rechtswidrige Verwendung des Internets vorliegen. Der Arbeitnehmer ist jedoch laut Gesetz befugt, auf den Bestand an Verkehrsdaten aus den letzten 6 Monaten zurückzugreifen. Zudem kann er aus Verkehrs- wie Bestandsdaten „einen pseudonymisierten Gesamtdatenbestand bilden, der Aufschluss über die von den einzelnen Teilnehmern erzielten Umsätze gibt und unter Zugrundelegung geeigneter Missbrauchskriterien das Auffinden solcher Verbindungen des Netzes ermöglicht“ (§ 100 Abs. 3 S. 3 TKG). Angesichts dieser Erlaubnis, Datenbestände die vorwiegend personenbezogene Daten enthalten, zu aggregieren, überzeugt auch eine Bindung des Arbeitgebers an die vor der zum 1.9.2009 In Kraft getretenen Novelle des Bundesdatenschutzgesetzes gültige Vorschrift des § 3a BDSG nicht. Danach waren die Daten je nach Möglichkeit von der verarbeitenden Stelle zu anonymisieren oder zu pseudonymisieren. Im Gegensatz zur Anonymisierung werden bei der Pseudonymisierung für jeden Datensatz Codes vergeben, die dem Anbieter einen jederzeitigen Rückschluss auf die Identität des Nutzers ermöglichen.613 Auch mit der Novellierung dieser Vorschrift ist der Arbeitgeber zwar nun per Gesetz dazu verpflichtet, die Daten zu anonymisieren, sofern dies nach dem Verwendungszweck möglich ist und keinen unverhältnismäßigen Aufwand erfordert.614 Damit wird zwar 611

Ders. A. Wien, Internetrecht, S. 187; zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95. 613 P. Gola/R. Schomerus, in: ders., BDSG, § 3, Rdn. 45 ff.; U. Dammann, in: S. Simitis, BDSG, § 3, Rdn. 218. 614 Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I, S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I, S. 160) mit BDSG-Novelle II: Gesetz zur Änderung 612

252

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

im Gegensatz zur Vorgängervorschrift die Beweislast des Aufwands im Falle einer unterlassenen Anonymisierung zugunsten des Betroffenen umgekehrt. Eine grundlegende Stärkung der Rechte des Arbeitnehmers bleibt jedoch aus, weil dieser seine Rechte nur bei ausreichender Kenntnis über die Verarbeitung seiner personenbezogenen Daten in Anspruch nehmen kann. Aus diesem Grund ist jegliche umfassendere Kontrollbefugnis, sowie die damit verbundene Verarbeitung persönlicher Daten, daran gebunden, dass konkrete Anhaltspunkte für den Missbrauch des Zugangs zu Telemedien vorliegen. Diese dürfen sich nicht aus der Protokollierung von Arbeitnehmerdaten ergeben.615 Andererseits wirken sich die spezialgesetzlichen Vorschriften des Telekommunikationsgesetzes sowie des Telemediengesetzes auf den Schutz des allgemeinen Persönlichkeitsrechts und insbesondere des Grundrechts auf informationelle Selbstbestimmung des Arbeitnehmers stark beschränkend aus. Speziell für die anlassungebundene Speicherung von Verkehrsdaten hat das Bundesverfassungsgericht eine Einschränkung der Grundrechte im Zusammenhang mit Art. 10 GG mit seinem Urteil vom 2.3.2010 anerkannt.616 So hat das höchste Gericht festgestellt, dass die Vorschriften der §§ 113a und 113b TKG nicht den verfassungsrechtlichen Anforderungen zur verhältnismäßigen Ausgestaltung der Regelung insgesamt entsprechen. Die Regelungen sind, soweit danach Verkehrsdaten gemäß § 113a TKG erhoben werden dürfen, in Verbindung mit § 100g Abs. 1 S. 1 StPO nicht mit dem Schutz des Telekommunikationsgeheimnisses nach Art. 10 GG vereinbar und aufgrund der Feststellung der Grundrechtsverletzung für nichtig erklärt worden.617 Daten, die vom Arbeitgeber bis dahin auf Basis dieser Vorschriften erhoben und gespeichert wurden sind nun unverzüglich zu löschen. Der Gesetzgeber ist nun gefordert, geeignete Regelungen zu erlassen, die neben ausreichenden Sicherheitsstandards für die Datenerhebung und -speicherung, hinreichende Vorkehrungen zur Transparenz der Datenverwendung vorsehen und einen effektiven Rechtsschutz für den Betroffenen gewährleisten.618

datenschutzrechtlicher Vorschriften vom 14.8.2009, BGBl. I Nr. 54, S. 2814, in Kraft getreten zum 1.9.2009. 615 Missbrauch bedeutet in diesem Zusammenhang ein arbeitsvertragswidriges oder rechtswidriges Verhalten; S. Bier, Internet und E-Mail am Arbeitsplatz, DuD 2004, 278; vgl. dazu auch E. Weißnicht, Die Nutzung des Internet am Arbeitsplatz, MMR 2003, 450. 616 BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 1 ff. 617 BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 269 f. 618 BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 239, 264; zur Löschungsverpflichtung der gespeicherten Daten durch den Anbieter vgl. ders., Abs. 306.

C. Sonderform: Internetnutzung am Arbeitsplatz

253

3. Rechte und Schutz des betroffenen Arbeitnehmers Insgesamt erkennt der Gesetzgeber die Schutzbedürftigkeit des Arbeitnehmers durch zahlreiche Einschränkungen zur Protokollierung und Verarbeitung von personenbezogenen Daten in Verbindung mit der Nutzung des WWW am Arbeitsplatz an. So hat der Arbeitnehmer gemäß § 33 BDSG das Recht, über jedwede Kontrollen des Arbeitgebers umgehend informiert zu werden. Verfügt das Unternehmen über einen Betriebsrat, ist ergänzend § 80 Abs. 1 Nr. 1 BetrVG einschlägig, wonach diesem ein umfassender Auskunftsanspruch über die Verarbeitung von Arbeitnehmerdaten obliegt. Ferner steht dem Betroffenen aus § 87 Abs. 1 BetrVG ein Mitbestimmungsrecht über den Einsatz von technischen Mitteln zur Überwachung des Verhaltens der Mitarbeiter sowie die Entscheidung darüber, ob die Nutzung des Internets zu privaten oder lediglich dienstlichen Zwecken gestattet wird.619 Diesen Rechten steht in der Praxis das durch § 106 GewO620 anerkannte Weisungsrecht des Arbeitgebers gegenüber. Da dieser in der Regel dem Arbeitnehmer und Nutzer des WWW am Arbeitsplatz allein technisch überlegen ist, kann dieser bei einer dienstlichen erlaubten Nutzung zwar keine automatisierte Vollkontrolle durchführen, jedoch durchaus stichprobenartige Kontrollen, welche weitgehend ohne Wissen des Nutzers und ohne vorherige Einwilligung erfolgen. Ist auch die private Nutzung gestattet, ist der Arbeitgeber befugt, eine Protokollierung auch ohne Einwilligung des Betroffenen durchzuführen, sofern dies notwendig ist, um den Datenschutz, die Datensicherung, den laufenden Betrieb oder den Nachweis strafrechtlich relevanter Tatbestände sicher zu stellen.621 Eine weitergehende Kontrollbefugnis ohne Einwilligung des Nutzers besteht allerdings nicht. Diese hat der Arbeitnehmer jedoch in der Regel mit Abschluss seines Arbeitsvertrags pauschal erteilt oder erteilen müssen, weil eine Erklärung über die Nutzung von dienstlichen Mitteln (zu denen auch alle Kommunikationsdienste und Software in Verbindung mit dem PC am Arbeitsplatz zählen) meist mit dem Arbeitsvertrag zur Unterschrift ausgehändigt wird. Damit kollidiert das vom Bundesverfassungsgericht anerkannte Grundrecht des Betroffenen, des Arbeitnehmers, jederzeit selbst über die Verwendung seiner 619 V. Haug, Grundwissen Internetrecht, Rdn. 186; S. Bier, Internet und E-Mail am Arbeitsplatz, DuD 2004, 280; P. Gola/R. Schomerus, in: ders., BDSG, § 33, Rdn. 2 ff.; zum Mitbestimmungsrecht auch ders., § 31, Rdn. 8; weiter zu § 33 BDSG O. Mallmann, in: S. Simitis, BDSG, § 33, Rdn. 7 ff. 620 U. Preis, Kommentierung des § 106 GewO, in R. Müller-Glöge//I.Schmidt, Erfurter Kommentar zum Arbeitsrecht, 9. Aufl. 2009, Rdn. 1 f., 4 ff., 11 ff.; V. Haug, Grundwissen Internetrecht, Rdn. 186. 621 In diesem Sinne P. Gola/R. Schomerus, in: ders., BDSG, § 31, Rdn. 3 in Verbindung mit Rdn. 2.

254

2. Teil, 2. Kap.: Analyse der Gefahrenbereiche im WWW

Daten bestimmen zu können, und mehr noch, Kenntnis über durchgeführte Kontrollen seiner Person zu erhalten,622 regelmäßig mit der gesetzlichen Befugnis des Arbeitgebers. In Folge wird den vorrangigen wirtschaftlichen Interessen ein Spielraum des Ermessens eingeräumt. Fraglich bleibt, ob hier der Ansatz, aus Arbeitgebern und Arbeitnehmern zwei divergierende Interessensgruppen zu machen, eine geeignete Lösung im Sinne der Sicherung des Rechts auf informationelle Selbstbestimmung und der Privatsphäre im Rahmen der Nutzung des WWW darstellt. Der Schutz des allgemeinen Persönlichkeitsrechts, dient nicht nur dem Arbeitnehmer, sondern vor allem der Sicherung des Schutzes der Allgemeinheit vor unüberschaubaren Eingriffen in die unveräußerbaren Menschenrechte.623 Werden diese Rechte aufgeweicht, entsteht nicht nur dem einzelnen Bürger ein immaterieller Schaden. In Folge ergibt sich insbesondere eine Entgrenzung, mit welcher der Verlust der Grundwerte der Gesellschaft einhergeht. Mit der Materialisierung der unveräußerbaren Grundrechte des Art. 1 Abs. 1 und Art. 2 Abs. 2 GG im Grundgesetz als dem Verfassungsgesetz des Volkes hat die Gemeinschaft der Bürger diese als Fundament einer stabilen Grundordnung auf der Basis des allgemeinen Willens und der Verwirklichung der allgemeinen Freiheit für das gute Leben aller im Rechtsstaat anerkannt.624 Sind Arbeitgeber auf der Grundlage spezialgesetzlicher Regelungen in der Lage, Kontrollbeschränkungen weit auszulegen oder agieren diese aufgrund einer pauschalen Einwilligung, die der Mitarbeiter im Zuge seines Beschäftigungsverhältnisses nicht ablehnen kann, verstoßen sie zwar nicht gegen einen gesetzlichen Wortlaut. Indes verstößt dieses Handeln jedoch gegen die rechtsstaatlichen Prinzipien, die Freiheit und Würde, die unmittelbar mit der Verantwortung für den Persönlichkeitsschutz und letztlich der Sicherheit für die Allgemeinheit verbunden ist.

622 BVerfGE 65, 1 (43 f.); zur Kontrolle von Arbeitnehmern durch die betriebliche Auswertung des Nutzerverhaltens vgl. auch P. Gola/R. Schomerus, in: ders., BDSG, § 31, Rdn. 8; in diesem Sinne auch M. Kiper, Spione im Büro, S. 92 ff. 623 Zur Achtung der Privatsphäre vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zum Eingriff U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, insbesondere Rdn. 48 f., 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; kritisch zur Verwendung der Sphärentheorie K. A. Schachtschneider, Freiheit in der Republik, S. 421; H. Hubmann, Das Persönlichkeitsrecht, S. 157 ff., 269 f. 624 In diesem Sinne K. A. Schachtschneider, Freiheit in der Republik, S. 20 ff. (allgemeine Freiheit), 278 f. (Grundgesetz), 143 ff. (gutes Leben aller); zu Art. 2 Abs. 1 GG U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 127 ff.; zur Verpflichtung der staatlichen Organe zur Verwirklichung des Gemeinwohls und der Allgemeinen Freiheit im Rechtsstaat auf der Basis der Grundrechtsverwirklichung durch die Gesetzgebung vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 209 f., 339.

Dritter Teil

Effektiver Schutz der Privatsphäre Erstes Kapitel

Verantwortlichkeit und Haftung im WWW Der Schutz der Privatsphäre im WWW resultiert aus dem Schutz des einzelnen Nutzers vor der unberechtigten Verwendung seiner personenbezogenen Daten. Darunter fallen alle Datenspeicherungen, -verarbeitungen, die Weitergabe, sowie das rechtswidrige Erheben, Speichern und Verwenden von Daten durch unbefugte Dritte. Die für den Nutzer unüberschaubare Möglichkeit, über das weltweite digitale Netz personenbezogene Daten auszutauschen, macht es diesem unmöglich, über die Maßgabe der Verwendung seiner persönlichen Daten selbst zu entscheiden.1 Daraus resultieren eine grundsätzliche Gefahr des Eingriffs in seine Privatsphäre und der nach Art. 1 und Art. 2 GG garantierten Grundrechte zum Schutz der Würde und der Freiheit des Einzelnen.2 Um den Schutz der grundgesetzlich materialisierten Schutzgüter zu garantieren, ist nicht nur der Erlass geeigneter Gesetze notwendig. Mindestens ebenso wichtig ist deren Durchsetzung anhand einer effektiven Kontrolle des Mediums Internet, speziell vor solchen Gefahren oder Störungen, die sich nachteilig auf den Schutz des Rechts auf informationelle Selbstbestimmung des Nutzers auswirken. Die dafür in Frage kommenden polizeilichen oder strafrechtlichen Maßnahmen müssen geeignet, notwendig sowie verhältnismäßig im engeren Sinne sein,3 dem einzelnen Bürger sowie der Öffentlichkeit, der Allgemeinheit im Rechtsstaat, Sicherheit zu gewährleisten.

A. Effektivität und Datenschutz Die eingehende Auseinandersetzung mit der Gefährdung für die Privatsphäre und dem Recht auf informationelle Selbstbestimmung infolge der Nutzung des 1

BVerfGE 65, 1 (43). Zur Achtung der Menschenwürde vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 1 ff., insbesondere 18 ff., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39; vgl. auch U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff.,179 ff. 3 F.-L. Knemeyer, Polizei- und Ordnungsrecht, 9. Aufl. 2002, Rdn. 282 ff., 285 ff. 2

256

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

WWW macht entsprechende Lösungsansätze erforderlich, die einen effektiven Schutz dieser sicherstellen. Der Begriff der Effektivität bezieht sich jedoch nicht vorrangig auf Lösungsansätze, die Maßnahmen für eine vollständige Kontrolle der Verarbeitung und des Austauschs personenbezogener Daten über das WWW beinhalten. Insofern ist zunächst eine inhaltliche Differenzierung zwischen dem Begriff der Effektivität und dem erforderlichen Maß des Schutzes personenbezogener Daten vorzunehmen. Der Umfang und die Zielsetzung des Datenschutzes gehen im Wesentlichen aus § 1 BDSG hervor: „[. . .]den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“ 4

Durch die Ableitung des Datenschutzes aus dem allgemeinen Persönlichkeitsrecht gemäß Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG fungiert dieser nicht nur als gesetzliche Beschränkung zur Verarbeitung personenbezogener Daten für öffentliche und nicht-öffentliche Stellen, sondern erhält Verfassungsrang.5 Für den Einzelnen ergibt sich daraus ein ableitbares Recht auf Schutz der Privatsphäre.6 Weil der Einzelne dieses nicht vollständig alleine durchsetzen kann,7 obliegt der Gesetzgebung, Rechtsprechung und vollziehenden Gewalt somit die Aufgabe, die Wahrnehmung des Grundrechts zur Teilhabe am öffentlichen Leben bei der Nutzung des WWW für den einzelnen Bürger zu gewährleisten. Die Erfüllung dieser Aufgabe bedingt den gezielten Einsatz sowie das kausale und kongruente Zusammenwirken staatlicher Mittel der Gesetzgebung, Rechtsprechung und vollziehenden Gewalt. Dies führt direkt zum Begriff der Effektivität (lat. efficere). Neben der wörtlichen lateinischen Übersetzung „etwas veranlassen, bewirken, durchsetzen“ interessiert insbesondere der tradierte Inhalt des Begriffs „etwas zu Ende bringen, wirken, schaffen“. Im Sinne des „Schaffens“ sollte von Seiten der Gesetzgebung der bestmögliche rechtliche Rahmen für eine 4 Vgl. dazu auch P. Gola/R. Schomerus, in: ders., BDSG, § 1, Rdn. 3 ff.; S. Simitis, in: ders., BDSG, § 1, Rdn. 24 ff.; zur verfassungsrechtlichen Grundlage insbesondere Rdn. 29 ff. 5 So schon BVerfGE 65, 1 (41); S. Simitis, in: ders., BDSG, § 1, Rdn. 29 ff. 6 S. Simitis, in: ders., BDSG, § 1, Rdn. 95; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.; BVerfGE 65, 1 (42 f.); kritisch zur empirischen Kategorisierung des privaten Lebensraums des Bürgers K. A. Schachtschneider, Freiheit in der Republik, S. 421, insbesondere S. 624 ff. 7 Dies trifft insbesondere auf das WWW zu, weil der einzelne Nutzer angesichts der globalen Präsenz des Internets in der Regel wenig Möglichkeiten hat, die Verwendung seiner persönlichen Daten nachzuverfolgen und im Falle eines Missbrauchs entsprechende Rechte geltend zu machen; zur Schutzpflicht vgl. M. Herdegen, in: T. Maunz/ G. Dürig, GG, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

257

umfassende Rechtssicherheit im Bereich der Neuen Medien erreicht werden, denn: Für die Verwirklichung der Grundlagen eines demokratischen Verfassungsstaates und der Freiheit aller Bürger ist es erforderlich, geeignete Gesetze zu erlassen, die der Einhaltung der Sittlichkeit dienen und damit die allgemeine Willkür in geeignete Bahnen lenkt. Dies ist nicht nur im Sinne des einzelnen Nutzers von Belang, sondern dient der Verwirklichung der Freiheit für die Allgemeinheit, als innerer und äußerer Freiheit der Gemeinschaft aller Bürger unter Rechtsgesetzen.8 Ein effektiver Schutz personenbezogener Daten im Zusammenhang mit der Nutzung der neuen Medien kann damit nur unter dem Prinzip des bestmöglichen Einsatzes der den staatlichen Organen verfügbaren Mittel auf der Grundlage der Verwirklichung des Rechts erreicht werden. Effektiver Datenschutz beinhaltet demnach nicht nur den Erlass geeigneter gesetzlicher Vorschriften als Reaktion auf die Herausforderungen des technologischen Fortschritts, sondern vielmehr ganzheitliches, verantwortungsvolles Denken und Handeln unter der Maßgabe der Verwirklichung des guten Lebens aller Bürger unter dem Gesetz.

B. Verantwortlichkeit der Provider für unzulässige oder unrichtige Datenverwendung I. Einfachgesetzliche Haftung Sind die Voraussetzungen des Tatbestands der unzulässigen oder unrichtigen Speicherung, Verarbeitung oder weiteren Verwendung personenbezogener Daten durch einen am Datenaustausch beteiligten Provider oder unbefugten Dritten erfüllt, so kann der Betroffene gemäß § 823 BGB Ansprüche auf den Ersatz des ihm daraus entstehenden Schadens geltend machen. Dies setzt jedoch voraus, dass er Kenntnis über die missbräuchliche Verwendung seiner Daten hat. Von der unzulässigen Datenverarbeitung ist ferner die strafrechtlich relevante rechtswidrige Datenerhebung, -verarbeitung und -weitergabe seitens unbefugter Dritter zu unterscheiden. Auf die hierfür maßgeblichen gesetzlichen Grundlagen des Strafgesetzbuches und deren Anwendbarkeit soll im Rahmen der repressiven Kontrolle näher eingegangen werden.

8 K. A. Schachtschneider, Res publica res populi, S. 545 ff.; zum Urrecht der Freiheit und dessen grundrechtlicher Schutz als Rechtsgut vgl. ders., Freiheit in der Republik, S. 67 f., 281 ff., zur Verpflichtung staatlicher Organe S. 292; zur Gewährleistung der Grundrechte im Sinne der Rechtsstaatlichkeit vgl. T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 94; zur Allgemeinheit der Freiheit K. A. Schachtschneider, Freiheit in der Republik, 42, 322, 378 ff.; zum Freiheitsverständnis siehe auch ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff.

258

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Die Haftung von Online-Diensten im WWW wird allgemein durch die Schadensersatzregelungen des § 823 BGB und speziell durch die gesetzlichen Vorschriften des Telekommunikationsgesetzes und Telemediengesetzes geregelt. Subsidiär dazu ist auch das Bundesdatenschutzgesetz einschlägig. Die Einordnung der datenschutzrechtlichen Verantwortlichkeit unter Berücksichtigung der einfachgesetzlichen Vorschriften für die Haftung soll zunächst anhand der beteiligten Provider erfolgen.9 1. Access Provider Der Access Provider stellt die technischen Verbindungen zu den Servern der Host Provider und damit den Zugang zum Internet bereit. Jeder an einer Nutzung des WWW Interessierte, sei es in privater (Nutzer im Sinne des Bundesdatenschutzgesetzes) oder in geschäftlicher Hinsicht (als Host oder Content Provider) muss einen Vertrag mit einem Access Provider abschließen. In seiner Eigenschaft fungiert er als Zugangsvermittler der technischen Voraussetzungen zur Nutzung des WWW.10 Aufgrund der rein technischen Ausrichtung des Access Providers ist dieser Telekommunikationsdienstleister im Sinne des § 3 Nr. 6a TKG. Der Provider wird jedoch auch von der Begriffsbestimmung zum Diensteanbieter gemäß § 2 Abs. 1 S. 1 TMG erfasst: „[. . .] jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“. Der Geltungsbereich des Telemediengesetzes für Access Provider wird weiter durch die Verantwortlichkeitsregelung in den §§ 7, 8 und 9 TMG unterstrichen.11 Demnach erstreckt sich der Verantwortungsbereich für Provider auf die unzulässige oder unrichtige Verwendung von eigenen Daten (Bestands-, Verkehrsund Abrechnungsdaten) aus dem vertraglichen Verhältnis mit seinem Kunden, sowie fremden Daten, die für Dritte durchgeleitet oder auf eigenen Servern zwischengespeichert werden. Diese fremden Daten werden im Telemediengesetz unter dem Begriff der Informationen geführt. Dabei handelt es sich sowohl um Daten, die mit der Nutzung von Online-Diensten in direkter Verbindung stehen, als 9 So auch bei M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 49; vgl. dazu auch U. Sieber, Strafrechtliche Verantwortlichkeit für den Datenverkehr in internationalen Computernetzen, JZ 1996, S. 429 ff.; T. Finke, Die strafrechtliche Verantwortung von Internet-Providern, 1998, S. 100 ff.; N. Flechsig, Haftung von OnlineDiensteanbietern im Internet, AfP 1996, 340 ff. 10 V. Haug, Grundwissen Internetrecht, Rdn. 201, S. 80; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103; A. Wien, Internetrecht, S. 3. 11 H. Hoffmann, in: G. Spindler/F. Schuster RdeM, § 8 TMG, Rdn. 1 ff., zur Haftungsprivilegierung für Access Provider vgl. Rdn. 20 ff.; ders., § 9 TMG, Rdn. 1 ff., 8, zur Haftungsprivilegierung vgl. Rdn. 16; vgl. zur Schadensersatzhaftung auf Grundlage der §§ 8 und 9 TMG M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 747 ff., 752 ff., 758 ff.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

259

auch um solche inhaltlicher Art (Inhaltsdaten), wie Adressangaben von Kunden, die dazu erhoben und verarbeitet werden, um einen im WWW geschlossenen Vertrag zu erfüllen.12 Um die Haftung für Eingriffe in die Privatsphäre des privaten Nutzers beurteilen zu können ist eine Prüfung anhand der vom Provider selbst auf unzulässige Weise verwendeten Daten oder fremder Daten, wie Kundendaten, die unzulässig erhoben, gespeichert und weitergeleitet werden, sowie Daten mit rechtswidrigem Inhalt, wie beispielsweise Computerviren, von Belang. Für die unzulässige Verwendung eigener personenbezogener Daten haftet der Provider als Telekommunikationsdienstleister gemäß den Vorschriften zum Datenschutz aus § 91 Abs. 1 TKG, welcher in enger Verbindung mit dem in § 88 TKG spezialgesetzlich materialisierten Fernmeldegeheimnis steht. Die Erhebung, Speicherung und Verarbeitung von eigenen Daten, die sich auf die Erfüllung von Leistungen aus einem vertraglichen Verhältnis mit dem Kunden beziehen, unterliegt den Bestimmungen der §§ 95 (Vertragsverhältnisse), 96 (Verkehrsdaten) und 97 (Entgeltermittlung und Entgeltabrechnung) TKG.13 Ferner haftet der Access Provider für eigene Daten (Informationen) auch aus seiner Eigenschaft als Diensteanbieter gemäß § 7 Abs. 1 TMG uneingeschränkt, wenn die Daten nicht nur auf elektronischem Wege (reine Online-Übertragung) übertragen werden.14 Liegt eine unzulässige oder unrichtige Datenverarbeitung aufgrund vertraglicher Verhältnisse des Access Providers mit dem privaten Nutzer vor, deren Erbringung nicht rein auf elektronischem Wege erfolgt, so richtet sich die Verantwortlichkeit und Schadensersatzpflicht nach den Vorschriften des § 7 BDSG.15 Gesetzliche Grundlage für die Haftung des Access Providers für fremde Daten sind §§ 8 und 9 TMG. Da sich der Access Provider maßgeblich auf die Datenübermittlung, genauer die technische Betreibung eines Kommunikationsnetzes und die Vermittlung des Zugangs zu diesem beschränkt, hat der Gesetzgeber in § 8 TMG eine unbeschränkte Haftung grundsätzlich ausgeschlossen.16 Für dieses 12 Zum Begriff der Information, welcher auch den Vorschriften der §§ 8, 9 und 10 TMG zugrunde gelegt wird, vgl. H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 7 TMG, Rdn. 10 f. 13 Vgl. zu §§ 91 ff. TKG J. Eckhardt, Kommentierung der §§ 91 ff. TKG, in: G. Spindler/F. Schuster, RdeM, Rdn. 1 f.; zu § 88 TKG ders., § 88 TKG, Rdn. 1 f. 14 H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 7 TMG, Rdn. 11 ff.; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 747; zum Begriff der „eigenen Informationen“ vgl. Gesetzesbegründung zum Informations- und Kommunikationsdienste Gesetz, BT-Drs. 13/7358 vom 9. 4. 1997, S. 19. 15 S. Simitis, in: ders., BDSG, § 7, Rdn. 9 ff., 18 ff.; P. Gola/R. Schomerus, Kommentierung des § 7 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 3 ff., 16 ff. 16 Zur Ablehnung der Strafbarkeit von Access Providern vgl. auch J. Wessels/W. Beulke, Strafrecht, Rdn. 723. Eine unbegrenzte Haftung würde für den Provider eine erhebliche Beeinträchtigung seiner Geschäftstätigkeit darstellen, da die Durchleitung von Informationen meist ohne Kenntnis der weitergeleiteten Daten erfolgt. Eine vollständige Haftung würde eine vollständige Kontrolle des Datenflusses voraussetzen und für den

260

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Haftungsprivileg ist vor allem ausschlaggebend, ob der Access Provider Kenntnis darüber hat, dass die über ihn weitergeleiteten oder gespeicherten Daten rechtswidrig verwendet werden oder rechtswidrigen Inhalts sind.17 Liegt diese Kenntnis nicht vor, können Provider grundsätzlich strafrechtlich nicht zur Verantwortung gezogen werden, selbst wenn sie maßgeblich an der Verbreitung rechtswidrig erhobener personenbezogener Daten oder Computerviren beteiligt sind.18 Auch vor Inkrafttreten des Telemediengesetzes war der Access Provider für die von ihm durchgeleiteten und auf eigenen Servern zwischengespeicherten Informationen gemäß § 5 TDG19 nicht verantwortlich.20 Diese Haftungsbefreiung für Access Provider wurde im Wortlaut des § 8 Abs. 1 S. 1 TMG materialisiert.21 Mit dem Telemediengesetz wurde die Verantwortlichkeit für Provider im Sinne der Umsetzung des Art. 12 der E-Commerce Richtlinie22 eindeutiger geregelt als in der Vorgängervorschrift. Zuvor wurde nach § 5 Abs. 4 TDG23 und den strafrechtlich relevanten Gesetzen unter der Bedingung der Kenntnis von rechtswidrigen Inhalten24 und der Provider mit einem unverhältnismäßigen Risiko einhergehen. Vgl. dazu auch H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 8 TMG, Rdn. 7, 13; kritisch zur Verantwortlichkeit des Access Providers als Zugangsvermittler M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 752 ff. 17 Ders., Rdn. 754, 756; T. Hoeren, Grundzüge des Internetrechts, S. 279. Die Voraussetzung der Kenntnis gemäß § 10 TMG ist für Access Provider insoweit keine notwendige Bedingung für die Haftungserleichterung, als der Access Provider Daten nicht dauerhaft speichert. Die Einbeziehung der Kenntnisnahme in die Haftungsvoraussetzungen erfolgt hier analog zu den für den Host Provider gültigen Vorschriften des § 10 TMG. 18 V. Haug, Grundwissen Internetrecht, Rdn. 232; ähnlich C. Müller, Internationales Privatrecht und Internet, S. 260. 19 In der alten Fassung vom 22.7.1997, BGBl. I, S. 1870. 20 Vgl. Urteil des BGH vom 22.11.2001 für Netzbetreiber in Verbindung mit der Verantwortlichkeit bei Telefonsexentgelten, MDR 2002, 264 = MMR 2002, 91. 21 Gegen die Geltung der Regelungen für Telemedien für Access Provider vgl. T. Stadler, Sperrungsverfügungen gegen Access Provider, MMR 2002, S. 343 f.; H. Hoffmann, in: Spindler/F. Schuster, RdeM, § 8 TMG, Rdn. 1, 17; M. Köhler/H.-W. Arndt/ T. Fetzer, Recht des Internet, Rdn. 754 f. 22 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl. L 178 vom 17.7.2000. 23 In der alten Fassung vom 22.7.1997, BGBl. I, S. 1870; vgl. zur Verantwortlichkeit auf Grundlage des § 5 Abs. 4 TDG T. Hoeren, Grundzüge des Internetrechts, S. 279. 24 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 744. Der Begriff „Inhalte“ stellt im Fall des Access Providers im Vergleich zum Content Provider keine Beiträge redaktioneller Art dar, sondern Daten jeglicher Art, die im Rahmen der Internetnutzung durchgeleitet und gespeichert werden. Darunter fallen auch personenbezogene Daten, die zum Zwecke der Aktivierung und Nutzung des Internets auf eigenen oder fremden Servern gespeichert werden. Insofern sind die rechtlichen Grundlagen des TDG in der alten Fassung, nun neu in §§ 8 und 9 TMG, anwendbar; vgl. zur Ableitung

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

261

Mittäterschaft mit dem Host Provider versucht eine entsprechende Verantwortlichkeit abzuleiten.25 Mit der zu Recht aufgehobenen Entscheidung der Verantwortlichkeit der CompuServe AG für die auf zwischengeschalteten Servern gespeicherten Inhalte durch das AG München,26 betonte der Gesetzgeber den Grundsatz, wonach gemäß § 5 Abs. 3 S. 2 TDG27 die automatische und zeitlich begrenzte Vorhaltung fremder Inhalte von der Haftung auszuschließen ist. Einer unbeschränkten Erweiterung der Verantwortlichkeit wegen Mittäterschaft hat der Gesetzgeber jedoch mit der Novellierung des Teledienstegesetzes im Jahr 2002 sowie ebenfalls mit Erlass des Telemediengesetzes nicht zugestimmt. Voraussetzung für das Haftungsprivileg des § 8 TMG ist die Durchleitung von Informationen. Der Provider darf die Übermittlung jedoch nicht veranlasst haben (§ 8 Abs. 1 S. 1, Nr. 1 TMG) oder an der Auswahl des Adressaten (§ 8 Abs. 1 S. 1, Nr. 2 TMG) oder einer Auswahl oder Veränderung der zur Übermittlung bestimmten Daten und Informationen nicht beteiligt gewesen sein (§ 8 Abs. 1 S. 1, Nr. 3 TMG). Liegt einer der vorgenannten Tatbestandsmerkmale vor, so haftet der Provider in vollem Umfang, weil er Kenntnis über den Inhalt der durchgeleiteten Daten hatte.28 Wesentlich für den Access Provider ist auch die Regelung zur kurzen Zwischenspeicherung gemäß § 9 TMG, sofern Informationen beschleunigt übermittelt werden. Im Gegensatz zum Host Provider speichern Access Provider Daten nur kurzzeitig (Caching), weil diese im Falle des Abrufs einer Website durch den Nutzer schnell übermittelt und durchgeleitet werden müssen. Der Provider ist nach § 9 TMG so lange nicht verantwortlich, soweit er den Datenverkehr nicht beeinflusst. Handelt es sich hingegen bei der Durchleitung um einen rein automatisierten Ablauf, so ist die Voraussetzung einer Kenntnisnahme des Inhalts der Daten unerheblich.29 der Verantwortlichkeit von Access Providern auch Generalbundesanwalt, Einstellungsverfügung vom 26.11.1997, BJs 104/96-4, MMR 1998 (DFN-Verein), 93. 25 Die Ableitung der Verantwortlichkeit bezog sich auf andere als auf den eigenen Servern gespeicherte Inhalte; vgl. dazu T. Hoeren, Internetrecht, Stand März 2009, S. 449. 26 Zur Verurteilung vgl. AG München, NJW 1998, 2836 (CompuServe) = MMR 1998, 429; zur Aufhebung der Entscheidung in der Berufung vgl. LG München, MMR 2000, 171; vgl. kritisch zur zunehmenden Fokussierung der Rechtsprechung auf formale Kriterien der Kennzeichnung eigener und fremder Informationen M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 749; T. Hoeren, Grundzüge des Internetrechts, S. 279. 27 In der alten Fassung vom 22.7.1997, BGBl. I, S. 1870. 28 V. Haug, Grundwissen Internetrecht, Rdn. 234; H. Hoffmann, in: G. Spindler/ F. Schuster, RdeM, § 8 TMG, Rdn. 26, 29 f.; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 754 in Verbindung mit Rdn. 756. 29 H. Hoffmann, in: G. Spindler/F. Schuster, RdeM„ § 9 TMG, Rdn.1, 8 f. (Caching), 16 ff., 34 ff.; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 759 ff.

262

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Die vorgenannten Regelungen stellen jedoch keine haftungsrelevanten Normen im eigentlichen Sinne dar, weil der private Nutzer aus diesen keine Haftungsansprüche oder Anspruchsbegründungen ableiten kann. Den Regelungen der §§ 8 und 9 TMG kommt ähnlich wie bereits den Vorgängervorschriften der §§ 5 TDG und 6 MDStV vielmehr eine haftungsbegrenzende Funktion zu.30 Ferner beziehen sich die Vorschriften der §§ 8 und 9 TMG lediglich auf die strafrechtliche und schadensersatzrechtliche Haftung. Unterlassungsansprüche bleiben davon unberührt. Dies hat der Bundesgerichtshof mit seiner Rolex-Entscheidung anhand der Vorgängervorschriften zum Telemediengesetz, den §§ 8 Abs. 2 S. 2 TDG und 6 Abs. 2 S. 2 MDStV, festgestellt.31 Der Access Provider ist gemäß § 7 Abs. 2 TMG nicht dazu verpflichtet Nachforschungen über die übermittelten Informationen anzustellen oder diese ständig zu überwachen. Damit hat der Gesetzgeber anerkannt, dass die Verantwortung für Verbreitungshandlungen durch Access und Host Provider eingeschränkt werden muss, weil eine ständige Überprüfung auf Rechtsverstöße angesichts der großen Datenmengen einen unzumutbaren Aufwand darstellt.32 2. Host Provider Host Provider stellen durch eigene Server die Speicherkapazität auf Rechnern zu Verfügung, auf denen Content Provider ihre inhaltlichen Angebote speichern. Diese sind für den Nutzer in Form von Webseiten sichtbar.33 Daraus ergibt sich für den Host Provider in haftungsrechtlicher Hinsicht ein zweiteiliges Dienstleistungsspektrum:34 1. Technische Dienstleistung aus der Bereitstellung von Rechnerkapazitäten. 2. Inhaltliche Dienstleistung aus der Ermöglichung und damit Teilnahme an der Speicherung fremder Daten auf eigenen Servern. Aus 1. ergibt sich, dass der Provider als Telekommunikationsdienstleister eingeordnet wird. Dies geht mit der Bereitstellung der technischen Voraussetzungen des Access Providers einher. Die technische Komponente des Angebots unterfällt somit dem Regelungsbereich des Telekommunikationsgesetzes und kann genauer 30 Zur Haftungsbegrenzung und dem Haftungsprivileg für Provider nach § 5 TDG und § 6 MDStV in der alten Fassung vgl. V. Haug, Grundwissen Internetrecht, Rdn. 231 ff.; T. Hoeren, Grundzüge des Internetrechts, S. 279. 31 Keine Geltendmachung der Haftungsprivilegien für den Unterlassungsanspruch, Rolex-Urteil des BGH, vom 11.03.2004, I ZR 304/01, NJW 2004, 3102 = MMR 2004, 668 m. Anm. Hoeren = CR 2004, 763 m. Anm. Volkmann. 32 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 768; V. Haug, Grundwissen Internetrecht, Rdn. 204. 33 A. Wien, Internetrecht, S. 4; B. Eichhorn, Internetrecht, S. 39; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102. 34 V. Haug, Grundwissen Internetrecht, Rdn. 204.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

263

dem Bereich der Telekommunikationsdienstleistungen anhand § 3 Nr. 6 b TKG zugeordnet werden. Danach „ist ,Diensteanbieter‘ jeder, der ganz oder teilweise geschäftsmäßig a) Telekommunikationsdienste erbringt oder b) an der Erbringung solcher Dienste mitwirkt“.

Weiter folgt aus 2., dass der Host Provider Dienstleistungen in Form von Telemedien anbietet und damit die Vorschriften des Telemediengesetzes für den Datenverkehr anwendbar sind. Der Host Provider ist jedoch nicht nur Diensteanbieter gemäß § 2 Abs. 1 TMG, weil er Telemedien zur Nutzung bereithält, sondern auch aufgrund des teilweise erweiterten Angebotsspektrums in Form der Erstellung (Programmierung von Funktionen) und Gestaltung der visuell sichtbaren Oberfläche von Webseiten (Webdesign).35 Für dieses Angebot steht der Provider in einem vertraglichen Verhältnis zu seinem Kunden, dem Content Provider. Daraus resultiert für die Verantwortlichkeit für unzulässige oder unrichtige Datenverwendung, dass der Host Provider ähnlich wie der Access Provider zum einen eigene Daten (Bestands-, Verkehrs- und Abrechnungsdaten) aus dem vertraglichen Verhältnis mit dem Kunden vorhält. Zum anderen verfügt er auch über Zugriff auf fremde Daten, die er auf Abruf des Nutzers einer Website durchleitet oder auf eigenen Servern speichert.36 Für die unzulässige Verwendung eigener, personenbezogener Daten haftet der Host Provider aus seiner Eigenschaft als Telekommunikationsdienstleister (§ 3 Nr. 6b TKG) nach den Vorschriften zum Datenschutz aus Abschnitt 2 des Telekommunikationsgesetzes, genauer gemäß § 91 Abs. 1 TKG in Verbindung mit § 88 TKG (Fernmeldegeheimnis).37 Analog der Verantwortlichkeit des Access Providers unterliegt auch hier die Datenverwendung im Zusammenhang mit der Leistungserfüllung aus dem vertraglichen Verhältnis mit dem Kunden den Vorschriften der §§ 95 (Vertragsverhältnisse), 96 (Verkehrsdaten) und 97 (Entgeltermittlung und Entgeltabrechnung) TKG. Soweit es sich um vertragliche Leistungen mit Wirkung auf die Offline-Welt, beispielsweise die Zusendung von schriftlichen Unterlagen oder Softwareprogrammen per Post an den Nutzer handelt, ist die Datenerhebung nur gemäß den Vorschriften der §§ 4 i.V. m. 4a, 28 und 29 BDSG zulässig. Der Haftungsumfang und Schadensersatzpflicht des Providers 35 T. Strömer, Online-Recht, 3. Aufl., S. 10; V. Haug, Grundwissen Internetrecht, Rdn. 205. 36 Zu Eigenschaft des Access Providers vgl. M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103 f.; vgl. zum des Begriff der Daten, welcher gemäß Telemediengesetz als Information geführt und die Vorschriften der §§ 8, 9 und 10 TMG zugrunde gelegt werden, H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 7 TMG, Rdn. 10 f. 37 Vgl. dazu J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 91 TKG, Rdn. 7 f.; zu § 88 TKG ders., § 88 TKG, Rdn. 1 f.

264

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

infolge einer unzulässigen oder unrichtigen Datenverarbeitung ergibt sich für den Betroffenen aus § 7 BDSG.38 Für fremde Informationen gelten dieselben Grundlagen zur Haftung wie für Access Provider gemäß den Vorschriften der §§ 7, 8 und 9 TMG. Darüber sind für den Host Provider infolge seines Angebots, Content Providern Speicherplatz zur Verfügung zu stellen, die Vorschriften zur Verantwortlichkeit für die dauerhafte Speicherung fremder Informationen gemäß § 10 TMG (Hosting) einschlägig: „Diensteanbieter sind für fremde Informationen, die sie für einen Nutzer speichern nicht verantwortlich, sofern 1. sie keine Kenntnis von der rechtswidrigen Handlung oder der Information haben und ihnen im Falle von Schadensersatzansprüchen auch keine Tatsachen oder Umstände bekannt sind, aus denen die rechtswidrige Handlung oder die Information offensichtlich wird oder, 2. sie unverzüglich tätig geworden sind, um die Information zu entfernen oder den Zugang zu ihr zu sperren, sobald sie die Kenntnis erlangt haben.“

Der Gesetzgeber hat die Haftungsbefreiung für Host Provider an zwei anspruchsbegründende Tatbestandsmerkmale geknüpft: Zum einen muss eine rechtswidrige Handlung im Zusammenhang mit der Erhebung und Speicherung von Daten oder Informationen erfolgt sein, zum anderen muss der Diensteanbieter darüber Kenntnis haben.39 Auch hier wirken die Vorschriften, wie für den Access Provider, haftungsbegrenzend. Eine unbegrenzte Haftung würde trotz des Tatbeitrags des Providers im Rahmen seiner geschäftlichen Tätigkeit zu unverhältnismäßigen Risiken sowie Forderungen seitens der Betroffenen führen. Bei mangelnder Kenntnis über die Rechtswidrigkeit der übermittelten und gespeicherten Informationen ist der Provider von der Haftung befreit. Erlangt er jedoch Kenntnis darüber und leitet die nach § 9 S. 1 Nr. 5 TMG erforderlichen Maßnahmen unverzüglich ein, entfällt die Haftung wegen mangelnder Verantwortlichkeit gemäß § 9 S. 1 TMG.40 Der Wortlaut des § 10 TMG knüpft direkt an die bedingte Verantwortlichkeit der ehemals gültigen Vorschrift des § 5 Abs. 2 TDG in seiner alten Fassung an.41 38 S. Simitis, in: ders., BDSG, § 7, Rdn. 9 ff., 18 ff.; P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 3 ff., 16 ff. 39 T. Hoeren, Internetrecht, Stand März 2009, S. 452; vgl. dazu auch J. Wessels/W. Beulke, Strafrecht, Rdn. 723; H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 10 TMG, Rdn. 18 ff., 21 ff.; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 764 f. 40 H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 9 TMG, Rdn. 16 ff., 33; M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 770; T. Hoeren, Grundzüge des Internetrechts, S. 280 f. 41 Die vormals gültigen Vorschrift des § 5 Abs. 2 TDG stellte Provider bei zur Nutzung vorgehaltenen fremden Daten von der Haftung für diese grundsätzlich frei. Der

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

265

Eine Haftung war danach nur gegeben, sofern der Provider fremde, rechtswidrige Inhalte bewusst zum Abruf bereithielt. Nach den neuen Vorschriften des Telemediengesetzes obliegt dem privaten Nutzer des WWW nun für den Fall, dass unzulässig erhobene Daten durch den Provider gespeichert und weitergeleitet werden, die vollständige Darlegungs- und Beweislast, dass der Diensteanbieter entgegen seiner Kenntnis über die Rechtswidrigkeit der fremden Informationen gemäß § 10 Abs. 2 TMG nicht unverzüglich tätig geworden ist.42 Die in § 10 TMG festgelegte Voraussetzung über die Kenntnis der mit den gespeicherten Daten in Verbindung stehenden rechtswidrigen Handlungen stellt den Provider vor die Frage, welcher Aufwand für ihn nötig ist, um das Haftungsprivileg in Anspruch nehmen zu können. Nach § 7 Abs. 2 TMG sind Diensteanbieter nicht verpflichtet, die von ihnen übermittelten oder gespeicherten Informationen zu überwachen oder nach den Umständen einer mit den Daten verbundenen rechtswidrigen Handlung zu forschen.43 So ist zu klären, ob eine Kenntnis der rechtswidrigen Inhalte ausreicht oder diese auch als eindeutig rechtswidrig bewertet werden müssen.44 Die vollständige Bewertung von Informationen als rechtswidrig wird deshalb befürwortet, da mit der Klärung der Rechtslage ein höherer Aufwand verbunden ist und damit eine höher gelegte rechtliche Hürde für den Provider gerechtfertigt wäre.45 Im Sinne der Rechtssicherheit für Provider und betroffene Nutzer ist aufgrund der fehlenden Unterscheidung zwischen Zivil- oder Strafrecht im Wortlaut des § 10 TMG die folgende Differenzierung nach der Gesetzesbegründung des Bundestags46 maßgeblich: 1. Ist der Inhalt der Daten als solcher objektiv rechtswidrig, dann reicht die alleinige Kenntnis für die Inanspruchnahme des Haftungsprivilegs aus. 2. Ist der Inhalt nicht bereits als solcher zu beanstanden, sondern die Rechtswidrigkeit aus der Verletzung der subjektiven Rechte anderer, sogenannte Schadensersatzansprüche auslösende Umstände, so muss auch eine Kenntnis der Provider haftete nur unter der Bedingung, dass er Kenntnis über die Inhalte hatte und über eine für ihn zumutbare technische Möglichkeit verfügte, deren weitere Verbreitung zu verhindern. T. Hoeren, Grundzüge des Internetrechts, S. 280. 42 H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 10 TMG, Rdn. 41 ff., 51 ff. 43 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 768; so auch H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 8 TMG, Rdn. 28 ff. 44 V. Haug, Grundwissen Internetrecht, Rdn. 239; vgl. dazu auch BGH, Urteil v. 27.01.1994, I ZR 326/91, NJW 1994, 2289 ff. zu § 826 BGB. 45 T. Strömer, Online-Recht, 3. Aufl., S. 223. 46 BT-DRs. 14/6098, S. 25; so S. Eck/P. Ruess, Haftungsprivilegierung der Provider nach der E-Commerce-Richtlinie. Umsetzungsprobleme dargestellt am Beispiel der Kenntnis nach § 11 Satz 1 Ziff. 1 TDG, MMR 2003, 363; M. Köhler/H.-W. Arndt, Recht des Internet, S. 239.

266

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Rechtsverletzung vorliegen, damit die Haftung vom Provider ausgeschlossen werden kann. Im Falle der fehlenden Erlaubnis des Rechteinhabers für die Verbreitung seiner Daten umfasst die Kenntnis auch eine fehlende Verwendungsberechtigung. Im Zusammenhang mit dem Schutz personenbezogener Daten und dem Eingriff in das Recht auf informationelle Selbstbestimmung sowie der Privatsphäre des betroffenen Nutzers, sind die unter 1. genannten rechtswidrigen Inhalte (beispielsweise Pornografie, Beleidigung, Aufforderung zu Straftaten) nachrangig. Hingegen ist die Verletzung der subjektiven Rechte in Form eines Eingriffs in das allgemeine Persönlichkeitsrecht des Nutzers, mit den unter 2. genannten Kriterien zur Verantwortlichkeit des Host Providers maßgeblich. In jedem Fall ist bei der Anwendung des § 10 TMG von einer engen Auslegung des Tatbestands der Kenntnisnahme auszugehen. Diese impliziert, dass ein objektiver Nachweis für die subjektive Rechtsverletzung gegeben ist.47 Fraglich bleibt hingegen, ob die Tatsache, dass die mangelnde Kenntnis des Providers allein ausreicht, um eine Haftungsausschluss in Anspruch zu nehmen, der Entwicklung einer verstärkten Selbstkontrolle der Provider und damit einer von Seiten der staatlichen Organe geförderten effektiven Kontrolle des WWW entgegen steht.48 Dies hat auch das Landgericht München in seiner Entscheidung zum Fall „AOL MIDI Files“ erkannt.49 Demnach liegt durch die amtliche Auslegung des § 10 TMG insofern ein Verstoß gegen Art. 14 GG vor, weil die Voraussetzung der mangelnden Kenntnis einer Aufforderung zur bewussten Missachtung von Datenmaterial mit eventuell zivil- oder strafrechtlich relevantem Bezug gleichkommt, solange dies für den Provider haftungsbefreiende Wirkung hat. Da diesem Ermessensspielraum nicht stattgegeben werden könne, fordert das Landgericht in diesem Zusammenhang Prüfungspflichten für die Umstände einzuführen, die die Rechtswidrigkeit begründen. Da Art. 15 Abs. 1 der E-Commerce-Richtlinie jedoch ausdrücklich eine Prüfungspflicht verneint, bleibt zu konstatieren, dass der Regelungsumfang des § 10 TMG an dieser Stelle erhebliche Lücken aufweist, die eine Privilegierung von Providern durch den Gesetzgeber gegenüber dem Schutz der subjektiven Rechten des privaten Nutzers erkennen lässt.

47 Ders., Recht des Internet, Rdn. 768; T. Strömer, Online-Recht, 3. Aufl., S. 223; dies kann unter anderem durch ein rechtskräftiges Urteil gegen den für den Inhalt verantwortlichen Content Provider gegeben sein. Vgl. dazu auch V. Haug, Grundwissen Internetrecht, Rdn. 242; H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 10 TMG, Rdn. 21 ff. 48 T. Hoeren, Internetrecht, Stand März 2009, S. 452 f.; kritisch dazu auch M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 770. 49 LG München I, Urteil vom 30.3.2000, 7 O 3625/98, MMR 2000, 434; so auch T. Hoeren, Internetrecht, Stand März 2009, S. 280.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

267

3. Content Provider Der Content Provider ist durch seine Eigenschaft, eigene Inhalte und Angebote im WWW bereit zu stellen, lediglich für die von ihm verwendeten, eigenen Daten verantwortlich.50 Hier lassen sich als Datenarten Nutzungsdaten, die aufgrund der Nutzung der Website entstehen, sowie Bestandsdaten, die online erhoben werden und nicht mit der Nutzung des Angebots sondern mit einem offline zu erfüllenden Vertragsverhältnis in Zusammenhang stehen, unterscheiden. Die Verantwortlichkeit und Schadensersatzpflicht gegenüber dem Betroffenen richtet sich nach § 7 BDSG.51 Für Nutzungsdaten, die der Content Provider aus dem Angebot seiner Website vom privaten Nutzer erhebt, speichert und verarbeitet, haftet er im Rahmen seiner Verantwortlichkeit für eigene Informationen gemäß den Vorschriften des § 7 Abs. 1 TMG.52 Die Erhebung und Verwendung personenbezogener Daten für Anbieter von Telemedien ist weiter in Abschnitt 4 des Telemediengesetzes zum Datenschutz geregelt. Die Vorschriften des § 11 Abs. 1 TMG haben für die bereit gestellten Angebote von Telemedien keine Geltung, sofern Daten in folgendem Zusammenhang verarbeitet werden:53 1. im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken sowie 2. innerhalb nicht öffentlichen Stellen oder öffentlichen Stellen zur ausschließlichen Steuerung von Arbeits- und Geschäftsprozessen. Der Provider hat die in § 12 TMG festgelegten Grundsätze zur Erhebung und Verwendung personenbezogener Daten zu beachten, welche weitgehend den Grundsätzen des § 4 in Verbindung mit § 4a BDSG über die Zweckbindung sowie Erforderlichkeit der Einwilligung des Betroffenen entsprechen.54 Personenbezogene Daten dürfen ferner gemäß §§ 14 und 15 TMG im Wege der Erhebung von Bestands- oder Nutzungsdaten nur insoweit verwendet werden, als sie dafür erforderlich sind, ein Vertragsverhältnis zwischen dem Diensteanbieter und dem Nutzer über die Nutzung von Telemedien zu begründen, auszugestalten oder zu ändern sowie den Zugang dazu oder die Abrechnung zu ermöglichen.

50

Ders., S. 276. S. Simitis, in: ders., BDSG, § 7, Rdn. 9 ff., 18 ff.; P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 3 ff., 16 ff. 52 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 747 ff.; zum Begriff der eigenen Informationen vgl. Gesetzesbegründung des Bundestags zum Informations- und Kommunikationsdienste Gesetz (IuKDG), BT-Drs. 13/7385 vom 9.4.1997, S. 19. 53 G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 11 TMG, Rdn. 10. 54 Ders., § 12 TMG, Rdn. 4, 7; ferner S. Simitis, in: ders., § 4a, Rdn. 18 ff., 64 ff. 51

268

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Für den Schutz personenbezogener Daten sind die Regelungen des § 14 TMG nicht relevant, weil vertragliche Daten, welche die Nutzung von Telemedien möglich machen, meist durch den Host Provider erhoben und verarbeitet werden. Indes trifft § 15 TMG lediglich auf solche Angebote im WWW zu, bei denen der Vertragsschluss, die Leistungserfüllung sowie Abrechnung online erfolgt.55 Bei der unzulässigen Verwendung von Bestandsdaten durch den Content Provider kann dieser gemäß seiner Verantwortlichkeit aufgrund einer vertraglichen oder deliktischen Haftung in Anspruch genommen werden.56 Die vertragliche Haftung erstreckt sich auf die unzulässige Verarbeitung personenbezogener Daten, die beispielsweise im Wege des E-Commerce zum Zwecke der Abrechnung, Lieferung und Leistung durch den Anbieter erhoben und gespeichert wurden. Werden personenbezogene Daten regelmäßig für eigene Zwecke verarbeitet, stellt die Verantwortlichkeit für die zweckgebundene Verarbeitung eine vertragliche Begleitpflicht gemäß § 242 BGB im Rahmen des zugrunde liegenden Rechtsgeschäfts dar.57 Der Anbieter haftet somit für die unzulässige oder unrichtige Datenverarbeitung oder -nutzung im Rahmen des Vertragsschlusses aus § 280 Abs. 1 BGB auch im Rahmen seiner Nebenpflicht wegen Pflichtverletzung. Der Umfang der Haftung ist gemäß § 280 Abs. 2 und 3 BGB auf den Ersatz des materiellen Schadens begrenzt.58 Leitet der Anbieter die erhobenen Daten zum Zweck der Abrechnung oder Lieferung an dritte Personen weiter, so liegt eine Datenverarbeitung im Auftrag nach § 11 BDSG vor.59 Hier haftet der Verursacher auf der Grundlage des vorliegenden Geschäftsbesorgungsvertrags gemäß § 675 BGB.60 Die Verpflichtung, die Daten vertraulich zu verwenden, stellt hier keine Nebenpflicht, sondern 55 Hier lassen sich beispielsweise Video-on-Demand-Angebote sowie der elektronische Wertpapierhandel (E-Broking) nennen; vgl. dazu G. Spindler/J. Nink, in: G. Spindler/F. Schuster, RdeM, § 15 TMG, Rdn. 2 f. 56 T. Hoeren, Grundzüge des Internetrechts, S. 276 ff. 57 Zur Verpflichtung der Erfüllung der Leistung nach Treu und Glauben als auf das gesamte Private und Öffentliche Recht anwendbare Generalklausel vgl. R. Schulze, in: H. Dörner u. a., BGB, § 242, Rdn. 4, 11 f., welcher insbesondere auf eine Auslegung der privatrechtlichen Regelung anhand der Wertordnung des Grundgesetzes hinweist; vgl. ergänzend zum Vertrauensschutz BGHZ 94, 351 (351 ff.); weiter auch T. Hoeren, Internetrecht, Stand April 2011, S. 411. 58 R. Schulze, in: H. Dörner u. a., BGB, § 280, Rdn. 1 f., 4 in Verbindung mit §§ 281–283 BGB; T. Hoeren, Grundzüge des Internetrechts, S. 276. 59 Vgl. dazu S. Walz, in: S. Simitis, BDSG, § 11, Rdn. 13 ff. 60 R. Schulze, in: H. Dörner u. a., BGB, § 675, Rdn. 3, 13. So liegt beispielsweise ein Geschäftsbesorgungsvertrag eines Providers bei der Durchführung von Aktiengeschäften im Wege des E-Bankings vor. Hier handelt die Bank im Auftrag des Kunden, nimmt den Auftrag zum Aktienkauf durch den Kunden an und leitet diesen an eine dritte Stelle zur Abwicklung weiter.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

269

Hauptbestandteil des Vertrags dar. Im Fall der unzulässigen Verwendung personenbezogener Daten haftet der im Auftrag Handelnde somit wegen Nichterfüllung und ist dem Auftraggeber zum Ersatz des daraus entstehenden Schadens verpflichtet. Bei einmaligen Aufträgen kann ein Rücktritt vom Vertrag erfolgen.61 Für den betroffenen Nutzer sind die genannten vertraglichen Ansprüche, die sich vorwiegend auf den Ersatz eines materiellen Schadens beziehen, eher von sekundärem Interesse. Ausschlaggebend für den Schutz vor Eingriffen in die Privatsphäre und das Recht auf informationelle Selbstbestimmung des Einzelnen sind diejenigen Haftungsregelungen, welche einen Anspruch des Ausgleichs eines immateriellen Schadens beinhalten. Art und Umfang der Ansprüche regeln die für die deliktsrechtliche Verantwortlichkeit geltenden gesetzlichen Regelungen des Bürgerlichen Gesetzbuchs, des Bundesdatenschutzgesetzes sowie des Telemediengesetzes. Wobei den Vorschriften des Bundesdatenschutzgesetzes gegenüber den spezialgesetzlichen Regelungen des Telemediengesetzes lediglich eine subsidiäre Funktion zukommt. Das Bundesdatenschutzgesetz differenziert analog seiner Struktur zwischen Haftungsregelungen für öffentliche und nicht-öffentliche Stellen. Im Gegensatz zum nicht-öffentlichen Bereich, welcher von den Vorschriften des § 7 BDSG erfasst wird, existiert für öffentliche Stellen eine klare Abgrenzung der Verantwortlichkeit anhand der gesonderten Anspruchsnorm des § 8 Abs. 1 BDSG. Danach haften öffentliche Stellen verschuldensunabhängig (verschuldensunabhängige Gefährdungshaftung) für jegliche unrichtige oder unzulässige Datenverarbeitung. Unterschieden werden dabei unterschiedliche Schweregrade der Verletzung des Persönlichkeitsrechts. Liegt ein besonderer Schweregrad vor, so haftet die verursachende Stelle aus § 8 Abs. 2 BDSG auch für nicht als Vermögensschaden deklarierte immaterielle Schäden des Betroffenen. Insgesamt sind der Haftungsumfang für den Anbieter und damit die Ansprüche des Betroffenen für materielle und immaterielle Schäden gemäß § 8 Abs. 3 S. 1 BDSG auf einen Betrag bis zu 130.000 A begrenzt.62 Zur Regelung der Haftung für Schäden durch die unzulässige oder unrichtige Verarbeitung personenbezogener Daten im nicht-öffentlichen Bereich weist das

61 Die Verarbeitung im Auftrag stellt für Fragen der Haftung einen Sonderfall dar, bei der der ursprüngliche Auftraggeber gegenüber der verarbeitenden dritten Stelle zum Betroffenen wird und damit gesetzlich Rechte aus Vertrag geltend machen kann. Dies soll im Rahmen dieser Arbeit jedoch nicht weiter vertieft werden, da im Zuge der Untersuchung der Eingriffe in die Privatsphäre primär der private Nutzer des WWW, der Angebote in Anspruch nimmt, im Vordergrund steht. 62 S. Simitis, in: ders., BDSG, § 8, Rdn. 12 ff.; P. Gola/R. Schomerus, Kommentierung des § 8 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 9. Aufl. 2007, Rdn. 7 ff.

270

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Bundesdatenschutzgesetz neben der grundlegenden Schadensersatzanspruchsnorm des § 7 BDSG keine gesonderte Norm auf. Voraussetzung für die Anknüpfung von Schadensersatzansprüchen ist, dass die verarbeitende Stelle schuldhaft handelt. Die Beweislast obliegt gemäß 7 BDSG für den nicht-öffentlichen Bereich dem Verursacher.63 Für die unzulässige Datennutzung des Content Providers in Verbindung mit vertraglichen Rechtsgeschäften finden die schadensersatzrechtlichen Vorschriften des § 823 Abs. 1 BGB Anwendung.64 Maßgeblich im Rahmen des Schutzes des Rechts auf informationelle Selbstbestimmung und der Privatsphäre ist für den Nutzer insbesondere der immaterielle Schaden, welcher infolge eines Datenmissbrauchs und damit einem Eingriff in die Befugnis des Betroffenen, grundsätzlich selbst über die Preisgabe oder Verwendung seiner Daten frei entscheiden zu dürfen, resultiert.65 Die Haftung des Content Providers erstreckt sich damit sowohl auf den materiellen wie immateriellen Schaden, welcher dem Betroffenen aus der unzulässigen oder unrichtigen Verarbeitung seiner Daten entsteht. Dies rekurriert direkt auf das allgemeine Persönlichkeitsrecht, welches verfassungsrechtlich durch Art 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG als Schutzgut verankert ist.66 Die privatrechtliche Vorschrift des § 823 Abs. 1 BGB schließt auch eine zivilrechtliche Haftung des Content Providers als Verursacher von Persönlichkeitsverletzungen aufgrund unzulässiger oder unrichtiger Verarbeitung personenbezogener Daten im WWW ein:67 „Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.“

Über den Schadensersatzanspruch hinaus kann der Betroffene auch Beseitigungs- und Unterlassungsansprüche gemäß § 823 Abs. 1 BGB gegen den Content Provider geltend machen.68 Dazu ist der Anbieter bereits aus den Vorschriften des § 7 TMG verpflichtet, weil er für eigene Inhalte sowie die Erhebung und 63 P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 3 ff., 16 ff.; S. Simitis, in: ders., BDSG, § 7, Rdn. 9 ff., 18 ff. 64 T. Hoeren, Grundzüge des Internetrechts, S. 278; A. Staudinger, in: H. Dörner u. a., BGB, § 823, Rdn. 11 ff. 65 Vgl. BVerfGE 65, 1 (42 f.). 66 Zur Anerkennung des allgemeinen Persönlichkeitsrechts als Schutzgut vgl. Schacht-Brief Entscheidung des BGH vom 25.5.1954, BGHZ 13, 334 (335 ff.) = NJW 1954, 1404. 67 Vgl. BGHZ 45, 296 (307); 50, 133 (143); BGH, NJW 1984, 1886. 68 A. Staudinger, in: H. Dörner u. a., BGB, § 823, Rdn. 1, 3, 42, 90 ff., 99, mit besonderem Verweis auf das allgemeine Persönlichkeitsrecht auf Basis des Rechts auf Schutz der Menschenwürde und der individuellen Persönlichkeit sowie des unbefugten Eindringens Dritter in die geschützte Privatsphäre des Betroffenen, welches unter die von § 823 Abs. 1 BGB erfassten sonstigen Rechte subsumiert wird.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

271

Verwendung personenbezogener Daten in Verbindung mit dem Angebot von Telemedien verantwortlich ist. Die zivilrechtlichen Ansprüche des § 823 BGB übersteigen die nach dem Bundesdatenschutzgesetz zuerkannten Rechte des Betroffenen auf Berichtigung, Sperrung und Löschung aus § 6 in Verbindung mit §§ 34 und 35 BDSG insoweit, als sie auch auf die Verarbeitung von Daten durch Dritte anwendbar sind. Dies ist allerdings nur dann von Belang, sofern es sich um eine Datenverarbeitung im Auftrag handelt. Wurde ein Schutzgesetz verletzt, so kann für die Frage nach der Haftung des Providers die Anspruchsnorm des § 823 Abs. 2 BGB herangezogen werden: „Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.“

Gemäß Art. 2 EGBGB ist jede Rechtsnorm ein Schutzgesetz, die dem Schutz der Interessen anderer dienen soll. § 823 BGB ist als Anspruchsnorm für den Schutz der unzulässigen oder unrichtigen Verarbeitung personenbezogener Daten durch Provider jedoch nur anwendbar, sofern diese Vorschrift nach einer Prüfung im Einzelfall auch tatsächlich den Interessen des Betroffenen dient.69 Trifft dies zu, so haftet der Provider gegenüber dem privaten Nutzer des WWW nach § 823 Abs. 2 BGB auch für den entstandenen Vermögensschaden. § 823 Abs. 1 BGB rekurriert hingegen nur auf den Ausgleich eines immateriellen Schadens.70 Die zivilrechtlichen Vorschriften sind im Verhältnis zu den Grundrechten als Rahmenrecht und damit stets nur unter der Maßgabe und Prüfung der Reichweite und Grenzen der Art. 1 Abs. 1 und Art. 2 Abs. 1 GG anwendbar. Ob es sich um eine Verletzung des allgemeinen Persönlichkeitsrechts handelt, ergibt sich aus dem Umfang der Verletzungshandlungen im Rahmen der unzulässigen Datenverarbeitung gemäß den Vorschriften des Bundesdatenschutzgesetzes. Analog der §§ 4 und 7 BDSG liegen Gefahrenmomente und Verletzungsmöglichkeiten für die der Provider als nicht-öffentliche Stelle haftet, bei der Erhebung, Speicherung und weiteren Nutzung (beispielsweise Weitergabe der Daten an unbefugte Dritte) personenbezogener Daten.71 Ansprüche gegenüber dem Betroffenen erwachsen nur insoweit, als ein schuldhaftes Handeln des Providers 69

T. Hoeren, Internetrecht, Stand März 2011, S. 418. A. Staudinger, in: H. Dörner u. a., BGB, § 823, Rdn. 141 ff.; zur Haftung gemäß § 823 BGB ferner S. Simitis, Kommentierung des § 7 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 32. 71 P. Gola/R. Schomerus, in: ders., BDSG, § 4, Rdn. 8 f., 15 ff.; B. Sokol, in: S. Simitis, BDSG, § 4, Rdn. 19 ff.; P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 3 ff.; S. Simitis, in: ders., BDSG, § 7, Rdn. 6, 16, 18 ff. 70

272

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

vorliegt. Analog der Entscheidung des Bundesgerichtshofs vom 29. Juni 1999 in der Sache „Caroline von Monaco“ sind die Vorschriften gemäß § 823 BGB für die Verletzung der Privatsphäre des Einzelnen durch nicht-öffentliche Stellen aufgrund der bestehenden Unüberschaubarkeit des Angebots für den Betroffenen entsprechend anwendbar.72 So ist der Nachweis des betroffenen Nutzers darüber ausreichend, welche betreffende Stelle seine persönlichen Daten auf unzulässige oder unrichtige Weise verarbeitet hat und damit für den ihm daraus entstandenen Schaden verantwortlich ist. Die Beweislast über eine mangelnde Ursächlichkeit für den Schaden sowie der Nachweis über mangelndes Verschulden der Mitarbeiter liegen damit letztendlich beim verantwortlichen Provider.73 Besondere Bedeutung erlangt dies im Zusammenhang mit der Haftung bei Verstößen gegen das Bankgeheimnis, beispielsweise im Wege des E-Bankings über das WWW. In diesem Fall haftet der Provider gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG.74 Öffentliche Stellen hingegen haften für ihre Datenverarbeitung gemäß den Vorschriften des § 8 BDSG. Im Unterschied zu § 7 BDSG haften öffentliche Stellen gemäß § 8 BDSG auch verschuldensunabhängig (vgl. dazu auch § 275 BGB). Sie sind damit in jedem Fall zum Ersatz eines aus der unzulässigen oder unrichtigen Verwendung personenbezogener Daten entstandenen Schadens verpflichtet. Dabei ist unerheblich ob ein fahrlässiges oder vorsätzliches Verhalten vorliegt.75 Insgesamt kann der Content Provider vom Haftungsprivileg der Access und Host Provider keinen Gebrauch machen, weil sämtliche personenbezogene Daten von ihm selbst erhoben, gespeichert und verarbeitet werden. Er haftet damit nach den allgemeinen sowie den spezialgesetzlichen Vorschriften des Bundesdatenschutzgesetzes und des Telemediengesetzes unbegrenzt für materielle und insbesondere immaterielle Schäden, die dem Betroffenen aufgrund einer unzulässigen oder unrichtigen Verwendung seiner personenbezogenen Daten entstehen.

72 BGHZ 128, 1 (14 f.) zur Anwendbarkeit des § 823 BGB zum Ersatz von immateriellen Schäden aus der Verwendung personenbezogener Daten analog der Verletzung des Persönlichkeitsrechts; vgl. zur deliktischen Produzentenhaftung und Anwendbarkeit des § 823 BGB auch Hühnerpest Entscheidung des Bundesgerichtshofs vom 16.11. 1968, BGHZ 51, 91 (92 ff.) = NJW 1969, 269; missverständlich dazu P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 10; vgl. dazu S. Simitis, in: ders., BDSG, § 7, Rdn. 32. 73 P. Gola/R. Schomerus, in: ders., BDSG, § 7, Rdn. 8; S. Simitis, in: ders., BDSG, § 7, Rdn. 16. A. Staudinger, in: H. Dörner u. a., BGB, § 823, Rdn. 86, zu Abs. 2, Rdn. 155; I. Wind, Haftung bei der Verarbeitung personenbezogener Daten, RDV 1991, 16, 23. 74 P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 4, 9, 27. 75 S. Simitis, Kommentierung des § 8 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 12 f.; P. Gola/R. Schomerus, in: ders., BDSG, § 8, Rdn. 4, welcher die Anknüpfung des Schadens aufgrund der verschuldensunabhängigen Haftung öffentlicher Stellen an die Einordnung als Gefährdungstatbestand vertritt.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

273

Zum Haftungsprivileg und der Beweislast für Access und Host Provider hat der Bundesgerichtshof für die vor dem Inkrafttreten des Telemediengesetzes gültigen Vorschriften des § 5 TDG und § 5 MDStV76 festgestellt, dass die Haftungsbeschränkungen negative Tatbestandsmerkmale der jeweiligen allgemeinen Haftungsnormen darstellen:77 „Die Voraussetzungen der Verantwortlichkeit nach § 5 Abs. 2 TDG i. d. Fassung vom 22.7.1997 sind als anspruchsbegründende Merkmale für eine Haftung des fremde Inhalte anbietenden Internetproviders nach § 823 BGB anzusehen.“

Bereits in der novellierten Fassung des Teledienstegesetzes und des Mediendienstestaatsvertrags78 erfuhr dies durch den Gesetzgeber eine grundlegende Änderung und wurde mit der Vereinheitlichung der Gesetze für Tele- und Mediendienste in die Vorschriften des § 7 TMG übernommen. Durch die Formulierung der Anspruchsnormen als rechtshindernde Einwendungen mit überwiegend negativen Tatbestandsmerkmalen liegt die Beweislast über die mangelnde Kenntnis des rechtswidrigen Bezugs der von ihm übermittelten oder gespeicherten Informationen analog der §§ 7 und 8 BDSG nun vollständig beim Provider. II. Störerhaftung Neben der zivilrechtlichen und spezialgesetzlichen Verantwortlichkeit von Providern können diese auch verschuldensunabhängig nach den öffentlich-rechtlichen Grundsätzen der Störerhaftung aufgrund Unterlassung durch staatliche Behörden in Anspruch genommen werden. Voraussetzung ist, dass sie einen kausalen Tatbeitrag zu einer Störung der öffentlichen Sicherheit oder Ordnung geleistet haben.79

76 In der vormals gültigen Fassung vom 22.7.1997, zuletzt außer Kraft getreten mit dem Erlass des Telemediengesetzes (TMG). 77 Zur Providerhaftung für Internetseiten vgl. BGH, Urteil v. 23. 9. 2003, VI ZR 335/ 02, NJW 2003, 3764 = MMR 2004, 166 m. Anm. T. Hoeren = CR 2004, 48 m. Anm. G. Spindler; damit lag die Beweislast der Voraussetzungen des Haftungsausschlusses beim Haftungsgläubiger. Das Gericht entschied in diesem Fall, dass der Nachweis vom betroffenen Anspruchsteller zu erfolgen hat, da es dem Provider unzumutbar sei aufgrund der technisch bedingten Vervielfachung von Inhalten und der Unüberschaubarkeit der in ihnen gebundenen Risiken von Rechtsgutverletzungen alle Inhalte auf ihre Rechtmäßigkeit hin zu prüfen. Zu den Voraussetzungen der Beweislast aufgrund dieses Urteils vgl. auch V. Haug, Grundwissen Internetrecht, Rdn. 246. 78 In der vom 10. November 2006 geänderten und bis zum 1. März 2007 gültigen Fassung. 79 Zur verschuldensunabhängigen Verantwortlichkeit vgl. VGH Mannheim, Beschluss vom 14.12.1989, 1 S 2719/89, NVwZ 1990, 781, 783; vgl. dazu auch B. Drews/ G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr. Allgemeines Polizeirecht (Ordnungsrecht) des Bundes und der Länder, 9. Aufl. 1986, S. 293; weiter auch V. Haug, Grundwissen Internetrecht, Rdn. 249; C. Volkmann, Der Störer im Internet, 2005, S. 206 f.

274

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Gemäß § 59 RStV wird dem Content Provider (§ 59 Abs. 3 RStV) sowie Host und Access Provider (§ 59 Abs. 4 RStV) die Eigenschaft als Störer zuerkannt.80 Eine Zuordnung zu den einzelnen Störertypen ist auf Basis dieser Normen allerdings nicht möglich. Sind die Voraussetzungen der Ermächtigungsgrundlage des § 59 RStV erfüllt, so sind die polizeilichen Behörden zu einem präventiven Vorgehen berechtigt. Dabei wird auf Grundlage des Polizei- und Ordnungsrechts zwischen Verhaltens-, Zustands- und Nichtstörer unterschieden.81 Für die eindeutige Zuordnung polizeilicher Maßnahmen zu der mit der Beteiligung am Datenverkehr im WWW verbundenen Verantwortlichkeit sollen die Provider den genannten Störerarten genauer zugeordnet werden. Analog der Grundlagen des allgemeinen Sicherheitsrechts erfolgt in der Literatur die Einordnung von Content Providern regelmäßig als Handlungsstörer, der Host oder Service Provider als Zustandsstörer sowie der Access Provider als Nichtstörer.82 Diese Differenzierung der Störereigenschaften knüpft an die zivilrechtliche Verantwortlichkeit an, gemäß derer die ursächliche Entstehung des Schadens an einem Rechtsgut maßgeblich ist. Berücksichtigt werden zwar die Grundsätze der Haftungsprivilegierung. Jedoch erscheint diese Zuordnung im Hinblick auf die damit verbundene Ermächtigung der Behörden zu entsprechenden präventiven und repressiven Kontrollmaßnahmen, zu pauschal. So ist ein Provider grundsätzlich Handlungsstörer, sofern sein Verhalten für die Gefahr oder Störung ursächlich ist. Er muss durch sein Handeln diese selbst ausgelöst und damit die Grenze der Gefahr zur Straftat überschritten haben.83 Provider haften nach öffentlich-rechtlichen Gesichtspunkten allgemein im Rah-

80 Ders.; kritisch zu dieser Ermächtigungsgrundlage auf Basis der vormals geltenden Vorschrift des § 22 MDStV V. Haug, Grundwissen Internetrecht, Rdn. 255 ff.; kritisch zur Verwendung des Begriffs des Störers/der Störung F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 319, welcher sich stattdessen für die Verwendung des Begriffs des Verantwortlichen oder Polizeipflichtigen ausspricht. 81 C. Volkmann, Der Störer im Internet, S. 207; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 385 ff. 82 N. Wimmer, Die Verantwortlichkeit des Online-Providers nach dem neuen Multimediarecht – zugleich ein Überblick über die Entwicklung der Rechtsprechung seit dem 1.8.1997, ZUM 1999, 436, 441; A. Zimmermann, Polizeiliche Gefahrenabwehr und das Internet, NJW 1999, 3145, 3148 f.; M. Hornig, Möglichkeiten des Ordnungsrechts bei der Bekämpfung rechtsextremistischer Inhalte im Internet, ZUM 2001, 846, 856. 83 So OVG Münster NVwZ 1985, 335, 356; ähnlich dazu auch OVG Hamburg DÖV 1983, 1016; VGH Kassel DÖV 1986, 441; allgemein B. Drews/G. Wacke/K. Vogel/ W. Martens, Gefahrenabwehr, S. 313; V. Götz, Allgemeines Polizei- und Ordnungsrecht, 13. Aufl. 2001, Rdn. 196; kritisch zur Theorie der unmittelbaren Verursachung vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 65 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 386; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 196 ff.; P. Selmer, Der Begriff der Verursachung im allgemeinen Polizei- und Ordnungsrecht, JuS 1992, S. 99.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

275

men ihrer Zustandsverantwortlichkeit, sofern ihnen die Inhaberschaft der tatsächlichen Gewalt über eine Sache obliegt. Grundlegend für die Zuordnung der Eigenschaft als Zustandsstörer ist weiter die unbeschränkte Möglichkeit des Verursachers, jederzeit auf die Gefahr verursachende Sache einwirken zu können.84 Verfügt ein Provider jedoch nicht über die Möglichkeit die Speicherung rechtswidrig erhobener, gespeicherter oder verarbeiteter Daten zu verhindern, kann er nicht aufgrund von Zustandsverantwortlichkeit in Anspruch genommen werden. Ferner können gegenüber am Datenverkehr im WWW beteiligten Personen, die keine Verhaltens- oder Zustandsstörer sind Ansprüche aus der Eigenschaft als Nichtstörer geltend gemacht werden, sofern ein sicherheits- oder polizeirechtlicher Notstand vorliegt.85 Der Eindeutigkeit halber soll die Störereigenschaft anhand der beteiligten Provider im WWW genauer betrachtet werden. 1. Content Provider Der Content Provider ist für eigene Inhalte zunächst als Handlungsstörer verantwortlich, weil er eigene Angebote im Netz zur Nutzung zur Verfügung stellt.86 Bezogen auf den Datenverkehr im WWW handelt es sich hier um personenbezogene Daten oder auch Bestandsdaten gemäß Bundesdatenschutzgesetz, welche beispielsweise im Wege des E-Commerce über elektronische Formulare erhoben werden. Da der Content Provider diese Daten über seine eigenen Webseiten im WWW erhebt, speichert und weiter verarbeitet, ist er auch für die unzulässige Verwendung und Weitergabe dieser direkt verantwortlich. Für eine Erhebung und Verarbeitung durch unbefugte Dritte haftet der Eigentümer der Website nicht, sofern er nachweisen kann, entsprechende technische Vorkehrungen zum Schutz vor fremden Eingriffen vorgenommen zu haben. Als Urheber des Angebots im WWW ist der Provider zunächst als unmittelbarer Verursacher der Gefahr verantwortlich. Auch wenn weitere Provider, wie beispielsweise der Host Provider, durch Dienstleistungen, wie Datenspeicherung, an der Datenerhebung und -speicherung mittelbar beteiligt sind, wirkt sich dies nicht mindernd auf die Gefahr sowie die daraus resultierende Verantwortlichkeit des 84 Art. 98 bay PAG; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 385 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 215; C. Volkmann, Der Störer im Internet, S. 208. 85 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 387; C. Volkmann, Der Störer im Internet, S. 217; zum polizei- oder ordnungsrechtlichen Notstand vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 126. 86 C. Volkmann, Der Störer im Internet, S. 208; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 387; zur Eigenschaft des Content Providers ferner B. Eichhorn, Internetrecht, S. 38; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102, welcher jedoch den Nutzer auch unter die Begriffsdefinition des Content Providers subsumiert.

276

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

Content Providers aus.87 Dieser haftet vorrangig und unmittelbar durch die Bereitstellung des Angebots, nicht nur in dem Fall, dass er dafür durch einen privaten Nutzer tatsächlich in Anspruch genommen wird. Neben der Voraussetzung der Unmittelbarkeit verfügen Content Provider darüber hinaus durch den Betrieb einer Webseite und Anmietung von Speicherplatz bei einem Host Provider über den tatsächlichen Zugriff auf die über ein im WWW bereit gestelltes Angebot erhobenen und gespeicherten, personenbezogenen Daten. Diese Sachherrschaft ermöglicht es ihnen, sofort auf den für eine Gefahr ursächlichen Tatbestand einzuwirken. Content Provider sind somit auch zustandsverantwortlich, soweit ihnen die Verfügungsmacht über eine Sache obliegt.88 Für Angebote, die sich störend auf die Verarbeitung personenbezogener Daten im WWW auswirken, ist der Content Provider somit sowohl als verhaltens- sowie zustandsverantwortlich zu qualifizieren.89 2. Host und Access Provider Von den Diensteanbietern die eigene Inhalte im WWW zur Nutzung bereitstellen sind diejenigen abzugrenzen, die im Zusammenhang mit der Nutzung oder dem Zugang zum WWW fremde Daten zum Abruf bereitstellen und weiterleiten. Während Host Provider diese Daten zwischenspeichern, verschaffen Access Provider lediglich den technischen Zugang zum WWW.90 Tritt eine Störung in Form von rechtswidrig erhobenen personenbezogenen Daten durch einen Content Provider auf, so speichert der Host Provider diese auf seinen Servern, bevor diese an den Content Provider weitergeleitet werden. Von einer unmittelbaren Gefahr für das Recht auf informationelle Selbstbestimmung kann jedoch erst ausgegangen und entsprechende polizeiliche Maßnahmen zum Schutz dessen an die unzulässige oder rechtswidrige Handlung angeknüpft werden, sobald die Daten über die Nutzung der Webseite oder Daten inhaltlicher Art aus elektronischen Formularen an den Content Provider übermittelt 87 A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, 2001, S. 85; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 386; C. Volkmann, Der Störer im Internet, S. 208. 88 F. Schoch, Polizei- und Ordnungsrecht, in: E. Schmidt-Aßmann (Hrsg.), Besonderes Verwaltungsrecht, 12. Aufl. 2003, Kap. 2, Rdn. 151; so auch OVG Münster, Beschluss vom 24.3.1977, DÖV 1977, 352 und OVG Lüneburg, Urteil vom 11-04-1979 – IV OVG A 212/78, NJW 1979, 735; sowie Art. 98 bay PAG; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 385 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 215; C. Volkmann, Der Störer im Internet, S. 208. 89 In Verbindung mit inhaltlichen Angeboten im WWW das vom Content Provider auf eigenen Servern gespeichert wird vgl. A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 120 f. 90 A. Wien, Internetrecht, S. 4; B. Eichhorn, Internetrecht, S. 39; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102, 387; C. Volkmann, Der Störer im Internet, S. 209.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

277

werden. Da Host oder Access Provider, sofern sie nicht eigene Daten verarbeiten, jedoch nur den Zugang zum WWW oder zu auf eigenen Servern gespeicherten Daten Dritten zur Verfügung stellen, wirken Sie nicht aktiv auf die Verarbeitung oder Verwendung der Daten des Content Providers über das WWW ein. Gemäß der polizeirechtlichen Verhaltensverantwortlichkeit muss keine bekannte oder erkennbare Gefährdung für die öffentliche Sicherheit oder Ordnung oder ein Verschulden gegeben sein, um eine ordnungsrechtliche Inanspruchnahme des Providers zu begründen.91 Die Einordnung des Access oder Host Providers als möglicher Störer bleibt damit problematisch. Allein die Nutzung ihres Eigentums, den technischen Leitungen zur Verbindung mit dem Internet oder Servern zur Speicherung von Daten, stellt eine Ausübung ihrer rechtlich zuerkannten Befugnisse gemäß der Berufsfreiheit92 aus Art. 12 Abs. 1 GG dar. Die Zuordnung der Störereigenschaft kann auf dieser Grundlage nicht erfolgen.93 Auch aus polizeirechtlicher Sicht ist das Handeln der Provider grundsätzlich als neutral einzustufen, weil hierdurch keine abstrakte oder unmittelbare Gefahr begründet wird.94 Damit sind Host und Access Provider nach öffentlich-rechtlichen Gesichtspunkten nicht als unmittelbare, sondern allenfalls als mittelbare Störer haftbar zu machen. Dies entbindet sie zwar nicht generell von jeglicher Verantwortlichkeit. Eine Inanspruchnahme ist damit jedoch an die Voraussetzung gebunden, dass 91

So VGH Mannheim, Beschluss vom 14.12.1989, 1 S 2719/89, NVwZ 1990, 781, 783; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 293; zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 92 Zur Maßgeblichkeit der Berufsfreiheit gemäß Art. 12 Abs. 1 GG mit Hinweis auf die Ausübung der Freiheit auf der Grundlage der Sittlichkeit vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 489 ff.; ders., Prinzipien des Rechtsstaates, S. 348; ders., Staatsunternehmen und Privatrecht, S. 353 ff.; zum Schutz der Unternehmeroder Unternehmensfreiheit auf der Grundlage der Eigentumsgewährleistung des Art. 14 Abs. 1 GG, der allgemeinen Freiheit des Art. 2 Abs. 1 GG, sowie der Berufsfreiheit des Art. 12 Abs. 1 GG, vgl. H.-J. Papier, Grundgesetz und Wirtschaftsordnung, in: E. Benda/W. Maihofer/H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Aufl. 1994, § 18, S. 825 f., 832 ff.; R. Scholz, Kommentierung des Art. 12 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, 1977, 1999, 1981, Rdn. 115, 130, 136 f. 93 Vgl. BGH, Urteil vom 28.6.1984, III ZR 35/83, JZ 1984, 987 ff., 990; F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, 12. Aufl. 2003, Kap. 2, Rdn. 130; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 200; weiterführend zu Art. 12 Abs. 1 GG und zum Verhältnismäßigkeitsprinzip vgl. K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 348 f. 94 C. Volkmann, Der Störer im Internet, S. 209; F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 138; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 198; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 311; W.-R. Schenke, Polizei- und Ordnungsrecht, in: U. Steiner (Hrsg.), Besonderes Verwaltungsrecht, 7. Aufl. 2003, Kap. 2 Rdn. 156.

278

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

eine besondere Beteiligung und Zurechenbarkeit des Gefährdungserfolgs nach den Grundsätzen der mittelbar verursachten Gefahr gegeben ist.95 Für die öffentlich-rechtliche Betrachtung sind, anders als im Zivilrecht, im Rahmen der Zurechnung einer mittelbaren Beteiligung an Gefahrentatbeständen die Voraussetzungen des Zweckveranlassens oder der Schaffung einer latenten Gefahr maßgeblich.96 Ein Provider kann nach den Grundsätzen der Zweckveranlassung nur dann in Anspruch genommen werden, sofern dieser den Eintritt einer Gefahr aufgrund seines Handelns objektiv bezweckt hat oder die Gefahr unmittelbare Folge seines Verhaltens ist.97 Entgegen dem unmittelbaren Störer verhält sich der Zweckveranlasser polizeirechtlich neutral. Die Gefahr und damit eine Störung der öffentlichen Sicherheit oder Ordnung resultiert erst im Zusammenhang mit dem unrechtmäßigen Handeln eines Dritten.98 Voraussetzung für eine latente Gefahr nach öffentlich-rechtlichen Grundsätzen99 ist, dass der Provider nur mittelbar für die Ursache verantwortlich ist. Voraussetzung dafür ist, dass die Handlung im zeitlichen Ablauf bereits zu Beginn eine erhöhte Gefahrentendenz aufwies und infolge einer absehbaren Umweltveränderung eine Störung eintrat.100 Insgesamt ist jedoch weniger die Subsumierung unter den Begriff der latenten Gefahr ausschlaggebend, sondern vielmehr eine eindeutige Zuordnung der Verantwortlichkeit zu den beteiligten Akteuren.101

95 C. Volkmann, Der Störer im Internet, 2005, S. 210; W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 155 f.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 198; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 65. 96 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 388 f.; C. Volkmann, Der Störer im Internet, S. 210. 97 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 202; zur Anwendbarkeit des Grundsatzes der Zweckveranlassung auch E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 65 ff.; F.-L.-Knemeyer, Polizei- und Ordnungsrecht, Rdn. 251 ff.; W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 157 f.; F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 138; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 315 f. 98 F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 138; so auch M. Germann, Gefahrenabwehr und Strafverfolgung, S. 97 in Verbindung mit dem Ausspähen von Computerdaten nach § 202a StGB. 99 Im Gegensatz zum Zivilrecht, wonach die Zweckveranlassung bereits durch die Annahme einer Gefahrenquelle in Verbindung mit einem naheliegendem Missbrauch ausreichend ist. Vgl. dazu auch C. Volkmann, Der Störer im Internet, S. 212. 100 W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 161; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 322; ausgehend von einer latenten Gefahr auch OVG Münster, Beschluss vom 10.1.1985, 4 B 1434/84, NVwZ 1985, 355, 356; verneinend zum Grundsatz der latenten Gefahr auch VGH, Urteil vom 4. September 1985, 5 UE 178/85, NJW 1986, 1829 = DVBl. 1986, 783 = DÖV 1986, 441. 101 F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 157.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

279

Übertragen auf Host und Access Provider kann diesen insoweit die Zweckveranlassung zugeordnet werden, als diese den Zugang und die Infrastruktur zur Nutzung des WWW bereitstellen. Sie tragen damit mittelbar zur Verbreitung unzulässig oder rechtswidrig erhobener Daten sowie schädlichen Datenmaterials, wie beispielsweise Computerviren, bei.102 Auch gefälschte oder gespiegelte Webseiten zur rechtswidrigen Erhebung von Zugangskennungen der Nutzer werden von Host Providern auf eigenen Servern gespeichert. Dadurch kann hier im polizeirechtlichen Sinne an eine mittelbare Handlung angeknüpft werden.103 § 10 TMG104 regelt das Speichern von Inhalten im Sinne der mittelbaren Verursachung einer Gefahr. Für Host Provider liegt jedoch selten ein objektiv zurechenbares, bezwecktes Handeln oder ein entsprechendes Verhalten vor, das aus einer mittelbaren Störereigenschaft resultiert. Die Ausübung ihrer Tätigkeit der Speicherung von Internetinhalten und Daten ist gefahrentechnisch als neutrale Handlung einzustufen.105 Speichert der Provider nicht wissentlich rechtswidriges Datenmaterial oder Inhalte auf seinen Servern, oder stellt die Daten geschäftsmäßig Personen zur Nutzung bereit, die ausschließlich nach rechtswidrig erhobenem Datenmaterial, Viren oder sonstiger schädliche Software suchen,106 liegt für den Host Provider keine Eigenschaft als Zweckveranlasser vor. Für eine mögliche Inanspruchnahme als mittelbarer Verursacher einer latenten Gefahr verhält sich die Sachlage für den Host Provider ähnlich. Eine geeignete Infrastruktur zur Speicherung von Datenmaterial bereit zu stellen, bedingt gemäß den Grundsätzen des Deliktsrechts zunächst eine latente Gefahr,107 die sich mit der Speicherung rechtswidrig erhobener Daten oder schädlicher Software in Verbindung mit Internetinhalten, beispielsweise zur Erhebung von Zugangskennun-

102 C. Müller, Internationales Privatrecht und Internet, S. 260; zur Eigenschaft des Access Providers auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103. 103 So auch T. Hoeren/R. Pichler, Zivilrechtliche Haftung im Online-Bereich, in: U. Loewenheim/F. A. Koch (Hrsg.), Praxis des Online-Rechts, München 2001, S. 449; G. Spindler, Störerhaftung im Internet, K&R 1998, S. 177, 180; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 121. 104 Vormals § 11 TDG und § 9 MDSt; H. Hoffmann, in: G. Spindler/F. Schuster (Hrsg.), RdeM, § 10 TMG, Rdn. 1 ff. 105 A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 122. 106 C. Müller, Internationales Privatrecht und Internet, S. 260. 107 W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 161; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 322; ausgehend von einer latenten Gefahr auch OVG Münster, Beschluss vom 10.1.1985, 4 B 1434/84, NVwZ 1985, 355, 356; verneinend zum Grundsatz der latenten Gefahr auch Urteil des Verwaltungsgerichtshofs, VGH, Beschluss vom 4. September 1985, 5 UE 178/85, NJW 1986, 1829 = DVBl. 1986, 783 = DÖV 1986, 441.

280

3. Teil, 1. Kap.: Verantwortlichkeit und Haftung im WWW

gen, zu einer Störung konkretisiert.108 Da der öffentlich-rechtliche Grundsatz der latenten Gefahr jedoch auf die Verantwortlichkeit mehrerer beteiligter Personen nebeneinander abstellt, kann auf dieser Grundlage keine Inanspruchnahme des Host Providers erfolgen. Vielmehr bedarf es des Zusammenwirkens von Zuständen und Handlungen, insbesondere der eigenverantwortlichen Handlung einer unbeteiligten dritten Person, um den Tatbestand der latenten Gefahr zu begründen. Host und Access Provider begründen im zeitlichen Ablauf der Nutzung des WWW aufeinanderfolgende Handlungen. Allein der Content Provider fällt über seine Handlungen die Entscheidung, welche Daten oder Inhalte beim Host Provider gespeichert und welche Infrastruktur er für die Speicherung und den Abruf seines Angebots zur Verfügung stellt. Für die Gruppe der Access Provider kann analog wie bei den Host Providern aus ihrer Eigenschaft, den Zugang zum Internet zu vermitteln, nicht grundsätzlich davon ausgegangen werde, dass sie von ihrer Eigenschaft als Zweckveranlasser aufgrund mittelbaren Handelns befreit sind.109 Eine Zurechnung der Zweckveranlassung scheidet jedoch letztendlich aus, weil der Access Provider durch die rein technisch basierte Zugangsvermittlung lediglich die Infrastruktur in Form von Leitungen bereitstellt.110 Dies kann zwar als mittelbare Handlung eingeordnet werden, stellt jedoch noch keine Überschreitung der Grenze zur Gefährdung von Rechtsgütern dar. Gemäß den Vorgaben des Art. 12 Abs. 1 der E-Commerce-Richtlinie 111 und der Vorschrift des § 8 Abs. 1 S. 1 TMG ist der Diensteanbieter für fremde Informationen, die er in einem Kommunikationsnetz lediglich übermittelt (Nutzerinformationen), oder Informationen, zu denen er Zugang zur Nutzung vermittelt, nicht verantwortlich. Voraussetzung für die Haftungsbefreiung ist, dass er die Übermittlung nicht selbst veranlasst sowie den Adressaten der Information oder die übermittelte Information nicht selbst ausgewählt hat (§ 8 Abs. 1 S.1 Nr. 1–3 TMG).112 108 Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung, S. 390; zur Speicherung rechtswidrig erhobener Daten und Schadenssoftware ders., S. 97; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 48 ff.; W. Stallings, Sicherheit im Datennetz, S. 268 ff. 109 C. Volkmann, Der Störer im Internet, S. 213; zur Abgrenzung zwischen Access und Host Provider (Service Provider), kritisch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 103. 110 Zur Eigenschaft des Access Providers A. Wien, Internetrecht, S. 4; B. Eichhorn, Internetrecht, S. 39; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102, 387; C. Volkmann, Der Störer im Internet, S. 209; T. Hoeren, Grundzüge des Internetrechts, S. 279. 111 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), ABl. L 178 vom 17.7.2000.

B. Verantwortlichkeit der Provider für unzulässige Datenverwendung

281

Mithin ist der Access Provider als Zweckveranlasser nicht verhaltensverantwortlich im Sinne des Gesetzes. Auch eine Zurechnung der Störereigenschaft aus einer Verbreitungshandlung als Beitrag zu einer latenten Gefahr entfällt analog den Gründen, die bereits im Zusammenhang mit dem Host Provider erörtert wurden. Neben der Verhaltensverantwortlichkeit besteht die Möglichkeit, Access oder Host Provider nach den Grundsätzen der Zustandsverantwortlichkeit als Störer haftbar zu machen. Entscheidendes Kriterium für die Zurechnung der Störereigenschaft ist, ob und inwieweit die Diensteanbieter Inhaber der tatsächlichen Gewalt über eine gefährliche Sache sind.113 Der Provider ist dann auch verschuldensunabhängig als Störer für die von ihm übermittelten Inhalte verantwortlich. Voraussetzung einer Gefahr ist, dass die unzulässig oder auf unbefugte Weise erhobenen personenbezogenen Daten auf dem Server des Host Providers gespeichert oder bereit gehalten werden.114 Da der Host Provider in der Lage ist, die von ihm zum Abruf gespeicherten Inhalte auf seinem Server zu löschen, obliegt ihm auch die tatsächliche Gewalt über die Sache. Speichert also ein Content Provider unzulässig oder unbefugt erhobene personenbezogene Daten auf dem Server des Host Providers, führt er eine Handlung aus, die solange die Daten noch nicht abgerufen worden sind, eine latente Gefahr für die Privatsphäre des Nutzers darstellen. Da die Inhalte generell zum Abruf durch den Nutzer des WWW bereitgehalten werden, ist zum Zeitpunkt der Speicherung von einer hinreichenden Wahrscheinlichkeit auszugehen, dass sich die latente Gefahr in näherer Zeit zu einer konkreten Gefahr verdichten wird. Da der Host Provider die Sachherrschaft über das Speichermedium und damit auch auf die Abrufbarkeit der darauf gespeicherten Inhalte direkten Einfluss hat, kann dieser im Rahmen der präventiv-polizeilichen Maßnahmen als Zustandsstörer herangezogen werden. Er muss jedoch durch Unterlassung der Löschung unzulässiger Inhalte zum Entstehen einer Gefahr für den betroffenen Nutzer beigetragen haben.115 112 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 752 ff.; T. Hoeren, Grundzüge des Internetrechts, S. 279; H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 8 TMG, Rdn. 20 ff. 113 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102, 393, V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 218. 114 F. Schoch, JuS 1994, 932, 935; ders., in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 147; C. Volkmann, Der Störer im Internet, S. 214; so auch BVerfG, 2 BvR 932/06 vom 29.3.2007, Absatz 1 ff. 115 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 394 f.; dazu auch V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 214; C. Volkmann, Der Störer im Internet, S. 215; A. Zimmermann, Polizeiliche Gefahrenabwehr und das Internet, NJW 1999, 3145, 3148; M. Hornig, Möglichkeiten des Ordnungsrechts bei der Bekämpfung rechtsextremistischer Inhalte im Internet, ZUM 2001, 846 f.; G. Spindler/

282 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Anders verhält es sich jedoch für den Anwendungsfall des Access Providers. Dieser ist nicht Inhaber der Sachherrschaft über das Speichermedium, sondern stellt lediglich die Infrastruktur für den Zugang zum Internet zur Verfügung. Demnach geht vom Medium des Access Providers keine Gefahr aus, weil das Leitungsnetz physikalisch nicht direkt mit den gespeicherten Daten verbunden ist.116 Dem Provider obliegt nur die Möglichkeit, rein technisch die Weiterleitung von Daten über das Datennetz, also den Abruf beim Nutzer zu verhindern. Wird jedoch eine Anfrage gestellt, erfolgt die Beantwortung und Weiterleitung der gespeicherten Daten direkt durch den Host Provider. Der Access Provider hat zu diesem Zeitpunkt keinen Einfluss auf den Datenverkehr und kann die entstandene Gefahr und infolge dessen resultierende Störung nicht beseitigen.117 Im Ergebnis kann der Access Provider aus polizeirechtlicher Sicht nicht als Zustandsstörer in Anspruch genommen werden. Da auch die Verantwortlichkeit als Verhaltensstörer ausscheidet, ist der Access Provider insgesamt als Nichtstörer einzuordnen.118 Zweites Kapitel

Kontrolle des personenbezogenen Datenverkehrs im WWW Die Ergebnisse der vorangegangenen Abschnitte machen deutlich, dass der betroffene Nutzer durch die zweckfremde Verwendung119 seiner erhobenen personenbezogenen Daten, sowie dem strafrechtlich relevanten Missbrauch dieser U. Volkmann, Die öffentlich-rechtliche Störerhaftung der Access-Provider im Internet, K&R 2002, 398, 403; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 123. Die Verantwortlichkeit für die Übermittlung unzulässig oder unbefugt erhobener personenbezogener Daten durch den Host Provider, ausgehend von einer ihm obliegenden Sachherrschaft über das Speichermedium, folgt aus der Verpflichtung des Unternehmens, für den von ihm eingerichteten und ausgeübten Gewerbebetrieb. Dieser ist dem Eigentumsbegriff gemäß Art 14 Abs. 1 GG zuzuordnen. Für illegale Handlungen besteht jedoch kein Eigentumsschutz, da dies nicht dem Grundsatz der allgemeinen Handlungsfreiheit entspricht. Dieser wird nur durch die Gewährleistung der allgemeinen Freiheit im Sinne der praktischen Vernunft, also der Sittlichkeit im Rechtsstaat verwirklicht. „Kein Unternehmer darf andere durch sein Handeln schädigen. Ein solches Recht gibt ihm kein Grundrecht“. Vgl. dazu K. A. Schachtschneider, Fallstudie zum Umweltrecht (FCKW-Verbot), in: ders., Fallstudien zum öffentlichen Recht, 2001, S. 234 f.; ders., Res publica res populi, S. 334. 116 C. Volkmann, Der Störer im Internet, S. 215 f. 117 U. Sieber, Verantwortlichkeit im Internet, 1999, Rdn. 132 ff.; T. Stadler, Haftung für Informationen im Internet, 2002, Rdn. 127. 118 A. Zimmermann, Polizeiliche Gefahrenabwehr und das Internet, NJW 1999, 3145, 3148; M. Hornig, Möglichkeiten des Ordnungsrechts bei der Bekämpfung rechtsextremistischer Inhalte im Internet ZUM 2001, 846, 856; dazu auch T. Stadler, Sperrungsverfügungen gegen Access Provider, MMR 2002, 343 f. 119 P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1.

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden

283

durch unbefugte Dritte, der zahlreichen Möglichkeiten für Eingriffe in sein grundrechtlich geschütztes allgemeines Persönlichkeitsrecht gegenübersteht.120 Dies bedeutet, dass er die Menge an Daten, die tagtäglich in Verbindung mit seiner Nutzung des WWW erhoben und weiter verarbeitet werden, nicht vollends überschauen kann.121 Ansprüche auf der Grundlage der Haftung der Provider geltend zu machen, ist dem betroffenen Nutzer überwiegend mangels Kenntnis des ihm tatsächlich entstandenen materiellen und insbesondere immateriellen Schadens fast unmöglich. Meist erfährt der Nutzer beispielweise erst durch unaufgeforderte Zusendung von Werbematerial oder Werbe-E-Mails durch fremde Unternehmen, dass seine persönlichen Daten unzulässig erhoben oder weitergegeben und von unbefugten Dritten zu Marketingzwecken weiterverarbeitet worden sind. Der Weg der Weitergabe sowie der Umfang, in dem die Daten gespeichert und mit weiteren in Datenbanken zusammengeführt wurden, um von Nutzer- oder Kundenprofilen zu erstellen,122 ist für den Einzelnen kaum nachvollziehbar. Eine effektive Kontrolle des Austauschs personenbezogener Daten über das Internet ist jedoch aus öffentlich-rechtlichen Gesichtspunkten angezeigt, weil die Sicherung der grundrechtlich anerkannten Rechte auf Menschenwürde, Freiheit und Persönlichkeit des Einzelnen grundsätzlich Vorrang vor der ungehinderten Nutzung moderner Technologien und der rechtswidrigen Verwendung von Daten oder Informationen über den betroffenen Nutzer hat.

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden Während sich Forschung und Wirtschaft vorwiegend mit immer neuen technischen Möglichkeiten des Internets, wie dessen Vernetzung mit weiteren multimediafähigen Endgeräten konzentrieren, häufen sich auf der anderen Seite datenschutzrechtliche Diskussionen mit dem Schwerpunkt der mit der Internetnutzung 120 C. Degenhart, Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. mit Art. 1 I GG, JuS 1992, 362; zur Unantastbarkeit und Achtung der Menschenwürde sowie der damit verbundenen Schutzpflicht Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 1 ff., insbesondere 18 ff., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39; in diesem Sinne auch BVerfGE 1, 97 (104); zur Privatsphäre U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zum Eingriff U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, insbesondere Rdn. 48 f.; 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; in diesem Sinne auch BVerfGE 1, 97 (104). 121 So BVerfGE 65, 1 (43); weiter J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 17 ff. 122 Zur Unzulässigkeit der Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95.

284 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

verbundenen Gefahren. Dabei wird unter den Begriff der Gefahr eine große Bandbreite an rechtswidrigen oder auch potentiell schadenverursachenden Handlungen subsumiert. Die Brisanz der Diskussion wird dabei zusätzlich mit den Begrifflichkeiten der möglichen Gefährdung und des Schadens an den Grundrechten des einzelnen Nutzers sowie der Allgemeinheit untermauert. Diese pauschale Verwendung lässt zumeist essentielle Grundlagen rechtswissenschaftlichen Verständnisses des Gefahren – und Schadensbegriffs sowie seiner Bedeutung im Zusammenhang mit den präventiv-polizeilichen Aufgaben sowie strafrechtlichen Sanktionen vermissen. Der Begriff der Gefahr ist dem polizeirechtlichen Bereich der Gefahrenabwehr123 zuzuordnen. Die polizeiliche Generalklausel definiert gemäß Art. 11 Abs. 1 Bayerisches Polizeiaufgabengesetz (PAG) den Begriff der Gefahr als „einen Zustand, der nach verständiger, auf allgemeiner Lebenserfahrung beruhender Beurteilung, in näherer Zeit (bei ungehindertem Ablauf des objektiv zu erwartenden Geschehens) den Eintritt eines Schadens für die öffentliche Sicherheit und/oder Ordnung – die polizeilichen Schutzgüter – erwarten lässt.124

Entscheidend ist hierbei der Umstand, dass eine Sachlage oder ein Verhalten bereits eingetreten, also so konkret ist, dass unter Zugrundelegung der allgemeinen Erfahrung, die Verletzung oder der Schaden an einem geschützten Rechtsguts absehbar ist oder mit hinreichender Wahrscheinlichkeit in näherer Zukunft erfolgen wird.125 Jede Verletzung eines staatlichen oder privaten Gesetzes stellt einen Schaden für die öffentliche Sicherheit oder Ordnung dar.126 Daraus folgt, 123 Gefahrenabwehr im weiten Sinne beinhaltet jegliche präventive Tätigkeiten, die darauf ausgerichtet sind, eine Störung und damit Beeinträchtigung individueller und gemeinschaftlicher Rechtsgüter abzuwenden oder abzuschwächen. Vgl. dazu W. Mössle, Gefahrenabwehr als Aufgabe der Polizei, in: H.-U. Gallwass/W. Mössle, Bayerisches Polizei- und Sicherheitsrecht, 1996, S. 21 ff.; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 72 ff.; im engeren Sinne ist Gefahrenabwehr die Reaktion auf Sachverhalte, die sich zu konkreten Gefahren verdichtet haben. Vgl. dazu J. Wessels/W. Beulke, Strafrecht, S. 8. 124 BVerwGE 45, 51 (57); F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 87; C. Volkmann, Der Störer im Internet, S. 195; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 220 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 140; zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff.; vgl. dazu auch K. A. Schachtschneider, Der Rechtsbegriff „Stand von Wissenschaft und Technik“, S. 136 ff. 125 C. Volkmann, Der Störer im Internet, S. 195; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 89; vgl. dazu auch K. A. Schachtschneider, Der Rechtsbegriff „Stand von Wissenschaft und Technik“, S. 136 ff. 126 Ders.; in diesem Sinne zur polizeilichen Gefahrenabwehr auch BVerwGE 45, 51 (57); B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 232 ff., 236, 245 ff., 247; zur polizeilichen Generalklausel und Gefahrenbegriff auch F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 87 ff.; W. Mössle, in: H. U. Gallwass/ders., Bayerisches Polizei- und Sicherheitsrecht, S. 21 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 93 ff.

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden

285

dass der Begriff der Gefahr lediglich einen Zustand beschreibt, sich jedoch zunächst kein polizeiliches Handeln anknüpfen lässt. Jedoch setzt der polizeirechtliche Begriff der Wahrscheinlichkeit die Kenntnis der Tatsachen voraus, die es möglich und ferner wahrscheinlich machen, dass der abzuwehrende Schaden eintritt. Dies gilt auch unter der Voraussetzung, dass der tatsächliche Geschehensablauf nicht unterbrochen wird.127 Zusammenfassend liegt eine Gefahr dann vor, wenn ein Schutzgut einem Risiko ausgesetzt ist und dieses Risiko das Maß der normalen, hinzunehmenden Schadenswahrscheinlichkeit überschreitet, wenn also das Rechtsgut mehr als allgemein üblich gefährdet wird.128 Sie ist also ein Zustand in dem sich das Schutzgut befinden kann. Ist jedoch bereits ein Schaden an einem Schutzgut eingetreten, kann nicht mehr von einer hinreichenden Wahrscheinlichkeit des Eintretens gesprochen werden. Ist der Schaden Wirklichkeit geworden, sodass das frühere Wahrscheinlichkeitsurteil durch die Entwicklung der Wirklichkeit Bestätigung gefunden hat, so handelt es sich um eine Störung.129 Der Begriff der Störung130 wird daher als eine bereits eingetretene Schädigung geschützter polizeilicher Rechtsgüter und damit der öffentlichen Sicherheit (oder Ordnung) definiert. Die Beseitigung einer Störung ist deshalb eine Form der Gefahrenabwehr, welche besondere Dringlichkeit aufweist.131 Sie setzt voraus, dass an einem Rechtsgut nicht nur vorübergehend ein Schaden eingetreten ist, sondern dieser Schaden noch fortbesteht. Ist die Beeinträchtigung abgeschlossen, so existiert für eine Störungsbeseitigung keine Grundlage mehr. Polizeirechtlich geht es in diesem Fall nicht darum, begangenes Unrecht zu ahnden, sondern fortwährende Folgen der Verletzung eines Rechtsguts zu verhindern.132

127 K. A. Schachtschneider, Der Rechtsbegriff „Stand von Wissenschaft und Technik“, S. 137 ff.; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 223 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 117. 128 C. Gusy, Polizei- und Ordnungsrecht, 7. Aufl. 2009, Rdn. 109. 129 H.-U. Gallwas/W. Mößle/A. Wolff, Bayerisches Polizei- und Sicherheitsrecht, 3. Aufl. 2004, Rdn. 97. 130 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 149; die Beseitigung einer Störung stellt eine besondere Form der Gefahrenabwehr dar. Präventives Handeln ist in diesem Zusammenhang zulässig, sofern von der bereits eingetreten Verletzung eines Rechtsguts eine in die Zukunft wirkende Gefährdung ausgeht. Vgl. dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183. 131 Im Rahmen der folgenden Diskussion findet der Begriff der Störung im Sinne eines weiten der polizeilichen Gefahrenabwehr Verwendung. 132 C. Gusy, Polizei- und Ordnungsrecht, 7. Aufl. 2009, Rdn. 103, 105.

286 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Für die Definition und Einordnung des Störungsbegriffs ist weiter maßgeblich, dass diese in den Wortlaut der neueren Polizeigesetze keinen Eingang gefunden hat.133 Dagegen unterscheidet der Gesetzgeber in der Vorschrift des Art. 6 des Landesstraf- und Verordnungsgesetzes neben der Abwehr von Gefahren auch die Unterbindung und Beseitigung von Störungen. Aus dem Unterschied im Wortlaut des Art. 2 Abs. 1 PAG und Art. 6 LStVG ergibt sich jedoch nicht notwendigerweise eine Abgrenzung beider Begriffe. Der Gefahrenbegriff, welcher beiden Vorschriften gemein ist, bezieht sich auf eine im Allgemeinen bestehende Gefahr und schließt ein weites Spektrum im Vorfeld konkreter Gefahren und Störungen ein. Somit „endet der Begriff der Gefahr im Sinne des Art. 2 Abs. 1 PAG nicht dort, wo eine Gefahr in eine Störung übergeht, sondern schließt die Störung ein. Denn Störungen sind in aller Regel ihrerseits gefahrenträchtig. In der Störungslage besteht in der Regel die ursprüngliche Gefahr fort, manchmal ergeben sich aus ihr sogar neue Gefahren.“ 134 Die Störungsbeseitigung wird demnach vom Gesetzgeber im Wortlaut der neueren Polizeigesetze nicht mehr eigens berücksichtigt, da sie einen Unterfall der Gefahrenabwehr darstellt. Dieses Begriffsverständnis findet seine Bestätigung, wenn man ergänzend den Wortlaut des Art. 11 Abs. 2 Nr. 1 und Nr. 2 PAG zugrunde legt. Hier verweist der Gesetzgeber im Rahmen der Aufgabenbefugnisse der Polizei auf die Unterbindung von Straftaten und die Beseitigung von Zuständen, also Sachverhalte, die dem Begriff der Störung zuzuordnen sind. Ein präventiv-polizeiliches Handeln ist dann zulässig, sofern von der eingetretenen Sachlage eine in die Zukunft wirkende Gefährdung ausgeht. Die Gefahrenlage muss also zum Zeitpunkt des präventiv-polizeilichen Handelns nach wie vor gegeben sein.135 Der Terminus des Schadens bezeichnet allgemein eine objektive Minderung des normalen vorhandenen Bestands an geschützten Individual- oder Gemeinschaftsgütern, damit der öffentlichen Sicherheit und der Rechtsordnung.136 Schaden ist also jede Verletzung der Rechtsordnung. Im Rahmen der öffentlichen Sicherheit handelt es sich dabei um einen Verstoß gegen das Öffentliche, im Rahmen des Schutzes der Rechte unter Privaten, gegen das Bürgerliche Recht und für die öffentliche Ordnung gegen die Sozialnormen.137

133 Vgl. dazu § 2 Abs. 1 PAG, § 11 Abs. 1 PAG, § 1 Abs. 1 BWPolG; § 3 Abs. 1 HHSOG; § 1 Abs. 1 SachsPolG. 134 H.-U. Gallwas/W. Mößle/A. Wolff, Bayerisches Polizei- und Sicherheitsrecht, Rdn. 98. 135 C. Volkmann, Der Störer im Internet, S. 196. 136 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183; J. Eckert, in: H. Dörner u. a., BGB, § 1004, Rdn. 5. 137 C. Gusy, Polizei- und Ordnungsrecht, 7. Aufl. 2009, Rdn. 105.

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden

287

Der Begriff des Schadens umfasst damit jede rechtswidrige Verletzung geschützter Rechtsgüter. Da es sich um geschützte Rechtsgüter handelt, muss der Betroffene auf Grundlage des Rechts den ihm zugefügten Schaden nicht hinnehmen. Als zivilrechtliche Rechtsgrundlage für einen dem betroffenen Nutzer aus der rechtswidrigen Verwendung seiner personenbezogenen Daten entstandenen Schaden ist § 823 i.V. m. § 1004 BGB heranzuziehen. Auf Grundlage dieser Vorschriften erfolgt auch die Begründung der Schadensersatzpflicht gegenüber dem Täter. Als gefährdete Rechtsgüter werden gemäß § 823 BGB der Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen angeführt. Gemäß § 823 Abs. 1 und 2 BGB tritt die Ersatzpflicht jedoch nur im Falle eines nachweisbaren Verschuldens ein.138 Weiter wird in § 1004 BGB die Voraussetzung einer eingetretenen Störung als wesentliches Tatbestandsmerkmal für eine Inanspruchnahme des Störers auf Unterlassung oder Beseitigung materialisiert.139 Dem Grundsatz nach sind die Begriffe der Störung und des Schadens gleichzusetzen. Eine Abgrenzung kann insofern stattfinden, als die Störung auch die Gefahr des Schadens impliziert. Im Zusammenhang mit der Erörterung datenschutzrechtlicher Verstöße im Internet erscheint es daher angezeigt, im Weiteren den Begriff der Störung zugrunde zu legen.140 Für den Schutz personenbezogener Daten im WWW stellt der reine Austausch von Daten, sowie die Verarbeitung dieser im Wege der Nutzung des Mediums, noch keine Gefahr oder Störung dar. Diese wird dazu erst durch die Handlung der unbefugten oder unzulässigen Erhebung, Speicherung, Verarbeitung sowie weiteren Verwendung personenbezogener Daten, beispielsweise durch unbefugtes Ausspähen eines fremden Rechners oder der weiteren Nutzung von Datenbeständen zur Erstellung von Persönlichkeitsprofilen.141 Aus der Existenz einzelner, unzusammenhängender Datensätze in verschiedenen Datenbanken im weltweiten Netzwerk des WWW kann zwar allgemein eine potentielle Gefahr resultieren, jedoch muss daraus nicht zwingend eine Verletzung eines Rechtsguts in Form einer Störung folgen.142 Dies geschieht im Internet erst, wenn eine Person von 138

A. Staudinger, in: H. Dörner u. a., BGB, § 823 Abs. 1, Rdn. 1, 153. J. Eckert, in: H. Dörner u. a., BGB, § 1004, Rdn. 3 ff., welcher explizit auf die, auch verschuldensunabhängige, Inanspruchnahme einer Person aus ihrer Eigenschaft als Störer eingeht. Zur Abgrenzung von Zustands- und Handlungsstörer vgl. ders., Rdn. 5. 140 So auch ders., S. 183. 141 Zur Erstellung von Persönlichkeitsprofilen vgl. auch S. Simitis, in: ders., BDSG, § 1, Rdn. 95; zum Ausspähen von Computerdaten vgl. auch M. Germann, Gefahrenabwehr und Strafverfolgung, S. 97; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 48 ff.; W. Stallings, Sicherheit im Datennetz, S. 268 ff. 142 Die Anwendung des Begriffs der Gefahr für das Medium Internet ist lediglich möglich, sofern eine Behörde bereits im Vorfeld in allgemeiner Hinsicht, nicht unter 139

288 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

den technischen Möglichkeiten Gebrauch macht und rechtswidrig handelt oder entsprechende gesetzlich vorgeschriebene Sicherheitsmaßnahmen unterlässt. Da gemäß der vorgenannten Definitionen die polizeilichen Behörden erst dann zur Einleitung entsprechender Maßnahmen befugt sind, sobald sie Kenntnis über eine rechtswidrige Datenverwendung erlangt haben, liegt zu diesem Zeitpunkt bereits ein rechtswidriges Handeln des Täters vor. So konkretisiert sich die Gefahr der Verletzung eines Rechtsguts im Internet regelmäßig bereits durch den Verstoß gegen die Rechtsordnung, und folglich auch gegen die allgemeinen Gesetze, zu einer Störung.143 Für die Anwendbarkeit des Begriffs der Gefahr auf den personenbezogenen Datenverkehr über das WWW ist somit die Wahrscheinlichkeit über den Schadenseintritt nicht ausschlaggebend. Eine Störung liegt im Zusammenhang mit dem Internet dann vor, wenn Maßnahmen der polizeilichen Gefahrenabwehr im WWW an eine rechtswidrige Handlung angeknüpft werden können, weil der strafbare Sachverhalt in Form von technischen Spuren oder strafbar erlangtem Datenmaterial auf Servern gespeichert und für die Nutzung über das WWW zum Abruf zur Verfügung stehen muss.144 Die Diskussion um die möglichen Gefahren für die Privatsphäre des Nutzers infolge des stetig zunehmenden Datenmissbrauchs im WWW fokussiert ferner auf die Handlungen der Daten erhebenden oder verarbeitenden Stellen, bei denen Datensätze mit schutzwürdigem Inhalt zum Zwecke der Auswertung sowie des Erkenntnisgewinns zu Zielgruppen- und Nutzerprofilen aggregiert werden. Dabei findet häufig der Begriff der Gefährdung im Zusammenhang mit der PrivatMaßgabe eines bestimmten vorliegenden Straftatbestands, präventiv tätig wird. Die Durchführung allgemeiner Kontrollen im Vorfeld wird nicht durch die polizeirechtliche Generalklausel abgedeckt. Sie widerspricht darüber hinaus den staatsrechtlichen Grundsätzen der Verhältnismäßigkeit zwischen staatlicher Kontrolle und der Sicherung der Grundrechte, insbesondere Meinungs- und Informationsfreiheit gemäß Art. 5 Abs. 1 GG. Auf der Grundlage einzelner strafrechtlich relevanter Delikte festzulegen, dass von dem Medium Internet grundsätzlich eine allgemeine Gefahr ausgeht, reicht für die Legitimierung allgemeiner, unspezifischer Kontrollen, ohne die Existenz eines konkreten Verdachts, nicht aus. Der Begriff der allgemeinen, im Sinne einer generell existenten, latenten Gefahr kann demnach für das Internet und das WWW aus öffentlich-rechtlicher Sicht keine Anwendung finden. 143 C. Volkmann, Der Störer im Internet, S. 196; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 95 f. 144 C. Volkmann, Der Störer im Internet, S. 196; zur Nachverfolgbarkeit der Nutzung des WWW im Zusammenhang mit Suchmaschinen; vgl. J. Rohlederer/J. Hirzel, Google oder böse?, in: Focus 42 (2006), S. 223, 226; allgemeiner dazu A. Wien, Internetrecht, S. 187; J. Weber, Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher, DuD 27 (2003), 625; ähnlich zur Verfolgung von Datenspuren im Internet auch so auch P. Schmitz, TDDSG und das Recht auf informationelle Selbstbestimmung, S. 56; zur Abgrenzung der rechtswidrigen Tat von der Störung für die öffentliche Sicherheit im Internet vgl. ausführlich M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183.

A. Begriffliche Einordnung: Gefahr, Gefährdung, Störung und Schaden

289

sphäre oder dem Recht auf informationelle Selbstbestimmung Verwendung. Allgemein wird die Gefährdung als eine bestehende Gefahr definiert. Entscheidend ist hier, dass auf der Grundlage des bereits erfolgten, rechtswidrigen Handelns auch eine in die Zukunft gerichtete Störung an einem Rechtsgut resultieren kann. Während der Begriff der Gefahr eine bereits eingetretene oder mit hinreichender Wahrscheinlichkeit eintretende Störung an einem Rechtsgut voraussetzt, geht der Begriff der Gefährdung darüber hinaus und bezieht auch die daraus möglichen weiteren Störungen ein, die für denselben oder andere Nutzer des Internets resultieren können.145 Als Beispiel kann angeführt werden, dass die rechtswidrige Erhebung von Passwortdaten zwar ein einmaliges, personenbezogenes Delikt darstellt. Jedoch geht von dem Umstand, dass Daten auf einem bestimmten Wege unzulässig erhoben und verwendet werden können, auch eine in die Zukunft gerichtete Gefährdung für die Nutzer des Internets und des WWW aus. So fand der Begriff der Gefährdung im Zusammenhang mit dem Missbrauch personenbezogener Daten im Rahmen der modernen Datenverarbeitung Eingang in das Volkzählungsurteil des Bundesverfassungsgerichts. Wie das höchste Gericht feststellte, resultiert aus der Nutzung der automatisierten Datenverarbeitung eine allgemeine Gefährdung für den Betroffenen. Das Gericht leitete daraus weiter ab, dass der Gesetzgeber heute mehr als früher organisatorische sowie verfahrensrechtliche Vorkehrungen treffen muss, um der Gefahr der Verletzung des Persönlichkeitsrechts und insbesondere des Rechts auf informationelle Selbstbestimmung entgegenzuwirken.146 Die Anwendbarkeit der einschlägigen Normen der §§ 823 und 1004 BGB ist jedoch im Zusammenhang mit der Gefährdung oder Störung des Grundrechts auf informationelle Selbstbestimmung aufgrund rechtswidriger Erhebung, Verknüpfung oder weiterer Verwendung personenbezogener Daten des Betroffenen fraglich. Ebenso ergibt sich auf Basis dieser Vorschriften keine Ableitung von Scha145 Der Begriff der Gefahr stellt in diesem Zusammenhang auf eine auch nur latent existierende Möglichkeit der Störung eines Rechtsguts ab. Eine übergeordnete Bedrohung, die sich allein infolge der allgemeinen Möglichkeiten für den Missbrauch personenbezogener Daten über das Internet ergibt, rechtfertigt nicht, dass von einer allgemeinen Gefahr für den Nutzer des Mediums ausgegangen werden kann. Um die Störung immaterieller Rechtsgüter und der damit verbundenen Eingriffe in die Grundrechte des Einzelnen zu erfassen, greift der Begriff der Gefahr im Zusammenhang mit einzeln auftretenden Tatbeständen meist zu kurz. Dies ergibt sich ebenso, sofern man die an diesem übergeordneten Begriff anknüpfenden polizeirechtlichen Eingriffsbefugnisse zugrunde legt. Vgl. dazu auch C. Volkmann, Der Störer im Internet, S. 196 f., M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 380; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeirechtlicher Gefahrenabwehr, S. 95 f. 146 Zur Verwendung des Begriffs der Gefährdung im Zusammenhang mit der zweckfremden, unzulässigen oder unbefugten Datenverarbeitung und den damit verbundenen Eingriffen in das Recht auf informationelle Selbstbestimmung des Betroffenen vgl. explizit BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143).

290 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

densersatzforderungen.147 Zivilrechtliche oder öffentlich-rechtliche Schadensersatzansprüche aufgrund unbefugter Datenverarbeitung können durch den Betroffenen hingegen entsprechend der §§ 7 und 8 BDSG geltend gemacht werden.148 Auch wenn die Verwendung in der gängigen Literatur nicht konsequent eingehalten wird, so ist zwischen den Begriffen der Gefahr, Gefährdung, Störung und Schaden eindeutig zu differenzieren. Insgesamt kann danach von einer Gefährdung, die aus der Summe einzelner, bereits eingetretener Störungen resultiert und auch mit hinreichender Wahrscheinlichkeit in der Zukunft als Wiederholungstatbestand eine Gefahr für den Nutzer des WWW darstellt, gesprochen werden. Anzumerken ist jedoch, dass unter dem Vorwand der Förderung des technischen Fortschritts auch konsequent eine Plattform für rechtswidriges Verhalten geschaffen wird. Dies hat erhebliche Auswirkungen auf die Gefährdung des Grundrechts auf informationelle Selbstbestimmung und die Privatsphäre149 sowie letztlich auch auf die Gewährleistung eines effektiven Grundrechtsschutzes für den Nutzer. Weil der Staat die Summe seiner Bürger ist, wird jedoch nicht nur der Einzelne in seiner Würde und Freiheit beschränkt, sondern die Verwirklichung des guten Lebens in allgemeiner Freiheit150 von Grund auf gefährdet.

147

Eine weitergehende Beschäftigung führt zu neuen Fragestellungen, inwiefern die angrenzenden rechtlichen Grundlagen der Produkthaftung oder Gefährdungshaftung, sowie der Ableitung rechtlicher Grundsätze für die Beurteilung der Haftung für die Schädigung der Privatsphäre auf der Grundlage der §§ 831 und 833 BGB ausschlaggebend sind. Eine genauere Ausführung der zivilrechtlichen Grundlagen soll in diesem Rahmen jedoch nicht erfolgen. Die rechtlichen Grundlagen des privatrechtlichen Bürger-BürgerVerhältnisses seien an dieser Stelle des Überblicks halber genannt, jedoch soll der Fokus der vorliegenden Arbeit auf der Betrachtung der öffentlich-rechtlichen Aspekte, dem Verhältnis Bürger–Staat liegen. Für den Begriff der Gefahr und der Gefahrenabwehr bedeutet dies eine Fokussierung auf die Sicherung der in der polizeilichen Generalklausel genannten Störung der öffentlichen Sicherheit infolge der Verletzung der Grundrechte des einzelnen Bürgers. 148 Zur Regelung von Verstößen gegen das Datenschutzrecht vgl. auch P. Schaar, Datenschutz im Internet, S. 209 f. 149 Vgl. dazu U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.); zum Eingriff U. Di Fabio, in: Maunz/ Dürig, GG, 2001, Art. 2 Abs. 1, insbesondere Rdn. 48 f., 61 f., 138 ff., 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114; zum Eingriff in das Grundrecht auf informationelle Selbstbestimmung des Betroffenen vgl. explizit BVerfGE 65, 1 (44) mit Verweis auf BVerfGE 53, 30 (65); 63, 131 (143). 150 K. A. Schachtschneider, Freiheit in der Republik, S. 423; ders., Prinzipien des Rechtsstaates, S. 19; ders., Res publica res populi, S. 567 ff., 573 ff.; ders., Der Rechtsbegriff „Stand von Wissenschaft und Technik“, 1988, S. 105 ff.; so auch K. Jaspers, Vom Ursprung und Ziel der Geschichte, S. 197 ff.; J. Habermas, Erläuterungen zur Diskursethik, S. 119 ff., 142 ff.; J.-J. Rousseau, Vom Gesellschaftsvertrag, II, S. 43 ff.

B. Präventive Kontrolle – Gefahrenabwehr

291

B. Präventive Kontrolle – Gefahrenabwehr I. Voraussetzungen Begrifflich impliziert die Gefahrenabwehr im weiten Sinne die Aufgabe der Prävention vor Gefahren und damit jede Tätigkeit, die darauf gerichtet ist, eine Störung, im Einzelnen eine Beeinträchtigung individueller und gemeinschaftlicher Rechtsgüter, abzuwenden oder abzuschwächen.151 Im engeren Sinn kommt dem Begriff die Bedeutung einer Reaktion auf Sachverhalte zu, die sich zu konkreten Gefahren verdichten werden oder bereits haben, also dem Schutz der Rechtsordnung vor Verletzung. Von der konkreten ist ferner die allgemeine und abstrakte Gefahr abzugrenzen.152 Übertragen auf den Sachverhalt des Internets, besteht das vorrangige Ziel der Gefahrenabwehr darin, die Entwicklung der konkreten Gefahr zu einer Störung zu verhindern.153 So ist zunächst anzuführen, dass der Begriff der Störung als korrekter Terminus zur Beschreibung einer erfolgten rechtswidrigen Handlung im WWW zu führen ist.154 Die Gefahrenabwehr impliziert vorwiegend ordnungsrechtliche Handlungen zur Verhinderung einer abrufbaren oder anderweitig nachweisbaren rechtswidrigen Verwendung personenbezogener Daten. Diese sind, einer erfolgten Straftat vorausgehend, dazu bestimmt, eine rechtswidrige Beeinträchtigung des allgemeinen Persönlichkeitsrechts sowie der informationellen Selbstbestimmung zu beseitigen.155 Neben den repressiven Maßnahmen zur Ahndung strafrechtlich relevanter Handlungen erfüllen präventive Maßnahmen also den Zweck, die von einer bereits eingetretenen Störung ausgehende, in die Zukunft wirkende Gefährdung eines Schutzguts abzuwenden.156

151 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 40, 183; W. Mössle, in: H. U. Gallwass/ders., Bayerisches Polizei- und Sicherheitsrecht, S. 21 ff.; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 72 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183. 152 Zur Abgrenzung der allgemeinen und der abstrakten von der konkreten Gefahr M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 246; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 72, 89 ff.; kritisch dazu E. Denninger, in: H. Lisken/ ders., HbdPR, Kap. E, Rdn. 35; F. Rachor, Vorbeugende Straftatenbekämpfung und Kriminalakten. Zur Aufbewahrung und Verwendung von Informationen aus Strafverfahren durch die Polizei, 1989, S. 17; T. Darnstädt, Gefahrenabwehr und Gefahrenvorsorge. Eine Untersuchung über Struktur und Bedeutung der Prognose-Tatbestände im Recht der öffentlichen Sicherheit und Ordnung, 1983, S. 112 ff. 153 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 240 f.; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 4 f.; V. Götz, Allgemeines Polizeiund Ordnungsrecht, Rdn. 154 ff.; K. Habermehl, Polizei- und Ordnungsrecht, 2. Aufl. 1995, Rdn. 79; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 88 ff.; W. Loschelder, Rasterfahndung. Polizeiliche Ermittlung zwischen Effektivität und Freiheitsschutz, Der Staat 1981, S. 352 f. 154 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183 f. 155 W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 65.

292 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Zu den präventiven Maßnahmen zum Schutz vor Eingriffen in das Grundrecht auf informationelle Selbstbestimmung des Nutzers, sowie dem Schutz seiner Privatsphäre, zählen im Sinne der polizeilichen Generalklausel alle polizeilichen Maßnahmen der Gefahrenabwehr zum Schutz der öffentlichen Sicherheit und Ordnung.157 Demnach stellt die polizeiliche Generalklausel die maßgebliche Grundlage für jegliche Ermächtigung zur Durchführung ordnungsrechtlicher Maßnahmen gegen Provider dar. Nach dieser wird der Gefahrenbegriff als Sachlage definiert, die „nach verständiger, auf allgemeiner Lebenserfahrung beruhender Beurteilung, in näherer Zeit bei ungehindertem Ablauf des objektiv zu erwartenden Geschehens den Eintritt eines Schadens für die öffentliche Sicherheit und/oder Ordnung – die polizeilichen Schutzgüter – erwarten lässt.“ (Art. 11 Abs. 1 PAG).158 Unter den Begriff der öffentlichen Sicherheit werden die unverletzlichen Rechtsgüter des Einzelnen als Teil der objektiven Rechtsordnung subsumiert.159 Die Verletzung des Grundrechts auf informationelle Selbstbestimmung und der Privatsphäre im WWW stellt einen Verstoß gegen die öffentliche Sicherheit dar und berechtigt die ordnungsrechtlichen Stellen zur Durchführung entsprechender regulierender Maßnahmen der Gefahrenabwehr sowie Strafverfolgung. Der Begriff der öffentlichen Sicherheit und öffentlichen Ordnung umfasst die Gesamtheit der Rechtsnormen.160 Daher ist es für die Ermächtigung zu ordnungsrechtlichen Maßnahmen zunächst unerheblich, ob ein Provider gegen ein Gesetz oder eine Verordnung verstoßen hat. Eingeschlossen sind jegliche bundesrechtliche und landesrechtliche Verbotsvorschriften sowie Tatbestände des Straf156 So verstößt ein durch eine rechtswidrige Handlung ausgelöster Zustand dann gegen die gesetzliche Vorschrift, wenn dadurch ein Schutzgut beeinträchtigt wird. Vgl. dazu K. Habermehl, Polizei- und Ordnungsrecht, Rdn. 98; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 220; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 88; präventives und repressives Handeln lässt sich dahingehend voneinander abgrenzen, als die Strafverfolgung die Vollendung einer Straftat voraussetzt und von dieser keine rechtswidrige Beeinträchtigung von Rechtsgütern mehr ausgehen darf. Vgl. dazu A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege der polizeilichen Gefahrenabwehr, S. 95 f. 157 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183, 218; so auch U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f., 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 158 Zum Gefahrenbegriff vgl. BVerwGE 45, 51 (57); B. Drews/G. Wacke/K. Vogel/ W. Martens, Gefahrenabwehr, S. 220 ff.; zur polizeilichen Generalklausel und Gefahrenbegriff auch F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 87 ff.; W. Mössle, in: H. U. Gallwass/ders., Bayerisches Polizei- und Sicherheitsrecht, S. 21 ff. 159 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183, insbesondere 216 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 89; K. Waechter, Die Schutzgüter des Polizeirechts, NVwZ 1997, 733; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 6. 160 C. Volkmann, Der Störer im Internet, S. 194; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183 f.; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 100, 102.

B. Präventive Kontrolle – Gefahrenabwehr

293

gesetzbuches, welche ein an den einzelnen Bürger (und Provider) gerichtetes Verbot enthalten und vom Umfang der Schutzgüter der öffentlichen Sicherheit erfasst werden. Präventive Kontrolle des personenbezogenen Datenverkehrs im WWW im Rahmen der Gefahrenabwehr bedeutet also die Beseitigung von Störungen, sofern sich die Sachlage durch die Fortdauer einer bereits eingetretenen und den Behörden bekannten Beeinträchtigung eines Rechtsguts, wie der Freiheit der Person aus Art. 1 Abs. 1 GG in Verbindung mit Art. 2 Abs. 1 GG und dem daraus abgeleiteten Grundrecht auf informationelle Selbstbestimmung161 zu einer wesentlichen Gefahr für die öffentliche Sicherheit und/oder Ordnung verdichten kann.162 Die Regelzuständigkeit für die Aufgabe der Gefahrenabwehr entfällt primär auf die allgemeinen und besonderen Sicherheitsbehörden der inneren Verwaltung. Subsidiär fallen Gefahrenabwehrmaßnahmen auch in den Aufgabenbereich der Vollzugspolizei.163 Im Rahmen der Gefahrenabwehr sind Verwaltungsakte164 als polizeiliche Maßnahmen in der Regel mit Eingriffen staatlicher Behörden in die Freiheit und in das allgemeine Persönlichkeitsrecht des Betroffenen verbunden.165 Aus diesem Grund bedürfen die zuständigen Behörden einer Ermächtigungsgrundlage, welche die Anwendung ordnungsrechtlicher Maßnahmen auf der Grundlage rechtfertigt. Maßnahmen, die dazu geeignet sind, eine Störung im Rahmen der Gefahrenabwehr zu unterbinden, dürfen ferner nur angewendet werden, sofern eine konkrete Gefahr für die betroffenen Schutzgüter der öffentlichen Sicherheit oder Ordnung gegeben ist. Eine abstrakte Gefahr reicht hierfür nicht aus.166 Liegt eine allgemeine Gefahr vor, so sind öffentliche Behörden dazu be161

BVerfGE 65, 1 (43). E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 4 f.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 149; C. Gusy, Polizeirecht, 3. Aufl. 1996, Rdn. 104, 107; K. Habermehl, Polizei- und Ordnungsrecht, Rdn. 84. 163 Die Verwendung des Begriffs der allgemeinen und besonderen Sicherheitsbehörden erfolgt analog zum gebräuchlichen Begriff der Ordnungsbehörden gemäß Art. 6 LStVG (Bay); vgl. dazu auch F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 70; zur Regelzuständigkeit V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 21 ff., 495; H. Lisken, Die Polizei im Verfassungsgefüge, in: ders./E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Aufl. 1996, Kap. C, Rdn. 9. 164 G. Spindler/C. Volkmann, Die öffentlich-rechtliche Störerhaftung der Access Provider, K&R 2002, S. 398 f.; C. Bleisteiner, Rechtliche Verantwortlichkeit im Internet, 1999, S. 223; dazu auch OVG Münster, Beschluss vom 19.03.2003, 8 B 2567/02 = MMR 2003, 348 ff.; VG Minden, Beschluss vom 31.10.2002, 11 L 1110/02, MMR 2003, 135; zur Ordnungsverfügung auch VG Düsseldorf, Beschluss vom 19.12.2002, 15 L 4148/02 = MMR 2003, 205, 207; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 85. 165 Vgl. dazu R. Herzog, in: T. Maunz/G. Dürig, GG, Art. 20 GG, Rdn. 27; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 374. 166 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 241; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 38; V. Götz, Allgemeines Polizei- und 162

294 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

fugt, präventiv tätig zu werden, nicht aber konkrete Maßnahmen zur Beseitigung der Störung einzuleiten.167 Für die Gefahrenabwehr sind die Rechtsgrundlagen gemäß den Aufgaben und Befugnissen des allgemeinen Sicherheits- und Polizeirechts einschlägig. Weitere Ermächtigungsgrundlagen beinhalten ferner die speziellen Regelungen der Landespolizei- und Ordnungsgesetze, sowie die gesetzliche Vorschriften des besonderen Sicherheitsrechts, wie beispielsweise das Immissionsschutzgesetz.168 Für den Bereich des Internets und des WWW sind auch die vormals gültigen spezialgesetzlichen Vorschriften des § 22 MDStV zu beachten, welche mit Inkrafttreten des Telemediengesetzes und des 17. Rundfunkstaatsvertrages169 in § 59 RStV für das Angebot von Telemedien und Rundfunk materialisiert wurden. Maßnahmen der Gefahrenabwehr setzen voraus, dass eine auf der ordnungsrechtlichen Generalklausel basierende Gefahr und ein zu erwartender Schaden für die polizeilichen Schutzgüter bereits gegeben sind. Dies ist nur der Fall, wenn bereits eine konkrete Gefahr infolge einer Verletzung des Rechts auf informationelle Selbstbestimmung und der Privatsphäre durch den Missbrauch der über das WWW erhobenen, personenbezogenen Daten eingetreten ist.170 Dieser Umstand ist direkt mit der Durchführung polizeilicher Maßnahmen zur Beseitigung dieser, auf der Grundlage einer unmittelbaren Eingriffsbefugnis, verbunden. Ein präventives Vorgehen der Polizei ist nur dann zulässig, wenn aufgrund der Sachlage eine in die Zukunft gerichtete Gefährdung der polizeilichen Schutzgüter zu erwarten und damit die öffentliche Sicherheit gefährdet ist.171 Ordnungsrecht, Rdn. 79; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 70; zur Gefahrenerforschung im Rahmen eines Vorverdachts W. Loschelder, Rasterfahndung, S. 352 f.; zur Integration des Gefahrenverdachts in den Gefahrenbegriff vgl. auch C. Gusy, Polizeirecht, 3. Aufl. 1996, Rdn. 186. 167 F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 72, 92 f.; so auch auf der Grundlage des Art. 2 Abs. 1 Bay PAG M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 250 f.; zur Voraussetzung der konkreten Gefahr für die Befugnis zu Maßnahmen der Gefahrenvorbeugung, welche einen Eingriff in die Rechte des Betroffenen darstellen vgl. H. Bäumler, Polizeiliche Informationsverarbeitung, in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Aufl. 1996, Kap. J, Rdn. 561 f. 168 C. Volkmann, Der Störer im Internet, S. 193. 169 17. Staatsvertrag für Rundfunk und Telemedien (RStV) vom 31.8.1991, in der Fassung von Artikel 1 des zehnten Staatsvertrages zur Änderung rundfunkrechtlicher Staatsverträge vom 19.12.2007 (GBl. 2008, S. 237), in Kraft getreten am 01.09.2008 170 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 140; S. Röhrig, Die zeitliche Komponente der Begriffe Gefahr und Gefahrenabwehr und ihre Konkretisierung bei Grundwasserverunreinigungen, DVBl. 2000, S. 1658; F. Schoch, in: E. SchmidtAßmann, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 85; kritisch zur Verwendung des Begriffs des Störers und der Störung F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 319. 171 W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 65; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 87 ff., 319; vgl. dazu auch F. Schoch,

B. Präventive Kontrolle – Gefahrenabwehr

295

Die Störung in Form einer unzulässigen, unrichtigen oder rechtswidrigen Erhebung, Speicherung oder Verarbeitung muss also bereits nachweislich erfolgt und bekannt sein, bevor die zuständigen Behörden mit Verfügungen zur Löschung oder Sperrung des Datenbestandes reagieren können. Entscheidend ist daher in zeitlicher Hinsicht die Kenntnisnahme eines Verstoßes, sei es durch den Betroffenen selbst oder durch die öffentlichen Behörden. Eine Störung als Grundlage für die Eingriffsbefugnis nachzuweisen, erweist sich für die polizeilichen Behörden im Rahmen einer effektiven Gefahrenabwehr jedoch oft als schwierig. Angesichts des unüberschaubaren Angebots im WWW erhalten Betroffene sowie insbesondere öffentliche Stellen, wenn überhaupt, dann zeitlich stark verzögert Kenntnis über einen datenschutzrechtlichen Verstoß. Staatliche Behörden sind auch auf Grundlage einer abstrakten Gefahr dazu ermächtigt, bereits im Vorfeld einer konkreten Gefahr tätig zu werden, um deren Entstehen zu verhindern.172 Diese Vorfeldtätigkeit der polizeilichen Behörden stellt eine im Rahmen des Volkszählungsurteils vorgenommene Ergänzung der Aufgabenzuweisungsnormen dar.173 Die Gefahrenvorsorge wurde damit als geeignetes Mittel zur Erfüllung des verfassungsrechtlichen Schutzauftrags der öffentlichen Stellen anerkannt.174 Die daran anknüpfenden Vorfeldermittlungen erfolgen als Maßnahmen in einem Zeitraum, in welchem eine hinreichend konkrete Gefahr für die öffentliche Sicherheit durch eine bestimmte und bestimmbare Handlung eines Providers noch nicht gegeben ist. Mithin wird im Rahmen dieser Gefahrenvorbeugung unter der Voraussetzung hypothetischer Umstände versucht, das tatsächliche Eintreten oder die Entwicklung abstrakter und als gefährlich eingestufte Sachverhalte zu einer konkreten Gefahr zu verhindern.175 Ein Anknüpfungspunkt für die Eingriffsbefugnis im Vorfeld einer Störung ist dann gegeben, Grundfälle zum Polizei- und Ordnungsrecht, 4. Teil: Gefahrenabwehr nach der Generalklausel, JuS 1994, S. 667; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 241; weiter auch H. Lisken, in: ders./E. Denninger, HbdPR, Kap. C, Rdn. 10. 172 Unter der abstrakten Gefahr versteht man einen gedachten, abstrakten Sachverhalt, bei dem generell mit hinreichender Wahrscheinlichkeit mit einem Schaden für die öffentliche Sicherheit und/oder Ordnung gerechnet werden muss. F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 75, 91; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 244; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 157. 173 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 86 ff.; E. Weßlau, Vorfeldermittlungen, 1989, S. 110 ff., 138 ff., 159; C. Gusy, Polizeirecht, 4. Aufl. 2000, Rdn. 187; J. Aulehner, Polizeiliche Gefahren- und Informationsvorsorge, 1989, S. 51, 54; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 71; kritisch zum heuristischen Ansatz von Knemeyer, welcher die Vorfeldtätigkeit dogmatisch der Gefahrenabwehr zurechnet M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 243. 174 Vgl. dazu BVErfGE 46, 214 (222 f.); F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 75; kritisch dazu C. Gusy, Polizeirecht, 4. Aufl. 2000, Rdn. 74 ff.; so auch M. Kniesel, „Innere Sicherheit“ und Grundgesetz, ZRP 1996, 482 ff. 175 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 245; vgl. dazu auch T. Darnstädt, Gefahrenabwehr und Gefahrenvorsorge, S. 99 ff.; E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 32; V. Götz, Allgemeines Polizeirecht, Rdn. 145;

296 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

sofern die Bereitstellung eines Angebots zur Nutzung über das WWW einen solchen Stand erreicht, dass dieses nach behördlichem Ermessen demnächst abrufbar ist.176 Übertragen auf den Bereich des Schutzes personenbezogener Daten im WWW impliziert dies, dass die polizeilichen Behörden bereits im Vorfeld, also vor Eintreten einer unzulässigen oder rechtswidrigen Datenverarbeitung ausreichend Kenntnis von den technischen Möglichkeiten erhalten. Zwar ist der Feststellung des Bundesverfassungsgerichts im Volkszählungsurteil, wonach Umstände der modernen Datenverarbeitung ebenso effektive Maßnahmen staatlicher Organe wie Gesetzgebung und vollziehender Gewalt zum Schutz des einzelnen Bürgers bedingen,177 zuzustimmen. Jedoch sind die in diesem Zusammenhang stehenden polizeilichen Datensammlungen zur Vorfeldermittlung im Rahmen der Eingriffe in das Grundrecht auf informationelle Selbstbestimmung kritisch zu sehen und aus verfassungsrechtlicher Sicht abzulehnen: „Denn es ist nicht ersichtlich, wie eine bloße Datensammlung die Entwicklung einer abstrakten zu einer konkreten Gefahr verhüten könne.“ 178 II. Maßnahmen der Gefahrenabwehr Anknüpfend an die bereits dargestellte Einordnung der Provider im Rahmen ihrer Verantwortlichkeit als Störer, spielt für die Auswahl und Anwendbarkeit behördlicher Maßnahmen zur Gefahrenabwehr die Auswahl des verantwortlichen Störers im WWW eine wesentliche Rolle. Grundsätzlich erfolgt dies nach Maßgabe des Ermessens der präventiv tätigen Behörde.179 Zu beachten ist, dass jegliche Handlungen der polizeilichen BehörC. Gusy, Polizeirecht, 4. Aufl. 2000, Rdn. 123, 324 ff.; K. Habermehl, Polizei- und Ordnungsrecht, Rdn. 73; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 65. 176 Dies entspricht den Grundsätzen der polizeilichen Generalklausel, wonach konkrete Umstände vorliegen müssen, die in näherer Zukunft eine Störung für die öffentliche Sicherheit und/oder Ordnung erwarten lassen. vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 380. 177 BVerfGE 65, 1, (44 f.) im Hinblick auf die Verpflichtung des Gesetzgebers zur Schaffung geeigneter organisatorischer und verfahrensrechtlichen Voraussetzungen auch BVerfGE 53, 30 (65); 63, 131 (143). 178 F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 52, 63; K. Habermehl, Polizeiund Ordnungsrecht, Rdn. 87; H. Hund, Polizeiliches Effektivitätsdenken contra Rechtsstaat, ZRP 1991, S. 465; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 245. 179 E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 117; dazu auch V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 253; F. Schoch, in: Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 173; eingeschränkt auch W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 183; siehe auch BayVGH, vom 13.05.1986, VBl. 1986, 590 (593); B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 304 f.

B. Präventive Kontrolle – Gefahrenabwehr

297

den am Grundsatz der Effektivität der Gefahrenabwehr zu messen sind. Eine vorrangige Inanspruchnahme des Verhaltensstörers vor dem Zustandsstörer scheidet damit aus.180 Nachfolgend soll näher untersucht werden, inwiefern Anbieter von Telekommunikationsdiensten (Access Providern) sowie Telemediendiensten (Host und Content Providern) präventivpolizeilich in Anspruch genommen werden können. 1. Host und Content Provider Der Grundsatz des behördlichen Ermessens auf Grundlage des Effektivitätsprinzips der Gefahrenabwehr ist dafür entscheidend, ob Host oder Content Provider im Rahmen ihrer Eigenschaft als Verhaltens- oder Zustandsstörer verantwortlich gemacht werden können. Als wesentlich gilt im Hinblick auf die globale Verbreitung des Internets und die damit verbundene weltweite Präsenz von Providern, inwiefern diese innerhalb der nationalen Grenzen der Bundesrepublik Deutschland erreichbar sind.181 Sind Host und Content Provider innerhalb der staatlichen Grenzen gleichermaßen erreichbar, so bildet anstelle des vormals geltenden § 22 Abs. 3 MDStV nun § 59 Abs. 4 RStV die gesetzliche Grundlage zur vorrangigen Inanspruchnahme des Content Providers. Die in § 59 Abs. 4 i.V. m. §§ 7, 8–10 TMG festgelegte Abstufung, in welchem Umfang polizeiliche Behörden zur Durchführung von Maßnahmen im Rahmen einer Störung befugt sind, macht jedoch deutlich, dass hier nicht die Entscheidung zwischen der Verhaltens- und Zustandsverantwortlichkeit, sondern vielmehr die Differenzierung zwischen der Möglichkeit der Inanspruchnahme aufgrund der Verhaltens- oder Nichtverantwortlichkeit als Nichtstörer im Vordergrund steht.182 Bezüglich der bereits angeführten Problematik der oft im Ausland lokalisierten Provider stellt sich die Frage, ob und inwieweit Access Provider trotz ihres Haf180 C. Volkmann: Der Störer im Internet, S. 223; grundlegend dazu E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 119; F. Schoch, in: Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 173; die Ausübung des behördlichen Ermessens kann sich insofern einschränkend auswirken, als im Einzelfall die Inanspruchnahme eines Providers als Störer davon abhängig gemacht werden kann, wer über die tatsächliche Herrschaft über die für die Störung ursächliche Sache verfügt. Wer also ursächlich für die Störung verantwortlich ist oder bessere Einwirkungsmöglichkeiten hat, auf die Unterlassung oder Beseitigung dieser einzuwirken; vgl. dazu OVG Münster, Beschluss vom 10.1.1985, 4 B 1434/84, NVwZ 1985, 355 f.; OVG Münster, Urteil vom 17. April 1973, DVBl. 1973, 924 (927 f.); in diesem Sinne auch A. Schink, Wasserrechtliche Probleme der Sanierung von Altlasten, DVBl. 1986, 161, 168. 181 C. Volkmann: Der Störer im Internet, S. 224, 226; vgl. dazu auch H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 7 TMG, Rdn. 61. 182 G. Mayer, Das Internet im öffentlichen Recht, 1999, S. 211; zur Inanspruchnahme auf Grundlage des § 59 RStV vgl. C. Volkmann, Der Störer im Internet, S. 206 f.; kritisch zu dieser Ermächtigungsgrundlage auf Basis der vormals geltenden Vorschrift des § 22 MDStV V. Haug, Grundwissen Internetrecht, Rdn. 255 ff.

298 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

tungsprivilegs auch für ordnungsrechtliche Maßnahmen im Rahmen der Gefahrenabwehr im WWW in Anspruch genommen werden können. 2. Access Provider Der Access Provider kann sich auf seine Haftungsprivilegien berufen, sofern ihn kein Verschulden im Sinne des §§ 8, 9 und 10 TMG trifft. Die Möglichkeit des Eingriffs in den Datenfluss oder eine besondere Kenntnis über die Rechtswidrigkeit des gespeicherten Datenmaterials muss ausgeschlossen sein.183 Da der Access Provider jedoch nur den technischen Zugang zum WWW mittels Leitungen für den Nutzer bereitstellt,184 wird diesem die Eigenschaft als Nichtstörer zugewiesen. In Frage steht, ob der öffentlich-rechtliche Grundsatz der verschuldensunabhängigen Störerhaftung damit für Access Provider außer Kraft gesetzt wird. § 7 Abs. 2 S. 2 TMG legt jedoch eindeutig fest, dass „Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen [. . .] auch im Falle der Nichtverantwortlichkeit des Diensteanbieters nach den §§ 8 bis 10 TMG unberührt“ bleiben. Demnach können auch Access Provider unabhängig von einem Verschulden dazu verpflichtet werden, an der Beseitigung einer Gefahr für die öffentliche Sicherheit oder Ordnung mitzuwirken.185 Öffentliche Behörden sind also im Wege präventiv-polizeilicher Maßnahmen, welche geeignet und verhältnismäßig sind die öffentliche Sicherheit und/ oder Ordnung wiederherzustellen, befugt, bei Access Providern Auskunft über zwischengespeicherte Daten anzufordern. Im Falle einer nachweislich unzulässigen Erhebung oder Verwendung können sie beim Diensteanbieter deren Löschung oder Sperrung veranlassen.186 183 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 754, 756; T. Hoeren, Grundzüge des Internetrechts, S. 279. Die Voraussetzung der Kenntnisnahme in die Haftungsvoraussetzungen erfolgt hier analog zu den für den Host Provider gültigen Vorschriften des § 10 TMG, stellt jedoch für den Access Provider keine notwendige Bedingung dar, da dieser Daten in der Regel nur durchleitet und nicht dauerhaft speichert. Weiterführend zur Ablehnung der Strafbarkeit von Access Providern vgl. auch J. Wessels/W. Beulke, Strafrecht, Rdn. 723; H. Hoffmann, in: G. Spindler/F. Schuster, RdeM, § 8 TMG, Rdn. 7, 13; kritisch zur Verantwortlichkeit des Access Providers als Zugangsvermittler M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 752 ff. 184 A. Wien, Internetrecht, S. 4; B. Eichhorn, Internetrecht, S. 39; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 102 f., 387; C. Volkmann, Der Störer im Internet, S. 209. 185 Vgl. dazu das Urteil des LG Hamburg vom 7.7.2004, 308 O 264/04 = MMR 2005, 55 wonach urheberrechtliche Auskunftsansprüchen durch öffentliche Stellen gegenüber Access Providern aus den allgemeinen Grundsätzen der Störerhaftung geltend gemacht werden können; vgl. dazu auch T. Strömer, Online-Recht, 4. Aufl., S. 225; M. Köhler/H.-W. Arndt, Recht des Internet, S. 242 f.; H. Hoffmann, in: G. Spindler/ F. Schuster, RdeM, § 7 TMG, Rdn. 28 ff., 32 ff. 186 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 358, 382, insbesondere zur Verhältnismäßigkeit S. 409 ff.; vgl. dazu auch U. Sieber, Kontrollmöglichkeiten zur Verhinderung rechtswidriger Inhalte in Computernetzen, CR 1997,

B. Präventive Kontrolle – Gefahrenabwehr

299

Eine Inanspruchnahme des Access Providers kann lediglich im Rahmen der sogenannten Notstandshaftung erfolgen, welche nach § 20 BDSG daran gebunden ist, dass die Voraussetzungen der landesgesetzlichen Bestimmungen erfüllt sind.187 Als Ausfluss des Verhältnismäßigkeitsprinzips und des rechtsstaatlichen Ausnahmezustands,188 welcher die polizei- und ordnungsrechtlichen Eingriffsbefugnisse im Rahmen der Gefahrenabwehr unterliegen, muss die Gefahr gegenwärtig und erheblich sein. Ferner ist es zunächst erforderlich, dass die Notstandshaftung gegenüber dem möglichen Rückgriff auf Handlungs- und Zustandsstörer nachrangig und subsidiär erfolgt.189 Eine Gefährdungslage ist im Sinne der polizei- und ordnungsrechtlichen Vorschriften dann erheblich, wenn eine Gefahr für bedeutsame Rechtsgüter, wie Freiheit, Leben, Gesundheit gegeben ist.190 Ferner muss diese unmittelbar bevorstehen, gegenwärtig sein, oder sich bereits zu einer Störung aktualisiert haben.191 Dies ist beispielsweise bei der unrichtigen oder unzulässigen Verarbeitung personenbezogener Daten der Fall. Hierbei hat sich die Gefahr, wie in den meisten Fällen im WWW, schon zu einer Störung entwickelt, weil die Polizei zumeist erst durch eine konkrete Tathandlung von der Beeinträchtigung eines wesentlichen Rechtsguts erfährt, aus welcher bei ungehinderter Fortsetzung eine allgemeine Gefährdung für die öffentliche Sicherheit und/oder Ordnung resultiert. Die ordnungsrechtlichen Behörden sind in diesen Fällen zu einem präventiv-polizeilichen Vorgehen im Rahmen der dringlichen Form der Gefahrenabwehr befugt, weil die Störung vom Umfang der polizeilichen Generalklausel erfasst wird.192 Für die Auswahl der behördlichen Maßnahmen ist vorrangig das Ziel der Gefahrenbeseitigung im WWW relevant. Diese besteht darin, die Rezeption unzulässig erhobener und gespeicherter personenbezogener Daten zu verhindern. Eine S. 667; zur Voraussetzung der Geeignetheit und Zweckbindung der Maßnahme BVerfGE 67, 157 (175). 187 Für das Bundesland Bayern gilt hier entsprechend Art. 10 Bay PAG; P. Gola/ R. Schomerus, in: ders., BDSG, § 20, Rdn. 41 ff.; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 101 ff. 188 Die Notstandshaftung ist dann erforderlich, sofern diese mit dem rechtsstaatlichen Ausnahmezustand begründet werden kann. Dazu wird auf die Inanspruchnahme eines Unbeteiligten abgestellt, der allein Inhaber des Gegenmittels ist. So auch F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 177 f. 189 C. Volkmann, Der Störer im Internet, S. 218; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 94. 190 B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 333; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 266; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 94. 191 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 266; F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 181. 192 Von der Generalklausel nicht erfasst werden anlassunabhängige Vorabkontrollen, da in diesem Stadium noch keine hinreichende Gefahr für die öffentliche Sicherheit gegeben ist. C. Volkmann, Der Störer im Internet, S. 196; kritisch dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 335 f.

300 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

abstrakte Gefährlichkeit des Missbrauchs des WWW ist für die Befugnis der Behörden im Rahmen der Gefahrenabwehr nicht ausreichend.193 Als polizeilich- und ordnungsrechtliche Maßnahmen der Gefahrenabwehr im WWW zur Beseitigung einer Störung kommen vorrangig Löschungs- und Sperrungsverfügungen gegen den Provider in Frage. Zielsetzung ist es, die weitere Verwendung personenbezogener Daten, welche durch unbefugte Dritte, beispielsweise im Wege des Phishing194 von Zugangskennwörtern erhoben wurden, die unzulässige Erhebung und Speicherung von Nutzerdaten sowie die Speicherung personenbezogener Daten aus aggregierten Datenbeständen zu verhindern. Um den Abruf und die Rezeption der Daten über das WWW zu unterbinden, erweist sich sowohl die Löschung als auch Sperrung gegenüber dem Adressaten, also dem einzelnen Nutzer des inhaltlichen Angebots als geeignet. Hingegen fokussiert die Anordnung, Datenbestände nach §§ 20 und 35 BDSG zu löschen oder zu sperren primär auf den für die unzulässige oder unbefugte Erhebung, Verarbeitung und Speicherung verantwortlichen Provider.195 Diese Verfügungen bei den Providern durchzusetzen, ist je nach Möglichkeit des Zugriffs und der Sachherrschaft auf den Datenbestand unterschiedlich. So sind Content Provider zur jederzeitigen Löschung der eigenen, zur Nutzung bereit gehaltenen Daten fähig.196 Gleiches gilt für Host Provider, die Content Providern eigene Rechner zur Verfügung stellen, um darauf Daten zu speichern, die für den Nutzer des WWW auf Abruf zu Verfügung stehen. Rechtswidrig erhobenes Datenmaterial kann von diesen aufgrund des technisch direkten Zugriffs dauerhaft gelöscht oder gesperrt werden.197 Access Providern hingegen ist, wie bereits im Rahmen der Störerhaftung angeführt, aufgrund der fehlenden Sachherrschaft an den unzulässig oder unbefugt erhobenen und gespeicherten Daten, eine Löschung nicht auf direktem Wege 193 C. Volkmann, Der Störer im Internet, S. 197; so muss sich eine Gefährdung für ein wesentliches Rechtsgut wie das Recht auf informationelle Selbstbestimmung des einzelnen Nutzers zu einer konkreten Gefahr verdichtet haben und die wesentlichen Merkmale einer zu erwartenden Störung genau benannt werden; vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 95 f.; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, S. 95 f. 194 M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 39. 195 P. Gola/R. Schomerus, in: ders., BDSG, § 20 BDSG, Rdn. 1; O. Mallmann, in: S. Simitis, BDSG, § 20, Rdn. 3 ff. 196 C. Volkmann, Der Störer im Internet, S. 208; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 385 ff.; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 215; F. Schoch, in: E. Schmidt-Aßmann, Besonderes Verwaltungsrecht, Kap. 2 Rdn. 151; so auch OVG Münster, Beschluss vom 24.3.1977 = DÖV 1977, 352 sowie OVG Lüneburg, Urteil vom 11.04.1979, IV OVG A 212/78, NJW 1979, 735; sowie Art. 98 Bay PAG. 197 U. Sieber, Verantwortlichkeit im Internet, Rdn. 120, 132 ff.; T. Stadler, Haftung für Informationen im Internet, Rdn. 127.

B. Präventive Kontrolle – Gefahrenabwehr

301

möglich. Aufgrund ihrer Eigenschaft, lediglich den Zugang zur Telekommunikationsdiensten zur Verfügung zu stellen, kommt gemäß § 59 Abs. 4 S. 1 RStV i.V. m. § 8–10 TMG lediglich eine Sperrung des Angebots des Diensteanbieters in Form des Zugangs zum Internet oder dem WWW in Frage. Dabei ist es nach § 59 Abs. 4 S. 2 RStV erforderlich, dass dies technisch möglich und zumutbar ist.198 Dies kann der Access Provider nur durch eine Sperrung des eigenen DNSServers, der Blockade von IP-Adressen und Herbeiführen der Unerreichbarkeit der Inhalte für den Nutzer sowie des Einsatzes eines Proxy-Servers zur Regelung der abgerufenen Datenströme zwischen Sender (Host oder Content Provider) und Empfänger (Nutzer) umsetzen.199 3. Zur Verhältnismäßigkeit von Löschungs- und Sperrungsverfügungen Die Durchführung von Sperrungsverfügungen ist nur rechtmäßig, sofern für diese Maßnahme eine verfassungskonforme Grundlage vorliegt. Dies wird dadurch erfüllt, dass Maßnahmen der Gefahrenabwehr durch die polizei- und ordnungsrechtlichen Behörden zum Zwecke der Gewährleistung der öffentlichen Sicherheit und/oder Ordnung erfolgen.200 Die Behörden agieren hier im Auftrag und zum Schutz des einzelnen Bürgers vor der Störung seines Rechts auf informationelle Selbstbestimmung infolge einer rechtswidrigen Erhebung, Speicherung und Verarbeitung seiner personenbezogenen Daten. Dies geschieht nicht zum Schutz des einzelnen Nutzers, sondern zur Sicherung der verfassungsrechtlich anerkannten Grundrechte, welche die allgemeine Freiheit auf der Grundlage der Sittlichkeit aller Bürger im Rechtsstaat verwirklicht.201 Insofern ist die polizeiliche Generalklausel sowie die Vorschrift des § 59 RStV, welche den Umfang der Befugnis zur Anordnung einer Löschung oder Sperrung von Daten regelt, verfassungskonform.202

198 A. Zimmermann/J. Stender-Vorwachs, Kommentierung des § 59 RStV, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, 2008, Rdn. 53 ff. 199 T. Stadler, Sperrungsverfügungen gegen Access Provider, MMR 2002, 343 ff.; ders., Haftung für Informationen im Internet, Rdn. 128 f., 130; G. Schneider, Die Wirksamkeit der Sperrung von Internet-Zugriffen, MMR 1999, 571 ff.; U. Sieber, Verantwortlichkeit im Internet, Rdn. 170 ff. 200 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 40, 183; W. Mössle, in: H. U. Gallwass/ders., Bayerisches Polizei- und Sicherheitsrecht, S. 21 ff.; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 72 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183. 201 K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff.; C. Volkmann, Der Störer im Internet, S. 235; zum Freiheitsverständnis weiter auch K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff. 202 Zur Anwendbarkeit des § 59 RStV auf Internetprovider vgl. A. Zimmermann/ J. Stender-Vorwachs, in: G. Spindler/F. Schuster, RdeM, § 59 RStV, Rdn. 12.

302 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Über die vorgenannten Voraussetzungen hinaus muss die Maßnahme einer Löschung oder Sperrung von Daten gegenüber dem Provider, dem die Sachherrschaft über die Gefahrenquelle obliegt, verhältnismäßig zur Störung an einem Rechtsgut sein. Die Verhältnismäßigkeit der Gefahrenabwehrmaßnahme misst sich daran, ob die Verfügung geeignet, erforderlich und zumutbar ist.203 Wesentlich für den Erfolg der Störungsbeseitigung ist, dass eine weitere Verwendung der vom Provider unzulässig erhobenen und gespeicherten personenbezogenen Daten unterbunden wird. Im Sinne einer effektiven Gefahrenabwehr kann eine dauerhafte Beseitigung nur durch nachhaltiges Löschen des Datenbestandes erreicht werden.204 Während dies, wie vorangegangen dargestellt, für den Content- oder Host Provider technisch relativ einfach ist, gilt dies aufgrund der mangelnden direkten Sachherrschaft über die Gefahrenquelle für Access Provider nur eingeschränkt. Somit sind die technischen Möglichkeiten des Providers dafür ausschlaggebend, ob eine polizei- und ordnungsrechtliche Maßnahme geeignet ist.205 Eine vollständige Ausschaltung der Gefahr ist aufgrund der dezentralen, globalen Struktur des Internets206 praktisch unmöglich. Der Störer ist jederzeit in der Lage seine Datenbestände auf mehreren Servern an unterschiedlichen Orten weltweit abzuspeichern und zur weiteren Verwendung abzurufen. Gefahrenabwehrrechtliche Anordnungen gegen Provider, Datenbestände zu löschen oder zu speichern, können damit stets nur punktuell erfolgen.207 Gemäß dem Prinzip der effektiven Gefahrenabwehr ist dies jedoch auch nicht gefordert. Vielmehr entspricht bereits die Verringerung einer bestehenden Gefahr infolge der Beseitigung einer akuten Störung der ordnungsrechtlichen Verpflichtung zum 203 Zum Verhältnismäßigkeitsprinzip K. A. Schachtschneider, Freiheit in der Republik, S. 217, 422 mit Verweis auf die Rechtsprechung des Bundesverfassungsgerichts BVerfGE 30, 47 (53 f.); soweit auch BVerwGE 84, 375 (381); in diesem Sinne auch BVerfGE 22, 180 (219 f.); 34, 330 (353); 58, 300 (348); 88, 367 (373); weiterführend ders., Res publica res populi, S. 362, 557 f., 827 ff.; ders., Prinzipien des Rechtsstaates, S. 343 f.; A. Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EU-Rechtsetzung, S. 143 ff., 328 f., 350 ff.; P. Lerche, Übermaß und Verfassungsrecht, S. 34 ff., 79 f., 239 ff.; P. Häberle, Die Wesensgehaltsgarantie des Art. 19 Abs. 2 Grundgesetz, S. 67 ff., 234 ff.; K. Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Rdn. 332; T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 98 f.; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 41. 204 U. Sieber, Verantwortlichkeit im Internet, Rdn. 126; so auch T. Stadler, Haftung für Informationen im Internet, Rdn. 127. 205 BVerfGE 96, 10 (23); BVerfGE 30, 292 (316); BVerfGE 33, 171 (187); BVerfGE 67, 157 (173); V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 333; W.-R. Schenke, in: U. Steiner, Besonderes Verwaltungsrecht, Kap. 2, Rdn. 202; F. Rachor, Das Polizeihandeln, in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Aufl. 1996, Kap. F, Rdn. 222. 206 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. 207 C. Volkmann, Der Störer im Internet, S. 232.

B. Präventive Kontrolle – Gefahrenabwehr

303

Schutz der öffentlichen Sicherheit. Ist unter den gegebenen Bedingungen keine vollständige und endgültige Gefahrbeseitigung möglich, so ist die ausgewählte Maßnahme als geeignet einzustufen, sofern diese zum bezweckten Erfolg einen maßgeblichen Beitrag leistet.208 Im Sinne einer effektiven Wirksamkeit der Sperrungs- oder Löschungsverfügung obliegt dem Access Provider die größtmögliche Reichweite, den Abruf von Daten mittels genereller Sperrung des Zugangs zum Internet dauerhaft zu unterbinden.209 Die Auswahl der nach dem Verhältnismäßigkeitsgrundsatz erforderlichen präventiven Maßnahme richtet sich vorrangig nach dem Grad der Beeinträchtigung für die betroffenen Provider sowie für die Allgemeinheit und damit letztlich auch den einzelnen Nutzer des WWW. Trotz der Existenz von Alternativen, wie vorkonfigurierten Filtern,210 die beim Nutzer auf dem PC installiert werden können sowie entsprechenden Aufklärungsmaßnahmen211 durch Access Provider selbst, scheiden diese aufgrund ihrer nachrangigen Wirkung zur effektiven Störungsbeseitigung weitgehend aus. Damit ist die Löschung sowie Sperrung durch den Provider die geeignete Maßnahme zur effektiven Abwehr von Gefahren, die sich aus der Speicherung und Verwendung personenbezogener Daten über das WWW ergeben. Um die Angemessenheit von Löschungs- und Sperrungsverfügungen gegenüber Providern zu beurteilen, sind nicht nur die Grundrechtspositionen der am Datenverkehr im Internet beteiligten gegeneinander abzuwägen. Vielmehr steht im Vordergrund, die den Bürgern immanenten Grundrechte zu verwirklichen, indem die Allgemeinheit der Freiheit sowie der Schutz der freiheitlich demokratischen Grundordnung als Verfassungsgut gewährleistet wird.212 208 V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 333; VG Düsseldorf, Beschluss vom 19.12.2002, 15 L 4148/02 = MMR 2003, 205 ff.; M. Hornig, Möglichkeiten des Ordnungsrechts bei der Bekämpfung rechtsextremistischer Inhalte im Internet, ZUM 2001, 846, 852; A. Zimmermann, Polizeiliche Gefahrenabwehr und das Internet, NJW 1999, 3145, 3150; F. Rachor, in: H. Lisken/E. Denninger, Handbuch des Polizeirechts, Kap. F, Rdn. 222. 209 J. Dietlein/J. Heinemann, Ordnungsrecht und Internetkriminalität, K&R 2004, 418 ff. 210 Zum Einsatz dieser ausführlich B. Holznagel/S. Kussel, Möglichkeiten und Risiken bei der Bekämpfung rechtsradikaler Inhalte im Internet, MMR 2001, 347, 351; U. Sieber, Strafrechtliche Verantwortlichkeit für den Datenverkehr in internationalen Computernetzen, JZ 1996, 429, 432; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 428; A. Greiner, Die Verhinderung verbotener Internetinhalte im Wege der polizeilichen Gefahrenabwehr, S. 90. 211 J. Dietlein/J. Heinemann, Ordnungsrecht und Internetkriminalität, K&R 2004, 420, 423. 212 C. Volkmann, Der Störer im Internet, S. 235; K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff.; zum Freiheitsverständnis ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff.; die freiheitlich demokratische Grundordnung wird als diejenige

304 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Die Güterabwägung im Rahmen des Angebots und der Rezeption rechtswidriger Inhalte im Internet bezieht sich auf den Eingriff in das Recht auf Meinungsäußerungsfreiheit einerseits, sowie das Recht auf ungehinderten Zugang zu Informationen (Informationsfreiheit) gemäß Art. 5 Abs. 1 GG andererseits.213 Eine Beschränkung dieser beiden Grundrechte ist für die hier diskutierte Verwendung personenbezogener Daten über das WWW jedoch nicht relevant, weil beide auf Grundlage des Art. 5 GG vorwiegend mit der Verbreitung von (redaktionellen) Inhalten, nicht dem reinen Datenaustausch, im Vordergrund stehen. Im Rahmen der Datenverwendung ist hingegen wesentlich, ob die Grundrechte der Provider, die aus ihrer privaten unternehmerischen Eigenschaft resultieren, beschränkt werden dürfen. In diesem Zusammenhang ist eine Güterabwägung mit dem Recht auf Berufsfreiheit gemäß Art. 12 Abs. 1 GG angezeigt: „(1) Alle Deutschen haben das Recht, Beruf, Arbeitsplatz und Ausbildungsstätte frei zu wählen. Die Berufsausübung kann durch Gesetz oder auf Grund eines Gesetzes geregelt werden.“

Art. 12 Abs. 1 GG schützt die berufliche Betätigung, darunter die Berufsausübung und die Berufswahlentscheidung des Bürgers gegen staatliche Eingriffe. Unter Rückgriff auf die vom Bundesverfassungsgericht im Apotheken-Urteil214 entwickelte Drei-Stufen-Lehre215 zur Prüfung der Verhältnismäßigkeit von Ordnung definiert, „die unter Ausschluss jeglicher Gewalt- und Willkürherrschaft eine rechtsstaatliche Herrschaftsordnung auf der Grundlage der Selbstbestimmung des Volkes nach dem Willen der jeweiligen Mehrheit und der Freiheit und Gleichheit darstellt.“, BVerfGE 2, 1 (12 f.); vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 116. 213 Zur Wechselwirkungslehre im Zusammenhang mit Art. 5 Abs. 1 GG und dem Internet vgl. BVerfGE 7, 198 (208); BVerfGE 35, 202 (223 f.); 12, 113 (124 f.); 59, 231 (265); 77, 65 (75); 64, 108 (118 f.); BGHZ 130, 5, (11 f.); 125, 91 (97); BVerfGE 80, 124 (135); BVerwGE 78, 184, (189 f.); BGHZ 116, 47 (54); BVerfGE 61, 1 (11); 85, 1, (16); 57, 295 (319); BVerfGE 80, 124 (125 f.); weiterführend auch R. Wendt, Kommentierung des Art. 5 GG, in: I. v. Münch/P. Kunig (Hrsg.), GG Kommentar, 5. Aufl. 2000, Rdn. 75 f.; H.-D. Jarass, Kommentierung des Art. 5 GG, in: ders./B. Pieroth (Hrsg.), Grundgesetz für die Bundesrepublik Deutschland, 7. Aufl. 2004, Rdn. 57; H. SchulzeFielitz, Kommentierung des Art. 5 GG, in: H. Dreier (Hrsg.), Grundgesetz, Band 1, 2. Aufl. 2004, Rdn. 159 f.; kritisch zur Informationsfreiheit im Zusammenhang mit Internet-Providern C. Engel, Die Internet-Service-Provider als Geiseln deutscher Ordnungsbehörden, MMR Beilage 4/2003, 1, 21 f.; T. Stadler, Sperrungsverfügungen gegen Access-Provider, MMR 2002, 343, 346; J. Dietlein/J. Heinemann, Ordnungsrecht und Internetkriminalität, K&R 2004, 420, 423; D. Landmann, Die Ausstrahlung jugendgefährdender Fernsehsendungen – strafbar?, NJW 1996, 3309, 3310; I. Vassilaki, Anmerkung zum Beschluss des OVG Münster vom 19.03.2003, 8 B 2567/02, CR 2003, 367 f. 214 BVerfGE 7, 377 (377 ff.); weiterführend zur Einschränkbarkeit der Berufsfreiheit BVerfGE 7, 377 (400 ff.), vgl. dazu auch K. A. Schachtschneider, Prinzipien des Rechtsstaates, 2003, S. 348. 215 Vgl. dazu BVerfGE 7, 377 (405 ff.); 19, 330 (336 f.), 30, 392 (396); 46, 120 (138); Gemäß der Drei-Stufen-Lehre werden für Eingriffe in das Grundrecht drei Be-

B. Präventive Kontrolle – Gefahrenabwehr

305

Beeinträchtigungen dieses Grundrechts, hat das Gericht festgestellt, dass eine Einschränkung dann als gering einzustufen ist, soweit sie die Freiheit der Berufswahl und -ausübung nicht erfasst.216 Polizei- und ordnungsrechtliche Maßnahmen gegenüber Providern zur Störungsbeseitigung sind dann als gerechtfertigt einzustufen, sofern erhebliche Gründe im Interesse und zur Sicherung des Allgemeinwohls, dem Schutz wichtiger Gemeinschaftsgüter oder zur Abwehr nachweisbarer oder höchstwahrscheinlicher Gefahren für ein überragend wichtiges Gemeinschaftsgut dienen.217 Mithin stellen polizei- und ordnungsrechtliche Maßnahmen zur Löschung oder Sperrung von Daten keine wesentliche Beeinträchtigung der Berufsfreiheit und damit keinen erheblichen Eingriff in das Grundrecht gemäß Art. 12 Abs. 1 GG dar. Dabei stellt das allgemeine Persönlichkeitsrecht und das Grundrecht auf informationelle Selbstbestimmung des Nutzers als Ausfluss der durch die Verfassung der Bürger anerkannten immanenten Grundrechte der Würde und Freiheit der Person gemäß Art. 1 Abs. 1 und Art. 2 Abs. 1 GG ein solches Rechtsgut für das Volk, der Gemeinschaft an Bürgern unter Rechtsgesetzen dar.218 Eingriffe, die dem Schutz des Allgemeinwohls dienen, sind auf Grundlage des Art. 59 RStV oder der polizei- und ordnungsrechtlichen Generalklausel im Wege der präventiven Kontrolle der Datenverwendung im WWW gegenüber dem Grundrecht auf Berufsfreiheit gemäß Art 12 Abs. 1 GG rechtmäßig. Ferner ist

schränkungsbereiche differenziert: einschränkende Regelungen der Berufsausübung, subjektive Zulassungsvoraussetzungen sowie objektive Zulassungsschranken. Einhergehend mit der Zunahme der Eingriffsintensität, steht die Abnahme der Gestaltungsfreiheit des Gesetzgebers durch die zunehmende Erfordernis der Rechtfertigung. Vgl. dazu R. Breuer, Freiheit des Berufs, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band IV, 1989, § 147, Rdn. 59; ders., Die staatliche Berufsregelung und Wirtschaftslenkung, in: J. Isensee/P. Kirchhof, Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band VI, Freiheitsrechte, 1989, § 148, Rdn. 6 ff.; M. Gubelt, Kommentierung des Art. 12 GG, in: I. v. Münch/P. Kunig (Hrsg.), GG Kommentar, Art. 12 GG, Rdn. 48 ff.; B. Pieroth/B. Schlink, Grundrechte – Staatsrecht II, Rdn. 898; einschränkend zur festen Vorgabe der Stufentheorie BVerfGE 102, 197 (213 f., 218) sowie BVerfG, 1 BvR 1054/01 vom 28.3.2006, Abs. 1 ff.; NJW 2006, 1261 ff.; weiter auch C. Volkmann, Der Störer im Internet, S. 240. 216 BVerfGE 33, 303 (330); BVerfGE 39, 334 (369); zur Einschränkbarkeit der Berufswahlfreiheit durch die Gesetze vgl. K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 348; ders., Umweltschutz (FCKW-Verbot), 2003, S. 334 ff.; ders., Produktwarnung, 2003, S. 114 f. 217 So auch BVerfGE 70, 1 (28); 93, 362 (369); 85, 248 (259); H.-D. Jarass, in: ders./B. Pieroth, GG, Art. 12, Rdn. 36 f.; M. Gubelt, in: I. v. Münch/P. Kunig, GG, Art. 12 GG, Rdn. 49, 55; vgl. dazu auch BVerfGE 13, 97 (107), 69, 209 (218); 102, 197 (214). 218 Vgl. dazu K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 56; ders., Freiheit in der Republik, S. 373; ders., Res publica res populi, S. 519 ff.; I. Kant, Metaphysik der Sitten, S. 432; C. de Montesquieu, Vom Geist der Gesetze, S. 210; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454, 461, 465.

306 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

eine Abwägung von Löschungs- und Sperrungsverfügungen gegen Provider auf Grundlage ihres Rechts auf Eigentum aus Art. 14 GG angezeigt: „(1) Das Eigentum und das Erbrecht werden gewährleistet. Inhalt und Schranken werden durch die Gesetze bestimmt. (2) Eigentum verpflichtet. Sein Gebrauch soll zugleich dem Wohle der Allgemeinheit dienen. (3) Eine Enteignung ist nur zum Wohle der Allgemeinheit zulässig. Sie darf nur durch Gesetz oder auf Grund eines Gesetzes erfolgen, das Art und Ausmaß der Entschädigung regelt. Die Entschädigung ist unter gerechter Abwägung der Interessen der Allgemeinheit und der Beteiligten zu bestimmen. Wegen der Höhe der Entschädigung steht im Streitfalle der Rechtsweg vor den ordentlichen Gerichten offen.“

Dem Wortlaut des Art. 14 Abs. 2 GG ist durch den Verweis auf die Verpflichtung des Einzelnen, der aus dem Besitz von Eigentum resultiert, eine wesentliche Grundlage für den dem Wortlaut nach genannten Schutz des Allgemeinwohls zu entnehmen.219 Dies wurde auch in der Rechtsprechung durch das Bundesverfassungsgericht ausdrücklich anerkannt. Eingriffe in die Eigentumsfreiheit sind dann als rechtmäßig im Lichte dieses Grundrechts, sofern mit der durchgeführten Maßnahme zugleich eine zulässige, zum Schutze der Freiheit des Einzelnen und damit der Freiheit aller, also im Sinne des Allgemeinwohls, gerechtfertigte Regelung der Berufsausübung erfolgt.220 Im Ergebnis kann festgehalten werden, dass die Anordnung von Löschungsoder Sperrungsverfügungen über Datenbestände gegenüber Providern dann verhältnismäßig ist, sofern die Maßnahme geeignet und erforderlich ist sowie damit keine rechtserhebliche Verletzung der Grundrechte der in Anspruch genommenen Verantwortlichen erfolgt. Wesentlich für die Abwägung der ordnungsrechtlichen Maßnahmen ist nicht nur, den Schutz der Grundrechte des Einzelnen zu gewährleisten, sondern Gefahren für die öffentliche Sicherheit abzuwehren,221 um den Erhalt der freiheitlichen demokratischen Grundordnung zu sichern.222

219 Vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, S. 577, insbesondere S. 578; zur Verpflichtung durch Eigentum ders., S. 593 f. 220 So BVerfGE 50, 290 (365); W. Leisner, Eigentümer als Beruf, JZ 1972, 33 f.; M. Gubelt, in: I. v. Münch/P. Kunig, GG, Art. 12, Rdn. 98; vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 570 f.; zur Würde als unbeschränkbares, immanentes Grundrecht vgl. I. Kant, Grundlegung zur Metaphysik der Sitten, S. 68; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 472 ff. 221 Zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 222 K. A. Schachtschneider, Freiheit in der Republik, S. 116, 238; zur Definition der freiheitlichen demokratischen Grundordnung vgl. BVerfGE 2, 1 (12 f.).

B. Präventive Kontrolle – Gefahrenabwehr

307

4. Datenverwendung im Wege der polizeilichen Gefahrenabwehr und Strafverfolgung Die Erhebung, Speicherung und Verwendung von Daten erfolgt seitens öffentlicher Behörden auch im Rahmen der präventiven oder repressiven Tätigkeit zur Kontrolle des Datenverkehrs im Internet. Dies stellt solange keinen Eingriff in das Recht auf informationelle Selbstbestimmung des betroffenen Nutzers oder Providers als Verantwortlichem für den Verstoß gegen die geltenden ordnungsoder strafrechtlichen Vorschriften dar,223 als die Datenerhebung und -verarbeitung gemäß den dafür einschlägigen Normen der §§ 12–14 BDSG erfolgt. Ein Eingriff in die Grundrechte des Betroffenen erfordert eine spezielle Befugnis anhand einer bestehenden gesetzlichen Grundlage. Staatliche Stellen haben mithin den Umgang mit personenbezogenen Daten im Rahmen der Gefahrenabwehr und Strafverfolgung an den Maßgaben zum Schutz des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG, zu messen. Gemäß der Forderung des Bundesverfassungsgerichts aus dem Volkszählungsurteil, spezifische und qualifizierte Regelungen für jeden Aufgabenbereich zur verfassungsrechtlichen Rechtfertigung von Eingriffen in das Recht auf informationelle Selbstbestimmung224 zu erlassen, sind öffentliche Behörden gemäß § 2 Abs. 2 BDSG in ihrer Funktion als Organe der Rechtspflege bei der Ermittlung von Störungen oder Straftaten an die Grundsätze des Datenschutzrechts gebunden.225 Die Vorschriften des Bundesdatenschutzgesetzes haben insoweit subsidiäre Funktion, als die Datenverarbeitung öffentlicher Stellen auch in den jeweiligen Bestimmungen der Landesdatenschutzgesetze geregelt ist. Ist abweichend vom Bundesdatenschutzgesetz eine Vorschrift in den landesrechtlichen Bestimmungen nicht enthalten, so ist subsidiär die Norm des Bundesdatenschutzgesetz heranzuziehen. Ein Eingriff in das Recht auf informationelle Selbstbestimmung ist überdies auf die polizeiliche Befugnis-Generalklausel (Art. 2 PAG) zu stützen. Vorfeldermittlungen sind von der Generalklausel ausgenommen, weil hierfür eine konkrete Gefahr vorliegen muss.226 223 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 468, 476; so wird der Einzelne analog zu den Feststellungen des Bundesverfassungsgerichts im Volkszählungsurteil im Jahre 1983 (BVerfGE 65, 1–71) in der freien Entfaltung seiner Persönlichkeit gehemmt, wenn er nicht abschätzen kann, was Dritte – einschließlich staatlicher Stellen – über ihn wissen. Vgl. dazu BVerfGE 65, 1 (42 f.); weiter zum grundrechtlichen Schutzanspruch vor Eingriffen in das allgemeine Persönlichkeitsrecht vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 48 f., 61 f.; 127 ff.; insbesondere 132 ff., 151 ff., 179 ff. 224 BVerfGE 65, 1 (46); zum Grundrecht auf informationelle Selbstbestimmung auf der Grundlage des allgemeinen Persönlichkeitsrechts vgl. U. Di Fabio, in: T. Maunz/ G. Dürig, GG, Art. 2 Abs. 1, 173 ff. 225 P. Gola/C. Klug, in: ders., BDSG, § 2 Abs. 2, Rdn. 4; U. Dammann, in: S. Simitis, BDSG, § 2 Abs. 2, Rdn. 24 f., 27 f. 226 H. Bäumler, in: H. Lisken/E. Denninger (Hrsg.), HbdPR, Kap. J, Rdn. 561 f., 664; vgl. dazu auch F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 52, 63; K. Habermehl,

308 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Gemäß § 13 Abs. 2 Nr. 5 BDSG sind öffentliche Stellen dazu befugt, personenbezogene Daten zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit227 zu erheben. „So ist die Erhebung personenbezogener Daten nur im Rahmen der polizeilichen Generalklausel zulässig. Jede darüber hinausgehende Datenerhebung erfordert eine gesetzliche Grundlage oder der Betroffene ist auf die Freiwilligkeit seiner Angaben hinzuweisen.“ 228 Dies ist insofern als kritisch einzustufen, als § 13 BDSG stets im Verhältnis zur Vorschrift des § 1 Abs. 1 BDSG, also dem Schutzzweck des Gesetzes vor Eingriffen in das Persönlichkeitsrecht des Betroffenen, nach dem Erforderlichkeitsprinzip auszulegen ist.229 Demnach stellt § 13 BDSG keine Eingriffsgrundlage dar, sondern setzt eine anderweitige gesetzliche Grundlage voraus, gemäß derer die Datenerhebung durch öffentliche Behörden zulässig und rechtmäßig ist.230 Da der Schutzgegenstand des Rechts auf informationelle Selbstbestimmung in Verbindung mit der Vorschrift des § 3 Abs. 1 BDSG lediglich auf personenbezogene Daten abstellt, können Ermittlungen im WWW nur insoweit in dieses Grundrecht eingreifen als sie sich auf diese Datenart beziehen. Zwar stellt die Verwendung von einzelnen Nutzungsdaten noch keinen Eingriff in das allgemeine Persönlichkeitsrecht des Betroffenen dar. Jedoch lassen sich durch die Verknüpfung dieser Einzeldaten mit Bestandsdaten durchaus relevante Profile erstellen, die direkt zuordenbare Informationen über eine bestimmte oder Person enthalten.231 So wird insbesondere an diesem Beispiel deutlich, dass sich die strenge Zuordnung von Datenarten zu bestimmten Lebenssphären, wie in der vom Bundesverfassungsgericht vor dem Volkszählungsurteil entwickelten und vertretenen Sphärentheorie, angesichts der Möglichkeiten der modernen Datenverarbeitung über das Internet, als zunehmend ungeeignet erweist.232 Polizei- und Ordnungsrecht, Rdn. 87; H. Hund, Polizeiliches Effektivitätsdenken contra Rechtsstaat, ZRP 1991, S. 465; kritisch zur Vorfeldermittlung M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 245. 227 Zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 228 P. Gola/R. Schomerus, Kommentierung des § 13 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 2; B. Sokol, in: S. Simitis, BDSG, § 13, Rdn. 39. 229 H. Bäumler, in: H. Lisken/E. Denninger, HbdPR, Rdn. 67; B. Sokol, in: S. Simitis, BDSG, § 13, Rdn. 7. 230 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 480; P. Gola/ R. Schomerus, in: ders., BDSG, § 13, Rdn. 2; B. Sokol, in: S. Simitis, BDSG, § 13, Rdn. 1 ff. 231 So auch BVerfGE 65, 1 (42 f., 45). 232 Zustimmend dazu S. Simitis, in: ders., BDSG, § 1, Rdn. 65; H. Dreier, in: ders., GG, Art. 2 Abs. 1, Rdn. 52; in diesem Sinne auch K. A. Schachtschneider, Freiheit in der Republik, S. 623 ff.; ablehnend dazu G. Rüpke, Der verfassungsrechtliche Schutz der Privatheit. Zugleich ein Versuch pragmatischen Grundrechtsverständnisses, 1976, S. 20, 30 f.; zur Abgrenzung verschiedener Sphären D. Rohlf, Der grundrechtliche

B. Präventive Kontrolle – Gefahrenabwehr

309

Die weitere Verwendung von Daten in Form der Datenspeicherung, -veränderung und -nutzung für andere Zwecke, die außerhalb des Rahmens liegt, der zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle erforderlich ist (§ 14 Abs. 1 S. 1 BDSG), unterliegt den Voraussetzungen des § 14 Abs. 2 BDSG: „Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn [. . .] es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist.“ 233 Eine Zweckänderung ist dann gegeben, sofern personenbezogene Daten über den erforderlichen Zeitraum und den ursprünglich vorgesehenen Zweck der Erhebung, Speicherung und Verarbeitung hinaus, verwendet werden. In Folge können Daten damit weiter in kriminalpolizeilichen Spezialdateien vorgehalten werden, um für die vorbeugende Gefahrenabwehr genutzt oder bei künftigen Ermittlungsverfahren zur Strafverfolgung herangezogen zu werden.234 Neben den angeführten Befugnissen für personenbezogene Daten nach den Vorschriften des Bundesdatenschutzgesetzes waren öffentlichen Behörden bisher dazu befugt, Auskunft über die im Zusammenhang mit der Nutzung von Telekommunikationsangeboten im Internet anfallenden Verkehrsdaten beim Anbieter einzuholen und diese zum Zwecke der Abwehr von erheblichen Gefahren für die öffentliche Sicherheit zu nutzen (§§ 113 Abs. 1, 113b Abs. 1 Nr. 2 TKG). Gemäß § 113a TKG waren Telekommunikationsanbieter dazu verpflichtet diese Verkehrsdaten für einen Zeitraum von 6 Monaten anlasslos zu speichern und auf Verlangen den zuständigen Stellen unverzüglich Auskünfte über die erhobenen Daten zu erteilen (§ 113a Abs. 1, 9 TKG). Das Bundesverfassungsgericht hat jedoch im Urteil vom 2. März 2010 festgestellt, dass die Vorschriften der §§ 113a und 113b TKG den verfassungsrechtSchutz der Privatsphäre. Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, 1980, S. 76 ff., 87 ff., 135 ff., 192 ff.; A. Podlech, Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundament der Demokratie, 1979, S. 50 ff., 60 ff.; J. Schwabe, Probleme der Grundrechtsdogmatik, S. 314 ff.; W. Schmitt Glaeser, HStR, Bd. VI, § 129, Rdn. 10 ff., 27 ff.; zur Einheit des privaten und öffentlichen Aspekts grundgesetzlicher Freiheit auch P. Häberle, Öffentlichkeit im demokratischen Staat, S. 140; zur Sphärentheorie in der Rechtsprechung des Bundesverfassungsgerichts vgl. BVerfGE 6, 32 (41); 6, 389 (433); 27, 1 (6); 27, 344 (350 ff.); 32, 373 (379); 34, 238 (245); 35, 202 (220); 44, 353 (372 ff., 383 f.); 54, 148 (153); 60, 123 (134 f.); 65, 1 (41); 67, 213 (228); 71, 183 (201); 72, 153 (170); 80, 367 (373 ff.); 82, 236 (269); 89, 62 (82 ff.); 96, 56 (61); 99, 185 (193 ff.); 101, 361 (379 ff.); 104, 373 (391 ff.). 233 Vgl. dazu P. Gola/R. Schomerus, in: ders., BDSG, § 14, Rdn. 20 f.; U. Dammann, Kommentierung des § 14 BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 5. Aufl. 2003, Rdn. 72 f.; zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 234 P. Gola/R. Schomerus, in: ders., BDSG, § 14, Rdn. 8, 12 ff.; kritisch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 476.

310 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

lichen Anforderungen im Hinblick auf den Abruf und die Verwendung der nach § 113a TKG gespeicherten Daten für die Gefahrenabwehr nicht entsprechen. Insbesondere § 113b Satz 1 Nr. 2 und 3 TKG genügt den Anforderungen an eine hinreichende Begrenzung der Verwendungszwecke nicht, weil die Aufgabenfelder lediglich generalisiert angeführt werden.235 Weiter erfüllt die in § 113b S. 1 TKG genannte mittelbare Nutzung der nach § 113a TKG gespeicherten Daten zur Auskunft, wie sie auch § 113 Abs. 1 TKG vorsieht, nicht die Anforderungen der Verhältnismäßigkeit.236 Das höchste Gericht stellte fest, dass die genannten Vorschriften aufgrund dessen insgesamt mit Art. 10 Abs. 1 GG nicht vereinbar, damit verfassungswidrig und nichtig sind.237 Das Gericht legte weiter fest, dass alle Daten, die durch Diensteanbieter vor der Urteilssprechung gemäß den genannten gesetzlichen Vorschriften erhoben und gespeicherten wurden, zu löschen sind.238 Für die öffentlichen Behörden und die Durchführung von Maßnahmen zur Gefahrenabwehr bedeutet dies, dass mangels gesetzlicher Grundlage nicht mehr auf gespeicherte Verkehrsdaten von Telekommunikationsanbietern gemäß §§ 113a und 113b TKG zurückgegriffen werden kann, bis vom Gesetzgeber neue, geeignete Regelungen erlassen werden, die einen effektiven Rechtsschutz für den Betroffenen nach den Maßgaben des höchsten Gerichts gewährleisten.239 Weitere Regelungen zur Datenverarbeitung im Rahmen der Gefahrenabwehr enthalten die jeweiligen landesrechtlichen polizeirechtlichen Regelungen.240 Der dritte Abschnitt des Polizeiaufgabengesetzes (PAG), welches die Aufgaben und Befugnisse der bayerischen staatlichen Polizei regelt, beinhaltet in drei Unterabschnitten Vorschriften zur Datenerhebung (Art. 30–36 PAG), Datenverarbeitung (Art. 37–48 PAG) sowie die Anwendung des bayerischen Landesdatenschutzgesetzes (Art. 49 PAG). Wesentlich für die Befugnisse des präventiv-polizeilichen Tätigwerdens ist § 31 PAG, wonach die Datenerhebung nur unter folgenden Voraussetzungen zulässig ist:

235

BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 285. Ders., Abs. 288. 237 Ders., Abs. 269, 292, 306. 238 Ders., Abs. 306. 239 Zu den Anforderungen der gesetzlichen Ermächtigungsgrundlage für die Datenverwendung im Rahmen der Gefahrenabwehr vgl. BVerfG, 1 BvR 256/08 vom 2.3. 2010, Abs. 230 ff. 240 Für den Bundesstaat Bayern entsprechend Gesetz über die Aufgaben und Befugnisse der bayerischen staatlichen Polizei (Polizeiaufgabengesetz – PAG) in der Fassung der Bekanntmachung vom 14. September 1990 (GVBl. S. 397, BayRS 2012-1-1-I), zuletzt geändert durch Artikel 27 Abs. 1 des Gesetzes vom 22. Juli 2008 (GVBl. S. 421). 236

B. Präventive Kontrolle – Gefahrenabwehr

311

„1) Die Polizei kann personenbezogene Daten über die in Art. 7, 8 und 10 genannten Personen und über andere Personen erheben, wenn dies erforderlich ist 1. zur Gefahrenabwehr, insbesondere zur vorbeugenden Bekämpfung von Straftaten (Art. 2 Abs. 1), 2. zum Schutz privater Rechte (Art. 2 Abs. 2), 3. zur Vollzugshilfe (Art. 2 Abs. 3) oder 4. zur Erfüllung ihr durch andere Rechtsvorschriften übertragenen Aufgaben (Art. 2 Abs. 4) und die Art. 11 bis 48 die Befugnisse der Polizei nicht besonders regeln.“

Ferner regelt ergänzend die Vorschrift des Art. 34a PAG die Datenerhebung und damit verbundene Eingriffe in die Telekommunikation: „1) Die Polizei kann durch die Überwachung und Aufzeichnung der Telekommunikation personenbezogene Daten erheben 1. über die für eine Gefahr Verantwortlichen, soweit dies zur Abwehr einer dringenden Gefahr für den Bestand oder die Sicherheit des Bundes oder eines Landes oder für Leib, Leben oder Freiheit einer Person oder für Sachen, soweit eine gemeine Gefahr besteht, erforderlich ist, oder 2. über Personen, wenn konkrete Vorbereitungshandlungen für sich oder zusammen mit weiteren bestimmten Tatsachen die begründete Annahme rechtfertigen, dass sie eine schwerwiegende Straftat begehen werden. [. . .]“

Eine Besonderheit stellt in diesem Zusammenhang die verdeckte Datenerhebung dar. Als verdeckt ist eine Ermittlungsmaßnahme im WWW zu bezeichnen, sofern die Behörde mit der betroffenen Person, über die recherchiert wird, tatsächlich in Berührung kommt. Datenerhebungen über öffentlich und anonym zugängliche Internetdienste wie Suchmaschinen, öffentliche Register und Teilnehmerverzeichnisse oder andere Informationsdienste stellen somit keine verdeckte Erhebung dar.241 Ist der einzelne Bürger jedoch vom direkten Zugriff auf seine personenbezogenen Daten unmittelbar betroffen, so liegt ein erheblicher Eingriff in das Recht auf informationelle Selbstbestimmung vor. Nach Maßgabe dieses Grundrechts liegt das berechtigte Interesse des Einzelnen darin, seine Daten nicht für eine Verwendung zu Zwecken zu übermitteln, die er nicht vollends überschauen kann.242 Somit liegt auf der Grundlage der Befugnis-Generalklausel des bayerischen Polizeiaufgabengesetzes sowie der spezialgesetzlichen Regelungen des Bundesdatenschutzgesetz und der Landesdatenschutzgesetze für die polizeilichen Behörden primär eine Befugnis zur offenen oder verdeckten Ermittlung auf Grundlage anonymisierter Daten vor. Verdeckte Ermittlungsmaßnahmen sind nur in Ausnah-

241 A. Ochsenbein, Strafrechtliche Aspekte des Internet, Lösungen und Möglichkeiten, in: P. Heinzmann/ders., Kriminalistik 1998, S. 686. 242 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 519; zur Gefährdung anhand der Unüberschaubarkeit der Datenverarbeitung vgl. J. Bizer, in: S. Simitis, BDSG, § 3a, Rdn. 17 ff.; vgl. dazu auch BVerfGE, 65, 1 (43).

312 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

mefällen zulässig, sofern ohne diese Handlung ein präventiv-polizeiliches Vorgehen erheblich erschwert wird.243 Die mit der Gefahrenabwehr verbundenen Maßnahmen zur Gefahrenabwehrermittlung im WWW umfassen zugleich auch das Instrumentarium der Strafverfolgungsbehörden. Das polizeiliche Vorgehen gegen die unzulässige oder rechtswidrige Verarbeitung personenbezogener Daten über das WWW bezieht jegliche Ermittlungsmaßnahmen ein, die dazu geeignet sind, eine Störung zu beseitigen oder allgemein im Zusammenhang mit einem strafrechtlichen Verstoß gegen die datenschutzrechtlichen Vorschriften relevant sind.244 Auf die speziellen Befugnisse der Strafverfolgungsbehörden im Rahmen der repressiven Kontrolle des WWW, dem Recht dieser auf Auskunft gegenüber den Providern, der Vorratsdatenspeicherung sowie der verdeckten Online-Durchsuchung soll auf Grundlage der Vorschriften des Strafprozessrechts im Folgenden näher eingegangen werden.

C. Repressive Kontrolle – Strafverfolgung Die effektive Kontrolle der Verwendung personenbezogener Daten im WWW schließt aus öffentlich rechtlicher Sicht neben dem präventiven Tätigwerden staatlicher Organe im Rahmen der Gefahrenabwehr auch repressive Maßnahmen im Sinne einer umfassenden Verfolgung und Ahndung strafrechtlich relevanter Tatbestände ein. Anhand der statistischen Entwicklung von Computerdelikten lässt sich zeigen, dass computerbezogene Straftaten mit der fortschreitenden technischen Entwicklung und Verbreitung des Internets deutlich an Relevanz gewonnen haben.245 Im Einzelnen wurden 2009 im Freistaat Bayern 8.166 Fälle der Computerkriminalität registriert. 1.698 Fälle oder 26,3 % mehr als im Jahr 2008. Im Jahr 2010 ergab sich mit insgesamt 8.510 Fällen der Computerkriminalität ein Anstieg um 344 Fälle oder 3,4 % gegenüber zum Vorjahr 2009. Seit dem Jahr 2007 resultiert daraus in Summe im Bereich der Computerdelikte in Bayern ein Plus von 45,3 %. Nach wie vor bilden strafbare Handlungen in den Bereichen Computerbetrug,

243 Befürwortend für den Grundsatz der offenen Datenerhebung im Internet unter Bezugnahme auf § 8 IV VE-MEPolG H. Bäumler, in: H. Lisken/E. Denninger, HbdPR, Kap. J, Rdn. 715 f.; so auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 519, 521. 244 Ders., S. 468; kritisch zur Abgrenzung zwischen präventivem und repressivem Handeln polizeilicher Behörden und befürwortend zum Ansatz der Subsumierung der Verhütung von Straftaten zum präventiv polizeilichen Handlungsbereich vgl. F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 74; weiterführend auch H. Ahlers, Grenzbereich zwischen Gefahrenabwehr und Strafverfolgung, 1998. 245 Zur Bedeutung der Internetkriminalität auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 38 f.

C. Repressive Kontrolle – Strafverfolgung

313

Datenveränderung und Computersabotage sowie dem Abfangen und Ausspähen von Daten den maßgeblichen Anteil.246 Der starke Anstieg in den Jahren 2007 bis 2009 und der gemäßigte Verlauf in den Folgejahren 2009 und 2010 lässt sich im Wesentlichen auf die Weiterentwicklung des Sicherheitsniveaus für das Internet, insbesondere der Standards der Sicherheitssoftware seitens der Internetprovider sowie verbesserter präventiv-polizeilicher Maßnahmen zurückzuführen. Aufgabe der Strafverfolgung ist, eine rechtswidrige Tat zu bestimmen und zu ahnden, die als dasjenige Verhalten definiert ist, welches den Tatbestand eines Strafgesetzes oder einer Ordnungswidrigkeitvorschrift erfüllt. Der Nachweis der strafrechtlichen Relevanz einer Tathandlung steht in direktem Zusammenhang mit der Verwirklichung des staatlichen Strafanspruchs gegen den Täter.247 Als Straftäter im Zusammenhang mit dem WWW gelten Personen, die gegen den Willen des Betroffenen als unbefugte Dritte personenbezogene Daten rechtswidrig erheben, speichern, verarbeiten oder an Dritte weitergeben. Wesentlich ist dabei, dass der Täter nicht in den offiziellen Austausch der Daten im WWW zwischen Nutzer und Provider eingebunden ist, sondern sich rechtswidrig Zugang zu den Daten verschafft und das Computernetz somit zur Manipulation und Ausforschung fremder Daten benutzt.248 I. Straftaten und Ordnungswidrigkeiten Für Verstöße gegen die Zulässigkeit der Verarbeitung personenbezogener Daten lassen sich Ordnungswidrigkeiten und Straftaten differenzieren. Im Zusammenhang mit der repressiven Kontrolle des Internets249 sind die spezialgesetzlichen Regelungen des Telekommunikationsgesetzes, des Telemediengesetzes sowie des Bundesdatenschutzgesetzes und ergänzend der Landesdatenschutzgesetze

246 Vgl. dazu Polizeiliche Kriminalstatistik für den Freistaat Bayern 2010, abrufbar unter http://www.polizei.bayern.de/content/6/4/9/krimstat2010.pdf., S. 66; zum Vergleichsjahr 2008/2009 Kriminalstatistik für den Freistaat Bayern 2009, abrufbar unter http://www.polizei.bayern.de/content/6/4/9/krimstat2009_.pdf, S. 64. 247 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 183, 239 f. insbesondere 242 f.; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 74, 120, insbesondere Rdn. 400 ff.; B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 132. 248 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 48; vgl. dazu auch J. Binder, Computerkriminalität und Datenfernübertragung, RDV 1995, S. 57 ff.; G. Goldmann/H.-J. Stenger, Unbefugtes Eindringen in Computersysteme, CR 1989, S. 545 f.; F. A. Koch, Aspekte des technischen und strafrechtlichen Zugriffschutzes von EDV-Systemen, RDV 1996, S. 123 ff. 249 Im Unterschied zum Recht der Strafverfolgung dient das Gefahrenabwehrrecht infolge der Befugnis zu präventiven Eingriffen zum Zwecke der Verhinderung von Gefahren die sich in näherer Zukunft zu einer Störung konkretisieren, zuvorderst dem Rechtsgüterschutz. Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 218.

314 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

für die Sanktion von Ordnungswidrigkeiten durch polizei- und ordnungsrechtliche Behörden einschlägig.250 Zuwiderhandlungen, die im Zusammenhang mit dem Angebot von Telekommunikationsdienstleistungen gegen die Regelungen des Telekommunikationsgesetzes verstoßen, stellen gemäß §§ 149 Abs. 1 Nr. 15 und 16 TKG eine Ordnungswidrigkeit dar und können gemäß § 149 Abs. 2 S. 1 TKG mit einer Geldbuße von bis zu 300.000 Euro geahndet werden.251 Entsprechende Regelungen für Verstöße gegen die datenschutzrechtlichen Bestimmungen im Zusammenhang mit dem Angebot von Tele- und Mediendiensten enthält § 16 Abs. 2 TMG. Zu den dort angeführten Ordnungswidrigkeiten zählen Zuwiderhandlungen der Provider gegen folgende Vorschriften: 1. Koppelungsverbot (§ 16 Abs. 2 Nr. 2 TMG), 2. Informationspflicht (§ 16 Abs. 2 Nr. 3 TMG), 3. Verpflichtung zur Sicherstellung der Möglichkeit einer elektronischen Einwilligung, insbesondere des Systemdatenschutzes (§ 16 Abs. 2 Nr. 4 TMG), 4. Beschränkungen bei Bestands- und Nutzungsdaten (§ 16 Abs. 2 Nr. 5 TMG), 5. Verbot der Zusammenführung von Pseudonym und Nutzungsprofil (§ 16 Abs. 2 Nr. 6 TMG). Der Provider kann gemäß § 16 Abs. 2 TMG mit einem Bußgeld in Höhe von maximal 50.000 Euro belegt werden. Sind die spezialgesetzlichen Regelungen des Telekommunikationsgesetzes oder des Telemediengesetzes nicht einschlägig, so finden subsidiär die Bußgeldvorschriften des § 43 BDSG, die Strafvorschriften des § 44 BDSG, sowie ergänzend die der entsprechenden Landesdatenschutzgesetze Anwendung.252 Ausgenommen sind solche Ordnungswidrigkeitentatbestände die sich auf allgemein zugängliche Daten beziehen.253 Die in § 43 BDSG enthaltene Aufteilung der Ordnungswidrigkeiten führt im ersten Absatz solche Tatbestände an, die sich auf jegliche Zuwiderhandlungen

250 Zum TKG und TMG vgl. M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 944; zum BDSG und den LDSG vgl. T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 91. 251 M. Köhler/H.-W. Arndt/T. Fetzer, Recht des Internet, Rdn. 942. 252 P. Gola/R. Schomerus, Kommentierung des § 43 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 9. Aufl. 2007, Rdn. 31; kritisch E. Ehmann, Kommentierung des § 43 BDSG, in: S. Simitis (Hrsg.), Bundesdatenschutzgesetz – Kommentar, 5. Aufl. 2003, Rdn. 16 f., 18 ff. 253 T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 91; P. Gola/ C. Klug, Grundzüge des Datenschutzrechts, S. 119.

C. Repressive Kontrolle – Strafverfolgung

315

gegen die datenschutzrechtlichen Vorschriften des Bundesdatenschutzgesetzes erstrecken. Gemäß § 43 Abs. 3 BDSG kann der Verantwortliche, soweit es sich um fahrlässiges oder vorsätzliches Handeln im Rahmen einer unbefugten Erhebung und weiteren Verarbeitung personenbezogener Daten handelt, mit einer Geldbuße von bis zu 50.000 Euro belegt werden. Davon abzugrenzen ist der unter § 43 Abs. 2 BDSG angeführte Katalog an Ordnungswidrigkeiten, für die der Täter zur Erfüllung des Tatbestandes ebenfalls fahrlässig oder vorsätzlich gehandelt haben muss. Weiter ist die Voraussetzung bindend, dass der Tatbestand des unbefugten und im Sinne dieses Gesetzes, rechtswidrigen Abrufs, der Erhebung, Speicherung und Verwendung personenbezogener Daten gegeben ist.254 Der Rechtswidrigkeit trägt § 43 Abs. 3 BDSG dadurch Rechnung, dass Zuwiderhandlungen gegen die datenschutzrechtlichen Vorschriften mit einem Bußgeld bis zur einer Höhe von 300.000 Euro geahndet werden können.255 II. Anwendbarkeit strafrechtlicher Vorschriften für das WWW Das Einspeisen von Computerschädlingen wie Viren, Würmern und Trojanern ist nach den Vorschriften des § 303 StGB strafbewehrt. Hat das Programm die routinemäßige Löschung oder Veränderung von Daten zum Ziel, handelt es sich gemäß § 303a StGB um eine Datenveränderung.256 Entfällt jedoch die Voraussetzung der Routine und bewirkt das eingeschleuste Programm lediglich eine selbständige Verbreitung des Schädlings, kommt neben dem Tatbestand der Datenveränderung aus § 303a StGB auch die Computersabotage gemäß § 303b StGB in Betracht.257 Wesentlich ist hier, Tatbestandsvoraussetzungen der „Störung des Datenverarbeitungsablaufs“ genau zu klären. Diese sind allein durch die

254 P. Gola/R. Schomerus, in: ders., BDSG, § 43, Rdn. 26 f.; E. Ehmann, in: S. Simitis, BDSG, § 43, Rdn. 64, 66, 79 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 119. 255 P. Gola/R. Schomerus, Kommentierung des § 43 BDSG, in: ders. (Hrsg.), Bundesdatenschutzgesetz-Kommentar, 10. Aufl. 2010, Rdn. 29; E. Ehmann, in: S. Simitis, BDSG, § 43 Abs. 2, Rdn. 85 ff.; P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 119; T. Tinnefeld/E. Ehmann, Einführung in das Datenschutzrecht, S. 91. 256 J. Eichelberger, Sasser, Blaster, Phatbot & Co. – alles halb so schlimm? Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, MMR 2004, 594 f.; M. Schreibauer, Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internetrecht, S. 607; vgl. dazu auch C. Müller, Internationales Privatrecht und Internet, S.260; zur Einspeisung von Viren und Trojanern vgl. auch ausführlich M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 99; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 67 ff.; W. Stallings, Sicherheit im Datennetz, S. 300 ff.; K. Kühl, in: C. Lackner/ders., StGB, § 303a, Rdn. 3. 257 S. Ernst, Hacker und Computerviren im Strafrecht, NJW 2003, 3233, 3238; K. Kühl, in: C. Lackner/ders., StGB, § 303b, Rdn. 1 ff., insbesondere Rdn. 5 mit Verweis auf die unter § 303 StGB näher beschriebenen Tathandlungen.

316 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Handlung, ein schädliches Computerprogramm auf einen fremden Rechner (Infizierung) zu übertragen und dort zu speichern, nicht erfüllt.258 Die alleinige Verbreitung eines Schädlings ohne nachweisbaren Erfolg begründet keine Strafbarkeit gemäß § 202a StGB. Werden hingegen aufgrund der Infizierung des Rechners des Betroffenen und der Aktivierung des Schadensprogramms personenbezogener Daten des Betroffenen an den Entwickler oder Verantwortlichen für die Verbreitung des Programms weitergeleitet, so ist der Tatbestand des Ausspähens von Daten gemäß § 202a StGB erfüllt.259 Die Anwendbarkeit der vorgenannten Straftatbestände ist daran gebunden, dass der Täter vorsätzlich handelt, also den Computerschädling absichtlich in Verkehr bringt. Leitet hingegen der betroffene Nutzer einen installierten Schädling, der sich aufgrund der Programmierung selbständig weiterverbreitet, unbewusst an Dritte weiter, so entfällt die Strafbarkeit für diesen mangels Vorsatzes.260 Einen weiteren Bereich rechtswidriger Handlungen im WWW zur Erhebung und unbefugten Nutzung personenbezogener Daten stellt das Phishing von Passwörtern, PIN- und TAN-Nummern oder Zugangskennungen dar.261 Auf Grundlage der bestehenden strafrechtlichen Regelungen fällt das Phishing grundsätzlich unter die Tatbestände des Betrugs nach § 263 StGB, des Vorbereitens eines Computerbetrugs gemäß § 263a Abs. 3 StGB sowie des Ausspähens von Daten gemäß § 202a StGB. Nach der Rechtsprechung durch das AG Hamm wurde im Rahmen einer zivilrechtlichen Schadensersatzklage die Zuordnung als Straftat nach den Vorschriften des § 263a StGB vorgenommen.262

258 T. Hoeren, Internetrecht, Stand April 2011, S. 517; ausgehend von der Voraussetzung der Existenz einer Schadensroutine auch J. Eichelberger, Sasser, Blaster, Phatbot & Co. – alles halb so schlimm? Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, MMR 2004, 594 f. 259 S. Ernst, Hacker und Computerviren im Strafrecht, NJW 2003, 3233, 3236; J. Schneider/A. Günther, Haftung für Computerviren, CR 1997, 389, 395; vgl. dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung, S. 97; O. Kyas, Sicherheit im Internet. Risikoanalyse – Strategien – Firewalls, S. 48 ff.; W. Stallings, Sicherheit im Datennetz, S. 268 ff.; K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 5. 260 T. Hoeren, Internetrecht, Stand April 2011, S. 517; M. Libertus, Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren, MMR 2005, 507, 512; K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 6 mit Verweis auf E. Hilgendorf, Grundfälle zum Computerstrafrecht, JuS 1996, S. 705. 261 A. Popp, „Phishing“, „Pharming“ und das Strafrecht MMR 2006, 84; G. Borges, Rechtsfragen des Phishing – Ein Überblick NJW 2005, 3313; M. Dürig, Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, S. 38 f. 262 AG Hamm, Urteil vom 05.09.2005, 10 Ds 101 Js 244/05, CR 2006, 70 f.; AG Bensheim, Urteil vom 26.04.2007, 6 C 68/07 – NJOZ 2007; vgl. dazu auch M. Gercke, Die Entwicklung des Internetstrafrechts im Jahr 2005, ZUM 2006, 284, 289.

C. Repressive Kontrolle – Strafverfolgung

317

Mit Inkrafttreten des 41. Strafrechtsänderungsgesetzes wurde die Regelungslücke des Verschaffens von Passwörtern oder sonstigen Sicherungscodes unter den Tatbestand des Vorbereitens zur Ausspähung und dem Abfangen von Daten mit der Vorschrift des § 202c StGB geschlossen. Hierfür müssen jedoch die Voraussetzungen des Vorbereiten der Straftat gemäß §§ 202a, b StGB erfüllt sein. Die Nutzung der aus der Tathandlung des Phishing, also des sich Zugang-Verschaffens zu besonders gesicherten Daten, gewonnenen personenbezogenen Informationen, erfüllt neben dem Straftatbestand des § 263 StGB auch den des rechtswidrigen Ausspähens § 202a StGB.263 Demnach erfüllt das Phishing nicht die Tatbestände der §§ 303a, b StGB.264 III. Befugnisse der Strafverfolgungsbehörden Die Verfolgung von Straftaten im WWW erfolgt durch polizeilichen Behörden oder die Staatsanwaltschaft auf Grundlage der Vorschriften des Strafprozessrechts.265 Ermittlungen hinsichtlich strafrechtlich relevanter Handlungen können von den befugten Behörden nur innerhalb der ihnen zugewiesenen Wirkungsbereiche durchgeführt werden.266 Die Verfolgung von Straftaten erfolgt von Amts wegen oder auf Anzeige der Straftat, sobald die Behörden Kenntnis darüber erhalten. Für die Befugnis, Ermittlungen gemäß § 152 StPO einzuleiten, muss der Verdacht einer Straftat bestehen. Ermittlungshandlungen gegen bestimmte Personen auf Basis von Vermutungen und ohne eindeutige Indizien sind mangels rechtlicher Grundlage rechtswidrig.267 Für die Verfolgung von datenschutzrechtlichen Straftaten im Internet sind gemäß der Strafprozessordnung folgende Vorschriften anwendbar: • § 94 StPO (Beschlagnahme), • § 95 StPO (Herausgabepflicht), • §§ 102, 103, StPO (Durchsuchung), • § 111 StPO (Sicherstellung).

263 K. Kühl, in: C. Lackner/ders., StGB, § 202a, Rdn. 1, 5, vgl. dazu auch T. Hoeren, Internetrecht, Stand April 2011, S. 518. 264 A. Popp, „Phishing“, „Pharming“ und das Strafrecht, MMR 2006, S. 84 ff.; T. Hoeren, Internetrecht, Stand April 2011, S. 518. 265 M. A. Zoeller, Verdachtlose Recherchen und Ermittlungen im Internet, GA 2000, 570; P. Schaar, Datenschutz im Internet, S. 250. 266 F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 400; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 242; P. Schaar, Datenschutz im Internet, S. 252. 267 L. Meyer-Goßner, Kommentierung des § 152 StPO, in: T. Kleinknecht/ders. (Hrsg.), Strafprozessordnung, § 152, Rdn. 4.

318 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

§ 94 StPO Abs. 1 ermächtigt Ermittlungsbehörden dazu, Gegenstände, die als Beweismittel268 für die Untersuchung einer Straftat von Bedeutung sein können, in Verwahrung zu nehmen oder auf andere Weise sicher zu stellen. Eine Beschlagnahme ist gemäß § 94 Abs. 2 StPO nur dann zulässig, sofern sich die Gegenstände gemäß § 94 Abs. 1 StPO im Gewahrsam der Person befinden und nicht freiwillig herausgegeben werden.269 Daran anknüpfend ist gemäß § 95 Abs. 1 StPO die Person, die einen Gegenstand in Gewahrsam hat, verpflichtet, im Rahmen behördlicher Ermittlungen diesen auf Anforderung vorzulegen und auszuliefern.270 Strafverfolgungsbehörden sind gemäß §§ 94 ff. und 102 ff. in Verbindung mit § 111 StPO nur dann zur Durchsuchung der Wohnung und anderer Räume, der Person selbst, sowie deren persönlicher Gegenstände einschließlich der Beschlagnahme dieser befugt, sofern dies dazu dient, eine einer konkreten Straftat oder der Begünstigung, Strafvereitelung oder Hehlerei verdächtigte Person zu ergreifen oder Beweismittel dafür aufzufinden.271 Die Rechtmäßigkeit der Durchsuchung anderer Personen als des verdächtigen Täters ist nur auf Grundlage des § 103 Abs. 1 StPO zulässig. Das Vorgehen zur Ermittlung einer Straftat ist danach nur in Verbindung mit der Ergreifung des Beschuldigten, der Verfolgung von Spuren einer Straftat oder der Beschlagnahme bestimmter Gegenstände als Beweismittel erlaubt. Maßnahmen der Durchsuchung, welche nicht in den Räumen, sondern durch einen elektronischen Zugriff („elektronische Durchsuchung) auf die gespeicherten Daten über den Netzanschluss des Betroffenen erfolgen, stellen einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung dar.272 Für die elektronische Durchsuchung ergibt sich aus verfassungsrechtlicher sowie strafprozessualer Sicht keine unmittelbare Eingriffsbefugnis. Auch auf

268 W. Bär, Der Zugriff auf Computerdaten im Strafverfahren, 1992, S. 211 f., 246 ff., 253; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 533. 269 F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 254; entsprechend zu den Voraussetzungen des § 94 ff. StPO zur Sicherstellung von Beweismitteln M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 460, 533; vgl. dazu auch L. MeyerGoßner, in: T. Kleinknecht/ders., StPO, § 94, Rdn. 3. 270 W. Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 397 ff.; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 534. 271 Vgl. dazu Rechtsprechung zum § 102 StPO: BGH, Beschluss vom 21.11.2001, 3 BJs 22/00-4 zur Durchsuchung und Beschlagnahme sowie Eingriff in das Grundrecht des Betroffenen nach Art 13 Abs. 1 GG; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 254; F. Rachor, in: H. Lisken/E. Denninger, Handbuch des Polizeirechts, Kap. F, Rdn. 569 ff.; zur technischen Umsetzung der Durchsuchung im Hinblick auf die Verfolgung von datenschutzrechtlichen Delikten im Internet vgl. auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 284 f., zur Sicherstellung der Rechner des Täters vgl. ders., S. 457, 465, insbesondere S. 533; weiter auch A. Marberth-Kubicki, Durchsuchung und Beschlagnahme von EDV-Anlagen und E-Mails, ITBR 2006, 59 ff. 272 Im Zusammenhang mit dem Eingriff in die Wohnung als persönlichem Lebensbereich des Betroffenen BVerfGE 42, 212 (219); 51, 97 (110); 75, 318 (328).

C. Repressive Kontrolle – Strafverfolgung

319

Grundlage des Fernmeldegeheimnisses gemäß Art. 10 GG und der §§ 100a, 100b StPO können keine erweiterten Befugnisse begründet werden.273 Im Zusammenhang mit dem Eingriff in das allgemeine Persönlichkeitsrecht gemäß Art. 1 Abs. 2 i.V. m. Art. 2 Abs. 1 GG ist die Ermächtigungsgrundlage des § 161 Abs. 1 StPO von wesentlicher Bedeutung. Danach erhält die Staatsanwaltschaft die Befugnis, von allen Behörden Auskunft zu verlangen. Dabei müssen die Ermittlungsmaßnahmen nicht von der Staatsanwaltschaft selbst, sondern können auch durch Beamte des Polizeidienstes sowie andere befugte Behörden durchgeführt werden. Gemäß dem Wortlaut der Gesetze zur Durchsuchung, Beschlagnahme und zum Recht auf Auskunft, könnte nun der Schluss naheliegen, dass staatlichen Organen im Wege repressiver Maßnahmen ein unbeschränktes Recht auf den Zugriff auf personenbezogenen Daten zuerkannt wird. Als Schranke wirkt hier ergänzend zum verfassungsrechtlichen Schutz des Persönlichkeitsrechts sowie der informationellen Selbstbestimmung das Fernmeldegeheimnis gemäß Art. 10 GG. Unterliegen Daten dem Fernmeldegeheimnis, so ist ein Zugriff auf diese anhand der Bestimmungen der Strafprozessordnung ausgeschlossen.274 Beschlagnahmt oder im Rahmen der Durchsuchung zur Kenntnis genommen werden dürfen daher nur Gegenstände oder Beweismittel, die nicht dem Schutz des Fernmeldegeheimnisses unterliegen. Dies sind Informationen über Vertragsverhältnisse von Nutzern mit Telekommunikations- oder Telemediendiensten in Form so genannter Bestandsdaten sowie Kundenverzeichnisse.275 Ausgeschlossen ist die direkte Erhebung und Speicherung von Nutzungsdaten oder Verkehrsdaten und somit die Möglichkeit, diese mit Bestandsdaten zu aggregieren und umfassende Informationen über den einzelnen Nutzer des WWW zu erlangen.

273 Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 534, insbesondere S. 541, 543; W. Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 397 ff.; ders., Durchsuchungen im EDV-Bereich, CR 1995, S. 228 f.; zur Ermangelung der Befugnis auf Grundlage der §§ 100a, 100b StPO ferner J. Bizer, Anmerkung zum BGH Beschluss vom 31.7.1995, 1 BGs 625/95, DuD 1996, S. 627; R. Jofer, Strafverfolgung im Internet. Phänomenologie und Bekämpfung kriminellen Verhaltens in internationalen Computernetzen, 1999, S. 205 f.; A. Ochsenbein, Strafrechtliche Aspekte des Internet, Lösungen und Möglichkeiten, in: P. Heinzmann/ders., Kriminalistik 1998, S. 686. 274 L. Meyer-Goßner, in: T. Kleinknecht/ders., StPO, § 161, Rdn. 3; H. Krüger, in: M. Sachs, GG, Art. 10 Abs. 1, Rdn. 6, 8, insbesondere zur Datenübertragung im Wege der Strafverfolgung Rdn. 20 ff. 275 P. Schaar, Datenschutz im Internet, S. 254; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 534, insbesondere S. 543 mit Kritik an der von Bär vertretenen Auffassung, dass ein „Online-Zugriff“ auf fremde Daten im Rahmen einer Durchsuchung die Voraussetzungen für Eingriffe in den Fernmeldeverkehr nach § 100a StPO unterläuft: vgl. dazu W. Bär, Der Zugriff auf Computerdaten im Strafverfahren, S. 219.

320 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

IV. Spezialregelungen für den behördlichen Datenzugriff Im Bereich der Telekommunikationsdienstleistungen regelt § 112 Abs. 1 TKG die Verpflichtung von Anbietern wie Access Providern, die Telekommunikationsdienste geschäftlich erbringen, Kundendateien über Rufnummern sowie Anschrift und Name des Rufnummerninhabers zu erstellen. Der Diensteanbieter ist ferner gemäß § 112 Abs. 2 TKG dazu verpflichtet, diese Kundendateien der Regulierungsbehörde zum automatisierten Abruf bereitzustellen, welche die Daten an Strafverfolgungsbehörden weiterleitet.276 Für die Verfolgung von Straftaten im Zusammenhang mit der rechtswidrigen Verwendung personenbezogener Daten ist ferner die Verwendung der dem Nutzer des WWW-Zugangs zugeordneten IPAdresse von Bedeutung. Von der Vorschrift des § 112 TKG werden jedoch nur Rufnummern erfasst, die Telefonnummern sind. Deshalb soll auf diese Regelung im Rahmen der repressiven Kontrolle des Schutzes personenbezogener Daten nicht näher eingegangen werden.277 Entsprechende Sonderregelungen für Telemedienangebote enthält das Telemediengesetz oder subsidiär das Bundesdatenschutzgesetz.278 § 14 Abs. 2 TMG regelt die Befugnis des Diensteanbieters, Bestandsdaten im Einzelfall und auf Anordnung zweckgebunden weiterzuleiten. Dies ist nur zum Zweck der Ermittlung der zur Strafverfolgung oder Ermittlung befugten Behörden gestattet. Inwiefern eine Verpflichtung zur Auskunft über Nutzungsdaten auf Antrag der Strafverfolgungsbehörden besteht, regelt § 15 Abs. 5 S. 4 TMG unter Verweis auf die Vorschrift des § 14 Abs. 2 TMG, welche hierfür analoge Gültigkeit hat. Der Diensteanbieter darf Daten nur im Rahmen des in § 15 TMG festgelegten Umfangs und Zwecks erheben und speichern. Die Verwendung von Nutzungsdaten ist nach § 15 Abs. 1 S. 1 TMG eng daran geknüpft, dass dies erforderlich ist, um ein Telemedienangebot sowie dessen Abrechnung zu ermöglichen. Telemediendiensteanbieter sind jedoch nicht dazu verpflichtet, Nutzungsdaten vorsorglich zum Zwecke des Zugriffs durch die Strafverfolgungsbehörden zu speichern.279 276 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 112 TKG, Rdn. 9, 13 f.; ferner auf Grundlage der vormals geltenden Regelung des § 90 TKG M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 599. 277 Gegen eine Einordnung P. Schaar, Datenschutz im Internet, S. 255; befürwortend der Subsumtion von IP-Adressen unter den Rufnummernbegriff des § 122 TKG hingegen U. Wuermeling/S. Felixberger, Staatliche Überwachung der Telekommunikation, CR 1997, 561; W. Weinem, Die moderne Überwachung der Telekommunikation. Möglichkeiten und Grenzen im gesetzlichen Rahmen, in: Bundeskriminalamt (Hrsg.), Festschrift für Horst Herold, 1998, S. 462; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 599. 278 J. Eckhardt, in: G. Spindler/F. Schuster, RdeM, § 112, Rdn. 3; so auch P. Schaar, Datenschutz im Internet, S. 255. 279 P. Schaar, Datenschutz im Internet, S. 255; G. Spindler/J. Nink, in: G. Spindler/ F. Schuster, RdeM, § 14 TMG, Rdn. 5; ders., § 15 TMG, Rdn. 1 ff.

C. Repressive Kontrolle – Strafverfolgung

321

V. Besondere Befugnisse der Strafverfolgungsbehörden 1. Online-Durchsuchung Die Durchführung verdeckter Online-Durchsuchungen durch die Ermittlungsbehörden im Rahmen von Strafverfolgungsmaßnahmen wurde durch den Beschluss des Bundesgerichtshofs vom 31. Januar 2007280 als unzulässiger Eingriff mangels Ermächtigung durch die Normen der Strafprozessordnung abgelehnt. Begründet wurde dies damit, dass es sich hierbei um kein offenes Tätigwerden der Behörden und damit keine Durchsuchung im Sinne der §§ 106, 107 und 110c StPO handelt.281 Von der Strafverfolgungsbehörde werden bei der verdeckten Online-Durchsuchung ohne Wissen oder Einverständnis des Beschuldigten Computerprogramme auf dem privaten Rechner installiert, die automatisiert Daten vom Betroffenen im Rahmen seiner Nutzung des WWW erheben, speichern und über die Internetverbindung an die Behörden weiterleiten. Wie der Bundesgerichtshof in seiner Entscheidung festgestellt hat, ist ein Rückgriff auf § 102 StPO (Durchsuchung beim Verdächtigen) nicht zulässig,282 weil die Art der Ermittlungsmaßnahme für den einer Straftat Beschuldigten nicht unmittelbar erkennbar ist. Weiter sind die Normen der §§ 100a, b StPO nicht anwendbar, weil sich der Inhalt der Vorschrift auf den Abruf von Daten aus einem Informationsfluss be-

280

BGH StB 18/06, Beschluss vom 31. Januar 2007, HRRS 2007 Nr. 197. Begründend dazu M. Jahn/H. Kudlich, Die strafprozessuale Zulässigkeit der Online-Durchsuchung JR 2007, 57, 59; vgl. dazu auch W. Bär, Anmerkung zu EuGH Urteil C-306/05 vom 07.12.2006 = MMR 2007, 239 ff.; U. Buermeyer, Die „Online-Durchsuchung“. Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, RS 2007, 154 ff.; K. Cornelius, Anmerkung zu BGH StB 18/06, Beschluss vom 31.01.2007, Unzulässigkeit einer „verdeckten Online-Durchsuchung“, JZ 2007, 798 ff.; R. Hamm, Anmerkung zu BGH StB 18/06, Beschluss vom 31.01.2007, Unzulässigkeit einer „verdeckten Online-Durchsuchung“, NJW 2007, 932 f.; M. Kemper, Anforderungen und Inhalt der Online-Durchsuchung bei der Verfolgung von Straftaten ZRP 2007, 105 ff.; H. Kudlich, An den Grenzen des Strafrechts. Rationale und verfassungsorientierte Strafgesetzgebung, dargestellt am Beispiel des strafgesetzlichen Schutzes gegen Doping, JA 2007, 391 ff.; M. Kutscha, Verdeckte „Online-Durchsuchung“ und Unverletzlichkeit der Wohnung, NJW 2007, 1169 ff.; B. Valerius, Ermittlungsmaßnahmen im Internet, JR 2007, 275 ff.; M. Warntjen, Die verfassungsrechtlichen Anforderungen an eine gesetzliche Regelung der Online-Durchsuchung, Jura 2007, 581 ff. 282 BGH, Beschluss vom 31.01.2007, StB 18/06 (Online-Durchsuchung), HRRS 2007 Nr. 197 = NJW 1997, 1934 ff.; ferner zu § 102 StPO BGH, Beschluss vom 25.04.2007, 1 StR 135/07; der Analogie der Unanwendbarkeit des Art. 103 Abs. 2 GG auf den Regelungsgegenstand des Strafprozessrechts sind aufgrund des in Art. 20 Abs. 3 GG verankerten Prinzips des Gesetzesvorbehalts Grenzen gesetzt; vgl. dazu auch H. Kudlich, Strafprozeß und allgemeines Mißbrauchsverbot, 1998, S. 141 ff. Zur Anwendbarkeit des in Art. 103 Abs. 2 GG materialisierten Rückwirkungsverbots vgl. auch BVerfGE 113, 273 (301 f.). 281

322 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

zieht.283 Bei der verdeckten Online-Durchsuchung werden von den Behörden hingegen die bereits auf dem Rechner des Betroffenen gespeicherten Daten abgerufen. Ein Rückgriff auf die strafprozessuale Ermittlungsgeneralklausel gemäß §§ 161 Abs. 1 S. 1, 163 Abs. 1 StPO scheidet aus, weil diese unabhängig vom Schutzbereich der Wohnung gemäß Art. 13 Abs. 1 GG einen erheblichen Eingriff in das Grundrecht auf informationelle Selbstbestimmung aus Art. 1 Abs. 1 i.V. m. Art. 2 Abs. 1 GG ermöglicht.284 Dass die Maßnahme der verdeckten Online-Durchsuchung einen grundlegenden Eingriff in das Recht auf informationelle Selbstbestimmung darstellt, wurde durch die Rechtsprechung des Bundesverfassungsgerichts zur Integrität der elektronischen Kommunikation anerkannt.285 Danach besteht im Rahmen des Schutzes des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 1 GG für den einzelnen Nutzer auch ein Grundrecht darauf, dass die Vertraulichkeit und Integrität informationstechnischer Systeme gewährleistet wird. Dieses Recht kann lediglich dann eingeschränkt werden, sofern relevante Anhaltspunkte für eine konkrete und erhebliche Gefahr gegeben sind. Daraus leitet sich direkt die Verpflichtung staatlicher Stellen ab, den Schutz der allen Menschen immanenten Rechtsgüter wie dem Leib, dem Leben und der Freiheit der Person, sowie solcher Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen gefährden, zu sichern.286 283

Zur Erforderlichkeit der Anordnung für den Zugriff auf Daten durch Strafverfolgungsbehörden vgl. auch BGH, Beschluss vom 31. Januar 2007, StB 18/06, HRRS 2007 Nr. 197 = NJW 1997, 1934 ff.; U. Sieber, Strafrecht und Strafprozessrecht, in: T. Hoeren/U. Sieber (Hrsg.), Handbuch Multimedia-Recht, Teil 19, 1999, Rdn. 701; kritisch zur analogen Anwendung der §§ 110a–110e StPO M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 523 ff. 284 Vgl. K. Rogall, Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, 1992, S. 74 ff.; M. Hofmann, Die Online-Durchsuchung – staatliches „Hacken“ oder zulässige Ermittlungsmaßnahme?, NStZ 2005, 121. Zu der dieser Differenzierung zugrunde liegenden „Schwellentheorie“ vgl. H. Hilger: StVÄG 1999 und Verteidigung, in: Festschrift für Peter Rieß zum 70. Geburtstag am 4. Juni 2002, hrsg. von E.-W. Hanack/H. Hilger/V. Mehle/G. Widmaier, 2002, S. 171, 181; C. Roxin, Strafverfahrensrecht, 25. Aufl. 1998, § 10, Rdn. 17. Zum Anwendungsbereich der Ermittlungsgeneralklausel im Online-Bereich auch T. Böckenförde, Die Ermittlung im Netz, S. 152 ff.; zur Unantastbarkeit und Verpflichtung zur Achtung der Menschenwürde sowie der daraus resultierenden Schutzpflicht gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/ G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39; zum Eingriff in das Grundrecht auf informationelle Selbstbestimmung vgl. U. Di Fabio, in: Maunz/Dürig, GG, 2001, Art. 2 Abs. 1, Rdn. 151 ff., 173 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 2 Abs. 1, Rdn. 114. 285 BVErfG, Beschluss vom 27.02.2008, 1 BvR 370/07, NJW 2008, 822. 286 Zur Erheblichkeit der Gefahr vgl. B. Drews/G. Wacke/K. Vogel/W. Martens, Gefahrenabwehr, S. 333; V. Götz, Allgemeines Polizei- und Ordnungsrecht, Rdn. 266; F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 94; so auch T. Hoeren, Internetrecht, Stand März 2009, S. 521.

C. Repressive Kontrolle – Strafverfolgung

323

Weil de lege lata keine Rechtsgrundlage existiert, auf deren Basis diese Form der Ermittlungsmaßnahme einen Eingriff in das Recht auf informationelle Selbstbestimmung des Beschuldigten rechtfertigt, stellt die verdeckte OnlineDurchsuchung, wie vom Bundesgerichtshof zur Recht festgestellt, eine unzulässige und rechtswidrige Handlung staatlicher Behörden dar.287 2. Vorratsdatenspeicherung Mit Verabschiedung des Gesetzes zur Neuregulierung von Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen288 wurde die Richtlinie zur Vorratsdatenspeicherung289 umgesetzt. Eine wesentliche Änderung ergibt sich aus der Neuregelung des § 113a TKG, wonach Provider, die öffentlich zugängliche Telekommunikationsdienste (Access und Host Provider) anbieten, dazu verpflichtet werden, Verkehrsdaten für die Dauer von 6 Monaten anlasslos zu speichern. Bezogen auf die Nutzung des WWW zählen hierzu Daten über Beginn und Ende der Verbindung zum Internet, mit Datum und Uhrzeit, die dem Nutzer zugeordnete IP-Adresse sowie die Kennung des Anschlusses über den die Internetnutzung erfolgt (§ 113a Abs. 4 Nr. 1–3 TKG). Ausgeschlossen ist jedoch die Erhebung der Inhalte der Kommunikation und Daten über aufgerufene Internetseiten (§ 113a Abs. 8 TKG). § 113b TKG schränkt die Vorschrift des § 113a TKG insofern ein, als die erhobenen Daten ausschließlich zum Zweck der Verfolgung von Straftaten (Strafverfolgung), zur Abwehr erheblicher Gefahren für die öffentliche Sicherheit (Gefahrenabwehr) oder zur Erfüllung der gesetzlichen Aufgaben des Verfassungsschutzes an öffentliche Behörden weitergeleitet und von diesen verwendet werden dürfen.290 287 T. Hoeren, Internetrecht, S. 521; in diesem Sinne auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 519, 522, welcher aber unter Rückgriff auf das Verhältnismäßigkeitsprinzips darauf hinweist, dass verdeckte Ermittlungen auch im Vorfeld unter der Maßgabe der Ermittlung schwerwiegender Straftaten der organisierten Kriminalität, wie z. B. Kinderpornographie im Internet, ein rechtmäßig qualifizierendes Merkmal für die Anwendbarkeit der polizeilichen Befugnis zum Eingriff in das Grundrecht auf informationelle Selbstbestimmung des Verdächtigen darstellt; vgl. dazu ders., S. 524 f. 288 Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 21. Dezember 2007, BGBl. I, S. 3198. 289 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG. 290 T. Hoeren, Internetrecht, Stand März 2009, S. 524; zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff.

324 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Mit der Einführung der Vorschriften zur Vorratsdatenspeicherung zum 1. Januar 2008 wurde auch der Auskunftsanspruch staatlicher Ermittlungsbehörden zum Zwecke der Strafverfolgung gemäß §§ 110g, h StPO novelliert. Die Neufassung der Anspruchsgrundlage ermöglicht staatlichen Behörden, wie schon gemäß der Vorgängervorschrift, auch ohne Wissen des Betroffenen auf Verkehrsdaten zuzugreifen, die Telekommunikationsunternehmen auf der Grundlage der §§ 96, 113a TKG erhoben und gespeichert haben. Neu ist, dass es gemäß § 100g Abs. 3 StPO auch gestattet ist, Verkehrsdaten in Echtzeit zu erheben und zur weiteren Verwendung zu speichern und zu verarbeiten, auch wenn Telekommunikationsanbieter nicht daran mitwirken.291 Dies stellt eine wesentliche Änderung zur vormals geltenden Voraussetzung der Überwachung des Fernmeldeverkehrs nach §§ 100a, b StPO dar.292 Aus dieser erweiterten Eingriffsbefugnis resultiert eine erhebliche Gefährdung für das Recht auf informationelle Selbstbestimmung und die Privatsphäre des Betroffenen. Einschränkend wirkt hier die Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung,293 wonach diese Befugnis daran gebunden ist, dass es sich um eine Straftat von erheblicher Bedeutung im Sinne des § 100a Abs. 2 StPO handelt oder diese mittels Telekommunikation begangen sein worden muss. Mit seinem Urteil vom 2. März 2010 hat das Bundesverfassungsgericht weitreichende Entscheidungen zur Vorratsdatenspeicherung getroffen. Das Gericht hat anerkannt, dass die anlasslose Speicherung von Verkehrsdaten gemäß § 113a TKG einen schwerwiegenden Eingriff darstellt, wie sie in der Rechtsordnung bisher nicht bekannt war. Auch wenn es sich nur um reine Verbindungsdaten und nicht um Inhalte der Kommunikation handelt, so lassen sich anhand der Daten jedoch bei umfassender Auswertung inhaltliche Rückschlüsse ziehen und aussagekräftige Persönlichkeitsprofile erstellen, die weit in die Privatsphäre des Betroffenen hineinreichen.294 Aus diesem Grund ist staatlichen Behörden eine Sammlung personenbezogener Daten auf Vorrat zu unbestimmten oder noch nicht bestimmbaren Zwecken verfassungsrechtlich untersagt.295 Die vorsorgliche 291 IP-Adressen stellen nur dann Verkehrsdaten dar, wenn sie durch den Access oder Service Provider, der den Zugang zum WWW bereitstellt, erhoben werden. Eine Speicherung durch einen Content Provider ist mit der Klassifizierung der Daten als Nutzungsdaten verbunden. Ein Auskunftsanspruch besteht dann weder nach den Vorschriften des Fernmeldegeheimnisses nach Art. 10 GG oder des TKG, sondern des TMG. Zur Fragestellung der Qualifizierung der vom Content Provider erhobenen und gespeicherten IP-Adressen als personenbezogene Verkehrsdaten vgl. AG Berlin, Urteil vom 27. März. 2007, 5 C 314/06, DuD 2007, 856 ff.; so auch LG Frankenthal, Beschluss vom 21.05.2008, 6 O 156/08. 292 T. Hoeren, Internetrecht, Stand März 2009, S. 526. 293 BVerfG, 1 BvR 256/08 vom 11.3.2008, Abs. 1 ff. 294 BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 211. 295 Ders., Abs. 213; vgl. auch BVerfGE 65, 1 (46); 100, 313 (260); 115, 320 (350); 118, 168 (187).

C. Repressive Kontrolle – Strafverfolgung

325

anlasslose Speicherung stellt grundsätzlich keine verbotene Form dar. Ein Eingriff in das Fernmeldegeheimnis gemäß Art. 10 GG ist jedoch nur dann verhältnismäßig, wenn die Erhebung und Speicherung der Telekommunikationsdaten nicht direkt vom Staat, sondern durch die Verpflichtung privater Diensteanbieter erfolgt.296 Gemäß der höchstrichterlichen Rechtsprechung stellt eine Speicherung von Verkehrsdaten für sechs Monate zwar keine Maßnahme dar „[. . .] die auf eine Totalerfassung der Kommunikation oder Aktivitäten der Bürger insgesamt angelegt wäre.“ 297 Allerdings muss die Ausgestaltung einer vorsorglichen Telekommunikationsdatenspeicherung, wie in § 113a TKG geregelt, besondere verfassungsrechtliche Anforderungen hinsichtlich der Datensicherheit, des Umfangs der Datenverwendung, der Transparenz der Datenerhebung und -verwendung sowie den Rechtsschutz für den Betroffenen erfüllen. Nach eingehender Prüfung stellte das Gericht fest, dass die bestehenden Vorschriften der §§ 113a und 113b TKG sowie § 100g StPO den genannten verfassungsrechtlichen Anforderungen nicht genügen, weil es an einer dem Verhältnismäßigkeitsgrundsatz entsprechenden Ausgestaltung der Regelungen insgesamt fehlt.298 Bezogen auf den Bereich der Strafverfolgung stellt insbesondere die Vorschrift des § 100g Abs. 1 S. 1 Nr. 1 StPO nicht sicher, dass Anlass für die Erhebung von Verkehrsdaten nur schwerwiegende Straftaten sein dürfen. Entgegen der verfassungsrechtlichen Maßgaben, reicht gemäß § 100g Abs. 1 S. 1 Nr. 2 StPO unabhängig vom Schweregrad der begangenen Straftat eine allgemeine Abwägung als Auslöser für eine Datenabfrage aus.299 Zudem ist nach § 100g Abs. 1 S. 1 StPO ein Datenabruf grundsätzlich auch ohne Wissen des Betroffenen zulässig. Dem steht entgegen, dass eine geheime Erhebung der nach § 113a TKG gespeicherten Daten aus verfassungsrechtlicher Sicht nur zulässig ist, wenn „dies aus überwiegend gesetzlich näher zu konkretisierenden Gründen erforderlich und richterlich angeordnet ist“.300 Damit sind die §§ 113a und 113b TKG in Verbindung mit § 100g StPO, soweit diese Vorschrift den Abruf der nach § 113a TKG zu speichernden Daten erlaubt, mit dem Schutz des Telekommunikationsgeheimnisses nach Art. 10 Abs. 1 GG nicht vereinbar.301

296 297 298 299 300 301

BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 214. Ders., Abs. 216. Ders., Abs. 269. BVerfG, 1 BvR 256/08 vom 2.3.2010, Abs. 278 f. Ders., Abs. 280. Ders., Abs. 269.

326 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Im Ergebnis ist gemäß der Rechtsprechung des Bundesverfassungsgerichts die Vorratsdatenspeicherung nicht grundsätzlich unzulässig. Jedoch wurden die bestehenden Vorschriften der §§ 113a und 113b TKG sowie § 100g StPO für nichtig erklärt. Die bis zum Urteil durch die Diensteanbieter zum Abruf gespeicherten Daten sind zu löschen und der Gesetzgeber aufgefordert, einen geeigneten rechtlichen Rahmen nach Maßgabe der verfassungsrechtlichen Anforderungen für einen effektiven Schutz der von der Datenverarbeitung betroffenen Bürger zu schaffen.302

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr Gemäß den amtlichen Statistiken nimmt die Anzahl strafbarer Handlungen im Zusammenhang mit dem Neuen Medium jährlich zu.303 Die Verpflichtung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre304 zu gewährleisten, erstreckt sich anhand der Vorschriften des geltenden Rechts sowie der zugrundeliegenden rechtsstaatlichen Grundsätze auf den nationalen Geltungsbereich innerhalb der Landesgrenzen der Bundesrepublik Deutschland. Das damit verbundene Recht auf Achtung der Würde sowie der Persönlichkeit des einzelnen Bürgers stellt jedoch ein dem Menschen aus seinem Menschsein heraus, ein von Geburt an immanentes Recht dar,305 welches somit auch über Landesgrenzen hinweg auf der Grundlage des Anspruchs auf Schutz der Menschenrechte Geltung besitzt. Infolge der globalen Reichweite des Internets ergibt sich jedoch ein erweiterter Handlungsrahmen für Straftaten und Ordnungswidrigkeiten, welcher zur Gefährdung der Privatsphäre des einzelnen Nutzers des WWW beiträgt. Infolge dessen werden die rechtliche Erfassung und Ordnung dieses Mediums, sowie jegliche Bestrebungen, für diese Informations- und Kommunikationsplattform einen all-

302

Ders., Abs. 306. So wurden allein im Freistaat Bayern im Jahr 2009 insgesamt 8166 Fälle der Computerkriminalität registriert. Dies waren 1698 Fälle und damit 26,3 % mehr als im Vorjahr. Vgl. dazu Polizeiliche Kriminalstatistik für den Freistaat Bayern 2009, abrufbar unter http://www.polizei.bayern.de/content/6/4/9/krimstat2009.pdf, S. 64. 304 Zur Achtung der Privatsphäre vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 127, 129, 149 ff., 173 ff.; C. Gusy, in: H. v. Mangoldt/F. Klein/ders., GG, Art. 10, Rdn. 14; vgl. auch BVerfGE 6, 32, (32 ff.); 6, 389 (389 ff.). 305 K. A. Schachtschneider, Freiheit in der Republik, S. 28; I. Kant, Grundlegung zur Metaphysik der Sitten, S. 59 ff.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 73 ff., 86 ff., 100 ff., 191, 197 ff., 206 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 490 ff.; zur Achtung der Menschenwürde M. Herdegen, in: T. Maunz/G. Dürig, GG, Rdn. 1 ff., insbesondere 18 ff., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 303

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

327

gemein verbindlichen und international gültigen Rechtsrahmen zu entwickeln, erheblich erschwert.306 Im Zusammenhang mit der nationalen Gefahrenabwehr und Strafverfolgung stellt sich damit die Frage, inwieweit das deutsche Recht für die Verfolgung von rechtswidrigen Taten im WWW auch für den transnationalen Datenverkehr herangezogen werden kann.307 Aus diesem Grund soll die Anwendbarkeit des deutschen Rechts im internationalen Rahmen308 für die effektive Kontrolle des Datenverkehrs über das WWW näher betrachtet werden. I. Deutsches Recht im internationalen Rahmen Anhand der Vorschrift des § 28 Abs. 1 S. 1 Nr. 2 BDSG ist eine Datenübertragung nur zulässig, sofern kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der Betroffenen an einem Ausschluss von der Verarbeitung oder Nutzung überwiegt. Dies ist nur dann der Fall, sofern für die Datenverarbeitung im Ausland ein dem deutschen Datenschutzrecht gleichwertiges Niveau sichergestellt wird.309 In Folge dessen ergibt sich grundsätzlich eine territorial beschränkte Geltung des deutschen Datenschutzrechts bezogen auf den Ort der Datenverarbeitung. 306 K. A. Gruhler, Das Ende der „totalen“ Freiheit im Internet – Die Auswirkungen inkriminierter Inhalte auf die Informationsgesellschaften, 1998, S. 47 ff.; P. Schaar, Datenschutzfreier Raum Internet?, CR 1996, 177; B. Vief, Digitales Geld, in: F. Rötzer (Hrsg.), Digitaler Schein, 1991, S. 117, 130. 307 M. Schreibauer, Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internetrecht, S. 582 f.; P. Schaar, Datenschutzfreier Raum Internet?, CR 1996, 173; M. Gercke, Die Entwicklung der Rechtsprechung zum Internetstrafrecht in den Jahren 2000 und 2001, ZUM 2002, 286; kritisch zur unzureichenden Regelung des internationalen Strafrechts V. Haug, Grundwissen Internetrecht, Rdn. 154; im Zusammenhang mit der Gefährdung von Rechtsgütern auch C. Volkmann, Der Störer im Internet, S. 201; weiterführend auch A. Marberth-Kubicki, Computer- und Internetstrafrecht 2005. 308 Im Einzelnen lassen sich für den Bereich des internationalen Rechts das internationale Privatrecht, internationale Strafrecht und internationale Verwaltungsrecht differenzieren. Im Rahmen der vorliegenden Arbeit des öffentlichen Rechts ist sowohl das internationale Straf- und Verwaltungsrecht von Interesse. Jedoch beschränkt sich das internationale Verwaltungsrecht auf die Orientierung an nationalen Regelungen, da sich die Ordnungsaufgabe des klassischen Verwaltungsrechts vorwiegend auf das innerstaatliche Territorium begrenzt. Vgl. dazu W. Lohse, Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, S. 244 ff.; somit beschränken sich die weiteren Betrachtungen auf den Bereich des internationalen Strafrechts. 309 Mit Hinweis auf die Problematik weitgehender Schutzlosigkeit des Betroffenen infolge der Datenverarbeitung in Staaten mit geringem Datenschutzniveau vgl. C. Müller, Internationales Privatrecht und Internet, S. 273; I. Geis, Internet und Datenschutzrecht, NJW 1997, S. 288; zu den Voraussetzungen der Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung für eigene Zwecke gemäß § 28 BDSG vgl. P. Gola/R. Schomerus, in: ders., BDSG, § 28, Rdn. 8, 33 ff.; S. Simitis, in: ders., BDSG, § 28, Rdn. 56, 133 ff.

328 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Die lokal begrenzte Reichweite der deutschen Strafverfolgungsmaßnahmen ist für die Gewährleistung eines effektiven Schutzes der Privatsphäre im Internet insofern von zentraler Bedeutung, als Provider gerade den dezentralen Charakter des Netzwerks für die unzulässige und rechtswidrige Datenerhebung- und -verwendung nutzen.310 So kann sowohl die Erhebung von Bestands- oder Nutzungsdaten als auch die Speicherung und weitere Verwendung aggregierter Datenbestände entweder von einem im Ausland liegenden Server erfolgen oder die Daten nach der Erhebung dorthin zur Speicherung und Verarbeitung weitergeleitet werden. Für den Bereich der Gefahrenabwehr ist analog dem Auswirkungsprinzip des Kartellrechts und dem Marktortprinzip im Kapitalmarktrecht oder im Wettbewerbsrecht, das Polizei- und Ordnungsrecht auch auf im Inland auftretende, jedoch durch einen im Ausland ansässigen Content- oder Host Provider verursachte Gefahren, anwendbar.311 Da jedoch die ordnungsrechtlichen Vorschriften zur Gefahrenabwehr im Hinblick auf die gemeinsame Bestimmung der öffentlichen Sicherheit häufig an das nationale Strafrecht anknüpfen,312 sollen für die nachfolgenden Ausführungen die strafrechtlich relevanten Grundlagen im Fokus stehen. Die Reichweite des deutschen internationalen Strafrechts wird allgemein durch die Grundsätze des Völkerrechts bestimmt. Diese binden den Umfang des Geltungsbereichs des nationalen Strafrechts eines Staates unter Maßgabe der Achtung der Souveränität anderer Staaten daran, dass Sachverhalte Auslandsbezug haben, welche einen anerkannten Bezug zum eigenen Hoheitsbereich aufwei310 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. In der Literatur erfolgt die Analyse der Anwendbarkeit des deutschen Rechts zur Verfolgung von Straftaten auf internationaler Ebene vorwiegend anhand der Verbreitung rechtswidriger Inhalte wie volksverhetzenden Schriften, Kinderpornografie, gewaltverherrlichenden, rassistischen und nationalsozialistischen Darstellungen; begründet wird dies damit, dass die transnationale Begehung von Delikten in internationalen Computernetzen primär auf so genannte Verbreitungs- und Äußerungsdelikte abstellt. Vgl. dazu ausführlich U. Sieber, Internationales Strafrecht – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, NJW 1999, 2065 ff.; ders., Die Bekämpfung von Hass im Internet, ZRP 2001, S. 100; ders., Die Verantwortlichkeit von Internet-Providern im Rechtsvergleich, ZUM 1999, 196 ff.; Tathandlungen im Zusammenhang mit der rechtswidrigen Verarbeitung und Verwendung personenbezogener Daten zählen zu den sogenannten Computerdelikten. Da die dezentralen Struktur des Internet primär auf die Problematik der Identifizierung des Tatorts sowie des Täters im internationalen Umfeld abzielt, kann die Analyse der Anwendbarkeit der nationalen rechtlichen Vorschriften für den Bereich der rechtswidrigen Datenverwendung analog jener bezüglich der rechtswidrigen Inhalte geführt werden. 311 C. Volkmann, Der Störer im Internet, S. 201; in diesem Zusammenhang weiterführend zum Kartellrecht auch BGHSt 25, 208 (212); zum Kapitalmarktrecht näher G. Spindler, Internationale Kapitalmarktangebote und Dienstleistungen im Internet, WM 2001, 1689, 1700; zum Wettbewerbsrecht vgl. auch BGHZ 35, 329 (333). 312 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 237; C. Volkmann, Der Störer im Internet, S. 202.

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

329

sen.313 So stellt auch das Bundesverfassungsgericht fest, dass nationales Recht nicht beliebig über Staatsgrenzen hinweg angewandt werden darf, sondern nur insofern der Sachverhalt eine sinnvolle Anknüpfung zum Inland bietet und die Anwendung des Gesetzes einsichtig ist.314 Diese Voraussetzung wird anerkannt, sofern gemäß den folgenden Prinzipien eine ausreichende Beziehung zwischen Staat und Sachverhalt gegeben ist:315 1. Nationalitäts- oder Personalprinzip, 2. Universalitäts- oder Weltrechtsprinzip, 3. Schutzprinzip, 4. Wirkungsprinzip, 5. Territorialitätsprinzip. Gemäß dem Nationalitäts- oder Personalprinzip können auf Grundlage des § 7 StGB juristische Personen mit Sitz in Deutschland oder natürliche Personen mit deutscher Staatsangehörigkeit nach deutschem Recht in Anspruch genommen werden, sofern rechtswidrige Inhalte über das WWW verbreitet oder zugänglich gemacht wurden, selbst wenn die Tat vom Ausland aus erfolgt. Der Erfolg muss jedoch im deutschen Inland eingetreten sein.316 Weil es sich hier vorwiegend um Delikte im Zusammenhang mit der Verbreitung von redaktionellen Inhalten, die dem Nutzer zum Abruf bereit stehen, handelt, findet dieses Prinzip für die Verarbeitung personenbezogener Daten über das WWW keine Anwendung. 313 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 229, 236; E. Hilgendorf, Überlegungen zur strafrechtlichen Interpretation des Ubiquitätsprinzips im Zeitalter des Internet, NJW 1997, 1873, 1876; R. Derksen, Strafrechtliche Verantwortlichkeit für in internationalen Computernetzen verbreitete Daten mit strafbarem Inhalt, NJW 1997, 1878, 1880; anders dazu C. Engel, Die Internet-Service-Provider als Geiseln deutscher Ordnungsbehörden, MMR Beilage 4/2003, 1, 9; zur territorialen Souveränität vgl. Entscheidung des ständigen Internationalen Gerichtshofs vom 7.9.1927, StIGHE 5 (1927), S. 71; um einen Eingriff in die territoriale Souveränität eines anderen Staates handelt es sich dann, wenn das hoheitliche Handeln unmittelbare Auswirkungen auf die Gebietshoheit eines fremden Staates hat. Entscheidendes Kriterium ist dabei die Anmaßung des handelnden Staates, die eigene Staatsgewalt auf fremdem Hoheitsgebiet ausüben zu wollen. Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 641 f. 314 BVerfGE 63, 343 (369); vgl. dazu auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 641 f., 645; weiter zu den Voraussetzungen der Verletzung der Gebietshoheit eines anderen Staates I. Seidl-Hohenveldern, Völkerrecht, 9. Aufl. 1997, Rdn. 1504; D. Siegrist, Hoheitsakte auf fremdem Staatsgebiet, 1987, S. 69. 315 W. Lohse, Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, S. 225, 229. 316 K. Kühl, in: C. Lackner/ders., StGB, § 7, Rdn. 2, 4 in Verbindung mit ders., Vorbemerkung zur Kommentierung der §§ 3–7 StGB, in: C. Lackner/ders., StGB, Rdn. 1, 4 ff.

330 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

Genauso verhält es sich für das Universalitäts- oder Weltrechtsprinzip, weil dieses gemäß § 6 StGB lediglich bei Straftaten von internationaler Bedeutung, wie Völkermord oder Menschenhandel herangezogen wird.317 Das Schutzprinzip ist primär für Äußerungsdelikte nach §§ 80 bis 89b StGB, wie Internetkommunikation, beispielsweise via E-Mail, anwendbar. So erstreckt sich dieses gemäß §§ 5, 7 Abs. 1 StGB auf die Inanspruchnahme des Täters nach deutschem Recht, unabhängig von Ort oder Tat, sofern eines der in § 5 StGB näher bestimmten Rechtsgüter verletzt wurde.318 Auch die Bestimmungen des Wirkungsprinzips stellen primär auf die Vorhaltung oder Verbreitung von Internetinhalten, nicht die Datenspeicherung oder den Datenverkehr ab.319 Nach diesem Prinzip können Tätigkeiten aus dem Ausland nicht vollends untersagt, sondern lediglich deren Wirkung innerhalb des Staates geregelt werden. Im Fokus der Regelung steht daher der Ort, an dem der Erfolg der Tat eintritt. Diese Abgrenzung erweist sich aufgrund der bereits angeführten weltweiten, dezentralen Verfügbarkeit von Inhalten320 sowie der Möglichkeit, personenbezogene Daten über das Internet zu erheben, zu speichern und weiter zu verwenden, jedoch als problematisch. Aufgrund der eingeschränkten oder mangelnden Geltung der vorangegangenen erläuterten Prinzipien findet für den Bereich der Verfolgung von Straftaten in Verbindung mit dem Datenaustausch über das neue Medium zumeist das Territorialitätsprinzip Anwendung.321 317 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 229; K. Kühl, in: C. Lackner/ders., StGB, § 6, Rdn. 1 ff. 318 Unter § 5 StGB werden Delikte gegen inländische Rechtsgüter wie Hochverrat oder die Gefährdung des demokratischen Rechtsstaats, unter § 6 StGB solche gegen international geschützte Rechtsgüter wie Menschen- oder Drogenhandel sowie Verbreitung harter Pornografie subsumiert; vgl. dazu V. Haug, Grundwissen Internetrecht, Rdn. 155; A. Freitag, Urheberrecht und verwandte Schutzrechte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internet-Recht, 2000, S. 330; K. Kühl, in: C. Lackner/ders., StGB, § 5, Rdn. 2 ff. in Verbindung mit ders., Vorbemerkung zur Kommentierung der §§ 3–7 StGB, in: C. Lackner/ders., StGB, Rdn. 1, 4 ff. 319 Nach den Grundsätzen des Wirkungsprinzips richtet sich die Anwendbarkeit der Rechtsordnung eines Staates auf das Hoheitsgebiet eines anderen Staates, sofern der rechtswidrige Inhalt objektiv auf die Wirkung innerhalb des Staatsgebiets gerichtet oder individuell an eine Person gesendet wird, die sich im Staatsgebiet aufhält. Vgl. dazu W. Lohse, Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, S. 241. 320 F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. 321 Die Anwendbarkeit des Territorialitätsprinzip und der damit verbundenen Zuständigkeit nationalen Ordnungsrechts für das Staatsgebiet der Bundesrepublik Deutschland, entspricht im Wesentlichen den Grundsätzen des öffentlichen Rechts. Vgl. dazu A. Freitag, Urheberrecht und verwandte Schutzrechte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internet-Recht, S. 328 f.; C. Volkmann, Der Störer im Internet, S. 201, welcher sich im Wege einer effektiven Gefahrenabwehr für eine analoge Weiterentwicklung des Polizei- und Ordnungsrechts, anknüpfend an den Marktort oder das bestim-

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

331

II. Territorialitätsprinzip als Grundlage internationaler datenschutzrechtlicher Strafverfolgung Gemäß §§ 3 und 9 StGB ist ein Staat befugt, innerstaatliche Sachverhalte unabhängig von der Person des Handelnden oder des Betroffenen zu regulieren. Bindende Voraussetzung für die Anwendbarkeit deutschen Strafrechts ist nach dem Tatortprinzip des § 3 StGB zunächst, dass der Ort der Tathandlung im Inland liegt. Liegt dieser im Ausland, so muss gemäß § 9 Abs. 1 StGB der Taterfolg im Inland eingetreten sein (Ubiquitätsprinzip).322 Anhand der Rechtsprechung des Bundesgerichtshofs zum Zweck dieser Vorschrift ist deutsches Recht gemäß dem Territorialitätsgrundsatz auch für im Ausland begangene Tathandlungen anzuwenden, sofern die Störung und Schädigung von Rechtsgütern im Inland eingetreten ist.323 Somit kann festgehalten werden, dass sich die Anwendbarkeit des deutschen Strafrechts im Zusammenhang mit Delikten im internationalen Kontext nach den Vorschriften der §§ 3 und 9 StGB richtet.324 Ferner ist anhand dieser rechtlichen Grundlagen ausschlaggebend, inwiefern eine enge Verbindung mit dem Ort der Tathandlung oder des Taterfolgs zum Inland gegeben ist. Der Umstand, dass Daten im Internet transnational weitergeleitet, gespeichert und auch abgerufen werden können, stellt für sich bereits eine erhebliche Herausforderung dar, um die Umsetzung geeigneter Maßnahmen für eine effektive Gefahrenabwehr und Strafverfolgung zum Schutz der Privatsphäre des von der Datenverarbeitung betroffenen Nutzers zu gewährleisten.

mungsgemäße Empfangsgebiet, ausspricht. Vgl. dazu weiterführend für das Marktortprinzip T. Hoeren, Internet und Recht – Neue Paradigmen des Informationsrechts, NJW 1998, 2849, 2851; für das Strafrecht M. Collardin, Straftaten im Internet, CR 1995, 618, 621; E. Hilgendorf, Überlegungen zur strafrechtlichen Interpretation des Ubiquitätsprinzips im Zeitalter des Internet, NJW 1997, 1873 ff. 322 Gemäß dem Tatortbegriff des § 9 StGB ist auf der Grundlage des Ubiquitätsprinzips der Tatort als jener Handlungsort definiert, an dem die tatbestandlichen Handlungen begangen wurden und der Erfolgsort als derjenige, an dem der tatbestandliche Erfolg eintritt. Vgl. dazu U. Sieber, Internationales Strafrecht – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, NJW 1999, 2067; E. Hilgendorf/C. Wolf, Internetstrafrecht. Grundlagen und aktuelle Fragestellungen, K&R 2006, 541 f.; V. Haug, Grundwissen Internetrecht, Rdn. 155 f.; K. Kühl, in: C. Lackner/ders., StGB, § 9, Rdn. 1 f., 4; B. Bachmann, Internet und IPR, S. 181. 323 Vgl. Grundsatzentscheidung des BGH zur Auschwitzlüge BGHSt 42, 235 (242) = BGH, CR 2001, 260 mit Anm. Vassilaki = JZ 2001, 1194 mit Anm. Lagodny; vgl. zum Territorialitätsansatz BGHSt 46, 212 (220). 324 T. Hoeren, Internetrecht, Stand April 2011, S. 502; so auch K. Kühl, in: C. Lackner/ders., StGB, Vorbemerkung zur Kommentierung der §§ 3 bis 7 StGB, Rdn. 1; ders., § 9 StGB, Rdn. 1.

332 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

III. Maßgeblichkeit der Zurechenbarkeit von Delikten zum Handlungs- oder Erfolgsort Soll das Territorialitätsprinzip und damit das deutsche internationale Strafrecht für die Verfolgung und Ahndung einer Straftat über das Internet zugrunde gelegt werden, ist mithin eine genaue Abwägung zwischen Handlungs- und Erfolgsort erforderlich. Für Fälle von Computerdelikten, bei denen der Täter auf deutschem Hoheitsgebiet handelt, beispielsweise einen Rechner im Ausland manipuliert, ist die Zuordnung weitgehend unproblematisch. Weil der Täter sich während seiner Handlung an einem Rechner, also am Ort der Tat befindet, wird die schadensursächliche Handlung an einem eindeutig mit dem Täter in Zusammenhang stehenden Ort ausgeführt. Damit sind die Voraussetzungen des Handlungsorts gemäß Art. 40 Abs. 1 Nr. 1 EGBG erfüllt.325 Allgemein kann für Computerdelikte im Zusammenhang mit dem rechtswidrigen Erheben, Speichern und Verwenden personenbezogener Daten somit eine eindeutige Abgrenzung nach dem Ort vorgenommen werden, von dem aus der Täter seine Handlung begangen hat. Ausschlaggebend ist für die vorgenannten Delikte mithin der Handlungsort.326 Liegt dieser eindeutig im Inland, so fällt die Befugnis zur Verfolgung und Ahndung der Straftat gemäß dem Territorialitätsprinzip in den Zuständigkeitsbereich der deutschen Strafverfolgungsbehörden. Ein anderer Fall ist gegeben, wenn sich der deliktische Ablauf rechtswidriger Handlungen in mehreren zeitlichen Stufen vollzieht.327 Das Territorialitätsprinzip ist auf Grundlage des Erfolgsorts dann heranzuziehen, wenn der Taterfolg eindeutig dem Hoheitsgebiet der Bundesrepublik Deutschland zugeordnet werden kann. Dies ist beispielsweise dann gegeben, wenn ein Täter eine rechtswidrige Handlung von einem ausländischen Rechner ausführt, der Erfolg beim Betroffenen in Form des unbefugten Erhebens von Login-Daten, Passwörtern oder der Zerstörung des Computers durch ein schädliches Computerprogramm jedoch innerhalb der nationalen deutschen Landesgrenzen eintritt.328 325 M. v. Hinden, Persönlichkeitsverletzungen im Internet, S. 54; C. Müller, Internationales Privatrecht und Internet, S. 260. 326 Zustimmend auch T. Hoeren, Internetrecht, Stand März 2009, S. 495; C. Müller, Internationales Privatrecht und Internet, S. 261. 327 Vgl. die Verbreitung von Computerschädlingen als Computerdelikt. So steht die Programmierung und Einspeisung eines Computervirus durch den Täter bis zum Erfolg der Handlung in Form der Schädigung des Computers des Nutzers des WWW nicht unbedingt in einem direkten zeitlichen Zusammenhang. Die Schädigung ist davon abhängig ob und wann der betroffene Nutzer auf das WWW zugreift und ein Programm mit schädlichem Inhalt abruft oder im Zusammenhang mit dem Phishing von Passwörtern die entsprechende Seite im WWW aufruft und seine persönlichen Daten eingibt. 328 U. Sieber, Internationales Strafrecht im Internet – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, NJW 1999, 2066.

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

333

Gerade die Identifikation des Erfolgsorts ist durch die zeitlich verzögerte Auswirkung und Kenntnisnahme von Delikten im Internet durch den Betroffenen, welche aus der dezentralen Struktur des Mediums resultiert,329 nicht immer eindeutig. So könnte zunächst jeder Ort als Erfolgsort gelten, an dem die Auswirkungen eines Computerdelikts eintritt,330 weil der betroffene Nutzer grundsätzlich in der Lage ist, von jedem Ort der Welt aus über das WWW auf das Angebot im Internet zuzugreifen, sich mit seinen Nutzerdaten für bestimmte Dienste anzumelden, elektronische Behördengänge wahrzunehmen oder Rechtsgeschäfte zu tätigen. So würden danach alle Orte weltweit als Erfolgsorte in Frage kommen. Daraus resultieren jedoch zahlreiche kollisionsrechtliche Probleme, welche anhand der Differenzierung des Erfolgsorts nach dem Ort des tatsächlichen Abrufs (effektives Verbreitungsgebiet) oder dem Ort der Abrufbarkeit (potentielles Verbreitungsgebiet) einer Lösung zugeführt werden können.331 Der Ansatz nach dem tatsächlichen Abrufort ist insofern vorzuziehen, als diesem kein hypothetisches Verbreitungsgebiet zugrunde gelegt wird. Stattdessen ist die tatsächliche Durchführung der Handlung durch eine näher bestimmbare Anzahl von Nutzern des WWW maßgeblich. Werden Daten unzulässig erhoben, gespeichert oder verwendet, ist der Abrufort dieser technisch überprüfbar, weil der Provider mithilfe der gespeicherten IP-Adresse in Verbindung mit den Nutzungsund Standortdaten des Rechners des Betroffenen diese anknüpfungsrelevanten Tatsachen für den Geschädigten beweisbar und für die richterliche Beweiswürdigung einen Nachweis darüber erbringen kann.332 Allerdings lässt sich für Delikte im Zusammenhang mit der Computersabotage oder des Computerbetrugs, bei denen Daten beim Betroffenen ausgespäht werden, die Verbreitung schadhafter Computerprogramme meist nicht auf bestimmte Abruforte begrenzen.333 Lediglich für Delikte im Zusammenhang mit der unzulässigen Erhebung, Speicherung und Verwendung personenbezogener Daten ist dies für den Adressatenkreis der Betroffenen möglich. Soll eine strafrechtliche Ermittlung nach dem Zufallsprinzip ausgeschlossen werden, ist das Territorialitätsprinzip auf Grundlage der Zurechenbarkeit von de329

F. Rötzer, Öffentlichkeit außer Kontrolle, S. 30. Zur ubiquitären Wahrnehmbarkeit und Verfügbarkeit des Angebots im WWW im Zusammenhang mit dem Territorialitätsprinzip vgl. M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 230; so auch T. Hoeren, Internetrecht, Stand März 2009, S. 495; C. Müller, Internationales Privatrecht und Internet, S. 262. 331 M. v. Hinden, Persönlichkeitsverletzungen im Internet, S. 119; zur Anwendbarkeit des Erfolgsortprinzips im Presserecht vgl. BGHZ 131, 332 (335). 332 Zur Voraussetzung der Beweisbarkeit im Rahmen der richterlichen Beweiswürdigung M. v. Hinden, Persönlichkeitsverletzungen im Internet, S. 121. 333 C. Müller, Internationales Privatrecht und Internet, S. 260. 330

334 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

liktischen Handlungen zu einem bestimmten Abrufort im Internet nicht eindeutig anwendbar. Damit scheidet eine eindeutige Lösung der kollisionsrechtlichen Problematik zunächst aus. Auch der Ansatz der Identifikation des Ortes der Abrufbarkeit kann nur bedingt für Bereich des Internets herangezogen werden, weil die alleinige Handlung schädliche Computerprogramme mit der Absicht des Ausspähens personenbezogener Daten zu verbreiten, nicht unmittelbar mit einem tatsächlichen Erfolg beim Betroffenen verbunden sein muss. Dabei wird als entscheidendes Kriterium die Möglichkeit des Zugriffs aus einem bestimmten Staat, unabhängig vom Standort des Rechners auf dem die Daten abgelegt werden, zugrunde gelegt. Dies entspricht zwar der neueren Rechtsprechung des Bundesgerichtshofs,334 steht jedoch dem Grundsatz des § 9 StGB entgegen, wonach nicht jede Wirkung eines deliktischen Handelns einen Erfolgsort bedingt, sondern hingegen der nachweislich zum Tatbestand gehörende Erfolg notwendige Voraussetzung ist.335 Der Nutzer greift jedoch nicht notwendigerweise auf jedes Angebot zu, nur weil ihm der Zugang dazu über das WWW offen steht. Damit resultiert also nicht zwingend aus jeder Inanspruchnahme des Mediums eine Schädigung seiner Rechtsgüter, selbst wenn der Täter unbefugt handelt und ein schädliches Computerprogramm installiert um beispielsweise Passwörter für Bankkonten auszuspähen.336 Kann keine unmittelbare Beziehung des Tatbestands und des Taterfolgs zur Mehrzahl der Abruforte hergestellt werden, ist auch eine Anknüpfung an den Ort der Abrufbarkeit für die Lösung der kollisionsrechtlichen Probleme nachrangig relevant. Zusammenfassend resultiert für die Gefahrenabwehr und Strafverfolgung rechtswidriger Handlungen über das Internet stets, dass von einer Vielzahl von Erfolgsorten ausgegangen werden muss und es sich damit in der Regel um sogenannte Streudelikte handelt. Dies bestätigt die eingangs angeführte Annahme, dass eine genaue Identifikation des Erfolgsortes aufgrund der internationalen 334 So BGH, Urteil vom 12.12.2000, 1 StR 184/00 = BGHSt 46, 212 (212 ff.) = BGH NStZ 2001, 305. Die Rechtsprechung stellt insbesondere auf den Ort der Abrufbarkeit von Inhalten ab, unabhängig vom Standort des verursachenden Rechners, auf dem die Inhalte abgelegt sind, sofern diese Inhalte zu einer Verwirklichung des jeweiligen Schutzbereichs der deliktischen Handlung im Inland führen können. Vgl. dazu T. Hoeren, Internetrecht, Stand April 2011, S. 502, welcher jedoch kritisch anmerkt, dass infolge der Rechtsprechung des BGH eine Allzuständigkeit des deutschen Strafrechts resultiert, da die meisten internetrelevanten Tatbestände durch das reine Abrufen von Daten und der damit zusammenhängenden kurzzeitigen Speicherung dieser auf dem abrufenden Rechner, verwirklicht werden können. 335 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 230; K. Kühl, in: C. Lackner/ders., StGB, Vorbemerkung zur Kommentierung des § 9 StGB, Rdn. 2; so auch BGHSt 44, 52 (56 f.); 45, 97 (100). 336 Zum Günstigkeitsprinzip oder Ubiquitätsprinzips vgl. C. Müller, Internationales Privatrecht und Internet, S. 261; M. v. Hinden, Persönlichkeitsverletzungen im Internet, S. 141 f.

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

335

Reichweite des Internets und des WWW kaum möglich ist und damit das Territorialitätsprinzip auf Basis der Zurechenbarkeit der Tat anhand des Erfolgsortes daher nur unzureichend für eine effektive Kontrolle des personenbezogenen Datenverkehrs über das WWW und des Schutzes des Rechts auf informationelle Selbstbestimmung für den einzelnen Nutzer anwendbar ist.337 Um die Rechte des Betroffenen umfassend zu schützen, wird allgemein nach dem Günstigkeitsprinzip verfahren. Danach werden alle aus der rechtswidrigen Handlung des Täters resultierenden Schäden einheitlich beurteilt und der Verfolgung und Ahndung der Delikte die für den Geschädigten günstigsten Erfolgsorte zugrunde gelegt.338 Die Praktikabilität dieses Rechts ist jedoch vor dem Hintergrund der Zuordnung von rechtswidrigen Handlungen im Internet zu so genannten abstrakten Gefährdungsdelikten,339 bei denen kein eindeutiger Erfolgsort zugerechnet werden kann, kritisch zu sehen, weil der Erfolg der Tat zu diesem Zeitpunkt noch nicht eingetreten ist. An Gefährdungsdelikte werden im Bereich der Gefahrenabwehr vorwiegend präventiv-polizeiliche Maßnahmen angeknüpft. Weil bei diesen jedoch nicht nur der Erfolg, sondern auch eine tatsächliche Gefährdung nicht eingetreten sein muss, stehen die damit verbundenen Maßnahmen der Behörden nicht in direktem Zusammenhang mit der unmittelbaren Gefährdung oder Schädigung eines betroffenen Nutzers. Diese Vorverlagerung der Strafbarkeitsschwelle auf die abstrakte Gefahr bedingt, dass das deutsche Strafrecht weder im Inland noch über territoriale Grenzen hinweg anwendbar ist.340 Abstrakte Gefährdungsdelikte sollen daher in die Analyse des effektiven Schutzes des Rechts auf informationelle Selbstbestimmung und der Privatsphäre des einzelnen Nutzers nicht einbezogen werden. 337

C. Müller, Internationales Privatrecht und Internet, S. 262. M. v. Hinden, Persönlichkeitsverletzungen im Internet, S. 152 f., 154 ff.; zum Ansatz der Mosaikbetrachtung, welcher an das Recht des Erfolgsorts des jeweiligen Rechtsgebiets anknüpft in dem der Schaden eingetreten ist vgl. P. Schaar, Datenschutzfreier Raum Internet, CR 1999, 177; weiterführend zum Ansatz der Mosaikbetrachtung, wonach im Unterschied zum Erfolgsortprinzip nach dem Recht des Handlungsorts, der gesamte eingetretene Schaden geltend gemacht werden kann. Bewertend dazu C. Müller, Internationales Privatrecht und Internet, S. 264 f. 339 Vgl. dazu U. Sieber, Internationales Strafrecht im Internet – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, NJW 1999, 2066 f. der allerdings darauf hinweist, dass der Ansatz der abstrakten Gefährdungsdelikte nach herrschender Meinung umstritten ist; befürwortend dazu M. Köhler/H.-W. Arndt, Recht des Internet, S. 272; T. Strömer, Online-Recht, 3. Aufl., S. 272; kritisch V. Haug, Grundwissen Internetrecht, Rdn. 157, welcher sich für die Zuordnung der meisten internetrelevanten Delikte als Gefährdungsdelikte ausspricht. Jedoch den Ansatz, dass diese in der Regel nur eine Handlungs- jedoch keine Erfolgskomponente aufweisen, kritisch sieht. 340 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 233; zustimmend C. Volkmann, Der Störer im Internet, S. 203; eine andere Meinung vertritt C. Pelz, Die strafrechtliche Verantwortlichkeit von Internet-Providern, ZUM 1998, 530 f.; so auch B. Breuer, Anwendbarkeit des deutschen Strafrechts auf exterritorial handelnde Internet-Benutzer, MMR 1998, 141 f. 338

336 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

So ist gemäß Art. 40 Abs. 1 Nr. 1 EGBGB der Handlungsort als zentraler Anknüpfungspunkt maßgeblich. Einschränkend wirkt hier, um die Ausübung des Rechts auf informationelle Selbstbestimmung des Betroffenen nicht zu beeinträchtigen, die Vorschrift des Art. 40 Abs. 1 Nr. 2 und 3 EGBGB. Danach wird bis zum Ende des schriftlichen Vorverfahrens das Recht des Erfolgsortes und damit im Rahmen des internationalen Strafrechts das Günstigkeitsprinzip angewandt.341 Aus der Abwägung zwischen Handlungs- und Erfolgsort ergibt sich mithin nicht nur eine konkurrierende Anknüpfung an das geltende Territorialitätsprinzip. Es ergibt sich daraus auch eine unzureichende Rechtssicherheit für den betroffenen Nutzer, inwiefern sich das deutsche Recht auch auf die Verfolgung von Straftaten im internationalen Rahmen erstreckt. Schließlich sind im Sinne einer effektiven Gefahrenabwehr und Strafverfolgung zum Schutz der Grundrechte des einzelnen Bürgers als Nutzer des WWW, geeignete Lösungsansätze sowie Kollisionsregeln zu entwickeln, welche über die Kontrollbefugnisse auf Basis territorialer Grenzen und nationaler Gesetzgebung hinausgehen und der Globalität des neuen Mediums durch transnationale, gemeinschaftliche Regelungen ausreichend Rechnung tragen. IV. Initiativen und Konventionen zur globalen Harmonisierung von straf- und verfahrensrechtlichen Regelungen In den letzten Jahren wurden auf internationaler Ebene verstärkt Initiativen zur Entwicklung einheitlicher Regelungen für die Strafverfolgung internetrelevanter Delikte gegründet. Dies resultierte zum einen aus dem Umstand, dass ein Übergreifen der Strafverfolgungstätigkeit eines Staates in das Hoheitsgebiet eines anderen unzulässig ist.342 Ferner bestehen erhebliche Differenzen zwischen den nationalen Rechtsvorschriften im Bereich der strafrechtlichen Bestimmungen zur Computerkriminalität. 343 Zu den wichtigsten Initiativen zählt die G8-Initiative, welche im Dezember 1997 durch die Justiz- und Innenminister der weltweit wichtigsten Industrienatio341 P. Schaar, Datenschutzfreier Raum Internet, CR 1999, 208; kritisch zur Anwendbarkeit des Günstigkeitsprinzips am Beispiel des E-Commerce T. Hoeren, Internetrecht, Stand März 2009, S. 233 f. 342 U. Sieber, Verantwortlichkeit im Internet, Rdn. 150 ff.; C. Dressel/H. Scheffler, Die Insuffizienz des Computerstrafrechts, ZRP 2000, 514; zur Anwendbarkeit nationalen Rechts im internationalen Rahmen auch BVerfGE 63, 343 (369); weiter M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 641 f., 645; zu den Voraussetzungen der Verletzung der Gebietshoheit eines anderen Staates I. Seidl-Hohenveldern, Völkerrecht, Rdn. 1504; D. Siegrist, Hoheitsakte auf fremdem Staatsgebiet, 1987, S. 69. 343 P. Schaar, Datenschutz im Internet, S. 263; V. Haug, Grundwissen Internetrecht, Rdn. 154, 160; in diesem Sinne auch A. Wien, Internetrecht, S. 194.

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

337

nen344 verabschiedet wurde. Inhalt ist ein 10-Punkte Aktionsplan, welcher unter anderem folgende Maßnahmen zur Umsetzung durch die beteiligten Länder vorsieht:345 • Einrichtung nationaler, auf Bekämpfung der Computerkriminalität spezialisierter polizeilicher Behörden. • Verbesserte Zusammenarbeit zwischen Strafverfolgungsbehörden, Industrie, Verbraucherorganisationen und Datenschutzbehörden. • Förderung geeigneter Initiativen privater Wirtschaftsunternehmen sowie Bürgergruppen zur Entwicklung von Sicherheitsprodukten. • Verbesserung der gesetzlichen Regelungen zur transnationalen Rechtsdurchsetzung und Identifizierung so genannter High-Tech Täter. In diesem Zusammenhang stehen durchaus kritisch zu sehende verdeckte Ermittlungsmaßnahmen sowie die Vorratsdatenspeicherung. Neben dem Maßnahmenplan stand die Einrichtung eines jederzeit erreichbaren Informationsnetzes, zur Kooperation in Fällen der Erhebung von Beweismitteln auf elektronischem Wege im Vordergrund, welches auch für andere Staaten zugänglich ist.346 Einen weiteren wichtigen Ansatz einer Konvention zur globalen Harmonisierung der straf- und verfahrensrechtlichen Regelungen zur Bekämpfung der Datennetzkriminalität stellt die vom Europarat am 8. November 2001 gebilligte Cyber Crime Convention dar.347 Zielgruppe der Initiative sind nicht nur Mitglieder des Europarats, sondern alle Länder, welche durch ihre technologischen und wirtschaftlichen Fähigkeiten maßgeblich zur Entwicklung des Internets beitragen.348 Im Fokus dieser Erweiterung standen die Vereinigten Staaten von Amerika sowie Japan. Die Konvention enthält in insgesamt vier Kapiteln Anforderungen zur Gestaltung des materiellen Strafrechts, zur Harmonisierung der nationa344 Zu den G8-Ländern zählen Kanada, Frankreich, Deutschland, Italien, Japan, das Vereinigte Königreich sowie die Vereinigten Staaten von Amerika und Russland. 345 P. Schaar, Datenschutz im Internet, S. 264. 346 C. Dressel/H. Scheffler, Die Insuffizienz des Computerstrafrechts, ZRP 2000, 514. 347 Convention on Cyber Crime vom 23. 11. 2001 (ETS 185), abrufbar unter http:// conventions.coe.int/Treaty/EN/Treaties/html/185.htm; eine Aufstellung über den Status der jeweiligen Staaten im Hinblick auf Unterzeichnung und Ratifizierung der Konvention ist unter http://conventions.coe.int/Treaty/Commun/ChercheSig.asp?NT=185& CM=7&DF=6/26/2007&CL=GER einsehbar. Nach der Unterzeichung erfolgte die Ratifizierung des Abkommens in Deutschland erst mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität vom 7.8.2007; vgl. dazu M. Gercke, Analyse des Umsetzungsbedarfs der Cyber Crime Convention, MMR 2004, 728; T. Hoeren, Internetrecht, Stand April 2011, S. 503 ff.; so auch V. Haug, Grundwissen Internetrecht, Rdn. 160; weiter auch S. Simitis, in: ders., BDSG, Einleitung, Rdn. 168. 348 M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 42.

338 3. Teil, 2. Kap.: Kontrolle des personenbezogenen Datenverkehrs im WWW

len Regelungen, um die Gewinnung und Sicherung von Beweismitteln im Rahmen des Strafprozessrechts der Mitgliedsstaaten zu erleichtern, sowie zur internationalen Kooperation für Ermittlungen.349 Hervorzuheben ist, dass Unklarheiten über das Verbot des Besitzes von Hackersoftware, welche zum Eindringen in fremde Computersysteme geeignet ist, bestehen, weil keine eindeutige Differenzierung zur strafrechtlichen Relevanz von Computerprogrammen, die zur Überprüfung der Computersicherheit eingesetzt werden, gegeben ist.350 Ebenso unzureichend sind die Angaben darüber, welche der Voraussetzungen, die im Rahmen der Harmonisierung des Strafprozessrechts festgelegt wurden, eine erleichterte, vorsorgliche Speicherung von Bestands-, Verbindungs- und Nutzungsdaten ermöglichen. So lässt sich zusammenfassend sagen, dass die Vorschriften der Konvention das Handeln der Mitgliedstaaten nicht im Sinne des Schutzes des Grundrechts auf informationelle Selbstbestimmung des betroffenen Nutzers regeln, sondern mitunter sogar gegen das Recht des Einzelnen auf Wahrung des Fernmeldegeheimnisses gemäß Art. 10 GG verstoßen. Letzteres wurde besonders im Hinblick auf die im Rahmen der internationalen Kooperation für Ermittlungen geforderte Verpflichtung, umfassend personenbezogene Daten zu gewinnen, zu speichern und deren grenzüberschreitende Verfügbarkeit zu gewährleisten.351 Das Ziel eines einheitlichen, transnationalen Ansatzes zur Harmonisierung des Datenschutzes, wurde mit dieser Konvention verfehlt. Die enthaltenen Regelungen stellen keine strafrechtlichen Vorschriften dar, sondern verpflichten die Vertragsstaaten dazu, bestimmte Vorgaben für Datenverarbeitungs- und Überwachungsmöglichkeiten in nationales Recht umzusetzen. 349 Vgl. dazu C. Dressel/H. Scheffler, Die Insuffizienz des Computerstrafrechts, ZRP 2000, 515; M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 105. Im Einzelnen enthalten die Vorgaben zur Änderung nationaler Vorschriften Regelungen über den vorsätzlichen und unrechtmäßigen Zugriff auf Computersysteme (Art. 2), das rechtswidrige Abfangen nicht öffentlicher Computerübertragungen (Art. 3), den Eingriff in Daten (Art. 4), den Eingriff in die Funktionsweise eines Computersystems (Art. 5), den Missbrauch von Vorrichtungen (Art. 6), das Herstellen computergestützter Fälschungen (Art. 7), den computergestützten Betrug (Art. 8), Straftaten in Bezug zu Kinderpornographie (Art. 9), Straftaten in Verbindung mit Verletzungen des Urheberrechts (Art. 10), sowie Regelungen zur Verantwortlichkeit bei dem Versuch und der Beteiligung an Straftaten (Art. 11) und zur Verantwortlichkeit juristischer Personen (Art. 12). Vgl. V. Haug, Grundwissen Internetrecht, Rdn. 161. Zum 28.1.2003 wurde das erste Zusatzprotokoll verabschiedet, welches weitere Strafvorschriften im Bereich rassistischer und fremdenfeindlicher Inhalte im Internet enthält. 350 C. Dressel/H. Scheffler, Die Insuffizienz des Computerstrafrechts, ZRP 2000, 515; P. Schaar, Datenschutz im Internet, S. 265; zur Maßgeblichkeit im Rahmen der Gefahrenabwehr und Strafverfolgung auch M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 97. 351 C. Dressel/H. Scheffler, Die Insuffizienz des Computerstrafrechts, ZRP 2000, 515; V. Haug, Grundwissen Internetrecht, Rdn. 162; so auch M.-T. Tinnefeld/E. Ehmann/R. W. Gerling, Einführung in das Datenschutzrecht, S. 105.

D. Effektive Strafverfolgung bei grenzüberschreitendem Datenverkehr

339

Auf Ebene der Europäischen Union wurden in jüngerer Zeit zwei weitere Konventionen erlassen, die den Grundgedanken der Cyber Crime Convention beinhalten. Hierbei handelt es sich zum einen um den Rahmenbeschluss des Rates der Europäischen Union (2005/222/JI) vom 24.2.2005.352 Die Richtlinie enthält neben materiellen Regelungen zu rechtswidrigen Zugriffen auf Computersysteme, Eingriffen in den Datenverkehr, sowie der Beteiligung und des Versuchs an Verbindung mit entsprechenden gerichtlichen Zuständigkeiten. Die EU-Richtlinie zur Vorratsdatenspeicherung (2006/24/EG)353 stellt auf die Speicherpflicht der Diensteanbieter für bestimmte Verkehrsdaten ab. Zielsetzung der Verpflichtung ist, die Verfolgung nicht ausschließlich auf das Internet bezogener Straftaten zu erleichtern. Die Umsetzung der Richtlinie erfolgte in Deutschland zum 1.1.2008 durch das Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG.354 Gemäß einer einstweiligen Anordnung durch das Bundesverfassungsgericht ist der Zugriff auf diese gespeicherten Daten nur im Rahmen der Verfolgung schwerer Straftaten zulässig.355

Drittes Kapitel

Die Gewährleistung von Freiheit und Sicherheit als staatliche Aufgabe Anhand der dargestellten präventiven und repressiven Maßnahmen zur Kontrolle des personenbezogenen Datenverkehrs im Internet interessiert nun, in welchem Umfang staatliche Organe aufgrund ihrer verfassungsrechtlich begründeten Schutzpflicht356 dazu befugt und verpflichtet sind, das neue Medium umfassend 352 Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme, ABl. EU Nr. L 69 S. 67 ff.; die Umsetzungsfrist des EU-Rahmenbeschlusses endete zum 16.3.2007. Die Umsetzung durch die Bundesrepublik Deutschland erfolgte im Wege des Inkrafttretens des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität vom 7.8.2007. 353 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsdatenspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden und zur Änderung der Richtlinie 2002/ 58/EG – ABl. L 105, 54. 354 Gesetz zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/24/EG vom 31.12. 2007 – BGBl. I Nr. 70, S. 3198; vgl. dazu auch T. Hoeren, Internetrecht, Stand März 2009, S. 497. 355 BVerfG, 1 BvR 256/08 vom 11.3.2008, Absatz 1 ff. = MMR 2008, 303. 356 M. Herdegen, in: T. Maunz/G. Dürig, GG, 2006, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39.

340

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

zu kontrollieren, um die Freiheit und Sicherheit des einzelnen Nutzers, sowie der Allgemeinheit und damit aller Bürger im Rechtsstaat zu gewährleisten.

A. Begriffliche Einordnung – Freiheit und Sicherheit Die Forderung des Menschen nach einem umfassenden Schutz seiner persönlichen Daten steht in engem Zusammenhang mit dem Interesse nach Sicherheit vor ungewollter und unkontrollierbarer Kenntnisnahme dieser durch Dritte. Freiheit und Sicherheit sind damit untrennbar miteinander verbunden und vereinen die Verpflichtung aller zum Schutz der Rechtsgüter, wie des Lebens, der Freiheit der Person und des Eigentums.357 Die gegenseitige Entsprechung beider Begriffe hat auch das Bundesverfassungsgericht in seiner Begründung zum Volkszählungsurteil, insbesondere mit der Ableitung eines Grundrechts auf informationelle Selbstbestimmung, betont. So ist die Sicherheit eines jeden einzelnen Bürgers vor der Veröffentlichung und Weitergabe seiner persönlichen Daten in seiner sozialen Umwelt eine grundlegende Voraussetzung, um Wahrnehmung seine individuelle Freiheit wahrnehmen und selbst bestimmt handeln zu können.358 Für das republikanische Freiheitsverständnis ist die Grundlage des Rechtsstaats die Verwirklichung von Freiheit. Freiheit ist die Autonomie des Willens und unabhängig von den Fähigkeiten des einzelnen Bürgers.359 Sie ist die Würde des Menschen und damit in Art. 1 Abs. 1 GG verfassungsrechtlich materialisiert.360 Der Begriff der Würde und daraus folgend der der Freiheit, verbindet alle Menschen, denn in ihm sind alle gleich. Das Prinzip des Rechtsstaats impliziert damit die Verwirklichung von Gleichheit aller in der Freiheit.361 Daraus folgt notwen-

357 J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983, S. 21; K. A. Schachtschneider, Freiheit in der Republik, S. 101 ff., 254; weiter auch V. Götz, Innere Sicherheit, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. III, 1988, Das Handeln des Staates, § 79, Rdn. 1 ff., 7 ff.; dazu auch G. Robbers, Sicherheit als Menschenrecht, 1987. 358 BVerfGE 65, 1 (43). 359 K. A. Schachtschneider, Res publica res populi, S. 71 ff., 275 ff., 325 ff.; ders., Freiheit in der Republik, S. 22 ff., 277 ff., 283 ff.; ders., Prinzipien des Rechtsstaates, S. 29, 30 ff. 360 Zur Unantastbarkeit und Verpflichtung zur Achtung der Menschenwürde, sowie der daraus resultierenden Schutzpflicht gemäß Art. 1 Abs. 1 GG vgl. M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders., GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 361 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 23, 28, 35 ff.; ders., Res publica res populi, S. 4 f., 410 ff.; vgl. dazu auch W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, 1983, § 12, S. 427 ff., insbesondere S. 455 ff., 499 ff., 507 ff.; M. Kriele, Freiheit und Gleichheit, HVerfR, 1983, S. 129 ff.

A. Begriffliche Einordnung – Freiheit und Sicherheit

341

dig die Verpflichtung aller zum Schutz der Menschen- und Bürgerrechte und damit auch der Freiheit.362 Das Prinzip der Freiheit hängt ferner unmittelbar mit dem fundamentalen Prinzip der Menschheit des Menschen zusammen.363 Bürgerliche Freiheit bedeutet Autonomie des Willens, welche wiederum die menschliche Würde begründet.364 Entgegen diesem republikanischen Freiheitsbegriff steht der liberalistische Begriff der Freiheit, der die Grundrechte lediglich als Abwehrrechte des Bürgers gegen den Staat versteht.365 Damit bleibt der Mensch nach der liberalistischen Auffassung Teil einer vom Staat zu unterscheidenden Gesellschaft. Der Staat erhält somit die Funktion der Ausübung von Herrschaft über den Bürger.366 Freiheit und Herrschaft sind jedoch miteinander unvereinbar. Der Bürger ist nach dem liberalistischen Konzept somit Untertan der von ihm gewählten staatlichen Organe.367 Mit Art. 1 Abs. 1 GG wurden die Grundsätze der Würde des Menschen und der Autonomie des Willens in der Freiheit, Gleichheit und Brüderlichkeit als verbindliche Ideale der Verfassung der Bundesrepublik Deutschland materialisiert. Nach Kant wird zwischen innerer und äußerer Freiheit differenziert. Äußere Freiheit bedeutet die Unabhängigkeit von eines anderen nötigender Willkür.368 Innere Freiheit impliziert die freie Willkür, die Willkür, die den anderen in seiner Würde, in seiner äußeren Freiheit, in seiner Persönlichkeit als Selbstzweck, achtet.369 Daraus folgt die bürgerliche Sittlichkeit,370 welche von Kant in einer all362 K. A. Schachtschneider, Res publica res populi, S. 4 f., 410 ff.; ders., Prinzipien des Rechtsstaates, S. 22 f.; ders., Sittlichkeit und Moralität, S. 24. 363 Vgl. auch BVerfGE 5, 85 (204 f.); 65, 1 (41); K. A. Schachtschneider, Res publica res populi, S. 4 ff.; ders., Staatsunternehmen und Privatrecht, S. 99 ff., 138 ff.; zur Würde des Menschen weiterführend P. Häberle, Die Menschenwürde als Grundlage der staatlichen Gemeinschaft, HStR, § 20, Rdn. 46 ff., 60 ff.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 472 ff., 477 ff. 364 I. Kant, Grundlegung zur Metaphysik der Sitten, S. 69; K. A. Schachtschneider, Die Würde des Menschen, S. 13 ff. 365 Vgl. dazu BVerfGE 7, 198 (204). K. A. Schachtschneider, Res publica res populi, S. 71 ff.; ders., Freiheit in der Republik, S. 127 ff., 207 ff. 366 Vgl. dazu BVerfGE 2, 1 (12 f.); 83, 37 (52); 83, 60 (72); K. A. Schachtschneider, Res publica res populi, S. 441 ff.; ders., Freiheit in der Republik, S. 343 ff. 367 K. A. Schachtschneider, Sittlichkeit und Moralität, S. 25. 368 I. Kant, Metaphysik der Sitten, S. 345, auch S. 430; vgl. dazu K. A. Schachtschneider, Freiheit in der Republik, S. 44 ff.; ders., Sittlichkeit und Moralität, S. 24 f.; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 208 f.; vgl. dazu auch A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte. Konzeption und Begründung eines einheitlichen, formalen Freiheitsbegriffs, dargestellt am Beispiel der Kunstfreiheit, 1995, S. 75 ff. 369 I. Kant, Metaphysik der Sitten, S. 61, 66; ders., Kritik der praktischen Vernunft, S. 210; grundlegend zur Menschenwürde gemäß Art. 1 Abs. 1 GG M. Herdegen, in: T. Maunz/G. Dürig, GG, Art. 1 Abs. 1, Rdn. 1 ff., 18 ff., 25, insbesondere Rdn. 69 f., 71 ff.

342

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

gemeinen Handlungsmaxime, dem kategorischen Imperativ formuliert wurde: „Handle nur nach derjenigen Maxime, durch die du zugleich wollen kannst, dass sie ein allgemeines Gesetz wäre.“ 371 Diese liegt auch dem Wortlaut des Art. 2 Abs. 1 GG zugrunde. Würde jeder Bürger nach dieser Maxime, also gemäß seiner Verpflichtung als Mensch handeln, wären nicht nur die Verwirklichung der fundamentalen Prinzipien des Rechtsstaats, der Freiheit, Gleichheit und Brüderlichkeit gewährleistet. Jeder Bürger könnte darüber hinaus nicht nur seiner individuellen (inneren) Freiheit, sondern auch der allgemeinen Freiheit, der Verwirklichung der Gesetze durch den Ausgleich der Interessen und daraus folgend der Solidarität im Rechtsstaat, sicher sein. Sicherheit bedeutet nach rechtsstaatlichem Verständnis vor allem die Verwirklichung von Gesetzlichkeit.372 Im Zusammenhang mit dem Schutz personenbezogener Daten und der Privatsphäre im Internet bedeutet dies, dass der Bürger sich dessen sicher sein kann, durch Maßnahmen staatlicher Organe oder anderer Bürger in seinem Handeln, also der Nutzung des Internets, unverhältnismäßig kontrolliert und beschränkt zu werden. Darüber hinaus muss dieser auch vor ungewollten Folgen des eigenen Handelns sicher sein können.373 Um diese Sicherheit zu schaffen, sind Bürger wie staatliche Organe in ihrem Handeln dazu verpflichtet, das Recht, die Gesetzlichkeit auf der Grundlage der Sittlichkeit und damit die allgemeinen Gesetze zu wahren, um die individuelle und allgemeine Freiheit zu ermöglichen. Die Gewährleistung von Sicherheit für den Bürger erhält im Zu370 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 19; ders., Res publica res populi, S. 115, 232 ff., 495 ff. 371 I. Kant, Grundlegung zur Metaphysik der Sitten, S. 51, 70 f.; ders., Kritik der praktischen Vernunft, S. 140; K. A. Schachtschneider, Res publica res populi, S. 31, 138 f., 273 ff., 277 ff.; ders., Sittlichkeit und Moralität, S. 26; ders., Prinzipien des Rechtsstaates, S. 32 f.; ders., Freiheit in der Republik, S. 95 ff.; ders., Das Sittengesetz und die guten Sitten, S. 90 ff. 372 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 129; ders., Freiheit in der Republik, S. 101, 254, 353; ders., Der Rechtsbegriff „Stand von Wissenschaft und Technik“, im Atom- und Immissionsschutzrecht (1988), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, S. 123 ff.; vgl. dazu auch V. Götz, Innere Sicherheit, HStR, Bd. III, 1988, § 79, Rdn. 1 ff., 7 ff.; zur Verwirklichung der republikanischen Gesetzlichkeit vgl. T. Hobbes, Leviathan, II, 17, S. 151 ff.; zum Staatszweck der Sicherheit vgl. J. Isensee, Das Grundrecht auf Sicherheit, S. 3 ff.; G. Robbers, Sicherheit als Menschenrecht, 1987; K. A. Schachtschneider, Res publica res populi, S. 545 ff., 553. 373 Zum Zusammenhang von Freiheit und Sicherheit vgl. J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, S. 25 f.; K. A. Schachtschneider, Freiheit in der Republik, S. 101 ff., 254, 373, 545; ders., Der Rechtsbegriff „Stand von Wissenschaft und Technik“, S. 123 ff., 136 ff., 162; weiterführend auch E. Denninger, Verfassungstreue und Schutz der Verfassung, in: VVDStRL 37, 1979, S. 27 ff.; A. Arndt, Der Rechtsstaat und sein polizeilicher Verfassungsschutz, NJW 1961, 898 f.

A. Begriffliche Einordnung – Freiheit und Sicherheit

343

sammenhang mit dem personenbezogenen Datenverkehr Internet damit den status positivus libertatis.374 Der Schutz des Bürgers vor dem Übergriff Dritter gewährt dem Bürger ein Recht auf Sicherheit. Diese wird ihm als Schutz seiner Grundrechte und seiner Persönlichkeit durch Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 2 GG, sowie als Schutz seines Lebens und seiner körperlichen Unversehrtheit durch Art. 2 Abs. 2 S. 2 in Verbindung mit Art. 104 GG garantiert. Die Sicherheit des Bürgers vor dem Missbrauch seiner persönlichen Daten bildet damit eine entscheidende Grundlage für die Verwirklichung von Freiheit innerhalb der rechtsstaatlichen Gemeinschaft. Sicherheit heißt Verwirklichung des Rechts und der Gesetze. Ein pauschaler Definitionsversuch, wonach Sicherheit einen Zustand darstellt, der weitgehend frei von Risiken der Beeinträchtigung oder durch das Fehlen von Gefahren gekennzeichnet ist, greift hier zu kurz. Für entsprechende Maßnahmen, die dazu beitragen, die Sicherheit des Einzelnen bei der Nutzung des Internets sicher zu stellen, können folgende Bereiche unterschieden werden: • Technische Sicherheit, • Rechtliche Sicherheit/Öffentliche Sicherheit, • Soziale Sicherheit. Unter technischer Sicherheit werden allgemein Maßnahmen verstanden, die technische Entwicklungen fördern um Daten, Software und Hardware vor möglicher rechtswidriger Verwendung durch Dritte zu schützen (Datensicherung). Eingeschlossen sind dabei auch organisatorische Maßnahmen, die unter den Begriff der Informationssicherheit eingeordnet werden können. Privaten Nutzern sowie Unternehmen müssen technische Mittel an die Hand gegeben werden, mit deren Hilfe die Identität Dritter, welche unbefugt auf Informationen über den betroffenen Nutzer zugreifen, im Nachgang einer Internetsitzung zweifelsfrei überprüft werden kann.375 Gleichzeitig müssen Nutzer in der Lage sein, ihre persönlichen Daten mithilfe effektiver Verschlüsselungssoftware sicher übermitteln zu können.376 Technische Sicherheit impliziert im Zusammenhang mit der Nutzung des WWW damit vor allem Vertraulichkeit, Authentizität und Verbindlichkeit beim Austausch personenbezogener Daten und Informationen.

374 J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, S. 21 f. 375 H. Bäumler, Eine sichere Informationsgesellschaft?, DuD 2001, 348. 376 J. Buchmann, Wie sicher kann Sicherheit sein?, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 45; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 91 ff. sowie F.-L. Bauer, Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie, 1995, S. 36 ff.; R. Gerling, Verschlüsselungsverfahren, DuD 1997, 197 ff.

344

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

Neben der technischen Sicherheit spielt die rechtliche Sicherheit, die eingangs im Zusammenhang mit der Verpflichtung zur Wahrung der Würde, der Freiheit und der Sittlichkeit im Rechtsstaat, angeführt wurde, eine wesentliche Rolle. Jeder einzelne Mensch hat ein ihm immanentes Recht auf Recht.377 Dieses wird verwirklicht durch die Rechtlichkeit der allgemeinen Gesetze.378 So findet die allgemeine Freiheit nur im Recht ihre Verwirklichung. Der Problematik der Kontrolle des Missbrauchs personenbezogener Daten im Internet wurde anfangs versucht durch den Erlass einer Fülle an spezialgesetzlichen Regelungen entgegenzuwirken. Zweck der Gesetze war die Verwirklichung von Rechtssicherheit, die gleichzeitig zur Verwirklichung des guten Lebens aller in allgemeiner Freiheit beiträgt.379 Übertragen auf die Regulierung des Datenverkehrs über das WWW stellt jedoch das Verlangen der Bürger nach mehr Rechtssicherheit durch den Erlass geeigneter, möglichst umfassender Regelungen sowie einer effektiveren Rechtsprechung vor allem eine Forderung dar, die Verantwortung zur Schließung der Vertrauenslücke380 der betroffenen Nutzer in das moderne Medium, maßgeblich auf staatliche Organe zu übertragen. Diese Lücke ergibt sich zum einen aus dem Bewusstsein, dass die Dezentralität und globale Präsenz des Mediums möglichem Missbrauch Tor und Tür öffnet.381 Der Nutzer erfährt durch die mögliche unbefugte Verwendung persönlicher Daten nicht nur einen Eingriff in seine Privatsphäre und sein Recht auf informationelle Selbstbestimmung, sondern darüber hinaus ein hohes Maß an Unsicherheit und fehlender Kontrollmöglichkeit. Fehlendes Vertrauen durch eine als ungenügend empfundene Rechtssicherheit wirken sich auf der Freiheit des Einzelnen und damit seiner Teilnahme am öffentlichen Leben, hier der Nutzung des WWW, hemmend aus. Wie vorangegangen erwähnt wurde zunächst versucht, diesem

377 K. A. Schachtschneider, Res publica res populi, S. 290 ff., 310 f., 325 ff., 431 ff., 497 ff., 852 f.; ders., Prinzipien des Rechtsstaates, S. 51; ders., Freiheit in der Republik, S. 40 ff.; 288 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 75 ff.; vgl. auch Ch. Enders, Die Menschenwürde in der Verfassungsordnung, S. 501 ff.; vgl. zur Lehre von der allgemeinen Gesetzlichkeit als dem Recht auf Recht grundlegend Kants Begriff von der äußeren Freiheit als Unabhängigkeit von eines anderen nötigender Willkür I. Kant, Metaphysik der Sitten, S. 345; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 208 f. 378 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 51; ders., Freiheit in der Republik, S. 44 ff., 288 ff.; ders., Res publica res populi, S. 275 ff., 290 ff., 325 ff., 410 ff., 449 ff. 379 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 7; zum Begriff der Rechtssicherheit vgl. auch ders., S. 247, 301, 361 f. 380 Vertrauen kann im Zusammenhang mit der Nutzung des WWW als Kalkulierbarkeit von Handlungsfolgen definiert werden. vgl. dazu M. Reichenbach, Geleitwort, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 3. 381 R. Grimm, Vertrauen im Internet: Wie sicher soll E-Commerce sein, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 65; zur Problematik der dezentralen Struktur vgl. F. Rötzer, Öffentlichkeit außer Kontrolle, S.30.

A. Begriffliche Einordnung – Freiheit und Sicherheit

345

Dilemma durch den Erlass einer für Private kaum nachvollziehbaren Regelungsvielfalt und -dichte entgegenzuwirken.382 Mit der Anerkennung einer verfassungsgemäßen Gewährleistung eines Rechts des Bürgers auf umfassenden Schutz personenbezogener Daten wurde durch das Grundsatzurteil des Bundesverfassungsgerichts zur Volkszählung zum einen der rechtsstaatlichen Aufgabe der Gerichte zur Rechtssicherung383 entsprochen. Andererseits jedoch wird der Einzelne nun durch umfangreiche Kontroll- und Sicherheitsmaßnahmen sowie erweiterte polizeiliche Eingriffsbefugnisse vermehrt durch die öffentlichen Stellen in seinem Recht auf informationelle Selbstbestimmung beschränkt. Mit der Anknüpfung polizeirechtlicher Befugnisse nach Maßgabe der Polizeigesetze ist die Gewährleistung der angeführten rechtlichen Sicherheit Sache aller Bürger im Rechtsstaat und damit öffentlich. Daraus ergibt sich, dass die rechtliche Sicherheit durch die Verwirklichung der öffentlichen Sicherheit384, welche dem Schutz der Allgemeinheit, also aller Bürger im Rechtsstaat eingeschlossen die Verwirklichung der objektiven Rechtsordnung385 dient, gewährleistet wird. Deutlich wird dies insbesondere in der Anwendung auf die Individualrechtsgüter, also das grundrechtlich geschützte Interesse des Bürgers auf Wahrung seines Rechts auf Würde und Freiheit der Person aus Art. 1 Abs. 1 i.V. m. Art. 2 Abs. 1 GG. Die Problematik der Vertrauenslücke, welche für staatliche Organe wie für den einzelnen Bürger eine Herausforderung darstellen, kann im wesentlichen auf die Lokalität durchsetzbarer Sicherheit und der unkontrollierbaren Globalität der Kommunikationswirkung reduziert werden.386 Neben technischer und rechtlicher Sicherheit wird das Vertrauen des Nutzers auch durch das Bedürfnis nach sozia-

382 W. Hoffmann-Riem, Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: ders. (Hrsg.), Der neue Datenschutz, 1998, S. 11; H. Bäumler, Wie geht es weiter mit dem Datenschutz?, DuD 1997, S. 446, 448; G. Spindler, Sicherheit im E-Commerce = Rechtssicherheit, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 177 ff. 383 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 245 mit Hinweis auf die grundlegende höchstrichterliche Rechtsprechung, BVerfGE 1, 184 (197 ff.); 6, 222 (232 ff.); 17, 208 (209 f.); weiter auch K. A. Schachtschneider, Res publica res populi, S. 905 ff.; K. A. Bettermann, Die rechtsprechende Gewalt, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. III, Das Handeln des Staates, 1988, § 73, Rdn. 13. 384 Zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff.; ferner F.-L. Knemeyer, Polizei- und Ordnungsrecht, Rdn. 100 ff. 385 J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, S. 23; K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 354; ders., Der Rechtsbegriff „Stand von Wissenschaft und Technik“, S. 123 ff. 386 R. Grimm, Vertrauen im Internet: Wie sicher soll E-Commerce sein, in: G. Müller/M. Reichenbach (Hrsg.), Sicherheitskonzepte für das Internet, S. 65.

346

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

ler Sicherheit387 begründet. Diese stellt insbesondere auf das Vertrauen in den Schutz innerhalb der bürgerlichen Gemeinschaft ab. Wer Vertrauen in die Gewährleistung der Grundrechte im Rechtsstaat, deren Verwirklichung durch Gewährleistung des Rechtsstaatsprinzips,388 die rechtmäßige Aufgabenerfüllung der von der Gemeinschaft der Bürger zur Vertretung ihrer Grundrechte eingesetzten staatlichen Organe sowie insbesondere in das sittliche Handeln anderer Bürger haben kann, der wird im Vertrauen auf die Existenz seiner persönlichen Freiheit von seiner Handlungsfreiheit Gebrauch machen,389 seine bürgerlichen Pflichten aus Sittlichkeit erfüllen und am öffentlichen Prozess, hier der Entwicklung des Internets und der modernen Kommunikationsmedien insgesamt, wesentlich teilhaben. Begründetes Vertrauen innerhalb der Gemeinschaft von Bürgern im Staat, als der Menge von Menschen unter Rechtsgesetzen,390 stellt somit neben der technischen und rechtlichen Sicherheit einen wesentlichen Faktor für die Vertrauenssicherung, die weitere Nutzung der Neuen Medien sowie insgesamt das Vertrauen der Bürger in die Vorteile der technischen Entwicklungen der Zukunft dar.

B. Umfang staatlicher Kontrolle im WWW Die datenschutzrechtliche Diskussion um den Schutz der Privatsphäre im WWW erschöpft sich zumeist in der Kritik der sich aus den technologischen Neuerungen ergebenden Gefährdung für den Nutzer hinsichtlich seines Grundrechts auf informationelle Selbstbestimmung, der Forderung nach der Schaffung umfassender Rechtssicherheit durch die Novellierung bestehender und den Erlass neuer Gesetze, sowie der Anwendbarkeit bestehender Befugnisse straf- und ordnungsrechtlicher Behörden zur Gefahrenabwehr und Strafverfolgung auf nationa387 J. Isensee sieht in der sozialen Sicherheit als Element des status positivus einen Gegensatz zur bürgergerichteten, physischen Sicherheit. Seinem Ansatz kann in Verbindung mit dem WWW insofern nicht entsprochen werden, als Isensee die soziale Sicherheit als ein auf Lebensrisiken, die dem sozialen Schutzbedürftigen aus Krankheit, Unfall, Alter und Arbeitslosigkeit drohen, definiert und die soziale Sicherheit damit als Element des rechtsstaatlichen Rechts auf Sicherheit ausklammert. Vgl. J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, S. 22. 388 Vgl. dazu auch BVerfGE 6, 32 (41); 17, 306 (313 f.); 19, 253 (257); 35, 382 (399 f.); 38, 52 (57 f.), 40, 65 (75); 49, 168 (180 f.); 52, 42 (54); 63, 215 (223 f.); 74, 257 (261); 91, 335 (339); ferner U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 41. 389 Zur Handlungsfreiheit in Verbindung mit Art. 2 Abs. 1 GG vgl. U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 21 f., 37 f.; 127 ff. 390 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 56; ders., Res publica res populi, S. 519 ff.; ders., Freiheit in der Republik, S. 138 f., 183; I. Kant, Metaphysik der Sitten, S. 431; C. de Montesquieu, Vom Geist der Gesetze, S. 210; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454, 461, 465.

B. Umfang staatlicher Kontrolle im WWW

347

ler und internationaler Ebene.391 Ungeklärt bleiben dabei stets die Bedingungen und Aufgaben zur Gewährleistung einer effektiven Kontrolle des Datenverkehrs für das Internet auf der Grundlage der demokratischen Legitimation, welche auf die Verwirklichung von Gleichheit, Gerechtigkeit, Rechtlichkeit und damit Rechtssicherheit fokussiert ist.392 Für die Analyse eines effektiven Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung bedarf es jedoch einer genaueren Betrachtung staatlicher Aufgaben zum Schutz dieses Grundrechts. In diesem Zusammenhang steht die Frage, ob die Verwirklichung von Freiheit und Sicherheit im Zusammenhang mit den Neuen Medien tatsächlich eine Antinomie darstellt und aus der Gewährleistung umfassender Sicherheit, wie in der datenschutzrechtlichen Diskussion oftmals propagiert, eine wesentliche Beschränkung der Freiheit und Selbstbestimmung des Nutzers resultiert.393 I. Gewährleistung von Sicherheit auf der Grundlage der Freiheit Die Gewährleistung von Sicherheit im Sinne der öffentlichen Sicherheit394 beruht auf dem staatlichen Schutzauftrag zur Sicherung der Grundrechte. Sie kann der Freiheit somit nicht entgegenstehen, sondern bildet deren rechtsstaatliche Grundlage.395 Freiheit ist nicht ein Recht, welches der Staat durch die Verfassung oder die Gesetze gewährt, sondern die Idee der menschlichen Vernunft, des Vermögens des Menschen zum Guten.396 Dies spiegelt auch das vom Bundesverfassungsgericht mit dem Volkszählungsurteil entwickelte Grundrecht auf informationelle Selbstbestimmung wider, wel391 Ausführlich zur Gefahrenabwehr und Strafverfolgung im Internet M. Germann; kritisch vor allem: F. Kübler, Medienverantwortung als Rechtsproblem, in: W. Hassemer/W. Hoffmann-Riem/J. Limbach, Grundrechte und soziale Wirklichkeit, S. 105 ff., 115; U. Sieber, Staatliche Regulierung, Strafverfolgung und Selbstregulierung: Für ein neues Bündnis zur Bekämpfung rechtswidriger Inhalte im Internet, in: M. Machill/ J. Waltermann, Verantwortung im Internet, S. 348, 356. 392 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 20 f.; ders., Res publica res populi, S. 567 f., 569, 980, 990 ff. 393 Vgl. dazu J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983, S. 1. 394 Zum Begriff der öffentlichen Sicherheit und des damit verbundenen Rechtsgüterschutzes vgl. E. Denninger, in: H. Lisken/ders., HbdPR, Kap. E, Rdn. 7; M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, S. 216 ff. 395 Zur Untrennbarkeit von Freiheit und Sicherheit vgl. auch J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983, S. 21. 396 I. Kant, Grundlegung zur Metaphysik der Sitten, 1968, S. 41 und 82 ff.; ders., Kritik der reinen Vernunft, S. 495 ff.; K. A. Schachtschneider, Freiheit in der Republik, S. 27; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 17 ff., 120 ff.

348

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

chem die obersten verfassungsrechtlichen Prinzipien der Menschenwürde aus Art. 1 Abs. 1 GG und der Freiheit der Person aus Art. 2 Abs. 1 GG zugrunde gelegt wurden. Es entfaltet seine Wirkung in eben der Gewährleistung von Sicherheit auf der Grundlage der Freiheit der Persönlichkeitsentfaltung, der Autonomie des Willens, welche die Menschenwürde ist, innerhalb der Gemeinschaft der Bürger: „Im Mittelpunkt der grundgesetzlichen Ordnung stehen Wert und Würde der Person, die in freier Selbstbestimmung als Glied einer freien Gesellschaft wirkt.“ 397

Grundlage der grundgesetzlichen Republik ist die Idee der Freiheit, welche für den Freiheitsschutz durch die Grundrechte konstituierend ist.398 Freiheit ist aber auch Autonomie des Willens, welche unabhängig von den Fähigkeiten des Menschen die Würde des Menschen, materialisiert in Art. 1 Abs. 1 GG, ist.399 Das Grundrecht auf informationelle Selbstbestimmung stellt folglich die Grundlage autonomer Lebensgestaltung in einem demokratischen Rechtsstaat dar.400 Denn die Verwirklichung des demokratischen Prinzips setzt „den informierten Staatsbürger voraus, der sich in den wichtigen Fragen des Gemeinwesens ein eigenes Urteil bildet und dadurch in den Stand gesetzt wird, an der öffentlichen und politischen Willensbildung kritisch und konstruktiv teilzuhaben.“ 401 Dem einzelnen Nutzer des WWW steht von Rechts wegen ein grundrechtlich garantierter Schutz vor Eingriffen in sein Recht auf informationelle Selbstbestimmung infolge der durch das Bundesverfassungsgericht anerkannten Unüberschaubarkeit und der Gefährdung seiner Rechtsgüter402 durch den Missbrauch seiner personenbezogenen Daten zu. Hinter der Gewährleistung dieses Schutzes steht jedoch nicht nur die Verwirklichung von Sicherheit für den einzelnen Bürger, sondern insbesondere der öffentlichen Sicherheit für die Allgemeinheit. Denn die Entscheidung für den Rechtsstaat auf der Grundlage der Freiheit aller Bürger gebietet den staatlichen Schutz der Menschen- und Bürgerrechte.403 Folg397

BVerfGE 65, 1 (41). K. A. Schachtschneider, Freiheit in der Republik, S. 29; vgl. dazu auch W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 500 ff.; J. Isensee, Staat und Verfassung, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band II, Verfassungsstaat, 3. Aufl. 2004, § 15, Rdn. 173, 195. 399 Vgl. dazu K. A. Schachtschneider, Res publica res populi, S. 275 ff., 325 ff.; ders., Freiheit in der Republik, S. 68 ff.; in diesem Sinne auch BVerfGE 5, 85 (205). 400 So auch P. Gola/C. Klug, Grundzüge des Datenschutzrechts, S. 1. 401 A. Dittman, Die elektronische Demokratie, in: Bürger fragen Journalisten e. V. (Hrsg.), Die Rolle der Medien im Gefüge des demokratischen Verfassungsstaates, 1997, S. 40; vgl. dazu auch BVerfGE 65, 1 (43). 402 BVerfGE 65, 1 (43). 403 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 23. 398

B. Umfang staatlicher Kontrolle im WWW

349

lich käme die Akzeptanz der Antinomie zwischen Freiheit und Sicherheit der Teilung zwischen Bürgern und Staat als zwei getrennten Institutionen gleich. Dies widerspricht jedoch dem liberalen Freiheitsverständnis, der Grundlage des demokratischen Gemeinwesens, wonach der Staat als die Menge an Bürgern unter Rechtsgesetzen verstanden wird.404 Auf der Grundlage der Freiheit als der Unabhängigkeit von eines anderen nötigender Willkür405 hat der Bürger ein Recht auf Recht:406 „Freiheit (Unabhängigkeit von eines anderen nötigender Willkür), sofern sie mit jedes anderem Freiheit nach einem allgemeinen Gesetz zusammen bestehen kann, ist dieses einzige, ursprüngliche, jedem Menschen, kraft seiner Menschheit, zustehende Recht.“ 407

Der von dem Missbrauch seiner Daten betroffene Nutzer des WWW erhält aus seiner Eigenschaft als Bürger im Rechtsstaat die Befugnis, von allen anderen, sei es anderen Bürgern oder staatlichen Organen als den vom Volk eingesetzten Vertretern408, innerhalb der Gemeinschaft, die allgemeine Gesetzlichkeit und Rechtlichkeit zu fordern und diese Forderung auf der Basis der Sittlichkeit durchzusetzen.409 Nur so kann das gemeinsame Leben aller in allgemeiner Freiheit im Rechtsstaat verwirklicht werden.410 Das Recht verpflichtet auf der Grundlage der Freiheit somit nicht nur den Einzelnen zu sittlichen Handlungen, sondern gebietet insbesondere, wie auch in den obersten Grundrechten der Verfassung materialisiert, durch die Gesetze des

404 I. Kant, Metaphysik der Sitten, S. 365 f., 374, 431; ders., Zum ewigen Frieden, S. 203; K. A. Schachtschneider, Res publica res populi, S. 426, 447, 551 ff., 562 f.; ders., Prinzipien des Rechtsstaates, S. 56; C. de Montesquieu, Vom Geist der Gesetze, S. 210; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454, 461, 465. 405 I. Kant, Metaphysik der Sitten, S. 345; K. A. Schachtschneider, Das Sittengesetz und die guten Sitten, in: ders., Freiheit – Recht – Staat, S. 90; ders., Prinzipien des Rechtsstaates, S. 30. 406 K. A. Schachtschneider, Freiheit in der Republik, S. 44 ff.; vgl. dazu I. Kant, Metaphysik der Sitten, S. 430 und S. 365 f., 374 ff. 407 I. Kant, Metaphysik der Sitten, S. 345; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 208 f.; vgl. dazu auch K. A. Schachtschneider, Freiheit in der Republik, S. 40 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 75 ff. 408 Vgl. dazu K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 244 ff. 409 I. Kant, Metaphysik der Sitten, S. 338 ff.; 464 sowie S. 365 f.; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454; K. A. Schachtschneider, Res publica res populi, S. 553 ff.; ders., Freiheit in der Republik, S. 45; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, 1988, S. 209 f.; W. Kersting, Wohlgeordnete Freiheit, 1984, S. 29 ff. 410 K. A. Schachtschneider, Freiheit in der Republik, S. 45, insbesondere S. 256 ff.; grundlegend dazu I. Kant, Über den Gemeinspruch, S. 146; F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, 1988, S. 208 f.

350

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

Rechts den Schutz vor eines anderen nötigender Willkür, also Sicherheit, zu gewährleisten. Dieser Grundsatz, welcher auf dem allgemeinen Sittengesetz411 beruht, liegt der Verfassung, welche sich das Volk als allgemeines Gesetz zur Verwirklichung der Freiheit für die Allgemeinheit gegeben hat, zugrunde.412 Ziel der Verfassung ist es, den Missbrauch von Macht zu verhindern und damit eine Ordnung des Gemeinwesens auf der Grundlage der Gerechtigkeit und Menschenwürde durch das Recht abzusichern.413 II. Verpflichtung und Aufgabe staatlicher Organe zum Schutz der Freiheit des Betroffenen Während es Sache der der Politik ist, das gute Leben aller in allgemeiner Freiheit zur ermöglichen, um das Prinzip des Rechts zu verwirklichen, kommt der Verwaltung die Aufgabe zu, die Gesetzlichkeit aller Handlungen im Gemeinwesen durch den Vollzug der Gesetzes zur gewährleisten. Mithin bedarf die Gewährleistung von Rechtlichkeit vor allem des Staates als Institution des Rechts, durch welchen die Wirklichkeit der Freiheit und damit der Republik als Gemeinwesen der Freiheit garantiert wird.414 So stellt J. Isensee folgerichtig fest: „Die grundrechtliche Freiheit wird entwertet, wenn sie nicht ein Fundament in der Sicherheit findet.“ 415

411 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 22; ders., Freiheit in der Republik, S. 20; ders., Res publica res populi, S. 279 ff., 332 ff., 519 ff.; ders., Das Sittengesetz und die guten Sitten, in: ders., Freiheit – Recht – Staat, S. 90 ff.; eingeschränkt dazu auch U. Di Fabio, in: T. Maunz/G. Dürig, Grundgesetz Kommentar, Art. 2 Abs. 1, Rdn. 8, 45 f., welcher jedoch unter Heranziehung der weiten Regelung des Begriffs der verfassungsmäßigen Ordnung dem Sittengesetz nur eine mittelbare Bedeutung zuerkennt und den Begriff des Sittengesetzes mit dem der guten Sitten substituiert; kritisch dazu K. A. Schachtschneider, Freiheit in der Republik, S. 258. 412 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 41, 87; ders., Res publica res populi, S. 545 ff.; ders., Die existentielle Staatlichkeit der Völker Europas, S. 81 f.; vgl. dazu auch I. Kant, Metaphysik der Sitten, S. 338 f.; zur Gewährleistung der Grundrechte im Sinne der Rechtsstaatlichkeit vgl. T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 94; zur Allgemeinheit der Freiheit K. A. Schachtschneider, Freiheit in der Republik, S. 42, 322, 378 ff.; zum Freiheitsverständnis siehe auch ders., Prinzipien des Rechtsstaates, S. 50 ff.; A. Enderlein, Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte, S. 43 ff. 413 H. Heußner, Datenverarbeitung und Grundrechtsschutz, in: H. Hohmann (Hrsg.), Freiheitssicherung und Datenschutz, 1987, S. 110. 414 K. A. Schachtschneider, Verbände, Parteien und Medien in der Republik des Grundgesetzes, in: Bürger fragen Journalisten e.V. (Hrsg.): Die Rolle der Medien im Gefüge des demokratischen Verfassungsstaates, 1997, S. 82; ders., Prinzipien des Rechtsstaates, S. 150 f.; vgl. dazu auch BVerfGE 27, 297 (307); 31, 33 (39 f.); 57, 9 (25 f.); vgl. auch J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, 1983, S. 21. 415 Ders., S. 19.

B. Umfang staatlicher Kontrolle im WWW

351

Staatliche Organe fungieren als die vom Volk eingesetzten Interessenvertreter zur Verwirklichung der Rechtlichkeit durch die Einhaltung der Gesetze.416 Sie sind damit nicht nur sich selbst, sondern zuvorderst der Allgemeinheit und aus ihrer Eigenschaft als Bürger auch aus ihrer inneren Freiheit, der Sittlichkeit heraus, der Verwirklichung des guten Lebens aller im Rechtsstaat verpflichtet. Das Recht auf informationelle Selbstbestimmung sowie die vom Bundesverfassungsgericht anerkannte Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu entscheiden417, stellt jedoch keine absolute, uneinschränkbare Herrschaft des Einzelnen über seine Daten dar. So stellt das höchste Gericht im Hinblick auf den Vorrang der Gewährleistung des Allgemeinwohls auf der Grundlage der Verwirklichung der Freiheit für die Allgemeinheit418 zu Recht weiter fest, dass der Einzelne Einschränkungen seines Rechts auf informationelle Selbstbestimmung im überwiegenden Allgemeininteresse hinnehmen muss.419 So soll das gewährte Grundrecht zur Sicherheit des Betroffenen vor der Datenerhebung und -verarbeitung ohne dessen Kenntnis beitragen und damit auch die individuelle Selbstbestimmung sichern. Die Schranke besteht jedoch dort „wo Kommunikationslosigkeit über Herrschaftsrechte an aufgeteilten und monopolisierten Daten institutionalisiert wird.“ 420 Das Recht ist zum Schutz des Einzelnen und der Allgemeinheit mit der Befugnis zu zwingen verbunden. Dies schafft Sicherheit auf der Grundlage des Rechts und der allgemeinen Freiheit.421 Somit sind Maßnahmen gegen Provider wie Löschungs- und Sperrungsverfügungen rechtmäßig im Sinne der Verwirklichung des Rechts sowie der Rechtlichkeit und Gesetzlichkeit im Rechtsstaat. Demzufolge kann eindeutig festgestellt werden, dass die Gewährleistung von Freiheit und Sicherheit im Rechtsstaat keine Antinomie darstellt. Die Verwirklichung von Sicherheit ist die Verpflichtung staatlicher Organe, in Vertretung für den Bürger, die gemeinsame Grundlage, die Freiheit, als das allgemeine Gesetz 416 Zur Stellung der eingesetzten staatlichen Organe grundlegend: K. A. Schachtschneider, Sittlichkeit und Moralität, S. 26, 29, 44 ff.; ders., Prinzipien des Rechtsstaates, S. 244 ff. 417 BVerfGE 65, 1 (43). 418 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 51 f.; ders., Res publica res populi, S. 1 ff., 35 ff., 410 ff.; ders., Freiheit in der Republik, S. 405 ff., 440 ff. 419 BVerfGE, 65, 1 (43). 420 H. Heußner, Datenverarbeitung und Grundrechtsschutz, in: H. Hohmann (Hrsg.), Freiheitssicherung und Datenschutz, 1987, S. 118. 421 Vgl. zur Verpflichtung des Staates Schutz zu geben und Frieden zu schaffen T. Hobbes, Leviathan, 1970/1980, I, 13, II, 17, 18, S. 112 ff., S. 151 ff., S. 156 ff.; A. Randelzhofer, Staatsgewalt und Souveränität, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. II, Verfassungsstaat, 3. Aufl. 2004, § 17, Rdn. 9, 40; V. Götz, Innere Sicherheit, HStR, Bd. III, 1988, § 79, Rdn. 1 ff., 7 ff.

352

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

der Sittlichkeit, das Sittengesetz422, in der Republik zu bewahren. Die Analyse der effektiven Kontrolle des Datenverkehrs im Internet fokussiert demnach nicht auf die Entscheidung des Schutzes von Freiheit oder Sicherheit, sondern vielmehr auf die Verhältnismäßigkeit der Maßnahmen staatlicher Organe im Rahmen der Gefahrenabwehr und Strafverfolgung im Internet zur Verwirklichung der Gesetzlichkeit und des Rechts. III. Verhältnismäßigkeit staatlicher Kontrolle des Datenverkehrs über das WWW Ziel des Datenschutzes ist es, auf der Grundlage der Achtung der Menschenwürde und der Freiheit der Person eine Balance zwischen der legitimen, im öffentlichen Interesse liegenden Sammlung und Auswertung von Daten vorzunehmen sowie gleichzeitig ein dem verfassungsrechtlich geschützten Interesse des Einzelnen entsprechend verantwortungsvollen Umgang mit den personenbezogenen Daten zu gewährleisten.423 Dies bedingt nicht nur den Schutz des Betroffenen vor der unzulässigen oder unbefugten Speicherung und Verwendung von Daten, sondern auch vor der übermäßigen Kontrolle des Datenverkehrs im WWW seitens staatlicher Organe. Demnach ist die Frage nach dem rechten Maß an Kontrolle des Internets zum Schutz des Betroffenen vor Eingriffen in sein Grundrecht auf informationelle Selbstbestimmung von erheblicher Bedeutung. Mit der Durchführung von Maßnahmen zur Gefahrenabwehr und Strafverfolgung im Internet obliegt staatlichen Organen die Aufgabe, die Rechtsgüter des Betroffenen vor den Gefahrenverursachern im WWW, also Providern sowie unbefugten Dritten, zu schützen. Rechtsprechung und vollziehende Gewalt verwirklichen mit der Durchsetzung der Gesetze, auch mittels Zwang, den allgemeinen Willen des Volkes und also die Freiheit für die Allgemeinheit auf der Grundlage der Sittlichkeit.424

422 K. A. Schachtschneider, Sittlichkeit und Moralität, S. 26; vgl. dazu grundlegend I. Kant, Kritik der reinen Vernunft, S. 701; ders., Kritik der praktischen Vernunft, S. 115, 140; ders., Grundlegung zur Metaphysik der Sitten, S. 25, 51, 61; ders., Metaphysik der Sitten, S. 586 ff.; vgl. dazu auch Rechtsprechung des Bundesverfassungsgerichts, BVerfGE 9, 89 (95); insbesondere 27, 1 (6) sowie 45, 187 (228). 423 H. Hohmann, Einleitung, in: ders. (Hrsg.), Freiheitssicherung und Datenschutz, 1987, S. 7. 424 I. Kant, Metaphysik der Sitten, S. 338 ff., 464 sowie S. 365 f., 527; W. Maihofer, Prinzipien freiheitlicher Demokratie, HVerfR, § 12, S. 454; K. A. Schachtschneider, Res publica res populi, S. 553 ff.; zur Zwangsgewalt des Staates auf der Grundlage von Freiheit, Sittlichkeit und Recht vgl. K. A. Schachtschneider, Freiheit in der Republik, S. 102 ff.; vgl. weiterführend dazu auch F. Kaulbach, Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, S. 209 f.; W. Kersting, Wohlgeordnete Freiheit, 1984, S. 29 ff.; in diesem Sinne auch J. Locke, Über die Regierung. The second Treatise of Government, 1974/1983, XI, 134 ff., S. 101 ff.

B. Umfang staatlicher Kontrolle im WWW

353

Die Gesetzgebung fungiert als Vertretung des Volkes425 und trägt für die Umsetzung des Rechtsschutzprinzips426 Sorge. Die Wahrung des Rechts trägt dabei zur Verwirklichung der Gesetzlichkeit und der Freiheit aller bei. Dabei verbietet der Rechtsgedanke und mit ihm die Umsetzung in den Gesetzen auf der Grundlage des Sittengesetzes aus der Menschheit des Menschen heraus, jegliche Herrschaft des einen über den anderen. Die Republik ist keine Form der Herrschaft, sondern die Form der Freiheit, des Moralischen und Sittlichen.427 Mithin ist die von M. Germann vertretene Ansicht der Übermacht des Leviathan in Form eines staatlichen Gewaltmonopols, welche der „Hydra“ Internet als unüberschaubarem Netzwerk durch effektive Kontrollmaßnahmen gegenübertritt, abzulehnen.428 Ein Übermaß an rechtlichem Zwang stellt dem Grundsatz nach jedoch eine Gefährdung für die Verwirklichung der Selbstverantwortung des Einzelnen sowie der Freiheit für die Allgemeinheit dar.429 So erfährt der Umfang der Kontrolle seitens staatlicher Stellen dort seine Beschränkung, wo ein Eingriff in den verfassungsrechtlich materialisierten status positivus libertatis430 des Bürgers erfolgt. Die verfassungsmäßigen Grenzen des Grundrechts auf informationelle Selbstbestimmung auf der Grundlage der Achtung der Menschenwürde sowie dem Schutz der Persönlichkeit wirken so den Möglichkeiten einer Verletzung der Freiheit und der Menschenwürde als dem Grundprinzip der Menschenrechte infolge einer übermäßigen Kontrolle des Datenverkehrs im Internet entgegen. So kann zur Ableitung des Umfangs der Befugnisse staatlicher Vertreter im Rahmen der Gefahrenabwehr und Strafverfolgung im Internet auch der kategorische Imperativ Kants als allgemeine Handlungsmaxime zugrunde gelegt werden: „Handle nur nach derjenigen Maxime, durch die du zugleich wollen kannst, dass sie ein allgemeines Gesetz wäre.“ 431 425

Vgl. dazu K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 244 ff. Ders., S. 118 ff., 141. 427 K. A. Schachtschneider, Freiheit in der Republik, S. 199, 201 ff.; vgl. dazu auch I. Kant, Metaphysik der Sitten, S. 345; K. R. Popper, Bemerkungen zu Theorie und Praxis des demokratischen Staates, 1988, S. 10 ff. 428 Vgl. dazu M. Germann, Gefahrenabwehr und Strafverfolgung im Internet, 2000, S. 689; ablehnend zur These des staatlichen Gewaltmonopols auch K. A. Schachtschneider, Freiheit in der Republik, S. 102; ders., Grundgesetzliche Aspekte der freiberuflichen Selbstverwaltung, Die Verwaltung, 31 (1998), S. 148 ff., 151 ff.; ders., Der Anspruch auf materiale Privatisierung. Exemplifiziert am Beispiel des kommunalen Vermessungswesens in Bayern, S. 265 ff. 429 E. Weede, Mensch, Markt und Staat – Plädoyer für eine Wirtschaftsordnung für unvollkommene Menschen, 2003, S. 57. 430 Zur Sicherheit als status positivus libertatis vgl. J. Isensee, Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, S. 21. 431 I. Kant, Grundlegung zur Metaphysik der Sitten, S. 51; ders., Kritik der praktischen Vernunft, S. 140; weiterführend K. A. Schachtschneider, Res publica res populi, S. 31, 138 f., 273 ff., 277 ff. 426

354

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

Maßnahmen der Gefahrenabwehr und Strafverfolgung müssen demnach geeignet, erforderlich sowie verhältnismäßig im engeren Sinne sein.432 Eine exemplarische Untersuchung der Verhältnismäßigkeit von Maßnahmen staatlicher Stellen erfolgte bereits im Rahmen der Diskussion der Durchführung von Löschungsund Sperrungsverfügungen gegen Provider. Öffentlich-rechtliche Maßnahmen der Gefahrenabwehr oder Strafverfolgung gegen Störer im Internet haben in der Regel rechtseinschränkenden Charakter. Um die Gewährleistung der öffentlichen Sicherheit unter Maßgabe des Prinzips der Freiheit für die Allgemeinheit zu verwirklichen, müssen Eingriffe seitens staatlicher Stellen unter Berücksichtigung des Übermaßverbots sowohl mit den Grundrechten des Störers als auch des betroffenen Nutzers vereinbar sein.433 Staatliche Kontrollmaßnahmen, insbesondere im Rahmen der Gefahrenabwehr, sind beispielsweise durch verdeckte Datenerhebungen oder Datensammlungen auf Vorrat mit erheblichen Eingriffen in das Recht auf informationelle Selbstbestimmung sowohl für den betroffenen Nutzer als auch der in die Ermittlungen einbezogenen Provider verbunden. Das Prinzip der Freiheit gebietet zwar öffentlichen Stellen auch durch Zwang die Gesetze zu vollziehen und damit das Recht sowie die Sicherheit für die Allgemeinheit zu verwirklichen. Allerdings stellt das Verhältnismäßigkeitsprinzip als Ausfluss des Rechtsstaatsprinzips zu Recht eine Beschränkung der Eingriffsbefugnisse auf Basis der verfassungsmäßigen Grundrechte des Einzelnen dar und sichert somit den allgemeinen Freiheitsanspruch des Bürgers in der Republik. Die vollziehende Gewalt ist zu einer Einschränkung dieses Anspruchs und gemäß dem Grundrecht der informationellen Selbstbestimmung des Einzelnen nur kraft eines Gesetzes oder insoweit befugt, als es zum Schutz der öffentlichen Si-

432 U. Di Fabio, in: T. Maunz/G. Dürig, Grundgesetz Kommentar, Art. 2 Abs. 1, Rdn. 41; zum Verhältnismäßigkeitsgrundsatz ferner K. A. Schachtschneider, Freiheit in der Republik, S. 217, 422 mit Verweis auf die Rechtsprechung des Bundesverfassungsgerichts BVerfGE 30, 47 (53 f.); soweit auch BVerwGE 84, 375 (381); in diesem Sinne auch BVerfGE 22, 180 (219 f.); 34, 330 (353); 58, 300 (348); 88, 367 (373); A. Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EU-Rechtsetzung, S. 143 ff., 328 f., 350 ff.; T. Maunz/R. Zippelius, Deutsches Staatsrecht, S. 98 f. 433 C. Volkmann, Der Störer im Internet, 2005, S. 227 f.; F.-L. Knemeyer, Polizeiund Ordnungsrecht, Rdn. 285, zum Grundsatz der geringsten Beeinträchtigung (Erforderlichkeit) nach dem Polizeirecht Rdn. 290 ff., zum Übermaßverbot ferner K. A. Schachtschneider, Freiheit in der Republik, S. 386; A. Emmerich-Fritsche, Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EU-Rechtsetzung, S. 247; U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 41; E. Grabitz, Der Grundsatz der Verhältnismäßigkeit in der Rechtsprechung des Bundesverfassungsgerichts, AöR 1973, 568 ff.; in diesem Sinne auch BVerfGE 30, 336 (348); kritisch zur Lehre der materialen Handlungsfreiheit auf der Grundlage von Schranken und Eingriffen P. Häberle, Die Wesensgehaltsgarantie des Art. 19 Abs. 2 Grundgesetz, S. 126 ff., 134 ff., insbesondere S. 150 ff., auch S. 154 ff.

B. Umfang staatlicher Kontrolle im WWW

355

cherheit, der Freiheit für die Allgemeinheit im Rechtsstaat erforderlich ist.434 Dabei ist der Ansatz der Schutzpflicht435 auf der Grundlage der Gewährleistung einer allgemeinen Handlungsfreiheit kritisch zu sehen und abzulehnen, weil diese ein herrschaftliches Staatsdenken verbunden mit der Befugnis des Gebens und Nehmens von materialer Handlungsfreiheit impliziert.436 Vielmehr resultiert die Einschränkung der präventiven und repressiven Kontrolle des Datenverkehrs im WWW aus dem gemeinsamen Prinzip des Volkes, der Verwirklichung von Freiheit auf der Grundlage der Staatlichkeit und Gesetzlichkeit unter Wahrung der Sittlichkeit, welche zur Gewährleistung von Sicherheit verpflichtet. IV. Umfang der Verantwortung staatlicher Stellen, der Provider und Selbstverantwortung der Nutzer Im Rahmen der effektiven Kontrolle zur Gewährleistung von Sicherheit und Freiheit im WWW spielt jedoch nicht nur die Frage nach dem Verhältnis und Umfang der Verpflichtung staatlicher Stellen eine Rolle, sondern auch die seitens der Provider, also der privaten Bürger, welche als nicht-öffentliche Stellen maßgeblich an der Datenerhebung über das WWW sowie der anschließenden Verarbeitung beteiligt sind. So liegt die Verantwortlichkeit für den Missbrauch von personenbezogenen Daten und damit die Gefährdung des Rechts auf informationelle Selbstbestimmung des Nutzers primär bei dem verursachenden Provider oder unbefugten Dritten, denn „Wer eine Gefahrenquelle eröffnet oder beherrscht, ist verpflichtet, die notwendigen Vorkehrungen zum Schutz Dritter zu schaffen.“ 437

434 Vgl. dazu BVerfGE 19, 342 (348 f.); zur Verhältnismäßigkeit von Eingriffen unter Rückgriff auf die allgemeine Handlungsfreiheit U. Di Fabio, in: T. Maunz/G. Dürig, GG, Art. 2 Abs. 1, Rdn. 41; zur Befugnis der Datenerhebung durch polizeiliche Behörden aufgrund eines Gesetzes auch P. Gola/C. Klug, Kommentierung des § 13 BDSG, in: ders. (Hrsg.), BDSG – Bundesdatenschutzgesetz Kommentar, 9. Aufl. 2007, Rdn. 2; B. Sokol, Kommentierung des § 13 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Aufl. 2003, Rdn. 39. 435 M. Herdegen, in: T. Maunz/G. Dürig (Hrsg.), GG, Rdn. 2, 25, insbesondere 71 ff.; C. Starck, in: H. v. Mangoldt/T. Klein/ders. (Hrsg.), GG, Art. 1 Abs. 1, Rdn. 37 f., 39. 436 Vgl. dazu kritisch K. A. Schachtschneider, Freiheit in der Republik, S. 237, 377 mit Verweis auf die grundlegende höchstrichterliche Rechsprechung zur Lehre von der materialen allgemeinen Handlungsfreiheit auf der Basis von Schranken und Eingriffen, so BVerfGE 6, 32 (36 f.), gemäß der ständigen Rechtsprechung auch BVerfGE 54, 145 (146); 55, 159 (165 ff.); 59, 275 (278); 74, 129 (151 f.); 80, 137 (152 f.); 89, 214 (231); 95, 267 (303). 437 Dies wurde bereits im Rahmen der Verantwortlichkeit der Provider sowie der öffentlich-rechtlichen Störerhaftung ausführlich dargestellt. Vgl. dazu auch H. Heinrichs, Kommentierung des § 823 BGB, in: O. Palandt (Hrsg.), Bürgerliches Gesetzbuch, 61. Aufl. 2002, Rdn. 210 ff.

356

3. Teil, 3. Kap.: Gewährleistung von Freiheit und Sicherheit

Aufgabe der staatlichen Organe ist es mithin, die Gewährleistung der öffentlichen Sicherheit durch den Erlass geeigneter Gesetze sowie deren Durchsetzung mittels geeigneter präventiver sowie repressiver Maßnahmen. Die Schranke der Kontrollbefugnis liegt demzufolge dort, wo die allgemeinen Gesetze, die Menschenrechte gefährdet oder verletzt werden und wirtschaftliche oder politische Interessen, also die Fremdbestimmung Vorrang vor der (informationellen) Selbstbestimmung des Bürgers erhalten. Ein effektiver Schutz der Privatsphäre und des Rechts auf informationelle Selbstbestimmung wird jedoch nicht durch eine vollständige Kontrolle des Datenverkehrs im Internet durch staatliche Maßnahmen erreicht. Vielmehr fällt den mit der Staatsgewalt ausgestatteten Organen als der Vertretung des Volkes438 die primär die Verpflichtung zur Überwachung derjenigen Rechtsgüter zu, die durch den Missbrauch personenbezogener Daten des WWW-Nutzers geschützt werden müssen, um den Prozess der freien Willensbildung für den Bürger als Grundrechtsträger sowie der Allgemeinheit zu garantieren. Diesbezüglich sind von Providern, aber auch vom Betroffenen selbst Einschränkungen ihrer Grundrechte im überwiegenden Allgemeininteresse hinzunehmen.439 Das Recht auf Recht440, also die Freiheit und Menschenwürde, bedingt, dass die grundlegende Regulierung für das Internet in erster Linie in der Hand der staatlichen Organe liegen muss, um den allgemeinen Willen, die Gesetzlichkeit und das demokratische Prinzip441 auf der Basis der Freiheit für die Allgemeinheit442 zu gewährleisten. Allerdings gilt es hinsichtlich der Effektivität des Schutzes der Privatsphäre zu bedenken, dass sich der Betroffene mit der Nutzung des WWW auch regelmäßig selbst in den Wirkungsbereich des Mediums begibt und dadurch auch entsprechenden Gefährdungen für seine Grundrechte infolge der Verarbeitung der durch ihn übermittelten personenbezogenen Daten aussetzt. Für einen bestmöglichen, umfassenden Schutz und Sicherheit ist somit neben der Verantwortung der Provider auch der Bürger selbst aus seiner Sittlichkeit, seiner individuellen Freiheit 438 K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 244 ff.; zur Verwirklichung der Grundrechte durch die Sittlichkeit der Vertreter des Volkes vgl. ders., Freiheit in der Republik, S. 431. 439 BVerfGE, 65, 1 (44). 440 K. A. Schachtschneider, Res publica res populi, S. 290 ff., 310 f., 325 ff., 431 ff., 497 ff., 852 f.; vgl. dazu auch ders., Freiheit in der Republik, S. 40 ff. 441 Ders., Prinzipien des Rechtsstaates, S. 16 f.; vgl. dazu grundlegend BVerfGE 83, 60 (71); 89, 155 (189 f.); ferner K. Stern, Das Staatsrecht der Bundesrepublik Deutschland, Bd. I, 2. Aufl. 1984, S. 592 ff., 604 ff.; ders., Das Staatsrecht der Bundesrepublik Deutschland, Bd. II, Staatsorgane, Staatsfunktionen, Finanz- und Haushaltsverfassung, Notstandsverfassung, 1. Aufl. 1980, S. 20 ff. 442 Vgl. dazu K. A. Schachtschneider, Prinzipien des Rechtsstaates, S. 51 f.; ders., Res publica res populi, S. 1 ff., 35 ff., 410 ff.; ders., Freiheit in der Republik, S. 405 ff.; 440 ff.

B. Umfang staatlicher Kontrolle im WWW

357

und seiner Eigenschaft als Bürger im Rechtsstaat dazu verpflichtet durch sein Verhalten zur Gewährleistung der erstrebten Sicherheit auf der Grundlage des guten Lebens aller in allgemeiner Freiheit maßgeblich beizutragen. Effektive Kontrolle des Datenverkehrs im WWW zur Verwirklichung von Freiheit und gleichermaßen Sicherheit im Rechtsstaat bedeutet also, dass staatliche Organe als regulative Garanten fungieren, die ein sittliches Maß an Selbstregulierung durch den Betroffenen einerseits sowie den Schutz des Einzelnen vor dem Kontrollverlust über die Verwendung seiner persönlichen Daten aufgrund der Machtstellung wirtschaftlicher Institutionen auf der Grundlage der Wahrung des Grundrechts auf informationelle Selbstbestimmung zum Ziel hat.443

Viertes Kapitel

Zusammenfassung und Ausblick Die fortwährende Diskussion um den Schutz der Privatsphäre angesichts der Möglichkeiten der elektronischen Datenübermittlung und -verarbeitung über das Internet trägt in hohem Maße zu einer allgemeinen Verunsicherung der privaten Nutzer des WWW bei. Diese sehen sich den Möglichkeiten sowie Vorteilen der Nutzung der modernen Medien einerseits und dem damit einhergehenden wachsenden Kontrollverlust über die weitere Verwendung ihrer personenbezogenen Daten von staatlicher Seite zunehmend schutzlos ausgesetzt. Folgt man der regelmäßigen Berichterstattung zahlreicher Fälle des unbemerkten Ausspähens sowie der missbräuchlichen Verwendung von Zugangs-, Adress- oder Kontodaten, so wird von den Medien ebenso unbemerkt eine Spaltung des Volkes in zwei Gruppen vollzogen. So kann der Einzelne wählen, ob er gleichsam als gläserner Bürger vollends katalogisiert und registriert werden will oder zum Schutz seiner Privatsphäre auf die Nutzung der modernen Medien weitgehend verzichtet. Diese mediengesteuerte, fallbezogen einseitige Beeinflussung des Bürgers erfolgt jenseits jeder Berücksichtigung seiner Sittlichkeit, Mündigkeit und der Existenz der verfassungsrechtlich garantierten Grundrechte, sowie der Verpflichtung der staatlichen Organe als der vom Volk eingesetzten Interessenvertreter, zum Schutz dieser Gesetze, welche sich die bürgerliche Gemeinschaft als gemeinsame Grundlage zur Sicherung der Freiheit für die Allgemeinheit in der Republik gegeben hat. Das Volkszählungsurteil des Bundesverfassungsgerichts stellt nicht nur hinsichtlich der Regelung der Umstände der elektronischen Datenverarbeitung einen 443 W. Hoffmann-Riem, Aufgaben zukünftiger Medienregulierung in: Chancen, Risiken und Regelungsbedarf im Übergang zum Multi-Media-Zeitalter, 1995, S. 19; M. Knothe, Neues Recht für Multi-Media-Dienste – Die Ländersicht, AfP 1997, 497.

358

3. Teil, 4. Kap.: Zusammenfassung und Ausblick

Meilenstein in der höchstrichterlichen Rechtsprechung dar. Mit der Ableitung des Grundrechts auf informationelle Selbstbestimmung erfolgte insbesondere die Anerkennung und Bekräftigung der verfassungsrechtlich verankerten und schutzwürdigen Grundrechte, der Würde und Freiheit der Person, welche das höchste Gericht unter der Maßgabe der modernen Verarbeitung personenbezogener Daten als gefährdet anerkannt hat. Auf dieser Grundlage wurde nicht nur das Grundrecht auf informationelle Selbstbestimmung entwickelt, sondern auch der Erlass geeigneter einfachgesetzlicher Grundlagen gefordert. Mit der Umsetzung im Bundesdatenschutzgesetz, Telemediengesetzes, Telekommunikationsgesetz sowie dem Rundfunkstaatsvertrag hat der Staat auf nationaler Ebene für die Bundesrepublik Deutschland einen umfassenden rechtlichen Rahmen zur Gewährleistung des Schutzes der Privatsphäre für den einzelnen Nutzer des WWW geschaffen, welcher auch unter den Bedingungen des sich stetig vollziehenden technischen Fortschritts ein ausreichendes Maß an Rechtssicherheit für staatliche Organe der Judikative und Exekutive einerseits sowie den Bürger als von der Datenverarbeitung Betroffenem andererseits bietet. Probleme resultieren weniger aus einer mangelnden Quantität an rechtlichen Grundlagen, sondern insofern, als die zur Gewährleistung des Rechts auf informationelle Selbstbestimmung im Bundesdatenschutzgesetz materialisierten Rechte des Betroffenen in der Praxis von diesem nur unzureichend anwendbar sind. So ist die Verarbeitung personenbezogener Daten zwar nur in Verbindung mit dem Einholen einer vorherigen Einwilligung sowie Information des Betroffenen über den Zweck und Umfang der Verarbeitung zulässig. Jedoch ist es dem einzelnen Nutzer in der Praxis nicht möglich, die weitergehende Verwendung seiner an den Provider übermittelten persönlichen Daten abschließend zu kontrollieren. Insbesondere sind solche Fälle relevant, in denen der Betroffene zwangsweise eine Einwilligung oder über den mit der in Anspruch genommenen Leistung verbundenen Zweck hinaus abgeben muss, um das Angebot des Providers im WWW nutzen zu können. Eine Gefährdung der Schutzgüter des Nutzers ergibt sich insgesamt nicht allein aus den vorhandenen Möglichkeiten der unzulässigen, unrichtigen oder unbefugten Erhebung und Speicherung personenbezogener Daten, sondern vielmehr aus der Aggregierung dieser zur Ableitung von Zielgruppen-, Nutzer- oder Persönlichkeitsprofilen. Auch hier hat der Gesetzgeber jedoch die Voraussetzungen zur Zulässigkeit der Erstellung von Profilen zur werblichen Ansprache von Kunden für alle Arten von Providern umfassend in den Vorschriften des Bundesdatenschutzgesetzes, Telemediengesetzes und Telekommunikationsgesetzes materialisiert. Trotz der ausreichenden Rechtsschutzes durch die nationalen Gesetze zum Datenschutz stellt die effektive Kontrolle des Mediums Internet durch präventive sowie repressive Maßnahmen seitens ordnungs- und strafrechtlicher Behörden eine stete Herausforderung dar. So ergibt sich die Rechtsunsicherheit über die

3. Teil, 4. Kap.: Zusammenfassung und Ausblick

359

Anwendbarkeit nationaler deutscher strafrechtlicher Vorschriften zur Strafverfolgung im internationalen Rahmen aus der bis heute fehlenden Harmonisierung national unterschiedlicher Rechtsvorschriften aufgrund unzureichender Bestrebungen zum Erlass internationaler gültiger Konventionen. Auch das Territorialitätsprinzip stellt hinsichtlich der effektiven Verfolgung von Delikten in einem weltweit verfügbaren Datennetzwerk keine zufriedenstellende Lösung zum Schutz der Privatsphäre des Betroffenen dar. Aus diesem Grund existieren in jüngerer Zeit vermehrt Bestrebungen die Befugnisse öffentlicher Stellen dahingehend zu erweitern, bereits im Vorfeld einer Straftat durch umfassende Maßnahmen der Gefahrenabwehr tätig werden zu können. Diese präventiven sowie prä-präventiven Tätigkeiten wie der Vorratsdatenspeicherung oder verdeckten elektronischen Durchsuchung kollidieren jedoch unter der Maßgabe der Gewährleistung der öffentlichen Sicherheit und/oder Ordnung regelmäßig mit dem Eingriff in die Grundrechte des Betroffenen. Der Schutzauftrag staatlicher Organe dient jedoch primär der Sicherung der Grundrechte für den einzelnen Bürger sowie dem Volk als dessen Gemeinschaft. Zu fordern ist hier anstelle einer Verwässerung verfassungsrechtlicher Prinzipien die konsequente Einhaltung des Verhältnismäßigkeitsprinzips als Grundlage der rechtsstaatlichen Ordnung und des guten Lebens aller in allgemeiner Freiheit. Dabei stellt die Verwirklichung von Sicherheit und Freiheit keinen Antagonismus dar. So wird die allgemeine Freiheit durch die Kontrolle der Einhaltung der Gesetze auf der Grundlage des Rechts gewährleistet. Sicherheit für den einzelnen und schließlich für die Allgemeinheit entsteht nur dort, wo der einzelne Bürger mit seiner Freiheit und Sittlichkeit die gemeinsam gegebenen Gesetze achtet. Dies betrifft die Gesamtheit der Bürger im Rechtsstaat und damit nicht nur den einzelnen Nutzer, sondern auch die Provider sowie die staatlichen Würdenträger. Damit lässt sich konstatieren, dass ein effektiver Schutz der Privatsphäre nicht nur in der Verantwortung staatlicher Organe liegt, weil eine abschließende Kontrolle des Mediums unweigerlich mit Zugangsbeschränkung zum WWW für den Betroffenen oder umfangreichen Sperrungs- und Löschungsverfügungen gegenüber Providern verbunden wäre, woraus erhebliche Eingriffe in das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V. m. Art. 1 Abs. 2 GG sowie der Informationsfreiheit aus Art. 5 Abs. 1 GG resultieren würden. Vielmehr stellt die staatliche Kontrolle des Mediums nur eine Säule zur Verwirklichung eines effektiven Schutzes der Privatsphäre und des Rechts auf informationelle Selbstbestimmung dar. Will der einzelne Nutzer als Bürger im Rechtsstaat von seinem Recht Gebrauch machen, am öffentlichen Leben weitgehend unbeschränkt partizipieren zu können, so erwächst ihm auch die Verpflichtung seinen Beitrag als mündiger Bürger zur Verwirklichung der Sicherheit für die Allgemeinheit und damit auch für sich selbst zu leisten. Die hierfür in Frage kommenden Möglichkeiten der

360

3. Teil, 4. Kap.: Zusammenfassung und Ausblick

Selbstschutzmaßnahmen reichen von der reinen technischen Sicherung von Daten auf dem eigenen Rechner durch die Installation von Firewalls und regelmäßige Softwareupdates bis zum verantwortungsvollen Umgang mit den eigenen personenbezogenen Daten. So obliegt es dem Nutzer des WWW stets selbst, wie weit er auf die rechtmäßige Verwendung seiner Daten vertraut und in welchem Umfang er Daten von sich preisgibt. Auch steht es ihm noch in vielerlei Hinsicht frei, Einkäufe oder Behördengänge auf konventionellem Wege persönlich zu tätigen. Hinzu kommt neben der Selbstverantwortung des Nutzers die Verantwortlichkeit der Provider, welche als Anbieter im WWW in ihrer unternehmerischen Eigenschaft als Bürger im Rechtsstaat ebenso den allgemeinen Gesetzen verpflichtet sind. So ist eine abschließende Gesetzgebung zur Regelung jeglicher Sachverhalte zur Datenverarbeitung für Diensteanbieter im Internet nicht notwendig, sofern diese ihrem Handeln den kategorischen Imperativ als das Sittengesetz auf der Grundlage ihrer inneren Würde zugrunde legen: „Handle nur nach derjenigen Maxime, durch die du zugleich wollen kannst, dass sie ein allgemeines Gesetz wäre.“

Diesem Grundprinzip des Handelns kommt angesichts des stetigen technischen Fortschritts eine besondere Bedeutung zu, weil der betroffene Nutzer auch in Zukunft die exponentiell ansteigende Menge an Daten, welche über das Medium Internet oder weitere mobile Endgeräte ausgetauscht, gespeichert und weiter verarbeitet werden kann, immer weniger überschauen kann. So bleibt die Feststellung des Bundesverfassungsgerichts aus dem Jahr 1983 zur Schutzbedürftigkeit des einzelnen Nutzers im Rahmen der modernen Datenverarbeitung auch heute, mehr als ein viertel Jahrhundert später sowie wohl auch zukünftig richtungweisend. Insbesondere ist zu erwarten, dass die Gefährdung für die Privatsphäre und des Rechts auf informationelle Selbstbestimmung mit der Weiterentwicklung des Internets unter dem Schlagwort „Web 2.0“ sowie „Cloud Computing“ eine neue Dimension erfährt. Gegenüber der bisherigen Variante des globalen Netzwerks geht insbesondere mit dem Web 2.0 eine wesentlich veränderte Nutzung des Internets einher, bei der die Benutzer Inhalte in quantitativ und qualitativ entscheidendem Maße selbst, unterstützt von Wikis, Blogs und Mikroblogs, Foto- und Videoportalen, erstellen, bearbeiten und verteilen. Damit erfolgt eine Abkehr von den bisher zentralisiert erstellten Inhalten, hin zu einer global vernetzten Kollaboration einer Vielzahl von Nutzern. Als Lösungsansatz zur Verwirklichung von Freiheit und Sicherheit für die Nutzung des WWW erscheint die Zielsetzung einer abschließenden Kontrolle der neuen Medien anhand einer hohen Anzahl rechtlicher Regelungen nicht zielführend. Aus dieser einzelfallorientierten Sichtweise resultiert lediglich ein höheres Maß an Rechtsunsicherheit hinsichtlich der Anwendbarkeit und Auslegung der

3. Teil, 4. Kap.: Zusammenfassung und Ausblick

361

bestehenden Gesetze. Vielmehr muss der Fokus auf der Verpflichtung aller Bürger liegen, zum Erhalt der gemeinsam gegebenen Gesetze, der Verfassung des Volkes einen Beitrag zu leisten. Dies kann nur unter Rückbesinnung auf die menschlichen Grundwerte, der Würde, Vernunft und Sittlichkeit, wie Karl Popper es formuliert, erfolgen: „Wenn wir Menschen bleiben wollen, dann gibt es nur einen Weg (. . .) Wir müssen ins Unbekannte, ins Ungewisse, ins Unsichere weiterschreiten und die Vernunft, die uns gegeben ist, verwenden, um, so gut wir es eben können, für beides zu planen: nicht nur für Sicherheit, sondern zugleich auch für Freiheit.

Literaturverzeichnis Ahlers, Henrik: Grenzbereich zwischen Gefahrenabwehr und Strafverfolgung, Frankfurt am Main/Berlin/Bern/New York/Paris/Wien, 1998. Ahlert, Christian: Ohne Access kein Success: Hat die weltweite Onlinewahl ICANN demokratisiert?, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 127 ff. Arendt, Hannah: Vita Activa oder Vom tätigen Leben, 5. Auflage, München 1986. Arndt, Hans-Wolfgang/Köhler, Markus: Elektronischer Handel nach der E-CommerceRichtlinie, EWS 2001, S. 102 ff. Aulehner, Josef: Polizeiliche Gefahren- und Informationsvorsorge, Berlin 1989. Bachmann, Birgit: Internet und IPR, in: M. Lehmann (Hrsg.), Internet- und Multimediarecht (Cyberlaw), Stuttgart 1997, S. 169 ff. Balke, Barbara/Müller, Andreas: Arbeitsrechtliche Aspekte beim betrieblichen Einsatz von E-Mails, DB 1997, 326 ff. Bär, Wolfgang: Der Zugriff auf Computerdaten im Strafverfahren (Ius Informationis, Band 4), Köln/Berlin/Bonn/München 1992. – Durchsuchungen im EDV-Bereich, CR 1995, 158 ff., 227 ff. – Anmerkung zu EuGH Urteil C-306/05 vom 07.12.2006, MMR 2007, 239 ff. Barton, Dirk M.: Risiko-Management und E-Mail-Kontrolle, BB 12 (2004), S. 1. Bauer, Friedrich L.: Entzifferte Geheimnisse. Methoden und Maximen der Kryptologie, Berlin/Heidelberg/New York, 1995. Bäumler, Hans: Der neue Datenschutz, Neuwied 1998. – Das TDDSG aus der Sicht eines Datenschutzbeauftragten, DuD 1999, 258 ff. – Gesetz und Realität, in: ders. (Hrsg.), E-Privacy. Datenschutz im Internet, Wiesbaden 2000, S. 5 ff. – Eine sichere Informationsgesellschaft? Zur europäischen Bekämpfung der Computerkriminalität, DuD 25 (2001), S. 6 ff. Bäumler, Helmut: Der Auskunftsanspruch des Bürgers gegenüber Nachrichtendiensten, NVwZ 1988, 199 ff. – Polizeiliche lnformationsverarbeitung; in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Auflage, München 1996, Kap. J. – Polizeiliche lnformationsverarbeitung; in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 3. Auflage, München 2001, Kap. E.

Literaturverzeichnis

363

Becker, Jörg: Datenschutz-Nutzen, IT-Sicherheit 1 (2003), 45 ff. Benda, Ernst: Menschenwürde und Persönlichkeitsschutz, in: E. Benda/W. Maihofer/ H. J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Berlin 1983, S. 161 ff.; 2. Auflage, Berlin 1994, § 17, S. 719 ff. Bender, Rolf/Kahlen, Christine: Neues Telemediengesetz verbessert den Rechtsrahmen für Neue Dienste und Schutz vor Spam-Mails, MMR 2006, 590 ff. Berg, Wilfried: Staatsrecht, 5. neu bearbeitete Auflage, Stuttgart/München/Hannover/ Berlin/Weimar/Dresden, 2007. Bergfelder, Martin: Was ändert das 1. Signaturgesetz?, CR 2005, S. 148 ff. Bergmann, Lutz/Möhrle, Roland/Herb, Armin (Hrsg.): Datenschutzrecht. Kommentar zum Bundesdatenschutzgesetz, den Datenschutzgesetzen der Länder und zum bereichsspezifischen Datenschutz, Stuttgart 2000. Bettermann, Karl August: Die rechtsprechende Gewalt, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. III, Das Handeln des Staates, Heidelberg 1988, § 73, S. 775 ff. Bier, Sascha: Internet und E-Mail am Arbeitsplatz, DuD 2004, 277 ff. Binder, Jörg: Computerkriminalität und Datenfernübertragung, RDV 1995, 57 ff. Bizer, Johann: Anmerkung zum BGH Beschluss vom 31.7.1995 – 1 BGs 625/95, DuD 1996, 627. – Grundrechte im Netz. Von der freien Meinungsäußerung bis zum Recht auf Eigentum, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, Bonn 2003. – Kommentierung der §§ 3a, 6, 6a BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Frankfurt am Main 2003. Bizer, Johannes: TK-Daten im Data Warehouse, DuD 1998, 577 ff. – Web-Cookies – datenschutzrechtlich, DuD 1998, 277 ff. Bleisteiner, Stefan: Rechtliche Verantwortlichkeit im Internet, Köln 1999. Böckenförde, Ernst-Wolfgang: Grundrechte als Grundsatznormen. Zur gegenwärtigen Lage der Grundrechtsdogmatik, Der Staat 29 (1990), 1 ff. Böckenförde, Thomas: Die Ermittlung im Netz, Würzburg 2003. Boehme-Neßler, Volker: Cyberlaw. Lehrbuch zum Internetrecht, München 2001. – internetrecht.com, München 2001. Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313 ff. Brandner, Hans-Erich: Das allgemeine Persönlichkeitsrecht in der Entwicklung durch die Rechtsprechung, JZ 1983, 689 ff. Breinlinger, Astrid: Datenschutzrechtliche Probleme bei Kunden- und Verbraucherbefragungen zu Marketingzwecken, RDV 1997, 247 ff. Breuer, Barbara: Anwendbarkeit des deutschen Strafrechts auf exterritorial handelnde Internet-Benutzer, MMR 1998, 141 ff.

364

Literaturverzeichnis

Breuer, Rüdiger: Die staatliche Berufsregelung und Wirtschaftslenkung, in: J. Isensee/ P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band VI, Freiheitsrechte, Heidelberg 1989, § 148, S. 957 ff. – Freiheit des Berufs, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band IV, Freiheitsrechte, Heidelberg 1989, § 147, S. 877 ff. Brugger, Winfried: Menschenwürde, Menschenrechte, Grundrechte, Baden-Baden 1997. Brühann, Ulf: Die Veröffentlichung personenbezogener Daten im Internet als Datenschutzproblem. Zur Rechtsprechung des Europäischen Gerichtshofs, DuD 2004, 201 ff. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatecht, Tübingen 2006. Büchner, Wolfgang/Ehmer, Jörg/Geppert, Martin/Kerkhoff, Bärbel/Piepenbrock, Herman-Josef/Schütz, Raimund/Schuster, Fabian (Hrsg.): TKG-Kommentar, 2. Auflage, München 2000. Buermeyer, Ulf: Die „Online-Durchsuchung“. Technischer Hintergrund des verdeckten hoheitlichen Zugriffs auf Computersysteme, HRRS 4 (2007), 154 ff. Büllesbach, Alfred: Das neue Datenschutzgesetz, NJW 1991, 2593 ff. – Selbstregulierungsinstrumente in der globalen Wirtschaft, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2001, S. 241 ff. Bullinger, Martin: Der Rundfunkbegriff in der Differenzierung kommunikativer Dienste, AfP 1996, 1 ff. – Ordnung oder Freiheit für Multimediadienste?, JZ 1996, 385 ff. Bürger, Ernst: Deutschland-Online: Die gemeinsame E-Government-Strategie von Bund, Ländern und Kommunen, in: A. Zechner (Hrsg.), Handbuch E-Government, 2007, S. 29 ff. Buxel, Holger: Customer Profiling im Electronic Commerce. Methodische Grundlagen, Anwendungsprobleme und Managementprobleme, Aachen 2001. Calhoun, Craig: Social Theory and the Politics of Identity, Oxford and Cambridge 1994. Canaris, Carl-Wilhelm: Grundrechte und Privatrecht, AcP 1984, 201 ff. Castells, Manuel: Das Informationszeitalter I. Der Aufstieg der Netzwerkgesellschaft, Opladen 2001. – Das Informationszeitalter II. Die Macht der Identität, Opladen 2003. Christians, Daniel: Die Novellierung des Bundesdatenschutzgesetzes – Statusbericht, RDV 4 (2000), Sonderdruck zur BDSG-Novellierung, 4 ff. Collardin, Marcus: Straftaten im Internet, CR 1995, 618 ff. Cornelius, Kai: Anmerkung zu BGH StB 18/06, Beschluss vom 31.01.2007 – Unzulässigkeit einer „verdeckten Online-Durchsuchung“, JZ 2007, 798 ff.

Literaturverzeichnis

365

Dammann, Ulrich: Kommentierung der §§ 3, 14, 15, 16, 44 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Frankfurt am Main 2003. Dannecker, Gerhard: Neuere Entwicklungen im Bereich der Computerkriminalität: Aktuelle Erscheinungsformen und Anforderungen an eine effektive Bekämpfung, BB 1996, 1285 ff. Darnstädt, Thomas: Gefahrenabwehr und Gefahrenvorsorge. Eine Untersuchung über Struktur und Bedeutung der Prognose-Tatbestände im Recht der öffentlichen Sicherheit und Ordnung, Frankfurt am Main 1983. Däubler, Wolfgang: Internet und Arbeitsrecht, Frankfurt am Main 2001. – Gläserne Belegschaften? – Datenschutz in Betrieb und Dienststelle, 4. Auflage, Frankfurt am Main 2002. Degenhart, Christoph: Die allgemeine Handlungsfreiheit des Art. 2 I GG, JuS 1990, 161 ff. – Das allgemeine Persönlichkeitsrecht, Art. 2 I i.V. m. Art. 1 I GG, JuS 1992, 361 ff. Denninger, Erhard: Polizeiaufgaben, in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Auflage, München 1996; 3. Auflage, München 2001. Der Bundesbeauftragte für den Datenschutz: Datenschutz in der Telekommunikation, 6. Auflage, Bonn 2004. Derksen, Roland: Strafrechtliche Verantwortlichkeit für in internationalen Computernetzen verbreitete Daten mit strafbarem Inhalt, NJW 1997, 1878 ff. Dietlein, Johannes/Heinemann, Jan: Ordnungsrecht und Internetkriminalität, K&R 2004, 418 ff. Dietz, Simone: Die Lüge von der „Ausschwitzlüge“. Wie weit reicht das Recht auf freie Meinungsäußerung?, KJ 1995, 210 ff. Di Fabio, Udo: Kommentierung des Art. 2 Abs. 1 GG, in: T. Maunz/G. Dürig, Grundgesetz Kommentar, München 2001. Ditscheid, Alexander/Rudloff, Karsten: Kommentierung des § 3 TKG, in: G. Spindler/ F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008. Dittman, Armin: Die elektronische Demokratie, in: Bürger fragen Journalisten e. V. (Hrsg.), Die Rolle der Medien im Gefüge des demokratischen Verfassungsstaates, Erlangen 1997, S. 50 ff. Dix, Andreas: Internationale Aspekte, in: H. Bäumler (Hrsg.), E-Privacy – Datenschutz im Internet, Wiesbaden 2000, S. 93 ff. Dix, Andreas/Schaar, Peter: § 6 TDDSG, Rdn. 15, in: A. Rossnagel (Hrsg.), Handbuch Multimedia Recht, München 2000. Donsbach, Wolfgang: Die Mediatisierung der Politik in der Informationsgesellschaft, in: Bürger fragen Journalisten e. V. (Hrsg.), Die Rolle der Medien im Gefüge des demokratischen Verfassungsstaates, Erlangen 1997, S. 61 ff. Dorn, Dietrich W./Krämer, Clemens: E-Commerce. Produkte und Dienstleistungen im Internet – die rechtlichen Grundlagen, Berlin 2003.

366

Literaturverzeichnis

Dörner, Heinrich: Kommentierung der §§ 125 Abs. 1, 138, 145 BGB, in: H. Dörner/ I. Ebert/J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/ A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. – Vorbemerkung zur Kommentierung der §§ 104–185 BGB, in: H. Dörner/I. Ebert/ J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. Dreier, Horst: Kommentierung des Art. 2 Abs. 1 GG, in H. Dreier (Hrsg.), Grundgesetz, Band 1, 2. Auflage, Tübingen 2004. Dressel, Christian/Scheffler, Hauke: Die Insuffizienz des Computerstrafrechts, ZRP 2000, 514. Drews, Bill/Wacke, Gerhard/Vogel, Klaus/Martens, Wolfgang: Gefahrenabwehr. Allgemeines Polizeirecht (Ordnungsrecht) des Bundes und der Länder, 9. Auflage, Köln 1985. Drews, Hans-Ludwig/Kassel, Hans/Leßenich, Heinz Rudolf: Lexikon Datenschutz und Informationssicherheit, Berlin/München 1993. Duhr, Elisabeth/Naujok, Helga/Danker, Birgit/Seiffert, Evelyn: Neues Datenschutzrecht für die Wirtschaft (§ 1–11 BDSG), DuD 2002, 5 ff. Dürig, Günter: Der Grundrechtssatz von der Menschenwürde-Entwurf eines praktikablen Wertsystems der Grundrechte aus Art. 1 Abs. 1 in Verbindung mit Art. 19 Abs. 2 GG, AöR 81 (1956), S 117 ff. – Kommentierung des Art. 10 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz-Kommentar, München 1973. – Kommentierung des Art. 3 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), GrundgesetzKommentar, München 1996. – Neues Datenschutzrecht für die Wirtschaft (§ 27–46 BDSG), DuD 2002, 5 ff. Dürig, Markus: Informationstechnologie im Spannungsfeld von zunehmender Gefährdung und Beitrag zur Inneren Sicherheit, in: A. Zechner (Hrsg.), Handbuch EGovernment, Stuttgart 2007, S. 35 ff. Eberspächer, Jörg: Die Zukunft des Internet im Lichte von Konvergenz, in: H. Kubicek/ D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 17 ff. Eck, Stefan/Ruess, Peter: Haftungsprivilegierung der Provider nach der E-CommerceRichtlinie-Umsetzungsprobleme dargestellt am Beispiel der Kenntnis nach § 11 Satz 1 Ziff. 1 TDG, MMR 2003, 333 ff. Eckert, Jörn: Kommentierung des § 1004 BGB, in: H. Dörner/I. Ebert/J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. Eckhardt, Jens: Die Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen im TKG, CR 2007, 405 ff. – Kommentierung der §§ 88, 95, 96, 97, 112 TKG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008.

Literaturverzeichnis

367

Eggs, Holger/Müller, Günter: Sicherheit und Vertrauen, Mehrwert im E-Commerce, in: G. Müller/M. Reichenbach, Sicherheitskonzepte für das Internet, 2001, S. 27 ff. Ehmann, Eugen: Kommentierung des § 43 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Baden-Baden 2003. Ehmann, Horst: Zur Struktur des allgemeinen Persönlichkeitsrechts, JuS 1997, 193 ff. Eichelberger, Jan: Sasser, Blaster, Phatbot & Co. alles halb so schlimm? Ein Überblick über die strafrechtliche Bewertung von Computerschädlingen, MMR 2004, 594 ff. – Das Blockieren einer Internet-Seite als strafbare Nötigung, DuD 2006, 490 ff. – OLG Düsseldorf: Keine Störerhaftung des Betreibers eines Internetforums, MMR 2006, 618 ff. Eichhorn, Bert: Internetrecht – Ein Wegweiser für Nutzer und Web-Verantwortliche, Köln 2007. Eiding, Lutz: Strafrechtlicher Schutz elektronischer Datenbanken, Darmstadt 1997. Eifert, Martin: Electronic Government als gesamtstaatliche Organisationsaufgabe, ZG 2001, S. 115 ff. Eilenberger, Wolfram: Mister World Wide Web. Interview mit Tim Berners-Lee, in: Cicero 10 (2005), S. 40 ff. Eimeren, Birgit van/Frees, Beate: Ergebnisse der ARD/ZDF-Online-Studie 2008. Internet Verbreitung: Größter Zuwachs bei Silver Surfern, in: Media Perspektiven 7/ 2008, S. 330 ff. – Ergebnisse der ARD/ZDF-Onlinestudie 2009. Der Internetnutzer 2009 – Multimedial oder total vernetzt?, in: Media Perspektiven 7/2009, S. 334 ff. – Ergebnisse der ARD/ZDF-Onlinestudie 2010. Fast 50 Millionen Deutsche online – Multimedia für alle?, in: Media Perspektiven 7–8/2010, S. 334 ff. Emmerich-Fritsche, Angelika: Der Grundsatz der Verhältnismäßigkeit als Direktive und Schranke der EG-Rechtsetzung, Berlin 2000. Enderlein, Axel: Der Begriff der Freiheit als Tatbestandsmerkmal der Grundrechte. Konzeption und Begründung eines einheitlichen, formalen Freiheitsbegriffs, dargestellt am Beispiel der Kunstfreiheit, Berlin 1995. Enders, Christoph: Die Menschenwürde in der Verfassungsordnung. Zur Dogmatik des Art. 1 GG, Tübingen 1997. Engel, Christoph: Die Internet-Service-Provider als Geiseln deutscher Ordnungsbehörden, MMR Beilage 4/2003, 1 ff. Engel-Flechsig, Stefan/Maennle, Frithjof A./Tettenborn, Alexander: Das neue Informations- und Kommunikationsdienste-Gesetz, NJW 1997, 2981 ff. Erd, Rainer: Online-Recht kompakt: Von der Domain zum Download, 3. Auflage, Frankfurt 2005.

368

Literaturverzeichnis

Erichsen, Hans-Uwe: Allgemeine Handlungsfreiheit, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. VI, Freiheitsrechte, Heidelberg 1989, § 152, S. 1185 ff. Ernestus, Walter/Geiger, Hansjörg: Kommentierung des § 9 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Baden-Baden 2003. Ernst, Stefan: Hacker und Computerviren im Strafrecht, NJW 2003, 3233 ff. Ewert, Burkhard/Fazlic, Nermin/Kollbeck, Johannes: E-Demokratie. Chancen und Risiken, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, Bonn 2003, S. 227 ff. Fassbender, Peter: BAföG-Online, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 357 ff. Fechner, Frank: Medienrecht, 5. Auflage, Tübingen 2004. Federrath, Hannes: Zur Kontrollierbarkeit des Internet, ZUM 1999, S. 177 ff. Fikentscher, Wolfgang/Möllers, Thomas M. J.: Die (negative) Informationsfreiheit als Grenze von Werbung und Kunstdarbietung, NJW 1998, 1337 ff. Finke, Thorsten: Die strafrechtliche Verantwortung von Internet-Providern, Tübingen 1998. Fischer, Thomas: Kommentierung des § 202a StGB, in: H. Tröndle/T. Fischer, Strafgesetzbuch und Nebengesetze, 50. Auflage, München 2001. Flechsig, Norbert P.: Haftung von Online-Diensteanbietern im Internet, AfP 1996, S. 340 ff. Franzen, Martin: Die Novellierung des Bundesdatenschutzgesetzes und ihre Bedeutung für die Privatwirtschaft, DB 2001, 1867 ff. Freitag, Andreas: Urheberrecht und verwandte Schutzrechte im Internet, in: D. Kröger/ M. A. Gimmy, Handbuch zum Internet-Recht. Electronic Commerce, Informations-, Kommunikations- und Mediendienste, Berlin/Heidelberg 2000, S. 328 ff. Fringuelli, Pietro/Wallhäuser, Matthias: Formerfordernisse beim Vertragsschluss im Internet, CR 1999, 93 ff. Fuchs, Gerhard: Die Geographie der Informationsökonomie. Globalisierung vs. Regionalisierung, in: H. Kubicek/H.-J. Braczyk/D. Klumpp/A. Rossnagel, Global@ home – Jahrbuch Telekommunikation und Gesellschaft 2000, Heidelberg 2000, S. 55 ff. Fuhrmann, Heiner: Vertrauen im E-Commerce, Baden-Baden 2001. Fox, Dirk: Security Awareness – Oder: Die Wiederentdeckung des Menschen in der ITSicherheit, DuD 27 (2003), 677 ff. Gallwas, Hans-Ullrich/Mößle, Wilhelm/Wolff, Bayerisches Polizei- und Sicherheitsrecht, Boorberg 1996. Garstka, Hans-Jürgen: Informationelle Selbstbestimmung und Datenschutz. Das Recht auf Privatsphäre, in: C. Schulzki-Haddouti (Hrsg.), Bürgerrechte im Netz, Wiesbaden 2003.

Literaturverzeichnis

369

Geddert-Steinacher, Tatjana: Menschenwürde als Verfassungsbegriff, Tübingen 1990. Geis, Ivo: Die digitale Signatur, NJW 1997, 3000 ff. – Internet und Datenschutzrecht, NJW 1997, 288. Gellert, Olaf: Elektronischer Brückenschlag – Verbindungen schaffen zwischen Public Key Infrastrukturen, DuD 2005, 579 ff. Geppert, Martin/Rossnagel, Alexander: Einführung – Telekommunikations- und Multimediarecht, in: ders. (Hrsg.), Telekommunikations- und Multimedia-Recht, München 2004, XII ff. Gercke, Marco: Die Entwicklung der Rechtsprechung zum Internetstrafrecht in den Jahren 2000 und 2001, ZUM 2002, 283 ff. – Analyse des Umsetzungsbedarfs der Cyber Crime Convention, MMR 2004, 728 ff. – Die Strafbarkeit von Phishing und Identitätsdiebstahl, CR 2005, 606 ff. – Die Entwicklung des Internetstrafrechts im Jahr 2005, ZUM 2006, 284 ff. – Heimliche Online-Durchsuchung: Anspruch und Wirklichkeit – Der Einsatz softwarebasierter Ermittlungsinstrumente zum heimlichen Zugriff auf Computerdaten, CR 2007, 245 ff. – Die Bekämpfung der Internetkriminalität als Herausforderung für die Strafverfolgungsbehörden, MMR 2008, 291 ff. Gerling, Rainer W.: Verschlüsselungsverfahren. Eine Kurzübersicht, DuD 1997, 197 ff. Germann, Michael: Gefahrenabwehr und Strafverfolgung im Internet, Berlin 2000. Gersdorf, Hubertus: Die dienende Funktion der Telekommunikationsfreiheiten: Zum Verhältnis von Telekommunikations- und Rundfunkordnung, AfP 1997, 424 ff. Geuss, Raymond: Privatheit. Eine Genealogie, Frankfurt am Main 2002. Glotz, Peter: Auf dem Weg in die Informationsgesellschaft. Trends am Beginn des 3. Jahrtausends, in: H. Kubicek/H.-J. Braczyk/D. Klumpp/A. Rossnagel: Global@ home. Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2000, S. 16 ff. Goerdeler, Andreas: E-Voting, in: A. Zechner (Hrsg.), Handbuch E-Government. Strategien, Lösungen, Wirtschaftlichkeit, Stuttgart 2007, S. 391 ff. Gola, Peter: Neuer Tele-Datenschutz für Arbeitnehmer?, MMR 1999, 322 ff. – Informationelle Selbstbestimmung in Form des Widerspruchsrechts, DuD 2001, 278 ff. – Die Einwilligung als Legitimation zur Verarbeitung von Arbeitnehmerdaten, RDV 2002, 109 ff. Gola, Peter/Jaspers, Andreas: Das neue BDSG im Überblick, 2. Auflage, Frechen 2002. Gola, Peter/Klug, Christoph: Grundzüge des Datenschutzrechts, München 2003. – Die BDSG-Novellen 2009 – Ein Kurzüberblick, Sonderbeilage RDV 4 (2009), S. 1 ff. Gola, Peter/Schomerus, Alfred: BDSG. Bundesdatenschutzgesetz Kommentar, 9. Auflage, München 2007.

370

Literaturverzeichnis

– BDSG. Bundesdatenschutzgesetz Kommentar, 10. Auflage, München 2010. Goldmann, Günter/Stenger, Hans-Jürgen: Unbefugtes Eindringen in Computersysteme, CR 1989, S. 545 f. Gollmann, Dieter: „Wer ist mein Nächster?“. Zur Authentifikation des Kommunikationspartners, in: G. Müller/M. Reichenbach (Hrsg.), Sicherheitskonzepte für das Internet, Berlin 2001, 147 ff. Götz, Peter/Diller, Hermann: Die Kundenportfolio-Analyse – Ein Instrument zur Steuerung von Kundenbeziehungen, Nürnberg 1991. Götz, Volkmar: Innere Sicherheit, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. III, Heidelberg 1988, Das Handeln des Staates, § 79, S. 1007 ff. – Allgemeines Polizei- und Ordnungsrecht, 12. Auflage, Göttingen 1995; 13. Auflage, Göttingen 2001. Gounalakis, Georgios: Der Mediendienste-Staatsvertrag der Länder, NJW 1997, 2993 ff. Grabitz, Eberhard: Der Grundsatz der Verhältnismäßigkeit in der Rechtsprechung des Bundesverfassungsgerichts, AöR 1973, 568 ff. Gräf, Lorenz: Privatheit und Datenschutz. Eine soziologische Analyse aktueller Regelungen zum Schutz privater Bereiche vor dem Hintergrund einer Soziologie der Privatheit, Köln 1993. Gramlich, Ludwig: Art. 10 GG nach der zweiten Postreform 1994, CR 1996, S. 102 ff. Greiner, Arved: Die Verhinderung verbotener Internetinhalte im Wege polizeilicher Gefahrenabwehr, Hamburg 2001. Grimm, Dieter: Grundrechte und soziale Wirklichkeit – zum Problem eines interdisziplinären Grundrechtsverständnisses, in: W. Hassemer/W. Hoffmann-Riem/J. Limbach, Grundrechte und soziale Wirklichkeit, Baden-Baden 1982, S. 39 ff. – Die Meinungsfreiheit in der Rechtsprechung des BVerfG, NJW 1995, 1697 ff. Grimm, Rüdiger: Vertrauen im Internet – wie sicher soll E-Commerce sein?, in: G. Müller/M. Reichenbach (Hrsg.), Sicherheitskonzepte für das Internet, Berlin 2001, S. 57 ff. Groß, Thomas: Die Schutzwirkung des Brief-, Post- und Fernmeldegeheimnisses nach der Privatisierung der Post, JZ 1999, S. 326 ff. Grötker, Ralf: Privat. Kontrollierte Freiheit in einer vernetzten Welt, Hannover 2003. Gruhler, Alexander K. A.: Das Ende der „totalen“ Freiheit im Internet – Die Auswirkungen inkriminierter Inhalte auf die Informationsgesellschaft, Marburg 1998. Gubelt, Manfred: Kommentierung des Art. 12 GG, in: I. v. Münch/P. Kunig (Hrsg.), Grundgesetz-Kommentar, Band 1, 5. Auflage, München 2000. Gurlit, Elke: Die Verfassungsrechtsprechung zur Privatheit im gesellschaftlichen und technologischen Wandel, RDV 2 (2006), S. 43 ff.

Literaturverzeichnis

371

Gusy, Christoph: Polizeirecht, 3. Auflage, Tübingen 1996; 4. Auflage, Tübingen 2000; 7. Auflage, Tübingen 2009. – Lauschangriff und Grundgesetz, JuS 2004, 457 ff. – Kommentierung des Art. 10 GG, in: H. v. Mangoldt/F. Klein/ders. (Hrsg.), GG-Kommentar, Band 1, 5. Auflage, München 2005. Häberle, Peter: Die Wesensgehaltsgarantie des Art. 19 Abs. 2 Grundgesetz. Zugleich ein Beitrag zum institutionellen Verständnis der Grundrechte und zur Lehre vom Gesetzesvorbehalt, 1962, 3. Auflage, Heidelberg 1983. – Die Menschenwürde als Grundlage der staatlichen Gemeinschaft, in: J. Isensee/ P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band I, Grundlagen von Staat und Verfassung, Heidelberg 1987, § 20, S. 815 ff. Habermas, Jürgen: Theorie des kommunikativen Handelns, Frankfurt am Main 1981. – Erläuterungen zur Diskursethik, in: Erläuterungen zur Diskursethik, Frankfurt am Main 1991, S. 119 ff. Habermehl, Kai: Polizei- und Ordnungsrecht, 2. Auflage, Baden-Baden, 1993. Hamm, Rainer: Anmerkung zu BGH StB 18/06, Beschluss vom 31.01.2007 – Unzulässigkeit einer „verdeckten Online-Durchsuchung“, NJW 2007, 932 ff. Haß, Gerhard: Der strafrechtliche Schutz von Computerprogrammen, in: M. Lehmann (Hrsg.), Rechtsschutz und Verwertung von Computerprogrammen, 2. Auflage, Köln 1993, S. 496 ff. Hassemer, Michael: Elektronischer Geschäftsverkehr im Regierungsentwurf zum Schuldrechtsmodernisierungsgesetz, MMR 2001, 635 ff. Hassemer, Winfried: Strafrechtliche Verantwortlichkeit – zivilrechtliche Haftung, ITBR 2004, 253 ff. Haug, Volker: Grundwissen Internetrecht, Stuttgart 2005. Heckmann, Dirk: Rechtspflichten zur Gewährleistung von IT Sicherheit, MMR 2006, 280 ff. Heidemann-Peuser, Helke: Rechtskonforme Gestaltung von Datenschutzklauseln, DuD 2002, 389 ff. Heinrichs, Helmut: Kommentierung des § 823 BGB, in: O. Palandt (Hrsg.), Bürgerliches Gesetzbuch, 61. Auflage, München 2002. Heller, Hermann: Staatslehre, hrsg. von Gerhart Niemeyer, Leiden 1934, 2. Auflage, Leiden 1961. Henke, Wilhelm: Recht und Staat – Grundlagen der Jurisprudenz, Tübingen 1988. Herdegen, Matthias: Kommentierung des Art. 1 Abs. 1 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, Loseblattsammlung, München 2006. Herfert, Michael: Langzeitarchivierung elektronisch signierter Dokumente, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 169 ff. Herzog, Roman: Kommentierung des Art. 5 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, München 2003.

372

Literaturverzeichnis

Herzog, Roman/Grzesick, Bernd: Kommentierung des Art. 20 GG, in: T. Maunz/G. Dürig (Hrsg.), Grundgesetz Kommentar, München 2006. Hesse, Konrad: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 4. Auflage, Heidelberg 1970; 20. Auflage, Heidelberg 1995. Heun, Sven-Erik: Die Elektronische Willenserklärung: Rechtliche Einordnung, Anfechtung und Zugang, CR 1994, S. 595 ff. Heußner, Hermann: Datenvearbeitung und Grundrechtsschutz, in: H. Hohmann (Hrsg.), Freiheitssicherung und Datenschutz, Frankfurt am Main 1987, S. 110 ff. Hilgendorf, Eric: Grundfälle zum Computerstrafrecht, JuS 1996, 509 ff., 702 ff., 890 ff., 1082 ff. – Grundfälle zum Computerstrafrecht, JuS 1997, 130 ff., 323 ff. – Überlegungen zur strafrechtlichen Interpretation des Ubiquitätsprinzips im Zeitalter des Internet, NJW 1997, 1873 ff. Hilgendorf, Eric/Frank, Thomas/Valerius, Brian: Computer- und Internetstrafrecht, Berlin 2005. Hilgendorf, Eric/Wolf, Christian: Internetstrafrecht. Grundlagen und aktuelle Fragestellungen, K&R 2006, 541 ff. Hilger, Hans: StVÄG 1999 und Verteidigung, in: Festschrift für Peter Rieß zum 70. Geburtstag am 4. Juni 2002, hrsg. von E.-W. Hanack/H.Hilger/V. Mehle/G. Widmaier, Berlin 2002. Hillmann, Karl-Heinz: Wörterbuch der Soziologie, 4. Auflage, Stuttgart 1994. Hinden, Michael von: Persönlichkeitsverletzungen im Internet, Tübingen 1999. Hobbes, Thomas: Leviathan, 1651, ed. J. P. Mayer/M. Diesselhorst, Stuttgart 1970/ 1980. Hochstein, Reiner: Teledienste, Mediendienste und Rundfunkbegriff – Anmerkungen zur praktischen Abgrenzung multimedialer Erscheinungsformen, NJW 1997, 2977 ff. Hoeren, Thomas: Internet und Recht – Neue Paradigmen des Informationsrechts, NJW 1998, 2849 ff. – Grundzüge des Internetrechts, 2. Auflage, München 2002. – Virenscanning und Spamfilter – Rechtliche Möglichkeiten im Kampf gegen Viren, Spam & Co., NJW 2004, 3513 ff. – Der Tod und das Internet – Rechtliche Fragen zur Verwendung von E-Mail und WWW-Accounts nach dem Tod des Inhabers, NJW 2005, 2117 ff. – Das Telemediengesetz, NJW 2007, 801 ff. Hoeren, Thomas/Pichler, Rufus: Zivilrechtliche Haftung im Online-Bereich, in: Loewenheim, Ulrich/Koch, Frank A. (Hrsg.), Praxis des Online-Rechts, München 2001, S. 449 ff. Hoffmann, Helmut: Kommentierung der §§ 7, 8, 9, 10 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008.

Literaturverzeichnis

373

Hoffmann-Riem, Wolfgang: Informationelle Selbstbestimmung als Grundrecht kommunikativer Entfaltung, in: H. Bäumler (Hrsg.), Der neue Datenschutz. Datenschutz in der Informationsgesellschaft von morgen, Neuwied 1998. – Aufgaben zukünftiger Medienregulierung, in: ders./H. Simonis (Hrsg.): Chancen, Risiken und Regelungsbedarf im Übergang zum Multi-Media-Zeitalter, Landesregierung Schleswig-Holstein, 1995, S. 19 ff. Höfling, Wolfram: Die Unantastbarkeit der Menschenwürde, JuS 1995, 857 ff. Hofmann, Manfred: Die Online-Durchsuchung – staatliches „Hacken“ oder zulässige Ermittlungsmaßnahme, NStZ 2005, 121 ff. Hohmann, Harald: Einleitung, in: ders. (Hrsg.), Freiheitssicherung und Datenschutz, Frankfurt am Main 1987, S. 7 ff. Holznagel, Bernd/Kussel, Stephanie: Möglichkeiten und Risiken bei der Bekämpfung rechtsradikaler Inhalte im Internet, MMR 2001, 347 ff. Hömberg, Walter/Pürer, Heinz/Saxer, Ulrich: Die Zukunft des Internet, Konstanz 2000. Hondius, Frits W.: Emerging data protection in Europe, Amsterdam/New York, 1975. Hornig, Michael: Möglichkeiten des Ordnungsrechts bei der Bekämpfung rechtsextremistischer Inhalte im Internet, ZUM 2001, 846 ff. Hubmann, Heinrich: Das allgemeine Persönlichkeitsrecht, 1. Auflage, München/Köln 1953; 2. Auflage, Köln 1967. Hund, Horst: Polizeiliches Effektivitätsdenken contra Rechtsstaat, ZRP 1991, S. 463 ff. Hutter, Reinhard/Neubecker, Karl A.: Kritische IT-Infrastrukturen, DuD 27 (2003), S. 211 ff. Ihde, Rainer: Cookies – Datenschutz als Rahmenbedingungen der Internetökonomie, CR 2000, 413 ff. Isensee, Josef: Republik – Sinnpotential eines Begriffs. Begriffsgeschichtliche Stichproben, JZ 1981, 1 ff. – Das Grundrecht auf Sicherheit. Zu den Schutzpflichten des freiheitlichen Verfassungsstaates, Berlin/New York 1983. – Gemeinwohl und Staatsaufgaben im Verfassungsstaat, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band III, Das Handeln des Staates, Heidelberg 1988, § 57, S. 3 ff. – Das Grundrecht als Abwehrrecht und als staatliche Schutzpflicht, in: J. Isensee/ P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band V, Allgemeine Grundrechtslehren, 1992, § 111, S. 143 ff. – Staat und Verfassung, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Band II, Verfassungsstaat, 3. Auflage, Heidelberg 2004, § 15, S. 3 ff. Jacob, Joachim/Jost, Tanja: Marketingnutzung von Kundendaten und Datenschutz – ein Widerspruch? Die Bildung von Konsumentenprofilen auf dem datenschutzrechtlichen Prüfstand, DuD 2003, S. 621 ff.

374

Literaturverzeichnis

Jahn, Matthias/Kudlich, Hans: Die strafprozessuale Zulässigkeit der Online-Durchsuchung, JR 2007, 57 ff. Jarass, Hans D.: Kommentierung des Art. 5 GG, in: H.-D. Jarass/B. Pieroth, Grundgesetz für die Bundesrepublik Deutschland, 7. Auflage, München 2004. Jaspers, Karl: Vom Ursprung und Ziel der Geschichte, München 1949. Jellinek, Georg: Allgemeine Staatslehre, Berlin 1900, 3. Auflage, Berlin 1914, 7. Neudruck, Darmstadt 1960. Jessen, Elke: Die Zukunft des Internet – und insbesondere der Wissenschaftsnetze, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 11 ff. Jofer, Robert: Strafverfolgung im Internet. Phänomenologie und Bekämpfung kriminellen Verhaltens in internationalen Computernetzen, Frankfurt am Main 1999. Kaiser, Robert: Bürger und Staat im virtuellen Raum – E-Government in deutscher und internationaler Perspektive, in: A. Siedschlag/A. Bilgeri/D. Lamatsch, Kursbuch Internet und Politik, Band 1 – Elektronische Demokratie und virtuelles Regieren, Opladen 2001, S. 57 ff. Kant, Immanuel: Kritik der reinen Vernunft, 1781/1787, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 3 und 4, Frankfurt am Main 1968, S. 11 ff. bzw. S. 304 ff. – Grundlegung zur Metaphysik der Sitten, 1785/1786, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 6, Frankfurt am Main 1968, S. 7 ff. – Kritik der praktischen Vernunft, 1788, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 6, Frankfurt am Main 1968, S. 103 ff. – Über den Gemeinspruch: Das mag in der Theorie richtig sein, taugt aber nicht für die Praxis, 1793, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 9, Frankfurt am Main 1968, S. 125 ff. – Zum ewigen Frieden. Ein philosophischer Entwurf, 1795/1796, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 9, Frankfurt am Main 1968, S. 191 ff. – Metaphysik der Sitten, 1797/1798, in: Werke in zehn Bänden, hrsg. v. W. Weischedel, Bd. 7, Frankfurt am Main 1968, S. 303 ff. Kaulbach, Friedrich: Immanuel Kants „Grundlegung zur Metaphysik der Sitten“, Werkinterpretation, Darmstadt 1988. Kemper, Martin: Anforderungen und Inhalt der Online-Durchsuchung bei der Verfolgung von Straftaten, ZRP 2007, 105 ff. Kersten, Heinrich: Sicherheit in der Informationstechnik, 2. Auflage, Oldenbourg 1995. Kersting, Wolfgang: Wohlgeordnete Freiheit. Immanuel Kants Rechts- und Staatsphilosophie, Berlin/New York 1984. Kiper, Manuel: Spione im Büro. Überwachung am Arbeitsplatz, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, Bonn 2003, S. 92 ff.

Literaturverzeichnis

375

Kirchhof, Paul: Mittel staatlichen Handelns, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. III, Das Handeln des Staates, Heidelberg 1988, § 59, S. 121 ff. Klein, Eckart: Grundrechtliche Schutzpflichten des Staates, NJW 1989, 1633 ff. Kleinsteuber, Hans J.: Ökonomische und technische Restriktionen bei der Verwirklichung von Medienfreiheit, in: W. Hassemer/W. Hoffmann-Riem/J. Limbach, Grundrechte und soziale Wirklichkeit, Baden-Baden 1982. Kloepfer, Michael: Informationsrecht, München 2002. Klug, Christoph: BDSG-Interpretation – Materialien zur EU-konformen Auslegung, Frechen 2002. Knemeyer, Franz-Ludwig: Polizei- und Ordnungsrecht, 9. Auflage, München 2002. Kniesel, Michael: „Innere Sicherheit“ und Grundgesetz, ZRP 1996, 482 ff. Knothe, Matthias: Neues Recht für Multi-Media-Dienste – Die Ländersicht, AfP 1997, 497 ff. Knupfer, Jörg: Phishing for Money, MMR 2004, 641 ff. Koch, Frank A.: Aspekte des technischen und strafrechtlichen Zugriffschutzes von EDV-Systemen, RDV 1996, 123 ff. Köhler, Markus/Arndt, Hans-Wolfgang: Recht des Internet, 4. Auflage, Heidelberg 2003; 6. Auflage, Heidelberg 2008 Kohte, Wolfhard: Die rechtfertigende Einwilligung, AcP 185 (1985), 105 ff. Königshofen, Thomas/Ulmer, Claus-Dieter: § 94 TKG, in: ders. (Hrsg.), DatenschutzHandbuch Telekommunikation, Frechen 2006. Krebs, Roland: ELSTER – Eine Erfolgsstory, in: A. Zechner (Hrsg.), Handbuch EGovernment, Stuttgart 2007, S. 345 ff. Kriele, Martin: Freiheit und Gleichheit, in: E. Benda/W. Maihofer/H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Berlin 1983, S. 129 ff. – Einführung in die Staatslehre. Die geschichtlichen Legitimationsgrundlagen des demokratischen Verfassungsstaates, Opladen 1975; 4. Auflage, Opladen 1990; 6. Auflage, Stuttgart 2003. Krüger, Hartmut: Kommentierung des Art. 10 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, München 1996. Kubicek, Herbert: Editorial, in: ders./D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 8 ff. – Das Verhältnis von E-Commerce und E-Government – die Notwendigkeit, das Unterschiedliche zu integrieren, in: ders/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 353 ff.

376

Literaturverzeichnis

Kübler, Friedrich: Medienverantwortung als Rechtsproblem, in: W. Hassemer/W. Hoffmann-Riem/J. Limbach, Grundrechte und soziale Wirklichkeit, Baden-Baden 1982, S. 105 ff. Kuch, Hansjörg: Der Staatsvertrag der Mediendienste, ZUM 1997, 225 ff. Kudlich, Hans: Strafprozeß und allgemeines Mißbrauchsverbot – Anwendbarkeit und Konsequenzen eines ungeschriebenen Mißbrauchsverbots für die Ausübung strafprozessualer Verteidigungsbefugnisse, Berlin 1998. – An den Grenzen des Strafrechts. Rationale und verfassungsorientierte Strafgesetzgebung, dargestellt am Beispiel des strafgesetzlichen Schutzes gegen Doping, JA 2007, 90 ff. Kugelmann, Dieter: Die informatorische Rechtsstellung des Bürgers: Grundlagen und verwaltungsrechtliche Grundstrukturen individueller Rechte auf Zugang zu Informationen der Verwaltung, Tübingen 2001. Kühl, Kristian: Kommentierung der §§ 3, 5, 6, 7, 9, 202a, 206, 263, 303a, 303b StGB, in: K. Lackner/K. Kühl, Strafgesetzbuch Kommentar, 26. Auflage, München 2007. Kunz, Thomas/Schmidt, Andreas/Viebeg Ursula: Konzepte für rechtssichere Transformation signierter Dokumente, DuD 2005, 279 ff. Kutscha, Martin: Verdeckte „Online-Durchsuchung“ und Unverletzlichkeit der Wohnung, NJW 2007, 1169 ff. – Verfassungsrechtlicher Schutz des Kernbereichs privater Lebensgestaltung – nichts Neues aus Karlsruhe?, NVwZ 2005, 20 ff. Kyas, Othmar: Sicherheit im Internet. Risikoanalyse–Strategien–Firewalls, Bergheim 1996. Landmann, Dieter: Die Ausstrahlung jugendgefährdender Fernsehsendungen – strafbar?, NJW 1996, 3309 ff. Leder, Martin: Der Einsatz von Wahlgeräten und seine Auswirkungen auf die Amtlichkeit und Öffentlichkeit der Wahl, DÖV 2002, 648 ff. Lehmann, Michael: Electronic Commerce und Verbraucherrechtsschutz in Europa, EuZW 2000, 517 ff. – Electronic Business in Europa. Internationales, europäisches und deutsches OnlineRecht, München 2002. Leisner, Walter: Eigentümer als Beruf, JZ 1972, 33 ff. Lerche, Peter: Übermaß und Verfassungsrecht. Zur Bindung des Gesetzgebers an die Grundsätze der Verhältnismäßigkeit und Erforderlichkeit, Köln/Berlin/München/ Bonn 1961. Libertus, Michael: Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren, MMR 2005, 507 ff. Lisken, Hans: Die Polizei im Verfassungsgefüge, in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, 2. Auflage, München 1996, Kap. C. Locke, John: Über die Regierung. The second Treatise of Government, 1690, hrsg. von P. C. Mayer-Tasch, Stuttgart 1974/1983.

Literaturverzeichnis

377

Lodde, Stephan W. H.: Informationsrechte des Bürgers gegen den Staat, Köln 1996. Lohse, Wolfgang: Verantwortung im Internet, in: T. Hoeren/B. Holznagel, Schriften zum Informations-, Telekommunikations- und Medienrecht, Münster 2000. Loschelder, Wolfgang: Rasterfahndung. Polizeiliche Ermittlung zwischen Effektivität und Freiheitsschutz, Der Staat 1981, S. 349 ff. Löw, Petra: Datenschutz im Internet – Eine strukturelle Untersuchung auf der Basis der neuen deutschen Medienordnung, Tübingen 2000. Lucke, Jörn von: Gestaltungspotenziale durch E-Goverment, in: Zechner, Achim (Hrsg.), Handbuch E-Government. Strategien, Lösungen und Wirtschaftlichkeit, Stuttgart 2007, S. 97 ff. Lucke, Jörn von/Reinermann, Heinrich: Speyrer Definition von Electronic Government, in: dies. (Hrsg.), Electronic Government in Deutschland. Ziele-Stand-Beispiel-Umsetzung, Speyrer Forschungsbericht, Bd. 226, Forschungsinstitut für öffentliche Verwaltung, Speyer 2002, S. 2 ff. Maihofer, Werner: Rechtsstaat und menschliche Würde, Frankfurt am Main 1968. – Prinzipien freiheitlicher Demokratie, in: E. Benda/W. Maihofer/H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, Berlin 1983, 2. Auflage, Berlin 1994, § 12, S. 494 ff. Mallmann, Otto: Kommentierung der §§ 19, 19a, 20, 33, 34, 35 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Auflage, Baden-Baden 2003. Mankowski, Peter: Zum Nachweis des Zugangs bei elektronischen Erklärungen, NJW 2004, 1901 ff. Marberth-Kubicki, Annette: Computer- und Internetstrafrecht, München 2005. – Durchsuchung und Beschlagnahme von EDV-Anlagen und E-Mails, ITBR 2006, 59 ff. Märker, Oliver/Wehner, Josef: E-Participation: Gewinnung bürgerschaftlicher Expertise zur Qualifikation von Planungs- und Entscheidungsprozessen, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 367 ff. Maunz, Theodor/Zippelius, Reinhold: Deutsches Staatsrecht, 30. Auflage, München 1998. Mayer, Manfred: E-Government – Perspektive 2015, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 55 ff. Mayer, Patrick G.: Das Internet im öffentlichen Recht, Tübinger Schriften zum Staatsund Verwaltungsrecht, Bd. 48, Tübingen 1999. Mehrings, Josef: Vertragsabschluss im Internet. Eine Herausforderung für das „alte“ BGB, MMR 1998, 30 ff. Meinel, Christoph/Sack, Harald: WWW. Kommunikation, Internetworking, Web-Technologien, Berlin 2004. Melullis, Klaus-J.: Zum Regelungsbedarf bei der elektronischen Willenserklärung, MDR 1994, 109 ff.

378

Literaturverzeichnis

Meyer, Patrick: Privatheit im Netz, in: H. Kubicek/D. Klumpp/A. Büllesbach/G. Fuchs/ A. Roßnagel, Innovation@Infrastruktur – Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2002, S. 87 ff. Meyer, Sebastian: Cookies & Co. – Datenschutz und Wettbewerbsrecht“, WRP 2002, S. 1028 ff. Meyer-Goßner, Lutz: Kommentierung der §§ 94,152,161 StPO, in: T. Kleinknecht/ L. Meyer-Goßner (Hrsg.), Strafprozessordnung, 44. Auflage, München 1999; 45. Auflage, München 2001. Micklitz, Hans-Werner: Fernabsatz und E-Commerce im Schuldrechtsmodernisierungsgesetz, EuZW 2001, 133 ff. Mommsen, Theodor: Römische Geschichte I, Könige und Konsuln. Von den Anfängen bis zum Untergang der Republik, 1856, bearbeitet von H. Leonhardt, Gütersloh (ohne Jahresangabe, ca. 1985). Möncke, Ulrich: Data Warehouses – Eine Herausforderung für den Datenschutz?, DuD 1998, 561 ff. Montesquieu, Charles de: Vom Geist der Gesetze, ed. Weigand, 1965. Mössle, Wilhelm: Gefahrenabwehr als Aufgabe der Polizei, in: H.-U. Gallwass/W. Mössle: Bayerisches Polizei- und Sicherheitsrecht, 2. überarbeitete Auflage, Stuttgart/ München/Hannover/Berlin/Weimar/Dresden 1996, S. 21 ff. Müller, Carsten: Internationales Privatrecht und Internet, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, Berlin 1999, S. 259 ff. Müller-Terpitz, Ralf: Verantwortung und Haftung der Anbieter, in: D. Kröger/M. A. Gimmy, Handbuch zum Internet-Recht. Electronic Commerce, Informations-, Kommunikations- und Mediendienste, Berlin 2000, S. 167 ff. Müller-Using, Detlef/Lücke, Richard: Neues Recht für Multimedia-Dienste, ArchivPT 1997, 101 ff. Murswiek, Dietrich: Kommentierung des Art. 2 Abs. 1 GG, in: M. Sachs (Hrsg.), Grundgesetz Kommentar, München 1996. Nipperdey, Hans-Carl: Die Würde des Menschen, in: F. L. Neumann/H. C. Nipperdey/ U. Scheuner (Hrsg.), Die Grundrechte, Bd. II, Berlin 1954, S. 1 ff. – Grundrechte und Privatrecht, in: Kölner Universitätsreden, 24, Krefeld 1961. Ochsenbein, Andreas: Strafrechtliche Aspekte des Internet: Lösungen und Möglichkeiten, in: P. Heinzmann/A. Ochsenbein, Kriminalistik, Köln 1998. Ohlenburg, Anna: Der neue Telekommmunikationsdatenschutz – Eine Darstellung von Teil 7 Abschnitt 2 TKG, MMR 2004, 431 ff. Ohly, Ansgar: „Volenti non fit iniuria“. Die Einwilligung im Privatrecht, Tübingen 2002. Opaschowski, Horst-Werner: Generation@ – Die Medienrevolution entlässt ihre Kinder: Leben im Informationszeitalter, Hamburg 1999. Ossenbühl, Fritz: Die Interpretation der Grundrechte in der Rechtsprechung des Bundesverfassungsgerichts, NJW 1976, 2100 ff.

Literaturverzeichnis

379

Pabst, Angela: Die athenische Demokratie, München 2003. Papier, Hans-Jürgen: Grundgesetz und Wirtschaftsordnung, in: E. Benda/W. Maihofer/ H.-J. Vogel (Hrsg.), Handbuch des Verfassungsrechts der Bundesrepublik Deutschland, 2. Auflage, Berlin 1994, § 18, S. 799 ff. Pelz, Christian: Die strafrechtliche Verantwortlichkeit von Internet-Providern, ZUM 1998, 530 ff. Perrey, Elke: Gefahrenabwehr und Internet, Berlin 2003. Peters, Hans: Das Recht auf freie Entfaltung der Persönlichkeit in der höchstrichterlichen Rechtsprechung, Köln/Opladen 1963. Petri, Thomas Bernhard: Kommerzielle Datenverarbeitung und Datenschutz im Internet. Lässt sich der internationale Datenhandel im Netz noch kontrollieren?, in: C. Schulzki-Haddouti, Bürgerrechte im Netz, Bonn 2003, S. 71 ff. – Sind Scorewerte rechtswidrig?, DuD 27 (2003), S. 631 ff. Picot, Arnold/Reichwald, Ralf/Wigand, Rolf: Die grenzenlose Unternehmung, Wiesbaden 2000. Pieroth, Bodo/Schlink, Bernhard: Grundrechte – Staatsrecht II, 19. Auflage, Heidelberg 2003. Podlech, Adalbert: Das Recht auf Privatheit, in: J. Perels (Hrsg.), Grundrechte als Fundamente der Demokratie, Frankfurt am Main 1979, S. 68 ff. Podlech, Adalbert/Pfeifer, Michael: Die informationelle Selbstbestimmung im Spannungsverhältnis moderner Werbestrategien, RDV 1998, 139 ff. Popp, Andreas: „Phishing“, „Pharming“ und das Strafrecht, MMR 2006, 84 ff. Popper, Karl R.: Bemerkungen zu Theorie und Praxis des demokratischen Staates, München 1988. Post-Ortmann, Karin: Der Arbeitgeber als Anbieter von Telekommunikations- und Telediensten, RDV 1999, 102 ff. Preis, Ulrich: Kommentierung des § 106 GewO, in R. Müller-Glöge//I. Schmidt, Erfurter Kommentar zum Arbeitsrecht, 9. Auflage, München 2009. Rachor, Frederik: Das Polizeihandeln, in: H. Lisken/E. Denninger (Hrsg.), Handbuch des Polizeirechts, München 1996, Kap. F. – Vorbeugende Straftatenbekämpfung und Kriminalakten. Zur Aufbewahrung und Verwendung von Informationen aus Strafverfahren durch die Polizei, Baden-Baden 1989. Randelzhofer, Albrecht: Staatsgewalt und Souveränität, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. II, Verfassungsstaat, 3. Auflage, Heidelberg 2004, § 17, S. 143 ff. Redeker, Helmut: Geschäftsabwicklung mit externen Rechnern im Bildschirmtextdienst, NJW 1984, 2390 ff. Reich, Robert B.: Die neue Weltwirtschaft. Das Ende der nationalen Ökonomie, Frankfurt am Main 1997.

380

Literaturverzeichnis

Reisen, Andreas: Identity Management und der elektronische Personalausweis, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 165 ff. Rieß, Joachim: Globalisierung und Selbstregulierung, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 333 ff. Rifkin, Jeremy: Access. Das Verschwinden des Eigentums, Frankfurt am Main/New York 2000. Ring, Wolf-Dieter: Rundfunk und Internet, ZUM 1998, 358 ff. Rinker, Mike: Strafbarkeit und Strafverfolgung von „IP-Spoofing“ und „Portscanning“, MMR 2002, 663 ff. Robbers, Gerhard: Gerechtigkeit als Rechtsprinzip. Über den Begriff der Gerechtigkeit in der Rechtsprechung des Bundesverfassungsgerichts, Baden-Baden 1980. – Sicherheit als Menschenrecht. Aspekte der Geschichte, Begründung und Wirkung einer Grundrechtsfunktion, Baden-Baden 1987. Roessler, Thomas: Internet: Das Netz der Netze, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, Berlin 1999, S. 1 ff. Rogall, Klaus: Informationseingriff und Gesetzesvorbehalt im Strafprozessrecht, 1. Auflage, Berlin 1992. Rohlf, Dietwald: Der grundrechtliche Schutz der Privatsphäre. Zugleich ein Beitrag zur Dogmatik des Art. 2 Abs. 1 GG, Berlin 1980. Röhrig, Stefan: Die zeitliche Komponente der Begriffe Gefahr und Gefahrenabwehr und ihre Konkretisierung bei Grundwasserverunreinigungen, DVBl 2000, 1650 ff. Roßnagel, Alexander (Hrsg.): Evaluierung des TDDSG, DuD 1999, 250 ff. – Ansätze zur Modernisierung des Datenschutzrechts, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2001, S. 241 ff. – Die Zukunft des Datenschutzes, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2001, S. 230 ff. – Recht der digitalen Signaturen 2000, in: H. Kubicek/D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft, Heidelberg 2001, S. 513. ff. – Das elektronische Verwaltungsverfahren – Das Dritte Verwaltungsverfahrensänderungsgesetz, NJW 2003, 469 ff. – Die fortgeschrittene elektronische Signatur, MMR 2003, S. 164. – Handbuch Datenschutzrecht, München 2003. Rötzer, Florian: Öffentlichkeit außer Kontrolle, in: H. Kubicek/D. Klumpp/G. Fuchs/ A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 28 ff.

Literaturverzeichnis

381

Rousseau, Jean-Jacques: Du Contract Social ou Principes du Droit Politique, 1762, Vom Gesellschaftsvertrag oder Grundsätze des Staatsrechts, ed. H. Brockard, Stuttgart 1986. Roxin, Claus: Strafverfahrensrecht, 25. Auflage, München 1998. Rüpke, Giselher: Der verfassungsrechtliche Schutz der Privatheit. Zugleich ein Versuch pragmatischen Grundrechtsverständnisses, Baden-Baden 1976. Rupp, Hans Heinrich: Die Unterscheidung von Staat und Gesellschaft, in: J. Isensee/ P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. I, Heidelberg 1987, S. 1198 ff. Ruthig, Josef: Verfassungsrechtliche Grenzen der heimlichen Datenerhebung aus Wohnungen. Zugleich Besprechung von BVerfG, Urteil v. 3.3.2004, GA 2004, 587 ff. Sack, Rolf: Herkunftslandprinzip und internationale elektronische Werbung nach der Novellierung des Teledienstegesetzes (TDG), WRP 2002, 271 ff. Saenger, Ingo: Kommentierung des § 433 BGB, in: H. Dörner/I. Ebert/J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. Sanchez-Hermosilla, Fernandez: Neues Strafrecht für den Kampf gegen Computerkriminalität, CR 2001, 109 ff. Satzger, Helmut: Strafrechtliche Verantwortlichkeit von Zugangsvermittlern, CR 2001, 109 ff. Savigny, Friedrich Carl von: Das System des heutigen Römischen Rechts, Bd. I, Berlin 1840. Schaar, Peter: Datenschutzfreier Raum Internet?, CR 1996, 170 ff. – Persönlichkeitsprofile im Internet, DuD 2001, 383 ff. – Datenschutz im Internet. Die Grundlagen, München 2002. – Datenschutz, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 441 ff. Schachtschneider, Karl Albrecht: Das Sozialprinzip. Zu seiner Stellung im Verfassungssystem des Grundgesetzes, Bielefeld 1974. – Staatsunternehmen und Privatrecht. Kritik der Fiskustheorie, exemplifiziert an § 1 UWG, Berlin 1986. – Der Rechtsbegriff „Stand von Wissenschaft und Technik“ im Atom- und Immissionsschutzrecht, in: Werner Thieme (Hrsg.), Umweltschutz im Recht, Berlin 1988, S. 81 ff. – Das Maastricht-Urteil. Die neue Verfassungslage der Europäischen Gemeinschaft, Recht und Politik 1994, S. 1 ff. – Res publica res populi. Grundlegung einer Allgemeinen Republiklehre. Ein Beitrag zur Freiheits-, Rechts- und Staatslehre, Berlin 1994. – Die existentielle Staatlichkeit der Völker Europas und die staatliche Integration der Europäischen Union. Ein Beitrag zur Lehre vom Staat nach dem Urteil des Bundes-

382

Literaturverzeichnis

verfassungsgerichts zum Vertrag über die Europäische Union von Maastricht, in: K. A. Schachtschneider/W. Blomeyer (Hrsg.), Die Europäische Union als Rechtsgemeinschaft, Berlin 1995, S. 75 ff. – (Gast, Olaf): Sozialistische Schulden nach der Revolution. Kritik der Altschuldenpolitik. Ein Beitrag zur Lehre von Recht und Unrecht, Berlin 1996. – Verbände, Parteien und Medien in der Republik des Grundgesetzes, in: Bürger fragen Journalisten e.V. (Hrsg.): Die Rolle der Medien im Gefüge des demokratischen Verfassungsstaates, Erlangen 1997, S. 81 ff. – Grundgesetzliche Aspekte der freiberuflichen Selbstverwaltung, Die Verwaltung 31 (1998), S. 139 ff. – Produktwarnung der Bundesregierung (Glykol-Skandal), in: ders., Fallstudien zum Öffentlichen Wirtschaftsrecht, 3. Auflage, Nürnberg 2003, S. 83 ff. – Umweltschutz (FCKW-Verbot), in: ders., Fallstudien zum Öffentlichen Wirtschaftsrecht, 3. Auflage, Nürnberg 2003, S. 303 ff. – Der Anspruch auf materiale Privatisierung. Exemplifiziert am Beispiel des staatlichen und kommunalen Vermessungswesens in Bayern, Berlin 2005. – Das Sittengesetz und die guten Sitten (1993), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, Berlin 2005, S. 90 ff. – Der Rechtsbegriff „Stand von Wissenschaft und Technik“ im Atom- und Immissionsschutzrecht (1988), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, Berlin 2005, S. 121 ff. – Die Würde des Menschen – Fundamente von Ethik und Politik in der Republik (2004), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, Berlin 2005, S. 13 ff. – Medienmacht vs. Persönlichkeitsschutz (2005), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, Berlin 2005, S. 268 ff. – Sittlichkeit und Moralität – Fundamente von Ethik und Politik in der Republik (2004), in: ders., Freiheit – Recht – Staat. Eine Aufsatzsammlung zum 65. Geburtstag, hrsg. v. D. I. Siebold/A. Emmerich-Fritsche, Berlin 2005, S. 23 ff. – Prinzipien des Rechtsstaates, Berlin 2006. – Freiheit in der Republik, Berlin 2007. Schaffland, Hans-Jürgen/Wiltfang, Noeme: Bundesdatenschutzgesetz Kommentar, Loseblattsammlung, Berlin 2004 Schallbruch, Martin: E-Government 2.0: Das Programm des Bundes, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007. S. 23 ff. Scheller, Martin/Boden, Klaus-Peter/Geenen, Andreas/Kampermann, Joachim: Internet: Werkzeuge und Dienste. Von „Archie“ bis „World Wide Web“, Berlin 1994.

Literaturverzeichnis

383

Schenke, Wolf-Rüdiger: Polizei- und Ordnungsrecht, in: U. Steiner (Hrsg.), Besonderes Verwaltungsrecht, 7. Auflage, Heidelberg 2003, Kap. 2. Scherer, Joachim: „Online“ – zwischen Telekommunikations- und Medienrecht, AfP 1996, 213. Schink, Alexander: Wasserrechtliche Probleme der Sanierung von Altlasten, DVBl. 1986, S. 161 ff. Schliesky, Utz: Schleswig-Holstein: E-Government durch Recht, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 48 ff. Schmid, Carlo: Erinnerungen, in: Gesammelte Werke in Einzelausgaben, Bd. 3, Bern, München, Wien 1979. Schmidl, Michael: E-Mail Filterung am Arbeitsplatz, MMR 2005, 343 ff. Schmitt Glaeser, Walter: Schutz der Privatsphäre, in: J. Isensee/P. Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland, Bd. VI, Freiheitsrechte, Heidelberg 1989, § 129, S. 41 ff. Schmitz, Peter: TDDSG und das Recht auf informationelle Selbstbestimmung, 1. Auflage, München 2000. – Kommentierung des Abschnitt 1 TMG – Allgemeine Bestimmungen, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008. – Kommentierung der §§ 1, 13 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008. Schneider, Gerhard: Die Wirksamkeit der Sperrung von Internet-Zugriffen, MMR 1999, 571 ff. Schneider, Jochen/Günther, Andreas: Haftung für Computerviren, CR 1997, 389 ff. Schneier, Bruce: Applied Cryptography. Protocols, Algorithms and Source Code in C, 2nd edition, New York/Chichester/Brisbane/Toronto/Singapore, 1996. Schoch, Friedrich: Polizei- und Ordnungsrecht, in: E. Schmidt-Aßmann (Hrsg.), Besonderes Verwaltungsrecht, 12. Auflage, Berlin/New York 2003, Kap. 2. – Grundfälle zum Polizei- und Ordnungsrecht, 4. Teil: Gefahrenabwehr nach der Generalklausel, JuS 1994, 667 ff. Scholz, Rupert: Das Grundrecht der freien Entfaltung der Persönlichkeit in der Rechtsprechung des Bundesverfassungsgerichts, AöR 100 (1975), S. 80 ff., 265 ff. – Kommentierung des Art. 12 GG, in: T. Maunz/G. Dürig, Grundgesetz Kommentar, München 1999. Schramm, Wilbur: The Nature of Communication between Humans, in: ders./Roberts, D. F. (Hrsg.), The Process and Effects of Mass Communication, Illinois 1971, S. 3 ff. Schreibauer, Marcus: Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internetrecht. Electronic Commerce, Informations-, Kommunikations- und Mediendienste, 1. Auflage, Berlin 2000, S. 589 ff.

384

Literaturverzeichnis

– Strafrechtliche Verantwortlichkeit für Delikte im Internet, in: D. Kröger/M. A. Gimmy, Handbuch zum Internet-Recht. Electronic Commerce, Informations-, Kommunikations- und Mediendienste, Berlin 2000, S. 582 ff. Schulz, Winfried: Kommunikationsprozess, in: E. Noelle-Neumann/W. Schulz/J. Wilke: Fischer Lexikon – Publizistik/Massenkommunikation, Konstanz 2000. Schulz, Wolfgang: Rechtsfragen des Datenschutzes bei Online-Kommunikation, Düsseldorf 1998. – Das TDDSG – erster Schritt zum „Digial Millenium Data Protection Act“?, in: H. Kubicek/H. J: Braczyk/D. Klumpp/G. Müller/W. Neu/E. Raubold/A. Roßnagel (Hrsg.), Jahrbuch Telekommunikation und Gesellschaft 1999: Multimedia@ Verwaltung, Heidelberg 1999, S. 202 ff. Schulze, Reiner: Kommentierung der §§ 125, 242, 280, 675 BGB, in: H. Dörner/ I. Ebert/J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/ A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. Schulze-Fielitz, Helmuth: Kommentierung des Art. 5 GG in: H. Dreier (Hrsg.), Grundgesetz, Bd. 1, 2. Auflage, Tübingen 2004. Schulze-Heiming, Ingeborg: Der strafrechtliche Schutz der Computerdaten gegen die Angriffsformen der Spionage, Sabotage und des Zeitdiebstahls, Münster 1995. Schwabe, Jürgen: Probleme der Grundrechtsdogmatik, Darmstadt 1977. Schwartz, Paul M./Reidenberg, Joel R.: Data Privacy Law. A Study of United States Data Protection, Charlottesville (Virginia) 1996. Schweppe, Thomas: Die digitale Signatur – Verfahren und systematische Einordnung, in: T. Hoeren/R. Queck, Rechtsfragen der Informationsgesellschaft, Berlin 1999, S.120 ff. Seidl-Hohenveldern, Ignaz: Völkerrecht, 9. Auflage, Köln/Berlin/Bonn/München 1997. Selmer, Peter: Der Begriff der Verursachung im allgemeinen Polizei- und Ordnungsrecht, JuS 1992, S. 97 ff. Senne, Petra: Arbeitsrecht, 4. Auflage, München 2007. Sieber, Ulrich: Cyberlaw: Die Entwicklung im deutschen Recht, in R. Cheswick/S. M. Bellovin, Firewalls und Sicherheit im Internet, Bonn 1996, S. 283 ff. – Strafrechtliche Verantwortlichkeit für den Datenverkehr in internationalen Computernetzen, JZ 1996, 429 ff. und 494 ff. – Kontrollmöglichkeiten zur Verhinderung rechtswidriger Inhalte in Computernetzen, CR 1997, S. 597 f. – Die Verantwortlichkeit von Internet-Providern im Rechtsvergleich, ZUM 1999, 196 ff. – Internationales Strafrecht im Internet – Das Territorialitätsprinzip der §§ 3, 9 StGB im globalen Cyberspace, NJW 1999, 2065 ff. – Strafrecht und Strafprozessrecht, in: T. Hoeren/U. Sieber (Hrsg.), Handbuch Multimedia-Recht, Teil 19, München 1999, Rdn. 430 ff.

Literaturverzeichnis

385

– Verantwortlichkeit im Internet – Technische Kontrollmöglichkeiten und multimediarechtliche Regelungen, München 1999. – Staatliche Regulierung, Strafverfolgung und Selbstregulierung: Für ein neues Bündnis zur Bekämpfung rechtswidriger Inhalte im Internet, in: M. .Machill/J. Waltermann (Hrsg.), Verantwortung im Internet – Selbstregulierung und Jugendschutz, Gütersloh 2000, S. 345 ff. – Die Bekämpfung von Hass im Internet, ZRP 2001, 100 ff. Siegrist, Dave: Hoheitsakte auf fremdem Staatsgebiet, Zürich 1987. Simitis, Spiros: Die EU-Datenschutzrichtlinie: Stillstand oder Anreiz?, NJW 1997, 281 ff. – Auf dem Weg zu einem neuen Datenschutzkonzept, DUD 2000, 720 ff. – Einleitung, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Frankfurt am Main 2003. – Kommentierung der §§ 1, 4a, 7, 8, 44 BDSG, in: ders. (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Frankfurt am Main 2003. Sokol, Bettina: Kommentierung der §§ 4, 13 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. völlig neu bearbeitete Auflage, Frankfurt am Main 2003. Spiegel, Gerhard: Spuren im Netz – Welche Spuren der Internet-Nutzer hinterlässt und wie man sie vermeiden kann, DuD 27 (2003), S. 265. Spindler, Gerald: Störerhaftung im Internet, K&R 1998, S. 177 ff. – Internationale Kapitalmarktangebote und Dienstleistungen im Internet, WM 2001, 1689 ff. Spindler, Gerald/Klöhn, Lars: Neue Qualifikationsprobleme im E-Commerce – Verträge über die Verschaffung digitalisierter Informationen als Kaufvertrag, Werkvertrag, Verbrauchsgüterkauf, CR 2003, S. 81 ff. Spindler, Gerald/Nink, Judith: Kommentierung der §§ 12, 13, 14, 15 TMG, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008. Spindler, Gerald/Volkmann, Uwe: Die öffentlich-rechtliche Störerhaftung der AccessProvider im Internet, K&R 2002, 398 ff. Spindler, Gerald/Wiebe, Andreas: Internet-Auktionen, München 2001. Stach, Heike: Bürger-Portale: Für eine sichere und verbindliche Präsenz von Bürgerinnen und Bürgern im Internet; in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 155 ff. Stadler, Thomas: Haftung für Informationen im Internet, Berlin 2002. – Sperrungsverfügungen gegen Access-Provider, MMR 2002, 343 ff. Stallings, William: Sicherheit im Datennetz, München 1995.

386

Literaturverzeichnis

Starck, Christian: Menschenwürde als Verfassungsgarantie im modernen Staat, JZ 1981, S. 457 ff. – Kommentierung des Art. 2 Abs. 1 GG, in: H. v. Mangoldt/F. Klein/C. Starck (Hrsg.), Kommentar zum Grundgesetz, Bd. 1, München 2005. Staudinger, Ansgar: Kommentierung der §§ 823, 826 BGB, in: H. Dörner/I. Ebert/ J. Eckert/T. Hoeren/R. Kemper/I. Saenger/H. Schulte-Nölke/R. Schulze/A. Staudinger, Bürgerliches Gesetzbuch. Handkommentar, 2. Auflage, Baden-Baden 2002. Steckler, Brunhilde: Grundzüge des IT-Rechts. Das Recht der Datenverarbeitung und der Online-Dienste, 2. Auflage, München 2006. Stern, Klaus: Das Staatsrecht der Bundesrepublik Deutschland, Bd. II, Staatsorgane, Staatsfunktionen, Finanz- und Haushaltsverfassung, Notstandsverfassung, 1. Auflage, München 1980. – Das Staatsrecht der Bundesrepublik Deutschland, Bd. I, Grundbegriffe und Grundlagen des Staatsrechts, Strukturprinzipien der Verfassung, 2. Auflage, München 1984. Sternberger, Dolf: Drei Wurzeln der Politik, Schriften Bd. II, 1 und II, 2, Frankfurt am Main 1978. Strömer, Tobias H.: Online-Recht. Rechtsfragen im Internet, 3. Auflage, Heidelberg 2002; 4. Auflage Heidelberg 2006. Sutschet, Holger: Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97 ff. Tanenbaum, Andrew S.: Computer Networks, 3. ed., New Jersey 1996. Tapscott, Don: Die digitale Revolution. Verheißungen einer vernetzten Welt. Die Folgen für Wirtschaft, Management und Gesellschaft, Wiesbaden 1996. Taraschka, Klaus: „Auslandsübermittlung“ personenbezogener Daten im Internet – Auswirkungen des Urteils des EuGH v. 6.11.2003 – Rs. C-101/01 – Bodil Lindqvist auf die Auslegung deutschen Rechts, CR 2004, 280 ff. Tauss, Jörg/Kollbeck, Johannes/Fazlic, Nermin: Datenschutz und IT-Sicherheit – zwei Seiten derselben Medaille, in: G. Müller/M. Reichenbach (Hrsg.), Sicherheitskonzepte für das Internet, Berlin 2001, S. 193 ff. Tauss, Jörg/Özdemir, Cern: Umfassende Modernisierung des Datenschutzrechts. Rotgrünes Reformprojekt und Modellprojekt der digitalen Demokratie, in: H. Kubicek/ D. Klumpp/G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 233 ff. Tinnefeld, Marie-Theres/Ehmann, Eugen: Einführung in das Datenschutzrecht, 3. Auflage, München/Wien 1998; 4. Auflage, München/Wien 2005. Trute, Hans-Heinrich: Der Schutz personenbezogener Informationen in der Informationsgesellschaft, JZ 1998, 822 ff. Valerius, Brian: Ermittlungsmaßnahmen im Internet, JR 2007, 275 ff. Van Eimeren, Birgit/Frees, Beate: ARD/ZDF-Online-Studie 2008, in: Media Perspektiven 7/2008, 330 ff.

Literaturverzeichnis

387

Vassilaki, Irini: Anmerkung zum Beschluss des OVG Münster vom 19.03.2003 – 8 B 2567/02, CR 2003, 367 ff. Vief, Bernhard: Digitales Geld, in: F. Rötzer (Hrsg.), Digitaler Schein. Ästhetik der elektronischen Medien, Frankfurt am Main 1991, S. 117 ff. Vitzthum, Wolfgang Graf: Die Menschenwürde als Verfassungsbegriff, JZ 1985, S. 201 ff. Vogelsang, Klaus: Grundrecht auf informationelle Selbstbestimmung?, Baden-Baden 1987. Volkmann, Christian: Der Störer im Internet, München 2005. Wächter, Michael: Rechtliche Grundstrukturen der Datenverarbeitung im Auftrag, CR 1991, 333. – Datenschutz im Unternehmen, 3. Auflage, München 2003. Waechter, Kay: Die Schutzgüter des Polizeirechts, NVwZ 1997, S. 729 ff. Walz, Stefan: Kommentierung des § 11 BDSG, in: S. Simitis (Hrsg.), Kommentar zum Bundesdatenschutzgesetz, 5. Auflage, Baden-Baden 2003. Wanckel, Endress: Persönlichkeitsschutz in der Informationsgesellschaft, Frankfurt am Main, 1998. Warntjen, Maximilian: Die verfassungsrechtlichen Anforderungen an eine gesetzliche Regelung der Online-Durchsuchung, Jura 2007, 581 ff. Warren, Samuel D./Brandeis, Louis D.: The Right to Privacy, Harvard Law Review 1890, 193 ff. Weber, Juliane: Mit undurchsichtigen Methoden zum durchsichtigen Verbraucher? Eine wettbewerbsrechtliche Analyse neuer Marketingmethoden zur gezielten Verbraucherwerbung im Internet, DuD 27 (2003), 625 ff. Weede, Erich: Mensch, Markt und Staat – Plädoyer für eine Wirtschaftsordnung für unvollkommene Menschen, Stuttgart 2003. Weichert, Thilo: Datenschutzrechtliche Probleme beim Adresshandel, WRP 1996, 522 ff. – Datenschutz als Verbraucherschutz, DuD 2001, 264 ff. – Grundrechte in der Informationsgesellschaft, DuD 24 (2002), 2. – Persönlichkeitsprofile und Datenschutz bei CRM, RDV 2003, 113 ff. Weinem, Wolfgang: Die moderne Überwachung der Telekommunikation. Möglichkeiten und Grenzen im gesetzlichen Rahmen, in: Bundeskriminalamt (Hrsg.), Festschrift für Horst Herold zum 75. Geburtstag, Wiesbaden 1998, S. 451 ff. Weiser, Beate: Verbraucherschutz im Electronic Commerce, in: H. Kubicek/D. Klumpp/ G. Fuchs/A. Roßnagel (Hrsg.), Internet@future. Jahrbuch Telekommunikation und Gesellschaft 2001, Heidelberg 2001, S. 343 ff. Weißnicht, Elmar: Die Nutzung des Internet am Arbeitsplatz, MMR 7 (2003), 448 ff. Wendt, Rudolf: Kommentierung des Art. 5 GG, in I. v. Münch/P. Kunig (Hrsg.), Grundgesetz-Kommentar, Bd. 1, 5. Auflage, München 2000.

388

Literaturverzeichnis

Werner, Ulrich: Befugnisse der Sicherheitsbehörden nach dem neuen Telekommunikationsrecht, in: Hamburgischer Datenschutzbeauftragter (Hrsg.), Datenschutz bei Multimedia und Telekommunikation, 3. Auflage, Hamburg 1998. Wessels, Johannes/Beulke, Werner: Strafrecht – Allgemeiner Teil. Die Straftat und ihr Aufbau, 31. neu bearbeitete Auflage, Heidelberg 2001. Wessels, Johannes/Hettinger, Michael: Strafrecht Besonderer Teil/1 – Straftaten gegen Persönlichkeits- und Gemeinschaftswerte, 28. Auflage, Heidelberg 2004. Wessels, Johannes/Hillenkamp, Thomas: Strafrecht. Besonderer Teil/2. Straftaten gegen Vermögenswerte, 24. Auflage, Heidelberg 2001. Weßlau, Edda: Vorfeldermittlungen, Berlin 1989. Wichert, Michael: Web-Cookies – Mythos und Wirklichkeit DuD 1998, 273 ff. Wien, Andreas: Internetrecht. Eine praxisorientierte Einführung, 1. Auflage, Wiesbaden 2008. Wiese, Markus: Unfreiwillige Spuren im Netz, in: H. Bäumler (Hrsg.), E-Privacy – Datenschutz im Internet, Wiesbaden 2000, S. 9 ff. Wietzorek, Michael: Der Beweis des Zugangs von Anhängen in E-Mails, MMR 2007, 156 ff. Will, Martin: Wahlen und Abstimmungen via Internet und die Grundsätze der allgemeinen und gleichen Wahl, CR 2003, 126 ff. Wimmer, Maria A.: Beiträge der Wissenschaft zur erfolgreichen E-Government-Umsetzung, in: A. Zechner (Hrsg.), Handbuch E-Government, Stuttgart 2007, S. 76 ff. Wimmer, Norbert: Die Verantwortlichkeit des Online-Providers nach dem neuen Multimediarecht – zugleich ein Überblick über die Entwicklung der Rechtsprechung seit dem 1.8.1997, ZUM 1999, 436 ff. Wimmer, Norbert/Michael, Gerhard: Der Online-Provider im neuen Multimediarecht, Baden-Baden 1998. Wind, Irene: Haftung bei der Verarbeitung personenbezogener Daten, RDV 1991, 16 ff. Wittig, Petra: Die datenschutzrechtliche Problematik der Anfertigung von Persönlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59 ff. Wohlgemuth, Hans H.: Datenschutzrecht. Eine Einführung mit praktischen Fällen, Neuwied 1992. Wolters, Sabine: Einkauf via Internet: Verbraucherschutz durch Datenschutz, DuD 7 (1999), 277 ff. Wuermeling, Ulrich/Felixberger, Stefan: Staatliche Überwachung der Telekommunikation, CR 1997, 555 ff. Zimmermann, Andreas: Polizeiliche Gefahrenabwehr und das Internet, NJW 1999, 3145 ff. Zimmermann, Andreas/Stender-Vorwachs, Jutta: Kommentierung des § 59 RStV, in: G. Spindler/F. Schuster (Hrsg.), Recht der elektronischen Medien – Kommentar, München 2008.

Literaturverzeichnis

389

Zippelius, Reinhold: Allgemeine Staatslehre, 12. Auflage, München 1994. – Recht und Gerechtigkeit in der offenen Gesellschaft, 2. Auflage, Berlin 1996. Zöller, Marc Alexander: Verdachtslose Recherchen und Ermittlungen im Internet, GA 2000, 563 ff. Zscherpe, Manfred: Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, S. 723 ff.

Internetquellen und sonstige Materialien Bundesamt für Sicherheit in der Informationstechnik (BSI): Datenschutzgerechtes EGovernment – Handlungsempfehlungen, in: Handbuch E-Government, Seite 12, abrufbar unter https://www.bsi.bund.de/cae/servlet/contentblob/476812/publication File/28039/2_Daten_pdf.pdf, Stand 21.6.2011. Bundesbeauftragter für den Datenschutz (BfD): Tätigkeitsbericht 2001–2002 – 19. Tätigkeitsbericht, BT-Drs. 15/888. Convention on Cyber Crime vom 23.11.2001 (ETS 185), abrufbar unter http://conven tions.coe.int/Treaty/EN/Treaties/html/185.htm, Stand 20.06.2011. Council of Europe, Committee of Ministers to Member States for the Protection of Privacy on the Internet, Recommendation No.R (99) 5, abrufbar unter https:// wcd.coe.int/wcd/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet& InstranetImage=276580&SecMode=1&DocId=396826&Usage=2, Stand 01.06.2011. Ebay bestätigt große Sicherheitslücken, Süddeutsche Zeitung 22.09.04, S. 12. E-Government 2.0 – Programm des Bundes, Bundesministerium des Inneren, OnlineDokument, abrufbar unter http://www.cio.bund.de/DE/EGovernment/egovernment_ node.html, Stand 20.06.2011. emnid, (N)ONLINER Atlas 2004, abrufbar unter www.nonliner-atlas.de, Stand 20.06. 2011. Ginsburg, Hans J.: Das schwarze Loch der Globalisierung, in: Wirtschaftswoche 10 (2006), S. 56 f. Haftung des Internetauktionsveranstalters bei Markenrechtsverstößen privater Auktionsteilnehmer – Rolex/ricardo.de, BB 2005, 293 f. Heise-Online: Gericht verbietet eBay, Identitätsklau zu dulden, heise-online news vom 07.12.2004, abrufbar unter http://www.heise.de/newsticker/meldung/Gericht-ver bietet-eBay-Identitaetsklau-zu-dulden120095.html, Stand 01.06.2011. Hetmank, Sven: Einführung in das Recht des Datenschutzes, JurPC Web-Dok. 67/2002, abrufbar unter www.jurpc.de/aufsatz/20020067.htm, Stand 01.06.2011. Hoeren, Thomas: Internetrecht, Online-Manuskript, Stand März 2009, abrufbar unter http://www.uni-muenster.de/Jura.itm/hoeren/materialien/Skript/Skript_Maerz2009. pdf, Stand 01.06.2011. – Internetrecht, Online-Manuskript, Stand April 2011, S. 362, abrufbar unter http:// www.unimuenster.de/Jura.itm/hoeren/materialien/Skript/Skript%20Internetrecht_ April_2011.pdf, Stand 01.06.2011.

390

Literaturverzeichnis

Hohensee, Matthias: Das Imperium, in: Wirtschaftswoche 10 (2006), S. 102 ff. Innenministerium Baden-Württemberg, Stellungnahme zur elektronischen Stimmabgabe vom 13.8.2001 – LT-Drs. 13/88, S. 4, abrufbar unter http://www.landtag-bw.de/ WP13/Drucksachen/0000/13_0088_d.pdf, Stand 21.6.2011. Institut der deutschen Wirtschaft Köln: Deutschland in Zahlen, Köln 2003. Kriminalstatistik für den Freistaat Bayern 2010, abrufbar unter http://www.polizei. bayern.de/content/6/4/9/krimstat2009.pdf, Stand 20.06.2011. (Leitsätze der Redaktion) EuGH: Personenbezogene Daten im Internet, MMR 2, 2004, S. 95 ff. LG München I: Veröffentlichung einer Anschrift im Internet, MMR 7 (2004), S. 499 f. Offenes Kaufhaus – Ebay Sicherheitslücke war bekannt, Süddeutsche Zeitung vom 28.09.04, S. 10. Phishing, Sicherheit + Management, Magazin für Safety und Security, 9 (2005), S. 60. Postinett, Axel/Schürmann, Hans: Verschwunden im Netz. 20 Jahre World Wide Web, Handelsblatt Ausgabe 51 vom 13./14./15.3.2009, S. 14. Rohleder, Jörg/Hirzel, Joachim: Google oder böse?, Focus 42 (2006), S. 223 ff. Schmidt, Walter: Google – Lustige Gugelei, in: Nürnberger Nachrichten vom 19./20.8. 2006, Magazin, S. 1. Statistisches Bundesamt: Immer mehr Haushalte mit PC – Sättigung bei Handys, Pressemitteilung vom 21. Dezember 2004, abrufbar unter http://www.destatis.de/jet speed/portal/cms/Sites/destatis/Internet/DE/Presse/pm/2004/12/PD04__540__ikt, templateId=renderPrint.psml, Stand 01.06.2011. Statistisches Bundesamt: Entwicklung der Informationsgesellschaft – IKT in Deutschland, Pressemitteilung Nr. 341 vom 29. August 2007, abrufbar unter http://www. destatis.de/jetspeed/portal/cms/Sites/destatis/Internet/DE/Presse/pm/2007/08/PD07 __341__63931,templateId=renderPrint.psml, Stand 20.06.2011. Statistisches Bundesamt: Wirtschaftsrechnungen – Private Haushalte in der Informationsgesellschaft – Nutzung von Informations- und Kommunikationstechnologien, abrufbar unter http://www.destatis.de/jetspeed/portal/cms/Sites/destatis/Internet/DE/ Content/Publikationen/Fachveroeffentlichungen/Informationschaft/PrivateHaushalte/ PrivateHaushteIKT2150400107004, property=file.pdf, Stand 01.06.2011. The International Bill of Human Rights, abrufbar unter www.ohchr.org/english/about/ publications/docs/fs2.htm, Stand 01.06.2011. www.teia.de, Recht im Internet, 2002.

Stichwortverzeichnis Abrechnungsdaten 103, 106, 145, 163, 195, 205, 207, 211 Abrechnungszweck 54, 107, 163, 196 Abwehrfunktion des Rechts 81 Access Provider 24, 50, 53, 84, 92, 106, 107, 188, 189, 196, 205, 219, 258, 264, 272, 274, 276, 277, 279–282, 297, 298, 301–303, 320, 323 Accountinhaber 44, 209 Achtung – der Grundrechte 231 – der Menschenwürde 20, 21, 45, 65, 73, 77, 118, 120, 127, 231, 236, 237, 326, 352, 353 – der Wohnung 67 – des Briefverkehrs 67 – des Menschen 68 – des Privat- und Familienlebens 67, 68 Adressdaten 146 Adresshandel 96, 153 Adressverzeichnis 40 Allgemeine Erklärung der Menschenrechte 65 Allgemeine Geschäftsbedingungen 228 Allgemeine Gesetze 24, 44, 114, 116, 230, 231, 298, 344 Allgemeine Gesetzlichkeit 117 Allgemeine Handlungsfreiheit 37, 355 Allgemeine, unmittelbare, freie, gleiche und geheime Wahl 180 Allgemeine Willkür 257 Allgemeines Persönlichkeitsrecht 19–22, 37, 38, 73–78, 83, 85, 94, 111, 119, 120, 133, 138, 139, 142, 152, 166, 184, 191, 194, 248, 256, 270, 271, 283, 291, 305 Allgemeinheit 23, 86, 109, 184, 255, 284, 303, 306, 322, 348, 351, 356

Allgemeininteresse 193, 234 Allgemeinwohl 115, 306 Amtshilfe 186, 192 Anbieter 43, 196, 197, 204–208, 221 Anbieterkennzeichnung 83, 147 Anbieter-Nutzer Verhältnis 156 Angemessenheit der Datenverarbeitung 150 Anlassfälle 23 Anonymisierung 35 Anonymität 221 Anspruch auf Unterlassung 41 Antragsdelikt 92 Anwendbare Rechtsgrundlagen 23 Anwendbarkeit – der Einwilligungsvorschrift 225 – des deutschen Strafrechts 331 – des Rechts 327 – nationaler rechtlicher Regelungen 72 Application-Schicht 59 Arbeitnehmer 242 Arbeitnehmerdaten 253 Arbeitnehmerdatenschutz 97, 246 Aufgabenbefugnisse der Polizei 286 Aufklärungspflicht 159 Aufsichtsbehörde 214 Auftragsdatenverarbeitung 96, 190 Auktionsplattform 207, 209 Auskunfteien 96, 134, 136 – Datenübermittlung 96 Auskunftsanspruch 103, 253, 324 – des Betroffenen 102, 153, 156 – gegenüber öffentlichen Stellen 155 Auskunftsdateien 153 Auskunftsrecht 83, 96, 130, 147, 152, 156, 213 Äußerungsdelikte 330

392

Stichwortverzeichnis

Austausch personenbezogener Daten 195 Authentifizierung 57, 60, 121, 157, 211 Automatisierte Datei 64 Automatisierte Einzelentscheidung 96, 134, 135, 188, 200, 201, 213 Automatisierte Verwaltungsentscheidung 189 Automatisiertes Abrufverfahren 136 Befugnis der Datenverarbeitung 204 Befugnis des Einzelnen 79 Befugnis-Generalklausel 311 Befugnisse der Strafverfolgungsbehörden 317 Behördlicher Datenzugriff 320 Behördliches Ermessen 297 Belangloses Datum 137 Benachrichtigung 160, 161 Benachrichtigungspflicht 159 Berechtigtes Interesse 136, 250 – des Betroffenen 193, 311 Bereich privater Lebensgestaltung 115 Berufsfreiheit 304, 305 Berufswahlentscheidung 304 Beschlagnahme 103, 317 Beseitigungsanspruch 270 Besondere Straftaten 87 Bestandsdaten 102, 103, 106–108, 112, 127, 132, 133, 175, 195, 205–207, 211, 213, 245, 268, 275, 308, 319 Beteiligte 47 Betriebsverfassungsgesetz 246 Betrug 90 Bewegungsdaten 208 Bundesarbeitsgericht 242 Bundesbürger 27, 28 Bundesdatenschutzgesetz 23, 24, 37, 64, 69, 92–95, 97, 102, 105, 108, 109, 112, 131, 133–136, 139, 141, 142, 146, 147, 149-151, 154–156, 161, 167, 169, 171, 174, 175, 190, 194–197, 199, 200, 204, 207, 212, 213, 215, 229, 245, 247, 249–251, 269, 275, 307, 309, 311, 313, 315, 320, 358

– Anwendbarkeit 95 – Novellierung 96 – Schutzbereich 95 – subsidiäre Anwendbarkeit 245 Bundesgerichtshof 74, 118, 219, 262, 321, 334 Bundesregierung 99 Bundesrepublik Deutschland 23, 69, 73, 92, 93, 99, 103, 137, 142, 176, 297, 326, 332, 341, 358 Bundesverfassungsgericht 22, 24, 36–38, 44, 74, 76, 78–80, 83, 86, 98, 115, 118, 119, 130, 131, 137–141, 143, 146, 148, 227, 228, 233, 236, 239, 252, 253, 289, 296, 304, 306–308, 310, 322, 324, 326, 329, 339, 340, 345, 347, 348, 351, 357, 360 Bürger 17, 19–22, 25, 73, 116, 117, 141, 173, 175, 177, 188, 238, 336, 340, 345, 353, 354 Bürgerliche Freiheitsrechte 18 Bürgerliches Gemeinwesen 114 Bürgerliches Recht 234, 286 Bußgeldtatbestand 92, 96, 97 Bußgeldvorschriften 95 Caching 261 Carrier 51 Chancengleichheit 180 Charta der Grundrechte der Europäischen Union 68, 110 Charta der Vereinten Nationen 65 Chat 28 Chatroom 49 Client 57 Client-Server-Modell 49, 50 Computerbetrug 87, 90, 312, 316, 333 Computerdelikt 312, 333 Computerdelikte 332 Computerkriminalität 89, 336 Computersabotage 87, 91, 313, 315, 333 Computerspionage 88 Computerviren 279

Stichwortverzeichnis Content Provider 24, 50–54, 92, 106, 108, 188, 196, 207, 258, 262–264, 267, 268, 270, 272, 274, 276, 280, 281, 297, 300, 301 Cookies 71, 124, 128 Cyber Crime Convention 339 Das gute Leben aller in allgemeiner Freiheit 21, 114, 226, 254, 344, 350, 359 Data Mining 125, 127 Data Warehouse 125, 213 Datei 48, 50, 126 – Sammlung 60 Daten 23, 26, 30, 39, 40, 42, 43, 45, 47, 50, 52, 98, 105, 106, 108, 118, 119, 121–126, 137, 140, 143, 156, 190, 215, 238, 241, 245, 248, 249, 276, 283, 294, 313, 314, 323, 324, 340, 348, 352, 360 – abgestufte Sensibilität 67 – Abgleich 36 – Abruf 26, 27, 276, 303, 321 – Analyse 128 – anlasslose Speicherung 324, 325 – Anonymisierung 145, 163, 251, 252, 311 – Auskunft 102 – Ausspähen 316 – Ausspähung 35, 87, 89, 126, 287, 316, 317, 334 – Austausch 27, 30, 41, 49, 53, 58, 59, 178, 186, 203, 210, 223, 242, 287 – Auswertung 30, 128, 130, 200, 288, 324, 352 – Authentizität 222, 343 – automatisierte Erhebung 173 – automatisierte Verarbeitung 39, 67, 106, 289 – Bereitstellung 27, 50, 279, 320 – Berichtigung 96, 162 – Berichtigung, Löschung und Sperrung 200 – Beschädigung 91 – dauerhafte Speicherung fremder Inhalte 264

– – – – – – – –

– – – – – – – – – – – – –

– – – – – – – –

393

dezentrale Verfügbarkeit 187 Eingabe 54 Eingang 58 Einsichtnahme 64 elektronische Verarbeitung 18, 40, 138, 198 Empfänger 193 Erforderlichkeit der Erhebung 267 Erhebung 19, 20, 36, 38, 41, 51, 54, 55, 70, 79, 80, 82, 95, 98, 102, 104, 106, 107, 109, 121, 122, 128, 132, 133, 139, 140, 144, 146, 148, 158, 165, 171, 178, 185, 187, 188, 192, 194, 196–198, 205, 206, 225, 227, 240, 242, 244, 245, 247–249, 251, 252, 263, 264, 267, 271, 283, 307, 323, 351, 355 Erhebung zum Zweck der Abrechnung 268 fremde 124 Geheimhaltung 42 geschäftsmäßige Erhebung 97 geschäftsmäßige Übermittlung 165 grenzüberschreitende Abrufbarkeit 39 Herausgabe 99 Integrität 111, 201, 223 Kryptographie 223 Löschung 84, 91, 96, 140, 162, 163, 295, 300, 302, 305 Manipulation 111, 313 manuelle Verarbeitung 94 Missbrauch 43, 87, 94, 109, 121, 213, 215, 224, 252, 257, 270, 288, 343, 349, 355, 356 natürlicher Personen 81 Nutzung 80, 82, 95, 130, 131, 140, 145, 164, 165, 190, 199, 205, 215, 327 Online-Übertragung 259 persönliche 18, 34, 36, 40, 46, 53, 54, 85, 111, 113, 138, 139, 166 Protokollierung 187 Pseudonymisierung 251 quantitative 54 rechtswidrige Erhebung 257, 289

394

Stichwortverzeichnis

– rechtswidrige Veränderung 92 – rechtswidrige Verarbeitung 53 – rechtswidrige Verwendung 111, 208, 209, 224, 251, 255, 287, 320 – Sammlung 30, 31, 35 – Sensibilität 108 – sensible 39 – Sicherheit 42 – Sicherung 52, 91, 105, 111, 155, 253, 343, 360 – Sparsamkeit 96 – Speicherung 19, 20, 23, 26, 30, 54, 79, 80, 82, 88, 95, 97, 98, 106, 108, 109, 121, 122, 132, 133, 137, 139, 140, 143, 144, 147, 150, 153, 154, 158, 160, 162, 171, 178, 180, 181, 185, 187, 188, 190, 196, 215, 225, 244, 245, 247, 251, 252, 264, 271, 275, 277, 279, 281, 303, 307, 315, 325, 328, 338, 352, 358 – Speicherung zum Zwecke der Verhinderung von Straftaten 72 – Sperrung 163, 295, 302, 305 – Spionage 43 – technische Übertragung 98 – Übermittlung 24, 89, 91, 130, 136, 164, 174, 196, 261 – Übermittlung in Drittländer 39 – Übersicht über die weitere Verwendung 239 – Übertragung 30, 50, 53, 54, 57, 63, 87, 178, 180, 182, 189, 191, 194 – Umgang 94 – Umwandlung 30 – unbefugte Erhebung 332, 358 – unbefugte Nutzung 91 – unbefugte Verarbeitung 290 – unbefugte Verwendung 23, 25, 85, 87, 90, 123, 255 – unbefugte Weitergabe 88 – unbefugter Zugang 88, 89, 102, 123 – unbefugter Zugriff 88, 157 – unberechtigter Zugriff 88, 213 – unrichtige Verarbeitung 270 – unrichtige Verwendung 90

– Unterdrückung 91 – unzulässige Erhebung 43, 81, 279, 281, 298, 300, 328 – unzulässige Nutzung 81 – unzulässige Speicherung 162, 300, 333 – unzulässige Übermittlung 191, 221 – unzulässige Verarbeitung 53, 81, 171, 207, 257, 259, 264, 268, 296, 299, 312 – unzulässige Verwendung 23, 25, 123, 162, 202, 208, 257–259, 263, 268, 269, 275, 287, 328, 333, 343 – unzulässige Weitergabe 194 – Veränderung 91, 144, 315 – Verarbeitung 22, 23, 36, 39, 40, 46, 51, 59, 64, 66, 70, 76, 78–80, 84, 90, 91, 93–95, 101, 102, 106, 109, 110, 118–120, 128, 131, 132, 135, 137, 140–143, 145, 147, 148, 150, 159, 161, 164–166, 171, 173, 178, 180, 185, 186, 188, 190, 191, 194, 195, 197–200, 203–207, 212, 225, 227–229, 231, 233, 235, 238, 240, 242, 244, 245, 247, 248, 251–253, 256, 277, 287, 289, 307, 308, 326, 327, 329, 355–358, 360 – Verarbeitung für eigene Zwecke 268 – Verarbeitung im Auftrag 190, 191, 268, 271 – Verbindung 30 – verdeckte Erhebung 311 – Verfälschung 91 – Verfügbarkeit 32, 111, 176, 188, 201, 338 – Vermeidung 96 – Veröffentlichung 38–42, 340 – verschlüsselte Übertragung 157 – Verschlüsselung 180 – Vertraulichkeit 111, 201, 343 – Verwendung 17, 19, 21–23, 25, 36, 38, 44, 50, 71, 82, 84, 98, 101, 102, 106, 109, 111, 119–122, 129, 132, 133, 139, 140, 142, 146, 159, 161, 165, 166, 174, 178, 180, 181, 194, 196–198, 214, 215, 225, 229, 234, 240, 245, 247, 249, 250,

Stichwortverzeichnis 253, 267, 277, 283, 291, 298, 303, 307, 308, 344, 351, 352, 357, 360 – Verwendung für andere Zwecke 172 – Verwertung 54 – Vorbereitung des Ausspähens und Abfangens 87, 89 – weitere Nutzung 95 – weitere Verarbeitung 315 – weitere Verwendung 19, 46, 120, 161, 227, 232, 300, 302, 309, 324, 358 – Weitergabe 20, 118, 130, 139, 158, 178, 181, 186, 187, 190, 191, 283, 340 – Weiterleitung 36, 200, 232 – Zerstörung 91 – Zugang 89, 157, 159, 161, 317 – Zugang bereitstellen 277 – Zugangssicherung 89 – Zugriff 60, 319 – Zulässigkeit der Datenerhebung 97 – zum Abruf bereithalten 71 – zum Abruf bereitstellen 165 – zur Nutzung bereithalten 263 – zweckfremde Nutzung 132 – zweckfremde Verarbeitung 53, 206, 207 – zweckfremde Verwendung 23, 123, 202, 233, 282 – zweckungebundene Erhebung 250 – Zwischenspeicherung 298 Daten verarbeitende Stelle 112, 135, 146, 225 Datenaustausch zwischen Behörden 193 Datenbank 26, 48, 157, 181, 283, 287 Datenerhebung 316 Datennetzkriminalität 337 Datensammlung 111, 125, 135, 296 – auf Vorrat 354 Datenschutz 22, 23, 37, 45, 63, 64, 68, 73, 76, 78, 79, 95, 98, 99, 101, 102, 105, 109–112, 137, 139, 180, 181, 189, 197, 208, 253, 256, 259, 263, 267, 358 – effektiver 257 – Menschenrecht auf 67 Datenschutz-Abkommen 67

395

Datenschutz-Audit 66 Datenschutzaufsichtsbehörde 97 Datenschutzbeauftragter 96 Datenschutzbestimmungen 65 Datenschutzerklärung 66 Datenschutzkontrolle 155 Datenschutzkonvention 66 Datenschutzniveau 63, 66, 69 Datenschutzrecht 24, 37, 80, 93, 109, 128, 150, 235, 307 – allgemeines 66, 106, 139, 142, 152, 232, 327 – Effektivität 68 – territoriale Beschränkung 327 Datenschutzrichtlinie 39, 93, 108, 141, 144 Datenschutzstandard 67 Datensicherheit 23, 45, 95, 180, 181, 209, 214, 325 – effektive 112 Datensicherung 109 Datenspionage 87, 121, 181, 241, 242 Datentransfer 54, 124 Datentransferdienst 47, 49 Datenübermittlung zwischen Behörden 189 Datenveränderung 87, 313 Datenverarbeitung, Rechtsgrundlage 96 Datenverarbeitungssystem 90, 91 Datenverarbeitungsvorgang 90 Datenverkehr 23 – grenzüberschreitender 66 Datenverkehr im Internet 303, 307 Dekodierungsdatei 158 Demokratische Grundordnung 141 Demokratische Grundsätze 24, 183 Demokratischer Verfassungsstaat 20, 21, 44, 257 Demokratisches Gemeinwesen 25, 38, 44, 86, 179, 349 Demokratisches Grundverständnis 114 Demokratisches Prinzip 182, 348, 356 Dienst- und Arbeitsverhältnis 167

396

Stichwortverzeichnis

Diensteanbieter 102, 360 – Verpflichtungen 43 Dienstleistungen 32, 52, 57, 146, 203, 210, 216, 220, 232, 263, 275 Dienstleistungen im Internet 42 Dienstleistungsangebot 27, 33, 46, 52 Digitale Revolution 29 Digitale Signatur 202, 222 Digitales Datennetzwerk 17 Digitales Netzwerk 33 Direktionsrecht des Arbeitgebers 242 DNS 14, 47, 52, 62, 122, 301 DNS-Dienst 52 Domain 52, 62 Domain Name Service 47 Domain-Name-System 62 Drittwirkung der Grundrechte 143, 239 Durchleitung von Informationen 261 Durchsuchung 103, 317, 319, 321 E-Administration 177, 185, 195 E-Banking 203, 205, 210, 214, 215 E-Broking 203, 205, 210, 214 E-Commerce 24, 52, 173, 175, 201, 202, 205, 219, 222, 224, 228, 235, 239, 260, 275 E-Commerce-Richtlinie 72, 220, 266, 280 E-Democracy 178 E-Government 24, 175–178, 187, 188, 191, 193–197, 199, 201 E-Kommunikations-Datenschutzrichtlinie 71, 93 E-Mail 17, 28, 34, 47, 48, 55, 86, 89, 100, 146, 154, 156, 157, 169, 172, 207, 218, 221, 222, 242, 283, 330 E-Participation 177 E-Voting 177, 195 eBay 42, 43, 100, 208 Effektivität 256 Effektivität und Datenschutz 255 EG-Datenschutzrichtlinie 69, 95

EG-Telekommunikations-Datenschutzrichtlinie 70 Eigensphäre 20 Eigentum 287, 340 Einfacher Gesetzesvorbehalt 75 Eingriff 20, 46, 134, 227, 324, 353 – datenschutzrechtlicher 38 – der öffentlichen Gewalt 75 – Freiheit von 65 – in das allgemeine Persönlichkeitsrecht 184 – in das Fernmeldegeheimnis 325 – in das Informationsrecht 240 – in das Persönlichkeitsrecht 103, 131, 189, 190, 197, 242, 248, 250, 266, 308, 319 – in das Recht auf informationelle Selbstbestimmung 134, 136, 140, 149, 182, 192, 244, 246, 266, 292, 296, 307, 311, 318, 322, 323, 354, 359 – in das Recht des Betroffenen 191 – in den Datenverkehr 339 – in die Eigentumsfreiheit 306 – in die Grundrechte 25, 109, 134, 140, 206, 305, 307, 322, 359 – in die Privatsphäre 17, 74, 208, 245, 255, 259, 266, 344 – in die Rechte des Betroffenen 270 – nicht-öffentlicher Stellen 82 – öffentlicher Stellen 82 – Schutz vor 81 – staatlicher Stellen 238, 293 – unbefugter Dritter 186 – Unzulässigkeit 321 – Verhältnismäßigkeit 25 Eingriffsbefugnis 318, 324, 354 – Grundlage 295 – im Vorfeld einer Störung 295 – polizei- und ordnungsrechtliche 299, 345 – staatlicher Behörden 18 – Umfang 85 – unmittelbare 294 Einstweilige Verfügung 42

Stichwortverzeichnis Einwilligung 172, 174, 175, 253, 254, 358 – des Betroffenen 95, 102, 130, 132, 146, 149, 165, 167, 168, 197–199, 225, 247 – des Nutzers 206 – elektronische 102, 130, 168, 169 – Erforderlichkeit 267 – Freiwilligkeit 168, 229 – in die Datenverarbeitung 129, 167, 215, 240 – informierte 132, 231, 232, 234, 236 – rechtmäßige 198 – rechtswirksame 167 – Schriftform 228 – Willentlichkeit 165, 171 Einwilligungserklärung 166, 168, 227, 228, 231, 233 – Wirksamkeit 229 Einzelangaben 105, 135 – bestimmbarer oder bestimmter Personen 94 Elektronische – Bankdienstleistungen 213 – Datenverarbeitung 139 – Handelsplattform 202 – Informations- und Kommunikationsdienste 99 – Kommunikationsnetze 71 – Signatur 72, 154, 203, 221, 223 – Steuererklärung 195 – Verwaltungsangebote 195 – Verwaltungsdienstleistungen 185 – Zahlungsabwicklung 202 Elektronischer Geschäftsverkehr 17, 24, 133, 203 Elektronischer Handel 221 Elektronisches Formular 186 Elektronisches Rechtsgeschäft 214 Elektronisches Wahlverfahren 180 Entfaltung der Persönlichkeit 226 Entgeltabrechnung 132, 259 Entgeltermittlung 132, 263

397

Entgeltliche Auskunft 158 Entscheidung 167, 234, 242, 297 – betriebsbedingte 243 – freie 38, 166, 198, 199, 229–231, 240, 270 – informierte 83, 146 – unabhängige 229 Entscheidungsbefugnis 191 Entwicklungsoffenheit 76 Erfolgsort 332, 334–336 – Ort der Abrufbarkeit 333 – Ort des tatsächlichen Abrufs 333 Erforderlichkeit 80, 82, 144, 149 – Datenverarbeitung 163 – der Datenverarbeitung 151, 212 Erforderlichkeitsgrundsatz 82, 193 Erforderlichkeitsprinzip 308 Erlaubnistatbestand 106, 136, 225, 247 Ermächtigungsgrundlage 75 Ermessensspielraum 191 Ermittlungsgeneralklausel 322 Ermittlungsmaßnahmen 321, 323 – verdeckte 311, 339 EU-Datenschutzrichtlinie 93 Europäische Gemeinschaft 40, 68, 69, 71 Europäische Menschenrechtskonvention 39, 67, 68 Europäische Union 40, 66, 339 Europäischer Gerichtshof 39, 40, 67, 245 Europäisches Datenschutzrecht 93 Europäisches Parlament 97 Europarat 67 Fernmeldegeheimnis 73, 84–86, 98, 183, 250, 259, 263, 319, 338 File Transfer Protocol 49 Firewall 88, 126 Firmenkundengeschäft 203 Förderung des elektronischen Waren- und Dienstleistungsverkehrs 72 Formvorschriften 97 Freie Willensbildung 356 Freie Willkür 341

398

Stichwortverzeichnis

Freier Informationsaustausch 65 Freiheit 45, 111, 117, 182, 226, 230, 231, 233, 254, 287, 290, 293, 303, 339, 340, 344, 347–357, 359, 360 – allgemeine 75, 78, 141, 254, 301, 342, 344, 349, 351 – als Unabhängigkeit von eines anderen nötigender Willkür 349 – äußere 341 – Autonomie des Willens 226, 230, 231, 340, 341, 348 – der Berufswahl 305 – der Person 19, 20, 37, 235, 236, 238, 293, 305, 311, 322, 340, 345, 346, 358 – des Bürgers 75, 229, 257 – des Einzelnen 73, 306 – des Willens 229 – für die Allgemeinheit 25, 116, 117, 119, 227, 237, 257, 350–353, 355–357 – Gewährleistung 38 – Grundsatz 77 – in der rechtsstaatlichen Gemeinschaft 343 – individuelle 81, 233, 239, 356 – innere 341, 351 – persönliche 20 – Sicherung 25, 65 – Verwirklichung 44, 340 Freiheit, Gleichheit, Brüderlichkeit 341 Freiheitlich demokratische Grundordnung 79, 179, 226, 306 Freiheitsrecht 75 Funktionsübertragung 190 G8-Initiative 336 Geeignetheit 82 Gefahr 18, 44, 59, 126, 135, 175, 181, 255, 274–276, 278, 281–286, 287–291, 293, 299, 302, 328, 343 – abstrakte 277, 295, 296, 335 – allgemeine 286, 293 – Begriff 286 – Beseitigung 299 – bestehende 289

– für den Nutzer 290 – für die öffentliche Sicherheit 306, 309 – für die öffentliche Sicherheit und/oder Ordnung 293, 298 – für die polizeilichen Schutzgüter 294 – konkrete 281, 286, 295, 296, 307, 322 – latente 278–281 – mittelbare Verursachung 279 – potenzielle 29, 47, 54–56, 109, 183, 255, 284, 287, 288, 291, 303, 309 – unmittelbare 277 Gefährdung 18, 109, 175, 184, 221, 283, 286, 289, 291, 324, 335, 358 – allgemeine 289 – Begriff 289 – der Datenverarbeitung 83 – der Freiheit 353 – der Grundrechte 182, 240, 246, 284, 346, 356 – der Menschenrechte 356 – der öffentlichen Sicherheit 294 – der öffentlichen Sicherheit und/oder öffentliche Ordnung 277, 299 – der polizeilichen Schutzgüter 294 – der Privatsphäre 23, 36, 53, 55, 105, 112, 125, 126, 178, 187, 202, 215, 244, 255, 288, 326, 360 – der Rechtsgüter 280, 348 – des Rechts auf informationelle Selbstbestimmung 190, 199, 221, 289, 290, 324, 355, 360 Gefährdungsdelikt 335 Gefahrenabwehr 25, 53, 85, 284–286, 288, 291–293, 295, 296, 298–300, 305, 307–312, 323, 327, 328, 334, 335, 346, 352–354, 359 – effektive 297, 302, 331, 336 – Rechtsgrundlagen 294 Gefahrenquelle 302 Gefahrenvorsorge 295 Gegendarstellungsanspruch 101 Geheimhaltungsinteresse des Betroffenen 41 Geheimhaltungsvorschriften 155

Stichwortverzeichnis Geheimsphäre 88 Gemeinschaft 31, 233, 359 – bürgerliche 34, 346 – demokratische 185 – der Bürger 238, 240, 254, 257, 305, 348, 357 – rechtsstaatliche 45 – soziale 23, 24, 31, 35 – staatliche 184 – virtuelle 46 Gemeinschaftsbezogenheit und Gemeinschaftsgebundenheit der Person 115 Gemeinschaftsrecht 38, 39, 68 Gemeinwesen 237, 348, 350 Gemeinwohl 116, 154, 309 – der Bürger 20 Gerechtigkeit 347, 350 Geschäftsfähigkeit des Betroffenen 236 Geschäftsverkehr zwischen Privaten 236 Geschäftszweck 83, 96, 143, 167, 171, 212 Gesellschaft 31 Gesetz – Geltungsbereich 95 – räumlicher Anwendungsbereich 95 – sachlicher Anwendungsbereich 95 Gesetze 18, 68, 116, 138, 226, 239, 255, 257, 319, 342, 344, 347, 354, 356, 360, 361 – allgemeine 103, 288 – Anwendungsbereich 94 – des Rechts 21, 349 – gemeinsame 25 – nationale 358 – Vereinheitlichung 99 – Vertretung der 103 – Verwirklichung 343 Gesetzesvorbehalt 80 Gesetzgeber 36, 92, 97, 135, 136, 138, 145, 158, 160, 165, 166, 171, 172, 190, 198, 223, 224, 226, 248, 252, 253, 259, 262, 264, 266, 286, 289, 310, 358

399

Gesetzgebung 18, 20, 35, 37, 40, 53, 55, 85, 117, 221, 256, 296, 336, 353, 360 – effektive 73 Gesetzliche Grundlagen 55 Gesetzlichkeit 226, 342, 349, 350, 353, 355 Gewährleistung 93 – ausreichendes Schutzniveau 73 – der allgemeinen Freiheit 78 – der Bürgerrechte 70 – der Datenübermittlung 58 – der Grundrechte 158, 226, 346 – der Informiertheit des Betroffenen 146 – der öffentlichen Sicherheit und/oder Ordnung 301, 356, 359 – der Privatsphäre 248 – der Rechte des Betroffenen 191 – der verfassungsgemäßen Ordnung 75 – des Allgemeinwohls 351 – des Datenschutzes 113, 183 – des Rechts 345, 359 – des Rechts auf informationelle Selbstbestimmung 358 – des Schutzes personenbezogener Daten 63 – Grundrechtsschutz 290 – verfassungsrechtlicher Grundsätze 45 – von Freiheit 25 – von Freiheit und Sicherheit 339 – von Sicherheit 342, 347, 348 Gewissen 21 Gleichgewicht, effektives 41 Gleichheit 182, 347 Globale Dienste 50 Globale Vernetzung 29, 46 Globalisierung 17, 32, 33 Government to Business 177 Government to Citizen 177 Government to Government 177 Grenzübergreifende Verfolgung von Straftaten im Internet 72 Grenzüberschreitender Datenaustausch 187

400

Stichwortverzeichnis

Grenzüberschreitender Datenverkehr 65, 79 Grenzüberschreitender elektronischer Handel 72 Grundgesetz 19, 73, 81, 85, 226, 230, 254 Grundrecht – auf Datenschutz 37 – auf Geheimhaltung der Privatsphäre 73 – auf Menschenwürde 77 – Beschränkung 80 – dem Menschen immanentes 19 – verfassungsmäßiges 74 Grundrechte 24, 44, 65, 73, 83, 85, 109, 111, 118, 119, 172, 182, 194, 226, 231, 233, 234, 236, 238, 239, 250, 252–255, 303–305, 311, 322, 341, 343, 348, 351, 354, 357, 358 – als Abwehrrechte des Bürgers 38, 80, 341 – Beschränkung 75 – des Betroffenen 134 Grundrechtseingriff 80 – staatlicher Stellen 80 Grundrechtsschutz 73 Grundsatz der allgemeinen Wahl 183 Grundsatz der Erforderlichkeit 70, 72, 143, 145 Grundsatz der geheimen Wahl 182 Grundsatz der gleichen Wahl 183 Grundsatz der öffentlichen Wahl 183 Grundsatz der Verhältnismäßigkeit 112 Günstigkeitsprinzip 336 Güterabwägung 41, 304 Hacker 88 Hacking 90, 123 Haftung 50, 53, 99, 101, 255 – Access Provider 259 – Befreiung für Access Provider 280 – Befreiung für Host Provider 264 – Content Provider 270, 271

– deliktische 268 – der Provider 24, 72, 258, 269, 283 – einfachgesetzliche 257 – für Eingriffe in die Privatsphäre 259 – für fremde Inhalte 261 – Host Provider 263, 264 – strafrechtliche 262 – Umfang 261, 263, 269 – unbegrenzte 264 – unbeschränkte 259 – verschuldensunabhängige 272 – Verstoß gegen das Bankgeheimnis 272 – vertragliche 268 – wegen Pflichtverletzung 268 – zivilrechtliche 270 Haftungsausschluss 266 Haftungsprivileg 260, 261, 265, 298 – Access Provider 273 Handlung, Vorsatz 92 Handlungsfreiheit 346 – allgemeine 75, 77 Handlungsmaxime 116 Handlungsort 332, 336 Handlungsstörer 274, 275, 299 Hardware 91 Hardware-Schicht 59 Harmonisierung 97 Harmonisierung der straf- und verfahrensrechtlichen Regelungen 337 Harmonisierung des Datenschutzes 338 Herausgabepflicht 317 Herkunftslandprinzip 73, 101 Homebanking 28 Homepage 62 Host-ID 62 Host Provider 24, 50–54, 106, 107, 188, 189, 197, 258, 261, 262, 266, 268, 272, 274–277, 279–281, 297, 300–302, 323, 328 Host-to-Network-Schicht 59 HTML 60 HTTP 49, 60 Hyperlink 49, 61

Stichwortverzeichnis Hypermedia-System 60 Hypertext Markup Language 60 Identifikation 61, 196, 221 – des Erfolgsortes 333, 334 – des Nutzers 82, 103, 107, 163 – des Ortes der Abrufbarkeit 334 – des Straftäters 103 – des Wählers 181 Identifikationsmerkmal 41 Identitätsprüfung 43 Immaterieller Schaden 74, 254, 269 Impressum 83, 99, 101 Impressumspflicht 147 Inanspruchnahme der Provider 277, 280, 297, 299 Inanspruchnahme des Störers 287, 297 Inanspruchnahme des Täters 330 Individualarbeitsrecht 246 Individualität 78 Individualkommunikation 49 Information 26, 31, 46, 146, 235, 358 – Abruf 60 Informationelle Gewaltenteilung 188, 199 Informationelle Grundfreiheiten 69, 70 Informationelle Selbstbestimmung 25, 197, 319 Informationen 29, 30, 44, 47–50, 81, 83, 110, 111, 124, 125, 142, 192, 196, 211, 233, 241, 242, 258 – Abruf 60 – Bereitstellung 59 – sensible 87 – zeitliche und räumliche Unabhängigkeit 33 – Zugriff 62 – zum Abruf bereit stellen 106 – zur Verfügung stellen 61, 62 Informationoverload 34 Informations- und Kommunikationsmedien 120, 210

401

Informations- und Kommunikationstechnologie 176 Informationsangebot 27, 52 Informationsaustausch 31 Informationsdienst 49 Informationseinheit 192 Informationsfreiheit 65, 304, 359 Informationsgesellschaft 17, 26, 29, 31– 34 Informationsinteresse, allgemeines 41 Informationspflicht 97, 314 Informationspflicht der Diensteanbieter 99, 147 Informationspflicht des Anbieters 150 Informationsrechte 96 Informationssicherheit 111, 214, 343 Informationstechnologie 31, 33, 35, 45, 47, 176 Informationsverteilung 31 Informationszeitalter 23 Informationzapping 34 Informiertheit 34 – des Betroffenen 131 – des Bürgers 179 – des Nutzers 125 Inhalte – Bereitstellung 52, 276 – der Kommunikation 324 – dynamische 61 – eigene 52 – fremde 52, 157 – Sperrung 301 – statische 61 – zum Abruf bereitstellen 329 Inhaltsanbieter 52, 54 Inhaltsangebot 54 Inhaltsdaten 85, 106, 108, 259 Integrität der elektronischen Kommunikation 322 Interaktives Angebot 47 Interesse des Betroffenen 153 International Bill of Human Rights 64

402

Stichwortverzeichnis

Internationale Kooperation der Strafverfolgungsbehörden 338 Internationales Strafrecht 336 Internet 17–19, 21–24, 26–28, 38, 40, 41, 45–50, 53, 55–57, 67, 86, 94, 99, 100, 102, 106, 108, 119–121, 123, 135, 159, 171, 181–183, 187, 207, 215, 216, 219, 220, 242, 251, 255, 283, 287, 288, 291, 294, 312, 330, 333–335, 337, 352, 354, 356, 358 – Abrechnung der Nutzung 107 – Abrufort 334 – Anbieter 52, 81, 99, 145, 146, 156, 159, 167, 200, 202, 217, 220, 222, 229, 234, 240, 249–251, 268, 360 – Angebot 52 – anonyme Nutzung 200, 225 – Anschluss 27, 183 – Beendigung des Vertragsverhältnisses 134 – Begriff 47 – Begründung des Vertragsverhältnisses 134 – Beteiligte 53 – Betrieb 52 – dezentrale Struktur 35 – dezentrale Verfügbarkeit 330 – dezentrales Netzwerk 56, 328 – Dienste 50, 99 – dienstliche Nutzung 243, 247, 253 – Dokument 61 – Einwahl 107 – Entwicklung 32 – Funktionsweise 56, 59 – globale Reichweite 326 – globales Netzwerk 18, 26, 50, 66 – Handelsplattform 43 – Infrastruktur 280, 282 – Kommunikation 57, 58 – Medium 59 – militärisches Nachrichtensystem 56 – Netzwerk 57, 59, 62, 63

– Netzwerktechnik 58 – Nutzung 17, 19, 20, 22, 24, 28, 44, 47, 51, 54, 66, 71, 84, 86, 94, 106–109, 119–122, 124, 138, 176, 201, 207, 208, 210, 220, 225, 228, 241, 243, 247–249, 256, 258, 279, 283, 287, 289, 309, 316, 342, 343, 357, 360 – Nutzungsdauer 107 – private Nutzung 243, 247, 253 – Protokoll 60 – Registrierung 206 – Sperrung des Zugangs 303 – Struktur 56 – Technik 55, 56, 87 – Verbindung 51, 53, 107, 323 – Verfügbarkeit 28 – Waren- und Dienstleistungen 205, 217 – weltweite Präsenz 63 – weltweites Netzwerk 62, 105, 287, 335 – Zugang 48, 49, 51, 54, 171, 178, 189, 196, 205, 241, 242, 245, 258, 279, 280, 282 – Zugriff 28 Internet Protocol 62 Internet Relay Chat 47, 48 Internetauktion 124, 202, 203, 206–209 Internet-Auktionshaus 42, 43 Internet-Schicht 59 Internetkriminalität 35 Internetnutzung am Arbeitsplatz 24, 175, 241–246, 248, 249, 253 Internetrecht 23 Internetseiten, Abruf 34 Internettelefonie 101 Invitatio ad offerendum 217 IP 58, 59 IP-Adresse 48, 51, 62, 94, 104, 122, 128, 195, 245, 301, 320, 323 – dynamische 122 – statische 122 IP-Protokoll 124 IP-Spoofing 124

Stichwortverzeichnis Jugendmedienschutz 100 Juristische Person 105 Kategorischer Imperativ 342, 353, 360 Kenntnis 85 – der Datenverarbeitung 135, 160 – des Betroffenen 206, 325 – des Betroffenen über die Datenverwendung 254 Kenntnisnahme 266 – der rechtswidrigen Datenverwendung 288 – des Betroffenen 120, 146, 152, 157, 160, 161, 166, 194, 261, 333 – eines Verstoßes gegen das Datenschutzrecht 295 – rechtswidriger Datenverwendung 265 – rechtswidriger Informationen 264 – rechtswidriger Inhalte 265 – unbefugte 20, 84, 88, 340 Kommunikation 17, 30, 31, 35, 44, 45, 48, 49, 81, 113, 119, 137, 176, 222, 233, 242, 323, 325 – elektronische 93 – interpersonelle 86 Kommunikationsinfrastruktur 32 Kommunikationsprotokoll 58 Kommunikationsprozess 86 Kommunikationstechnologie 26, 37 Kontrollbefugnis des Arbeitgebers 253 Kontrolle 20, 24, 124, 183, 187, 189, 201, 233, 346, 359 – Befugnis 336 – der Datenverwendung 138 – der Internetnutzung 244 – des Arbeitgebers 242, 244, 247 – des Datenmissbrauchs 344 – des Datenverkehrs 25, 244, 248, 282, 293, 335, 339, 347, 352, 355–357 – des Internets 25, 359, 360 – effektive 35, 45, 184, 255, 266, 283, 312, 327, 355, 358 – präventive 73, 291, 293, 305, 307

403

– repressive 307, 320 – Schranke 356 – staatliche 116 – Umfang 25, 353 – Unzulässigkeit 250 – Verhältnismäßigkeit 244, 352 – Verlust 357 – vollständige 256 – zweckungebundene 250 Kontrollinstanzen 70 Kontrollmaßnahmen 247 – effektive 55, 353 – präventive 274 – repressive 73, 274 – staatliche 354 Konvergenz der Medien 113 Koppelungsverbot 96, 165, 171, 314 Korrekturrechte des Betroffenen 200 Kryptographie 223 Kundendaten 107, 259 Kundenprofil 127, 203, 283 Kundenschutz 98 Kundenverzeichnis 319 Landesdatenschutzgesetz 94 Landesgesetzliche Vorschriften 194 Lebenssphäre 88 Leistungserfüllung 54 Leitlinien für die Sicherheit von Informationssystemen und netzen 66 Lieferung 54 Log-Files 104 Logindaten 215 Löschung unzulässiger Inhalte 281 Löschungs- oder Sperrungsverfügungen 300, 303, 306, 351, 354 Mailserver 48 Manipulation 90, 126, 189 Markt- und Meinungsforschung 97, 129, 131, 214 Marktortprinzip 328 Marktregulierung 98

404

Stichwortverzeichnis

Massen- und Individualkommunikation 29, 31 Massenkommunikation 49 Massenmedium 49 Maßnahmen 20, 83, 109, 111, 161, 214, 293, 295, 299, 318, 331, 335, 337, 343 – Ahndung strafbarer Handlungen 291 – effektive 20, 70, 256, 296 – Gefahrenabwehr 288, 294, 296, 300, 301, 310, 354, 359 – Löschung 305 – ordnungsrechtliche 292, 293, 298, 302, 305, 306 – organisatorische 112, 343 – polizeiliche 274, 276, 288, 297, 302, 305 – präventive 20, 24, 291, 303, 339, 358 – präventiv-polizeiliche 281, 298, 312, 313, 335 – Rechtmäßigkeit 351 – repressive 20, 24, 312, 319, 339, 358 – Schutz vor Eingriffen 292 – Selbstschutz 68 – sicherheitspolitische 34 – Sperrung 305 – staatliche 53, 356 – staatlicher Organe 342, 352 – Störungsbeseitigung 294 – strafrechtliche 103, 255, 284 – technische 112 – technische und organisatorische 190 – Verhältnismäßigkeit 255, 298, 352 Materialität des Rechts 226 Medien – Zugang zur Nutzung vermitteln 258 – zur Nutzung bereithalten 258 Mediendienste 71, 100, 138, 168 Mediendienstestaatsvertrag 71, 99, 101, 108 Medienkonzentration 32 Medienkonzerne 33 Mehrwertdienste 101 Meinungsäußerungsfreiheit 304

Meinungsbildung 34 Meinungsfreiheit 39 Menschenrechtsschutz 67 Menschenwürde 19, 21, 22, 37, 65, 111, 118, 120, 148, 182, 184, 226, 348, 350, 356 – Garantie 78, 83 – Prinzip 182 – unantastbarerer Kern 24 Menschheitsprinzip 238 Mikrozensus 37, 118, 148 Missbrauch, personenbezogener Daten 209, 289 Mobiles Endgerät 52 Moralische Instanz 21 Multimedia 47 Multimediadienste 47 Multimediadienstleistungen 33 Multimedialität 29, 46 Nachrichtenaustausch- und Informationsdienst 47 Nachrichtendienst 48 Nachrichteninformationsdienst 48 Nachrichteninhalt 48 Nationale Gesetze 69 Nationales Recht 329, 338 Nationales Strafrecht 328 Nationalitäts- oder Personalprinzip 329 Natürliche Person 95, 105 Network Provider 51 Netzbetreiber 51 Netzknoten 52, 58 Netzknotenpunkt 51 Netzwerk 108 Netzwerk-ID 62 Netzwerksystem 48 Neue Medien 20, 22, 23, 26, 29, 32, 35, 44–46, 64, 66, 73, 78, 99, 114, 176, 202, 229, 240, 242, 257, 346, 347, 357, 360 Neue Technologien 27 Newsgroup 47, 48, 55

Stichwortverzeichnis Nicht-öffentliche Stellen 85, 126, 144, 145, 151, 152, 161, 173, 193 Nichtstörer 274, 275, 282, 297, 298 Nichtverantwortlichkeit 298 Normadressat 92, 95, 193 Normenklarheit 149 Notstandshaftung 299 Novellierung 89 – des Bundesdatenschutzgesetzes 134, 140, 143 – Telekommunikationsgesetz 98 Nutzer 17, 20, 24, 28, 34, 44, 46–55, 60– 62, 68, 81, 83–86, 94, 99, 101, 104, 106, 108, 112, 119, 121–126, 130, 140, 145, 157, 166, 171, 172, 174, 181, 188, 190, 195, 196, 198, 204, 205, 207, 210, 211, 214–217, 219, 220, 224, 228–230, 234, 240, 249, 250, 253, 270, 282, 288–290, 292, 298, 305, 319, 322, 323, 333, 335, 336, 340, 345, 357–360 – betroffener 23, 90, 95, 103, 131, 138, 233, 283, 287, 335, 343, 344, 349, 354 – Identität 103, 160, 208, 209, 221, 251 – Missbrauch der Identität 209 – Verifikation der Identität 72 – Wohl des 86 Nutzeraccount 90, 207–209, 232 Nutzerprofil 23, 34, 104, 123, 127, 132, 133, 200, 208, 214, 251, 288, 358 Nutzung 204, 247 Nutzungsdaten 103, 106, 107, 112, 127, 132, 174, 195, 205–207, 211, 212, 245, 249, 250, 267, 308, 320 Nutzungsprofil 127, 163, 174, 211 Nutzungsstatistik 104 Nutzungsverhalten 241 OECD 65 Öffentliche Ordnung 20, 25, 103, 273, 285, 286, 292, 350 Öffentliche Sicherheit 18, 20, 25, 103, 273, 285, 286, 292, 293, 295, 308, 323, 328, 347, 348, 354

405

Öffentliche Stellen 20, 24, 95, 111, 122, 126, 142–144, 149, 151, 152, 154, 155, 158, 161, 164, 165, 173, 174, 178, 184, 186, 191, 193–197, 199, 200, 241, 246, 256, 269, 272, 295, 308, 309, 355 Öffentlich-rechtliche Grundsätze 278 Öffentlicher Diskurs 20 Öffentliches Recht 286 Öffentlichkeit 117 Online-Angebot 28 Online-Auskunft 157 Online-Banking 210 Online Communities 28 Online-Dienst 108 Online-Durchsuchung 312, 321 Online-Formular 195, 196 Online-Handel 216 Online-Kommunikation 28 Online-Shop 54 Online-Shopping 28 Ordnung 293 – verfassungsmäßige 79 Ordnungsgeld 43 Ordnungswidrigkeiten 313, 314 Ort der Tathandlung 331 Passwort 88, 89 Passworthandel 88 PC 26, 52, 202, 241 Personalcomputer 26, 47 Personalstammdaten 246 Personenbezogene Daten 17, 19–23, 36– 41, 50, 53, 55, 63, 65, 66, 70, 72, 78– 80, 82, 84, 87, 88, 92–95, 98, 102–105, 107–110, 118–123, 128–132, 137, 138, 140, 141, 143, 144, 147, 151, 153, 155, 163, 165, 166, 168, 171, 174, 175, 178, 182, 185, 189, 191, 194, 196, 197, 199, 200, 202–208, 212–215, 224, 225, 229, 240, 241, 247, 248, 251, 253, 255–257, 259, 263, 267, 269–272, 282, 283, 287, 289, 291, 299, 301, 303, 308, 311, 313, 316, 320, 324, 329, 330, 332, 343, 351 – Schutz 68, 111

406

Stichwortverzeichnis

– Verarbeitung 64 Personenbezogener Datenverkehr 24, 25, 56, 173, 282, 288, 343 Persönlichkeit 18, 20, 22, 23, 115, 118, 230, 233, 341, 343 – freie Entfaltung 19, 24, 75, 78, 83, 120, 143, 238 Persönlichkeit des Bürgers 326 Persönlichkeitsbild 135 Persönlichkeitserfassung 36 Persönlichkeitsprofil 34, 79, 113, 125, 131, 134, 148, 149, 188, 213, 215, 246, 249, 287, 324, 358 Persönlichkeitsrecht 93, 103, 319 – Verletzung 41 Persönlichkeitsschutz 22, 79, 116, 119, 138, 145, 254 – verfassungsrechtlicher 74 Persönlichkeitsverletzung 270 Phishing 124, 300, 316, 317 Politische Willensbildung 179, 348 Politisches Gemeinwesen 117 Polizeiliche Befugnisse 310 Polizeiliche Generalklausel 284, 299, 301, 307, 308 Polizeirechtlicher Notstand 275 Präventives Verbot mit Erlaubnisvorbehalt 149 Präventiv-polizeiliches Handeln 286 Prinzip des Rechts 350 Prinzipien des Rechtsstaats 342 Private Stellen 95 Privatheit 23, 45, 78, 113, 114, 117, 118 – der Person 22 Privatkundengeschäft 203 Privatsphäre 17, 20–24, 36, 38, 45, 52, 53, 65, 66, 73, 77, 105, 109, 111, 113, 115–122, 125, 126, 143, 175, 181, 189, 194, 195, 206, 221, 254, 270, 281, 288, 290, 294, 324, 342, 359 – Beeinträchtigung 116 – Verlust 47 Privilegierung von Providern 266 Protokollierung 196

– der Datenverarbeitung 187 – der Internetnutzung am Arbeitsplatz 244 – des Nutzerverhaltens 208, 249 – ohne Einwilligung des Betroffenen 253 – von Arbeitnehmerdaten 252 – von Daten 246, 249, 251, 253 Provider 52, 127, 150, 157, 220 Pseudonym 102, 104, 132, 133, 157, 314 Pseudonymisierung 251 Publikations- und Äußerungsdelikte 86 Rechneridentifikation 62 Recht 32, 114, 118, 130, 219, 226, 235, 236, 238–240, 255, 269, 287, 304, 327, 335, 342, 347, 351, 353, 358, 359 – am geistigen Eigentum 102 – auf Achtung der Menschenwürde 22 – auf Auskunft 68, 103, 151, 152, 165, 312, 319 – auf Benachrichtigung 159, 165 – auf Berichtigung 165 – auf Berichtigung, Löschung und Sperrung 161, 152 – auf Eigentum 306 – auf Einsicht persönlicher Daten 102 – auf Einwilligung 165, 225, 240 – auf freie Entfaltung der Persönlichkeit 75 – auf Freiheit 20 – auf Grundrechtsschutz 120 – auf Information 69 – auf Löschung 165, 173 – auf Privatsphäre 21, 40 – auf Recht 344, 349, 356 – auf Schutz 18, 23, 68, 77, 133, 141, 256 – auf Sperrung 165 – auf Unterlassung 81 – auf Widerspruch 71, 131 – bereichsspezifisches 71 – der freien Kommunikation 69

Stichwortverzeichnis – des Arbeitnehmers 245 – des Betroffenen 164, 165 – in Ruhe gelassen zu werden 120 – nationales 70 – Verpflichtung 349 Recht auf Auskunft 152 Recht auf informationelle Selbstbestimmung 21, 22, 24, 25, 37, 38, 45, 53, 55, 73, 74, 78–81, 83, 85, 86, 94, 109– 112, 118–120, 127, 131, 133, 135, 138, 139, 141, 143, 147, 151, 158, 159, 165, 171, 172, 174, 175, 178, 181, 185–187, 189, 193, 195, 197, 199, 202, 204, 206, 208, 210, 215, 221, 224, 225, 227–231, 233, 234, 236, 238–240, 248, 252, 255, 269, 289, 292–294, 301, 305, 308, 322, 326, 336, 340, 344–348, 351–354, 356–359 Rechte anderer 75 Rechte der Betroffenen 96, 194, 214 Rechte des Arbeitnehmers 252, 253 Rechte des Betroffenen 150, 151, 172, 201 Rechtfertigungstrias 75 Rechtliche Grundlagen 63, 204, 358 Rechtlichkeit 226, 347, 349, 350 Rechtmäßigkeit 226, 227 – der Datenverarbeitung 64, 173, 216 – der Einwilligung 232 – der Wahl 183 – einer Durchsuchung 318 – von Einwilligungserklärungen 224, 225, 234 Rechtsbindungswille 217 Rechtsgeschäft 206, 207, 216 Rechtsgeschäftliches Schuldverhältnis 170 Rechtsgeschäftslehre 235 Rechtsgrundlagen 216 – der Bundesrepublik Deutschland 73 Rechtsgut 92 Rechtsordnung 19, 21, 38, 193, 286, 291, 292, 324, 345

407

Rechtsprechung 20, 35–37, 40, 53, 67, 74, 78, 80, 83, 85, 209, 219, 221, 227, 228, 236, 245, 256, 306, 316, 322, 325, 326, 334, 344, 352, 358 – effektive 42 Rechtsschutz 252 – effektiver 310 Rechtsschutzprinzip 353 Rechtssicherheit 24, 37, 38, 40, 44, 72, 80, 137, 221, 224, 228, 249, 257, 265, 336, 344, 346, 358 Rechtsstaat 21, 24, 41, 44, 78, 119, 154, 182, 227, 230, 231, 237, 254, 255, 301, 340, 342, 344–346, 348, 349, 351, 355, 357, 359, 360 Rechtsstaatliche Grundsätze 103 Rechtsstaatliche Ordnung 359 Rechtsstaatliche Prinzipien 25, 238, 254 Rechtsstaatliches Prinzip 41 Rechtsstaatlichkeit 37 Rechtsstaatsprinzip 340 Rechtsunsicherheit 45, 210, 358, 360 Rechtsverbindliche Handlung 221 Rechtsvorschriften 39, 63, 68, 359 – nationale 64 Rechtswidrige Datenerhebung 204 Rechtswidrige Handlung 92, 276 Rechtswidrigkeit 91 Regelung 97 – der Beteiligung 85 – der Kompetenzen 100 – des Datenschutzes 95 – einfachgesetzliche 85 – internationale 64 Regelungen 109, 172, 232, 246, 249, 250, 252, 307 – bestehende 360 – einfachgesetzliche 23, 24 – europäische 63, 66 – gesetzliche 103, 210, 220, 221 – internationale 23, 63 – nationale 23, 72 – rechtliche 66

408

Stichwortverzeichnis

– spezialgesetzliche 21, 22, 37, 109, 139, 144, 147, 174, 194, 244, 252, 254, 269, 294, 311, 313, 314, 344 – staatliche 114 – strafrechtliche 87, 316, 338 – zum Internetrecht 97 – zur Amtshilfe 199 – zur Datenverarbeitung 310 Regelungsbedarf 23 Regelungslücke 90 Regelungszuständigkeit 100 Registrierung 131, 208 Regulierungsbehörde 98 Repressive Kontrolle 257, 312, 313 Republik 75, 114, 117, 230, 348, 350, 352, 353, 357 Res publica 114 Richtlinie für elektronische Signaturen 72 Risiko 285 Römische Republik 114 Rundfunk 101 Rundfunkstaatsvertrag 101, 139, 195, 294 Rundfunkübertragung 98 Sachherrschaft 276, 282, 300, 302 Safe Harbour Principles 63 Schaden 272, 283, 284, 286, 290 – an einem Rechtsgut 90, 274, 284, 285 – für die öffentliche Sicherheit und/oder Ordnung 284 – immaterieller 269–272, 283 – materieller 270 – Verschulden 272 – Wahrscheinlichkeit 285 Schadensersatz 42, 258 – Vorschriften 270 Schadensersatzanspruch 270, 290 – zivilrechtlicher 74 Schadensersatzpflicht 259, 263, 267, 287 Schadensursächliche Handlung 332 Schichtenmodell 58

Schmerzensgeld 42 Schranke, der verfassungsmäßigen Ordnung 75 SCHUFA 136, 157 – Auskunft 43, 213 Schuldverhältnisse 212 Schutz 19, 240, 255, 347 – der allgemeinen Datenschutzrichtlinien 103 – der Allgemeinheit 25, 254, 345, 351 – der bürgerlichen Gemeinschaft 346 – der freien Entfaltung der Persönlichkeit 75 – der Freiheit 45, 255, 283, 350 – der freiheitlich demokratischen Grundordnung 303 – der Gemeinschaftsgüter 305 – der Gesetze 42, 357 – der Grundfreiheiten 65, 70 – der Grundrechte 21, 23, 25, 70, 185, 186, 188, 227, 229–231, 233, 239, 306, 336, 338, 347 – der Identität 43, 137 – der Lebenssphäre 76 – der Menschenwürde 68, 77, 283 – der öffentlichen Sicherheit 18, 132, 303, 355 – der Persönlichkeit 18–20, 23, 65, 119, 283, 353 – der Privatsphäre 19–21, 23, 25, 38, 40–42, 45, 53, 55, 65, 70, 73, 86, 93, 95, 105, 115, 116, 118, 119, 130, 138, 204, 209, 210, 221, 224, 241, 242, 250, 255, 256, 269, 292, 326, 328, 331, 335, 346, 347, 356–359 – der Rechtsordnung 291 – der rechtsstaatlichen Prinzipien 44 – der Vertraulichkeit 84, 93 – der Würde 119, 255 – des allgemeinen Persönlichkeitsrechts 20, 119, 239, 252, 254, 322 – des Allgemeinwohls 305, 306 – des Betroffenen 94, 111, 136, 159, 209, 240, 245, 271, 301, 352

Stichwortverzeichnis – – – – – – – – – – – – – – – –

– – – – – – –

– – – – – –

des betroffenen Nutzers 227 des Bürgers 38, 111, 296, 301, 343 des Datenschutzrechts 141 des Datenverkehrs 56 des Einzelnen 139 des Fernmeldegeheimnisses 105, 319 des Grundrechts auf informationelle Selbstbestimmung 307 des Individuums 135 des Käufers 220 des Kommunikationsinhalts 84 des Menschen 67 des Nutzers 91, 151, 191, 255, 266 des persönlichen Lebens- und Geheimnisbereichs 92 des Persönlichkeitsrechts 249, 319 des Rechts 24 des Rechts auf informationelle Selbstbestimmung 73, 86, 94, 95, 129, 138, 143, 154, 226, 227, 254, 270, 276, 335, 338 des sozialen Geltungsanspruchs 77 des Telekommunikationsgeheimnisses 325 des Transports von Inhalten 86 des Verbrauchers 72 effektiver 24, 121, 194, 221, 233, 255, 256, 326, 335, 359 natürlicher Personen 38 personenbezogener Daten 17, 21, 66, 73, 78, 83, 85, 86, 90, 92, 98, 99, 109, 119, 133, 138, 139, 142, 147, 150, 181, 256, 257, 266, 268, 287, 296, 340, 342, 345 strafrechtlicher 89 vor Eingriffen 24, 25, 111, 275, 348, 352 vor Eingriffen in das Persönlichkeitsrecht 234, 240 vor Eingriffen in das Recht auf informationelle Selbstbestimmung 142 vor Eingriffen unbefugter Dritter 236 vor Missbrauch personenbezogener Daten 93

409

– vor rechtswidriger Einsichtnahme 182 – vor unzulässiger Datenverarbeitung 248 – Vorrang der öffentlichen Sicherheit 41 Schutzanspruch 22 – grundrechtlicher 75 Schutzanspruch des Betroffenen 109 Schutzanspruch des Bürgers 140 Schutzauftrag öffentlicher Stellen 295 Schutzbereich 81 Schutzgegenstand 84 Schutzgut 285 – persönliches 270 Schutzmaßnahmen 40 Schutzniveau 67, 73 Schutzobjekt 95 Schutzpflicht 138, 355 – staatlicher Organe 21, 119, 339 Schutzprinzip 329, 330 Schutzrechte des Betroffenen 178 Schutzwürdiges Interesse – des Arbeitnehmers 248 – des Betroffenen 130, 136, 165, 193, 327 Schutzwürdigkeit personenbezogener Daten 140 Schutzzweck des Gesetzes 308 Scorewert 135 Scoring 96, 133, 134, 213 Scoringverfahren 136 Selbstbestimmung 38, 44, 76, 79, 347, 348, 351 – des Bürgers 356 Selbstkontrolle der Provider 266 Selbstregulierung 66, 357 Selbstverantwortung der Nutzer 355, 360 Server 50, 56, 57, 60, 122, 124, 181, 183, 189, 219, 262, 281, 328 Server-Client-Modell 48 Service Provider 52, 54, 68, 92, 122 Sicherheit 20, 25, 59, 117, 179, 180, 186, 203, 224, 241, 255, 286, 293, 309,

410

Stichwortverzeichnis

339, 340, 342, 343, 347, 348, 350, 351, 355–357, 360 – der Datenübertragung 183 – der Datenverarbeitung 188 – der Person 65 – des Bürgers 343 – für den Bürger 340 – für die Allgemeinheit 254, 340, 354, 359 – Gewährleistung 41, 342 – öffentliche 98, 345 – persönlicher Daten 43 – rechtliche 344, 345 – soziale 346 – technische 343–345 – Vorrang 44 Sicherheitslücken 123, 182, 225 Sicherheitsrisiko 241 Sicherheitsvorkehrungen 123, 126, 161, 201 Sicherstellung von Daten 317 Sicherung 24 – der Datenübertragung 56 – der demokratischen Grundordnung 45 – der Freiheit 357 – der Grundrechte 37, 138, 301, 347, 359 – der Meinungsäußerungsfreiheit 63 – der Privatsphäre 36, 37, 45, 109 – des Allgemeinwohls 305 – des Datenschutzniveaus 69 – des freien Informationsflusses 41 – des Persönlichkeitsschutzes 78 – des Rechts 65, 112, 159 – des Rechts auf informationelle Selbstbestimmung 78, 138 – des schutzwürdigen Interesses des Betroffenen 169 – von Daten 91 – von Eigentum 65 Sicherungscode 89 Signatur, qualifizierte 72 Signaturgesetz 154, 157, 221, 223

Signaturverordnung 222 Sittengesetz 75, 350, 352, 360 Sittlichkeit 20, 21, 25, 117, 226, 230, 231, 237, 238, 257, 301, 341, 342, 344, 346, 349, 351, 352, 355–357, 359, 361 Software 26, 32, 48, 91, 122, 126, 279, 343 Sonstiges Recht 287 Sorgfaltspflicht 101 Souveränität 328 Soziale Interaktion 31 Soziale Systeme 30 Soziales Handeln 30, 31 Speicherfrist 163 Speicherpflicht der Diensteanbieter 339 Sperrungsverfügung 301 Staat – als Institution des Rechts 350 – als Menge von Menschen unter Rechtsgesetzen 237, 346, 349 – Herrschaft 341 Staatliche Organe 19, 21, 23, 25, 42, 44, 54, 55, 81, 103, 111, 240, 257, 266, 296, 312, 319, 341, 344–346, 352, 356–359 Staatliche Regulierung 64 Staatliche Stellen 85 Staatliches Gemeinwesen 77 Staatlichkeit 355 Staatsbürger 36, 348 Stammdaten 249 Störer 274, 277, 281, 296, 354 – Eigenschaft 281 – mittelbarer 43, 277, 279 – unmittelbarer 278 Störerhaftung 24, 273, 293, 298, 300 Störung 25, 255, 274, 282, 283, 285– 291, 297, 299, 301, 307, 312, 331 – Begriff 286 – Beseitigung 285–287, 293, 302, 303, 305 – der öffentlichen Sicherheit und/oder Ordnung 278

Stichwortverzeichnis – des Grundrechts auf informationelle Selbstbestimmung 289 Strafbare Handlung 86 Strafbarkeit der Handlung 91 Strafrecht 86 Strafrechtliche Vorschriften 21 Strafrechtsänderungsgesetz 23, 89 Straftatbestand 86, 87 Straftaten 92, 248, 312, 313, 326 Strafverfolgung 25, 53, 85, 205, 292, 307, 309, 312, 313, 320, 323–325, 327, 331, 334, 336, 346, 352–354 – bei grenzüberschreitendem Datenverkehr 326 – effektive 331 – im internationalen Rahmen 359 Strafverfolgungsbehörden 103 Strafverfolgungsmaßnahmen 328 Streudelikt 334 Sub-Domain 62 Subjektive Rechtsverletzung 266 Subsidiäre Wirkung des Bundesdatenschutzgesetzes 169 Subsidiarität 92 Suchmaschine 28, 52, 125, 128, 160, 165 Systemdatenschutz 102, 314 Taterfolg 332 Tatortprinzip 331 Täuschung 90 TCP 59 TCP/IP Protokoll 51, 58 Technisches Zertifikat 72 Technologischer Fortschritt 46 Teilhabe am öffentlichen Diskurs 194 Teilnahme am öffentlichen Leben 19, 232, 239, 256, 344, 359 Teilhabe am politischen Geschehen 179 Teilnehmerverzeichnis 311 Teledienste 71, 100, 138, 159, 168 Teledienstedatenschutzgesetz 71, 101, 108 Teledienstedatenschutzverordnung 71

411

Teledienstegesetz 99 Telekommunikationsanbieter 204, 245 Telekommunikationsdaten 84 Telekommunikationsdienste 71, 84, 98, 106, 168, 174 Telekommunikationsdienstleister 259 Telekommunikationsdienstleistungen 93, 107, 144 Telekommunikationsgeheimnis 252 Telekommunikationsgesetz 92, 95, 97, 101, 109, 132, 139, 145, 204, 247, 250, 252, 313, 358 Telekommunikationsrecht 105 Telematische Gesellschaft 29 Telemedien 100, 101, 107, 163, 174, 263, 267, 268, 271 Telemedienanbieter 204, 207, 208, 213 Telemediendienste 93, 99, 106, 132, 163, 168, 195 Telemediendienstegesetz 207 Telemediengesetz 23, 92, 93, 95, 99, 101, 102, 104, 108, 109, 132, 133, 138, 139, 144, 145, 147, 152, 156, 159, 174, 195, 204, 206, 213, 247, 250, 252, 258, 260–263, 265, 267, 269, 273, 294, 313, 314, 320, 358 Territorialitätsprinzip 329, 331–333, 335 Top-Level-Domäne 62 Transformationsprozess 45 Transmission Control Protocol 58 Transnationaler Datenverkehr 327 Transparenz 82 – der Datenverarbeitung 80, 165 – der Datenverwendung 252 Transparenzgebot 70, 146, 150, 156, 200 Transparenzgrundsatz 83 – Vorschriften 83 Transport-Schicht 59 Trojaner 91, 126, 189 Übermaßverbot 354 Übermittlungspflicht 106 Überprüfbarkeit 180

412

Stichwortverzeichnis

Überwiegendes Allgemeininteresse 36, 356 Ubiquitätsprinzip 331 Unabhängigkeit von eines anderen nötigender Willkür 239, 341 Unbefugte Dritte 224, 255, 257, 275, 300, 313, 352 Unentgeltliche Auskunft 155 Uniform Resource Locator 61 Unterlassung 287 Unterlassungsanspruch 270 Unterlassungsanspruch des Betroffenen 247 Unternehmen 94 Unterrichtung des Betroffenen 131 Unverhältnismäßigkeit 40 Urheberrechtsverletzung 35 URL 61 Verantwortliche Stelle 136, 155, 160, 166, 174, 200, 212, 213 Verantwortlichkeit 50, 53, 255, 259, 280 – Access Provider 263 – bedingte 264 – Content Provider 267, 268 – datenschutzrechtliche 191, 258 – deliktsrechtliche 269 – der Provider 24, 156, 257, 260, 261, 273–275, 278, 296, 360 – des Arbeitnehmers 242 – des Störers 277 – des Verhaltensstörers 282 – für Datenmissbrauch 355 – für eigene Daten 267 – für eigene Informationen 267 – für fremde Informationen 280 – für rechtswidrige Handlungen 53 – für zweckungebundene Datenverarbeitung 268 – Host Provider 262, 263, 266 – öffentlicher Stellen 193, 269 – verschuldensunabhängige 281 – zivilrechtliche 274

Verantwortungsbereich der Provider 258 Verarbeitung 207, 268 Verarbeitungsbefugnis 197 Verbindlichkeit 343 Verbindungsdaten 85, 324 Verbot mit Erlaubnisvorbehalt 80, 95 Verbraucherdaten 138 Verbraucherverhalten 127 Verbreitungshandlung 281 Verdeckte Datenerhebung 311 Verdeckte Online-Durchsuchung 322, 323 Vereinte Nationen 64 Verfahrensrechtliche Schutzvorkehrung 146 Verfassung 21, 36, 237, 341, 347, 349 Verfassung der Bürger 305 Verfassungsgemäße Ordnung 75 Verfassungsrechtliche Grundsätze 36, 180 Verfassungsstaat 24, 37, 185 Verfolgung von Straftaten 98, 317, 332 Verhaltensstörer 274, 282, 297 Verhaltensverantwortlichkeit 277, 281 Verhältnismäßigkeit 82, 134, 160, 304 – Anforderungen 310 – der Gefahrenabwehr 302 – von Löschungs- und Sperrungsverfügungen 301 – von Maßnahmen 354 Verhältnismäßigkeitsgrundsatz 303, 325 Verhältnismäßigkeitsprinzip 234, 299, 359 Verkehrsdaten 106, 107, 112, 132, 196, 205, 250–252, 259, 263, 309, 310, 323, 324, 339 Verletzung – der Freiheit 353 – der Grundrechte 252, 292, 306 – der Privatsphäre 292 – des Briefgeheimnisses 86 – des höchstpersönlichen Lebensbereichs 86

Stichwortverzeichnis – des Persönlichkeitsrechts 289 – eines Rechtsguts 285, 287 – geschützter Rechtsgüter 287 – von Privatgeheimnissen 86 Vermögensverfügung 90 Vermögensvorteil 90 Veröffentlichung 18, 35 Verpflichtung – der Provider 320, 325 – der rechtsverbindlichen Handlung 220 – des Arbeitnehmers 242 – des Bürgers 20, 359, 361 – des einzelnen Nutzers 306 – des Staates 237 – grundrechtliche 78 – ordnungsrechtliche 302 – staatlicher Organe 24, 350, 351, 356, 357 – zum Grundrechtsschutz 25 – zum Schutz 22, 24, 109, 111, 322, 326, 340, 341 – zum Schutz vor Eingriffen in die Grundrechte 142 – zur Achtung der Menschenwürde 65, 344 – zur Datensicherung 112 – zur Löschung 103 – zur Sicherung der Privatsphäre 43 – zur Sperrung 164 – zur Verschwiegenheit 87 – zur Wahrung der Grundrechte 22 Verschulden 287 Verschuldensunabhängige Gefährdungshaftung 269 Verstoß gegen die Rechtsordnung 288 Vertragsschluss 136, 167, 216, 235 – elektronischer 72, 108, 202, 220, 221, 228 – im Internet 106, 133, 134, 217 Vertragsverhältnis 131 – Änderung 106 – Ausgestaltung 106 – Begründung 106

413

Vertraulichkeit elektronisch vermittelter Kommunikation 84 Verursacher, mittelbarer 279 Verwaltungsdienstleistungen 177, 196 Verwaltungsvollzug 36 Verwendung 118 Verwendungszusammenhang der Datenverarbeitung 140 Verwendungszweck 71, 251 Verwirklichung 351 – der Grundrechte 19 – des Rechts 226 – von Freiheit 357, 360 – von Sicherheit 359 Verwirklichung des Rechts 257 Verzeichnisdienst 47 Viren 91, 126, 189 Voice over IP 89 Volk 184, 238 Völkerrecht 66, 68, 328 Volkszählungsurteil 22, 36, 37, 44, 74, 78, 109, 148, 151, 159, 192, 197, 239, 289, 296, 307, 308, 340, 345, 347, 357 Vollziehende Gewalt 85, 256, 352 Voraussetzung für die Strafbarkeit der Handlung 88 Vorbereitungsstraftaten 90 Vorfeldermittlung 295, 296, 307 Vorfeldtätigkeit polizeilicher Behörden 295 Vorratsdatenspeicherung 72, 86, 323, 324, 326, 359 Vorschriften 108, 148, 157, 173, 187, 196, 197, 204–207, 214, 216, 219, 221, 233, 234, 236, 242, 245, 250, 310, 312 – Bundesdatenschutzgesetz 102 – der Datenverarbeitung 95 – des besonderen Sicherheitsrechts 294 – ordnungsrechtliche 299, 307, 328 – strafrechtliche 89, 92, 307, 359 – zur Datensicherung 191 – zur Regelung 94

414

Stichwortverzeichnis

Wahlgeheimnis 180 Wahrheit 21, 226 Wahrscheinlichkeitswert 137 Wahrung des sozialen Geltungsanspruchs 74 Warenangebot 27, 46, 52 Website 39, 122, 124, 195, 211, 215, 228, 261, 267 – Programmierung 61 Weisungsrecht des Arbeitgebers 253 Weltrechtsprinzip 329, 330 Weltweites Datennetzwerk 35 Werbezwecke 34, 71, 96, 128–130, 132, 214 Widerspruch 97, 146 – des Betroffenen 130 Widerspruchsrecht des Betroffenen 133, 165, 166, 173 Willenserklärung 217, 219–221 – Rechtswirksamkeit 217, 219 Wirkungsprinzip 329 Wissen 26, 30, 31, 324 Wissensnetzwerk 35 W-LAN 121 World Wide Web 17, 47, 49, 55, 59 Würde des Menschen 23, 24, 37, 131, 143, 229, 230, 235, 238, 254, 290, 305, 340, 341, 345, 348, 358, 360, 361 Würmer 91, 126, 189 WWW 21–25, 43, 47, 49, 50, 52, 53, 55, 56, 59–61, 63, 66, 72, 73, 81, 91, 98, 107–109, 113, 118–126, 128, 131, 137, 139, 147, 161, 165, 168, 175, 185, 197, 198, 205, 216–218, 220–222, 224, 227, 229, 232, 235, 236, 238, 240–243, 249, 251, 265, 276, 277, 283, 288–295, 299, 300, 304, 312, 313, 316, 319, 321, 323, 329, 333, 335, 346, 358–360 Zahlungsverhalten des Nutzers 134 Zahlungsverpflichtung 134 Zielgruppenprofil 23, 288, 358 Zivilrechtsprechung 74 Zugang zu Informationen 46

Zugangsangebot 54 Zugangsdaten 211 Zugangskennung 90 Zugangsknoten 51 Zugangssicherung 89, 208 Zugangssoftware 49 Zugangsvermittler 53, 54, 258 Zugangsvermittlung 195, 280 Zulässigkeit – der Datenerhebung 245 – der Datenverarbeitung 123, 133, 135, 162, 174, 186, 193, 197, 207, 233, 313 – der Datenverwendung 129, 163, 198, 214, 247 – der Erstellung von Nutzerprofilen 206 – der Kontrolle des Datenverkehrs im Beschäftigungsverhältnis 244 – von Auskunfteien 97 Zurechenbarkeit von Delikten 332 Zustandsstörer 274, 275, 281, 282, 297, 299 Zustandsverantwortlichkeit 275, 276, 281, 297 Zustimmung zur Datenverarbeitung 169 Zwangsweise Registrierung 37 Zweck 129, 240, 323, 358 – der Datenerhebung 190, 198 – der Datensicherung 155 – der Datenübermittlung 136 – der Datenverarbeitung 145, 156, 162, 168, 218 – der Datenverwendung 250, 251 – der Ermittlung 320 – der Gesetze 344 Zweckänderung 309 Zweckbestimmung 64, 127 Zweckbindung 36, 70, 80, 82, 89, 102, 131, 132, 144, 149, 188, 192, 193, 199, 248, 250, 267 Zweckveranlasser 278–281 Zweckveranlassung 278, 279 Zwischenspeicherung von Informationen 261